Segurança e Auditoria de
Sistemas
Prof. Fabiano Sabha
Análise de Riscos
Prof. Fabiano Sabha
Definição de Risco

Podemos definir o risco como a condição que
aumenta ou diminui o potencial de perdas, ou seja,
o risco é a condição existente.

Esta condição deve ser incerta, fortuita e de
conseqüências negativas ou danosas.

Não pode haver a certeza de que ocorrerá.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
3
Risco x Perigo
Risco é diferente de Perigo!
Perigo é a origem do da perda.
Exemplo: Um incêndio é o perigo, o risco
são as condições do ambiente.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
4
Análise de Risco Estruturada
Possui dois parâmetros a serem estudados:

PRIMEIRO: Saber qual a chance (probabilidade) dos
perigos virem a acontecer frente ao risco

SEGUNDO: Calcular o impacto seja ele, financeiro
ou operacional
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
5
Categorias de análise
A análise de risco possui duas categorias de análise
QUALITATIVA: O objetivo é tentar calcular valores
numéricos objetivos para cada um dos componentes
coletados durante as fases de análise de custo/benefício
e de avaliação de risco.
QUANTITATIVA: Não tenta atribuir valores financeiros
fixos aos ativos, às perdas esperadas e ao custo de
controles. Em vez disso, tenta calcular valores relativos.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
6
Perda Esperada
Podemos calcular a Perda Esperada – PE, que é a multiplicação direta entre a
probabilidade – Pb do risco vir a acontecer versus seu impacto financeiro – I F.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
7
Método de Análise de Risco
Didaticamente utilizaremos o método
Brasiliano de Análise de Riscos
O Método Brasiliano possui como diferencial a obtenção
do GRAU DE PROBABILIDADE - GP do perigo. O Método
Brasiliano foi elaborado com o intuito de criar um dos
parâmetros para formar a Matriz de Vulnerabilidade, o
grau de probabilidade.
O Método Brasiliano de Análise de Riscos possui
quatro fases. São elas:
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
8
Método de Análise de Risco
O Método Brasiliano possui 4 fases:




Identificação dos fatores de riscos;
Determinação do Grau de Probabilidade (GP);
Determinação do Impacto Financeiro;
Elaboração da Perda Esperada e Matriz
Vulnerabilidades
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
de
9
Identificação dos Fatores
O Método Brasiliano possui 4 fases:
Os fatores de risco são na realidade a origem e ou causa
de cada perigo. Para compreender o risco – a condição –
a soma de todos os fatores, há a necessidade de dissecar
o fluxo de cada processo.
Utilizamos a técnica do Diagrama de Causa e Efeito, o
chamado Diagrama de Ishikawa e ou de Espinha de Peixe
para poder dissecar os fatores que influenciam a
concretização do perigo.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
10
Diagrama de Ishikawa
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
11
Meios Organizacionais - MO
É o levantamento se na empresa possui normas
de rotina e de emergência, políticas de
tratamento de riscos, gerenciamento de riscos
entre outras. A não formalização ou o não
detalhamento pode ser um fator de influência
para a concretização do perigo.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
12
Recurso Humano da Segurança - RH
É o levantamento do nível de qualificação,
quantidade, posicionamento tático da equipe.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
13
Meios Técnicos Passivos - MTP
É o levantamento da não existência de recursos
físicos, tais como lay-out de portaria, salas,
resistências de paredes, vidros entre outros.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
14
Meios Técnicos Ativos - MTA
É o levantamento da não existência de sistemas
eletrônicos, indo desde CFTV, controle de acesso,
sensoriamento, sistemas de rastreamento e
centrais de segurança.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
15
Ambiente Interno - AI
É o levantamento do nível de relacionamento dos
colaboradores e empresa.
Inclui desde políticas de remuneração até políticas
de recursos humanos.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
16
Ambiente Externo - AE
É o levantamento de cenários prospectivos,
identificando fatores externos incontroláveis mas
que influenciam na concretização de perigos.
Inclui o levantamento dos índices de criminalidade,
estrutura do crime organizado, mercados
paralelos, estrutura do judiciário, corrupção
policial, entre outros.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
17
Exemplo Diagrama de Ishikawa
O Diagrama de Ishikawa é o risco, é a condição.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
18
Determinação do Grau de
Probabilidade - GP
O Grau de Probabilidade – GP é a conseqüência da
multiplicação dos fatores de riscos versus o critério
da exposição. É uma multiplicação direta, onde
cada critério possui uma escala de valoração 1 a 5.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
19
Determinação do Grau de
Probabilidade - GP
GRAU DE PROBABILIDADE:
FATOR DE RISCO X EXPOSIÇÃO
GP = FR x E
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
20
Fator de Risco - FR
Este critério possui seis sub critérios, estudados na
fase da identificação da origem de cada perigo. Os
sub critérios possuem uma escala de valoração que
mede o grau de influência para a concretização
do perigo. Neste caso julgamos qual o nível de
influência, por sub critério, para que o perigo seja
concretizado.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
21
Fator de Risco - Pontuação
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
22
Fator de Risco - Cálculo
AI + AE + RH + MO + MTA + MTP
FR = _____________________________
6
FR = 5 + 2 + 3 + 4 + 3 + 4/6
FR = 21/6
FR = 3,50
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
23
Exposição- “E”
É a freqüência que o perigo costuma manifestar-se
na empresa ou em empresas similares. Possui a
seguinte escala de gradação:
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
24
Determinação do Grau de
Probabilidade - GP
GRAU DE PROBABILIDADE:
FATOR DE RISCO X EXPOSIÇÃO
GP = FR x E
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
25
Classificação da Probabilidade
GP = FR x E O valor obtido desta multiplicação é o Grau de
Probabilidade - GP, que para saber sua classificação temos
que consultar a tabela abaixo.
Esta tabela da classificação da probabilidade possui cinco
níveis:
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
26
Classificação da Probabilidade
No exemplo do desvio interno, temos o seguinte:
GP = FR x E
FR = 3,50
E=5
GP = 3,50 x 5 = 17,50
17,50 possui uma classificação de probabilidade
ALTA, ou PROVAVEL.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
27
Classificação da Probabilidade
17,50 x 4% = 70%.
A probabilidade do desvio interno vir a
acontecer ou continuar a acontecer na
empresa é de 70%.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
28
Matriz de Vulnerabilidade
A matriz de vulnerabilidade mostra de
forma clara quais são as fragilidades
existentes, com a influência – impacto – no
desempenho da empresa.
Através desta matriz, o gestor de riscos
sabe exatamente como cada risco deve ser
tratado e ter sua prioridade.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
29
Matriz de Vulnerabilidade
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
30
Matriz de Vulnerabilidade
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
31
Matriz de Vulnerabilidade
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
32