Segurança e Auditoria de Segurança e Auditoria de SistemasSistemas

ProfProf.. Fabiano Sabha Fabiano Sabha

Análise de RiscosAnálise de Riscos

ProfProf.. Fabiano Sabha Fabiano Sabha

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 3

Definição de RiscoDefinição de Risco

Podemos definir o risco como a condição que Podemos definir o risco como a condição que aumenta ou diminui o potencial de perdas, ou seja, aumenta ou diminui o potencial de perdas, ou seja, o risco é a condição existente.o risco é a condição existente.

Esta condição deve ser incerta, fortuita e de Esta condição deve ser incerta, fortuita e de conseqüências negativas ou danosas.conseqüências negativas ou danosas.

Não pode haver a certeza de que ocorrerá.Não pode haver a certeza de que ocorrerá.

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 4

Risco x PerigoRisco x Perigo

Risco é diferente de Perigo!

Perigo é a origem do da perda.

Exemplo: Um incêndio é o perigo, o

risco são as condições do ambiente.

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 5

Análise de Risco EstruturadaAnálise de Risco Estruturada

Possui dois parâmetros a serem estudados:Possui dois parâmetros a serem estudados:

PRIMEIRO: PRIMEIRO: Saber qual a chance (probabilidade) dos perigos virem a acontecer frente ao risco

SEGUNDO: SEGUNDO: Calcular o impacto seja ele, financeiro ou operacional

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 6

Categorias de análiseCategorias de análise

A análise de risco possui duas categorias de análiseA análise de risco possui duas categorias de análise

QUALITATIVA: QUALITATIVA: O objetivo é tentar calcular valoresnuméricos objetivos para cada um dos componentes

coletados durante as fases de análise de custo/benefício e de avaliação de risco.

QUANTITATIVA: QUANTITATIVA: Não tenta atribuir valores financeiros fixos aos ativos, às perdas esperadas e ao custo de controles. Em vez disso, tenta calcular valores relativos.

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 7

Perda EsperadaPerda Esperada

Podemos calcular a Perda Esperada – PE, que é a multiplicação direta entre a probabilidade – Pb do risco vir a acontecer versus seu impacto financeiro – I F.

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 8

Método de Análise de RiscoMétodo de Análise de Risco

Didaticamente utilizaremos o método Didaticamente utilizaremos o método

Brasiliano de Análise de RiscosBrasiliano de Análise de Riscos

O Método Brasiliano possui como diferencial a obtenção do GRAU DE PROBABILIDADE - GP do perigo. O Método

Brasiliano foi elaborado com o intuito de criar um dos parâmetros para formar a Matriz de Vulnerabilidade, o grau de probabilidade.

O Método Brasiliano de Análise de Riscos possui quatro fases. São elas:

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 9

Método de Análise de RiscoMétodo de Análise de Risco

O Método Brasiliano possui 4 fases:O Método Brasiliano possui 4 fases:

Identificação dos fatores de riscos; Determinação do Grau de Probabilidade (GP); Determinação do Impacto Financeiro; Elaboração da Perda Esperada e Matriz de

Vulnerabilidades

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 10

Identificação dos FatoresIdentificação dos Fatores

O Método Brasiliano possui 4 fases:O Método Brasiliano possui 4 fases:

Os fatores de risco são na realidade a origem e ou causa de cada perigo. Para compreender o risco – a condição – a soma de todos os fatores, há a necessidade de dissecar o fluxo de cada processo.

Utilizamos a técnica do Diagrama de Causa e Efeito, o chamado Diagrama de Ishikawa e ou de Espinha de Peixe para poder dissecar os fatores que influenciam a concretização do perigo.

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 11

Diagrama de Ishikawa Diagrama de Ishikawa

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 12

Meios Organizacionais - MOMeios Organizacionais - MO

É o levantamento se na empresa possui normas de rotina e de emergência, políticas de tratamento de riscos, gerenciamento de riscos entre outras. A não formalização ou o não detalhamento pode ser um fator de influência para a concretização do perigo.

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 13

Recurso Humano da Segurança - RHRecurso Humano da Segurança - RH

É o levantamento do nível de qualificação, quantidade, posicionamento tático da equipe.

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 14

Meios Técnicos Passivos - MTPMeios Técnicos Passivos - MTP

É o levantamento da não existência de recursos físicos, tais como lay-out de portaria, salas, resistências de paredes, vidros entre outros.

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 15

Meios Técnicos Ativos - MTAMeios Técnicos Ativos - MTA

É o levantamento da não existência de sistemas eletrônicos, indo desde CFTV, controle de acesso, sensoriamento, sistemas de rastreamento e centrais de segurança.

