Carlos Henrique M. da Silvacarloshenrique.85@globo.com

Segurança da Informação

(SI)

SI – Gestão de Riscos

É um processo no qual os riscos são identificados, analisados e reduzidos a um nível aceitável.

SI – Planejando o Tratamento dos Riscos

Uma vez compreendidos os riscos que envolvem os ativos de informação e, consequentemente, os processos de negócio da organização, é possível então decidir o que fazer em relação a esses riscos identificados.

SI – Estratégias para o Tratamento dos Riscos

Existem basicamente quatro opções para tratamento dos riscos:

1. Evitar2. Controlar3. Transferir4. e Aceitar

Onde a organização decide quais opções irá seguir, desenvolvendo uma série de ações (controles) para alinhar os riscos com o nível de risco aceitável.

SI – EVITAREssa opção parece a mais óbvia para o tratamento dos riscos. Evitar os riscos, ou seja, não adquirir ou tecnologias ou processos que ofereçam riscos ao negócio.

Exemplo: Gravidez indesejada

SI – CONTROLARA maior parte dos riscos não podem pura e simplesmente ser evitados, eles existem e fazem parte do negócio da organização. Uma outra opção é agir para diminuir os riscos, ou seja, implementar controles que diminuam as vulnerabilidades dos ativos que suportam os processos da organização.

SI – TRANSFERIRA opção de transferir o risco para outra pessoa ou organização, em alguns casos é recomendada pela análise de riscos. Uma forma de fazer a transferência dos riscos é contratar um seguro cuja indenização cubra os prejuízos envolvidos em um incidente de segurança da informação. Outra forma é transferir o risco para outra pessoa ou organização, passando esse serviço a ser prestado por essa pessoa/organização com base em um contrato que garanta um nível mínimo de serviço, ou um SLA (Service Level Agreement).

SI – ACEITARAceitação do risco se deve a análise de riscos que aponta quais os riscos relevantes, mais que ficam abaixo do nível de risco considerado mínimo para tomar ações tais como evitar, controlar e transferir esse risco. Sendo assim só resta uma opção: ACEITAR.

Mas mesmo aceitando o risco é importante saber que ele existe para o caso de algum dia esse risco aumentar e causar um impacto considerável caso venha acontecer um incidente de segurança da informação, a organização possa tomar ações e monitorar esse risco.

SI – ELIMINAR

Reduzir a probabilidade de ocorrência do risco em 0%

SI – Normas para Gestão de Riscos

ABNT NBR ISO 31000 - Gestão de Riscos — Princípios e Diretrizes

NBR ISO/IEC 27005 - Gestão de Riscos de Tecnologia da Informação

ABNT, NBR ISO/IEC 17799 - “Tecnologia da Informação - Código de Prática Para Gestão da Segurança da Informação”, 2001

OBRIGADO!

Formado em Análise de Sistemas

Pós-Graduado em Auditoria em T.I.

Gerente de TI da CLIOC – Coleção de Leishmania do

Instituto Oswaldo Cruz – Fiocruz

Certificado em Gestão de Segurança da Informação e

Gerenciamento de T.I. pela Academia Latino-

Americana (Microsoft TechNet / Módulo Security)

Carlos Henrique M. da Silvacarloshenrique.85@globo.com