• (16) 3602-8513
  • [email protected]
  • Av. Pres. Vargas, 2121, Sala 2302 - Ribeirão Preto/SP
Pesquisar
Close this search box.
PDCA TI - Consultoria e Treinamento logo 3

GESTÃO DE RISCOS
Avaliação de Risco em TIC e Segurança da Informação

O projeto de Avaliação de Risco em Segurança da Informação e/ou Tecnologia da Informação, consiste em levantar as principais ameaças que possam impactar o ambiente, ou seja, gerar um impacto indesejável e muitas vezes crítico para as organizações.

Principais conceitos envolvidos na Avaliação de Risco:

Risco: “Efeito da incerteza em atingir os objetivos“. ISO 31000

  • Ameaça: Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.
  • Controle Efetivo: Medida física, lógica ou operacional utilizada para mitigar um risco identificado e mantê-lo dentro de um nível aceitável pela organização, atendendo recomendações, leis e normas técnicas internas e/ou externas.
  • ERM (Enterprise Risk Management) – Gerenciamento de Riscos Corporativo.
  • Impacto: Consequência avaliada de um evento em particular.
  • Incidente: Evento não programado de indisponibilidade, erro ou alterações não planejadas de um ou mais ativos de TI ou a redução da sua qualidade de entrega.
  • Método de Análise de Risco OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)- Avaliação de Ameaças, Ativos e Vulnerabilidades Operacionalmente Críticas.
  • Probabilidade: Possibilidade de algo acontecer que seja determinada, medida ou estimada, objetiva ou subjetivamente, em termos gerais (tais como raro, pouco provável, provável, quase certo, etc.), frequências ou probabilidade matemáticas.
  • Risco: É a combinação da probabilidade vs ameaça de ocorrer no ambiente e qual será o seu impacto para o negócio.
  • Risco Inerente: Exposição surgida (ou proveniente) de um risco específico, antes de alguma ação ter sido tomada para gerenciá-lo. Conhecido também, como risco puro ou risco sem levar em consideração os controles efetivos.
  • Risco Residual: É o resultado final da avaliação de risco, quando o negócio define o apetite de risco e delibera sobre as tratativas. É o risco restante após uma resposta a riscos ser aplicada

Principais conceitos envolvidos na Avaliação de Risco:

  1. Conhecer os principais riscos e seus impactos no negócio
  2. Mapear estes riscos e criar ações para mitigá-los, seja reduzindo a probabilidade de ocorrer no ambiente ou diminuindo o seu impacto, caso se concretize
  3. Criar uma cultura voltada à Gestão de Risco
  4. Utilizar o resultado gerado da Avaliação de Risco para solicitar orçamento das ações de tratamento dos riscos detectados
  5. Inverter a pirâmide de Risco, conforme imagem ->
Níveis de Riscos - Avaliação de Risco

Principais componentes do Sistema de Gestão de Riscos:

Critérios de Gestão de Riscos

Política de Gestão de Riscos:

Estabelecer a visão da alta administração em relação ao apetite de risco do negócio, à prioridade, à estrutura e os meios necessários para alcançar  os objetivos (diretrizes)

Gerenciamento do Risco: 

Processo de identificação das ameaças, análise dos riscos, avaliação dos riscos (medidas mitigatórias) e formalização dos riscos residuais

Garantia da Segurança:

Verificar continuamente a efetividade das estratégias de mitigação dos riscos já identificados e suportar a identificação de novos riscos

Promoção da Segurança:

Ações que visam fortalecer a cultura de segurança e gestão de risco em todos os níveis da organização, contemplando treinamentos, workshop, cartilhas e lições aprendidas

Ciclo PDCA x Gestão de Riscos

Ciclo PDCA vs Avaliação de Risco

Planejar: 

  • Levantamento das Partes Interessadas
  • Definição do escopo da Avaliação de Risco
  • Apresentação aos envolvidos

Fazer: 

  • Mapeamento das principais ameaças
  • Execução da Análise de Risco (probabilidade x impacto)
  • Definição do Apetite à Risco
  • Estruturação dos controles de Mitigação
  • Formalização dos Riscos Residuais

Checar: 

  • Análise da efetividade dos controles de Mitigação (ações planejadas x realizadas)
  • Execução de uma nova Avaliação do Risco
  • Criação de indicadores de Gestão de Riscos

Agir/Melhorar: 

  • Ampliação do escopo
  • Auditoria do processo
  • Garantir a efetividade do processo
  • Divulgar e fomentar o assunto
  • Direcionar as ações necessárias para um novo ciclo PDCA
Como a PDCA TI pode ajudar a minha empresa? Principais etapas do Projeto de Avaliação de Risco:

Reunião de Kick-off, apresentação do projeto a ser desenvolvido e formalização do escopo a ser analisado

Dentro de um projeto de Avaliação de Risco em ativos de TIC e Segurança da Informação, existem milhares de ameaças que possam impactar o ambiente; portanto, é necessário definir a quantidade das ameças ou quais os tipos que serão tratadas dentro do projeto

Análise de Risco nos ativos críticos mapeados (probabilidade e o impacto que poderá ser gerado, se a ‘ameaça X’ for concretizada naquele ativo)

 

Matriz de Risco

Neste momento é realizada a Avaliação de Risco, ou seja, deliberação das ações que serão analisadas conforme o nível de risco detectado, podendo ser:

 

Resposta ao Risco - Análise de Risco

o    Aceitar: Quando a empresa “aceita” o risco, ou seja, toma conhecimento do cenário e da situação, e decide não realizar nenhuma tratativa, mantendo o risco atual na empresa;

o    Mitigar: Quando a empresa “mitiga” o risco, ela está reduzindo os impactos e/ou probabilidade do mesmo, ou seja, são criados controles e ações que diminuem a exposição do risco e seu impacto, caso ocorra no ambiente;

o    Transferir: A “transferência de riscos” ocorre mediante contrato ou seguro, que resguarda a empresa em questões monetárias (valores), caso o risco ocorra no ambiente;

o    Evitar: Quando a empresa “evita” o risco, ela está retirando aquele risco do ambiente, ou seja, o risco passa a não existir mais na empresa. Esta decisão é normalmente utilizada quando os controles de mitigação não são suficientes para reduzir os riscos a um nível aceitável.

  • Elaboração do Relatório final de Avaliação de Riscos
  • Desenvolvimento do Mapa de Risco 
  • Apresentação executiva do trabalho realizado

Mapa de Riscos - Avaliação

Qual metodologia a PDCA TI utiliza para o desenvolvimento do projeto de Avaliação de Risco?

A PDCA TI utiliza as boas práticas de mercado e metodologias disponíveis, entre elas:

  • ISO 27005 -> Gestão de Risco à Segurança da Informação
  • Método de Análise de Risco OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)- Avaliação de Ameaças, Ativos e Vulnerabilidades Operacionalmente Críticas
  • IS0 31000 -> Gestão de Risco
  • COBIT 5 for Risk
  • FAIR – Factor Analysis of Information Risk -> Análise do Fator de Risco à Informação
  • NIST – National Institute of Standards and Technology -> Instituto Nacional de Padrões e Tecnologia
Análise de Risco

A PDCA TI possui experiência em projetos de Avaliação de Risco em TIC e Segurança da Informação. Entre em contato para agendarmos uma reunião. 

CONTATO

© 2020 TODOS DIREITOS RESERVADOS - PDCA TI - CONSULTORIA E TREINAMENTOS

crédito das imagens do site: unsplash.com/ E pixabay.com/