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 16

Ambiente Interno - AIAmbiente Interno - AI

É o levantamento do nível de relacionamento dos colaboradores e empresa.Inclui desde políticas de remuneração até políticas de recursos humanos.

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 17

Ambiente Externo - AEAmbiente Externo - AE

É o levantamento de cenários prospectivos, identificando fatores externos incontroláveis mas que influenciam na concretização de perigos. Inclui o levantamento dos índices de criminalidade, estrutura do crime organizado, mercados paralelos, estrutura do judiciário, corrupção policial, entre outros.

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 18

Exemplo Diagrama de IshikawaExemplo Diagrama de Ishikawa

O Diagrama de Ishikawa é o risco, é a condição.O Diagrama de Ishikawa é o risco, é a condição.

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 19

Determinação do Grau de Determinação do Grau de Probabilidade - GPProbabilidade - GP

O Grau de Probabilidade – GP é a conseqüência da O Grau de Probabilidade – GP é a conseqüência da multiplicação dos fatores de riscos versus o critério multiplicação dos fatores de riscos versus o critério da exposição. É uma multiplicação direta, onde da exposição. É uma multiplicação direta, onde cada critério possui uma escala de valoração 1 a 5.cada critério possui uma escala de valoração 1 a 5.

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 20

Determinação do Grau de Determinação do Grau de Probabilidade - GPProbabilidade - GP

GRAU DE PROBABILIDADE:GRAU DE PROBABILIDADE:FATOR DE RISCO X EXPOSIÇÃOFATOR DE RISCO X EXPOSIÇÃO

GP = FR x EGP = FR x E

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 21

Fator de Risco - FRFator de Risco - FR

Este critério possui seis sub critérios, estudados na fase da identificação da origem de cada perigo. Os sub critérios possuem uma escala de valoração que mede o grau de influência para a concretizaçãodo perigo. Neste caso julgamos qual o nível de influência, por sub critério, para que o perigo sejaconcretizado.

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 22

Fator de Risco - PontuaçãoFator de Risco - Pontuação

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 23

Fator de Risco - CálculoFator de Risco - Cálculo

AI + AE + RH + MO + MTA + MTPFR = _____________________________

6

FR = 5 + 2 + 3 + 4 + 3 + 4/6FR = 5 + 2 + 3 + 4 + 3 + 4/6FR = 21/6FR = 21/6FR = 3,50FR = 3,50

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 24

Exposição- “E”Exposição- “E”

É a freqüência que o perigo costuma manifestar-se É a freqüência que o perigo costuma manifestar-se na empresa ou em empresas similares. Possui ana empresa ou em empresas similares. Possui aseguinte escala de gradação:seguinte escala de gradação:

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 25

Determinação do Grau de Determinação do Grau de Probabilidade - GPProbabilidade - GP

GRAU DE PROBABILIDADE:GRAU DE PROBABILIDADE:FATOR DE RISCO X EXPOSIÇÃOFATOR DE RISCO X EXPOSIÇÃO

GP = FR x EGP = FR x E

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 26

Classificação da ProbabilidadeClassificação da Probabilidade

GP = FR x E O valor obtido desta multiplicação é o Grau de Probabilidade - GP, que para saber sua classificação temos que consultar a tabela abaixo.Esta tabela da classificação da probabilidade possui cinco níveis:

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 27

Classificação da ProbabilidadeClassificação da Probabilidade

No exemplo do desvio interno, temos o seguinte:

GP = FR x E FR = 3,50

E = 5

GP = 3,50 x 5 = 17,50

17,50 possui uma classificação de probabilidade ALTA, ou PROVAVEL.

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 28

Classificação da ProbabilidadeClassificação da Probabilidade

17,50 x 4% = 70%.17,50 x 4% = 70%.

A probabilidade do desvio interno vir a acontecer ou continuar a acontecer na

empresa é de 70%.

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 29

Matriz de VulnerabilidadeMatriz de Vulnerabilidade

A matriz de vulnerabilidade mostra de forma clara quais são as fragilidades existentes, com a influência – impacto – no desempenho da empresa.

Através desta matriz, o gestor de riscos sabe exatamente como cada risco deve ser tratado e ter sua prioridade.

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 30

Matriz de VulnerabilidadeMatriz de Vulnerabilidade

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 31

Matriz de VulnerabilidadeMatriz de Vulnerabilidade

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 32

Matriz de VulnerabilidadeMatriz de Vulnerabilidade