Aula 2 - Gestão de Riscos
-
Upload
carlos-henrique -
Category
Technology
-
view
121 -
download
3
description
Transcript of Aula 2 - Gestão de Riscos
![Page 2: Aula 2 - Gestão de Riscos](https://reader031.fdocumentos.com/reader031/viewer/2022020105/55859aa7d8b42aca7b8b5037/html5/thumbnails/2.jpg)
SI – Gestão de Riscos
É um processo no qual os riscos são identificados, analisados e reduzidos a um nível aceitável.
![Page 3: Aula 2 - Gestão de Riscos](https://reader031.fdocumentos.com/reader031/viewer/2022020105/55859aa7d8b42aca7b8b5037/html5/thumbnails/3.jpg)
SI – Planejando o Tratamento dos Riscos
Uma vez compreendidos os riscos que envolvem os ativos de informação e, consequentemente, os processos de negócio da organização, é possível então decidir o que fazer em relação a esses riscos identificados.
![Page 4: Aula 2 - Gestão de Riscos](https://reader031.fdocumentos.com/reader031/viewer/2022020105/55859aa7d8b42aca7b8b5037/html5/thumbnails/4.jpg)
SI – Estratégias para o Tratamento dos Riscos
Existem basicamente quatro opções para tratamento dos riscos:
1. Evitar2. Controlar3. Transferir4. e Aceitar
Onde a organização decide quais opções irá seguir, desenvolvendo uma série de ações (controles) para alinhar os riscos com o nível de risco aceitável.
![Page 5: Aula 2 - Gestão de Riscos](https://reader031.fdocumentos.com/reader031/viewer/2022020105/55859aa7d8b42aca7b8b5037/html5/thumbnails/5.jpg)
SI – EVITAREssa opção parece a mais óbvia para o tratamento dos riscos. Evitar os riscos, ou seja, não adquirir ou tecnologias ou processos que ofereçam riscos ao negócio.
Exemplo: Gravidez indesejada
![Page 6: Aula 2 - Gestão de Riscos](https://reader031.fdocumentos.com/reader031/viewer/2022020105/55859aa7d8b42aca7b8b5037/html5/thumbnails/6.jpg)
SI – CONTROLARA maior parte dos riscos não podem pura e simplesmente ser evitados, eles existem e fazem parte do negócio da organização. Uma outra opção é agir para diminuir os riscos, ou seja, implementar controles que diminuam as vulnerabilidades dos ativos que suportam os processos da organização.
![Page 7: Aula 2 - Gestão de Riscos](https://reader031.fdocumentos.com/reader031/viewer/2022020105/55859aa7d8b42aca7b8b5037/html5/thumbnails/7.jpg)
SI – TRANSFERIRA opção de transferir o risco para outra pessoa ou organização, em alguns casos é recomendada pela análise de riscos. Uma forma de fazer a transferência dos riscos é contratar um seguro cuja indenização cubra os prejuízos envolvidos em um incidente de segurança da informação. Outra forma é transferir o risco para outra pessoa ou organização, passando esse serviço a ser prestado por essa pessoa/organização com base em um contrato que garanta um nível mínimo de serviço, ou um SLA (Service Level Agreement).
![Page 8: Aula 2 - Gestão de Riscos](https://reader031.fdocumentos.com/reader031/viewer/2022020105/55859aa7d8b42aca7b8b5037/html5/thumbnails/8.jpg)
SI – ACEITARAceitação do risco se deve a análise de riscos que aponta quais os riscos relevantes, mais que ficam abaixo do nível de risco considerado mínimo para tomar ações tais como evitar, controlar e transferir esse risco. Sendo assim só resta uma opção: ACEITAR.
Mas mesmo aceitando o risco é importante saber que ele existe para o caso de algum dia esse risco aumentar e causar um impacto considerável caso venha acontecer um incidente de segurança da informação, a organização possa tomar ações e monitorar esse risco.
![Page 9: Aula 2 - Gestão de Riscos](https://reader031.fdocumentos.com/reader031/viewer/2022020105/55859aa7d8b42aca7b8b5037/html5/thumbnails/9.jpg)
SI – ELIMINAR
Reduzir a probabilidade de ocorrência do risco em 0%
![Page 10: Aula 2 - Gestão de Riscos](https://reader031.fdocumentos.com/reader031/viewer/2022020105/55859aa7d8b42aca7b8b5037/html5/thumbnails/10.jpg)
SI – Normas para Gestão de Riscos
ABNT NBR ISO 31000 - Gestão de Riscos — Princípios e Diretrizes
NBR ISO/IEC 27005 - Gestão de Riscos de Tecnologia da Informação
ABNT, NBR ISO/IEC 17799 - “Tecnologia da Informação - Código de Prática Para Gestão da Segurança da Informação”, 2001
![Page 11: Aula 2 - Gestão de Riscos](https://reader031.fdocumentos.com/reader031/viewer/2022020105/55859aa7d8b42aca7b8b5037/html5/thumbnails/11.jpg)
OBRIGADO!
Formado em Análise de Sistemas
Pós-Graduado em Auditoria em T.I.
Gerente de TI da CLIOC – Coleção de Leishmania do
Instituto Oswaldo Cruz – Fiocruz
Certificado em Gestão de Segurança da Informação e
Gerenciamento de T.I. pela Academia Latino-
Americana (Microsoft TechNet / Módulo Security)
Carlos Henrique M. da [email protected]