Motivação para análise e gerenciamento de riscos
Tese: Motivação para análise e gerenciamento de riscos. Pesquise 862.000+ trabalhos acadêmicosPor: vivixx • 15/3/2014 • Tese • 999 Palavras (4 Páginas) • 497 Visualizações
O risco ...
• pode ser algo incerto;
• expõe uma ou mais atividades, funções, processos ou toda a organização à possibilidade de perdas financeiras, danos físicos ou atrasos em projetos;
• é medido como a combinação da probabilidade da ocorrência do evento e suas consequências;
• pode ser negativo (perdas) ou positivo (oportunidades).
Motivação para análise e gestão de riscos
Gestão de Riscos é um dos pilares da Governança, e seu conceito é garantir que qualquer falha nas operações não coloque em risco os objetivos estratégicos da corporação.
É importante considerar que os riscos relacionados às operações – operacionais, falhas e vulnerabilidades de segurança ou até mesmo em projetos e desenvolvimento – podem ter impactos no sucesso da corporação, seja em uma campanha ou iniciativa específica, seja em sua imagem.
Metodologia de Análise
Para que a análise dos riscos seja objetiva, deve-se, em primeiro lugar, ter a informação sobre os ativos e seus respectivos valores para os negócios da companhia. Na primeira abordagem do Plano de Segurança é feito esse levantamento, para mais tarde ser estruturado em uma base de dados. Em seguida devem-se estabelecer prioridades, geralmente sob as perspectivas lógica e física dos serviços de TI.
As fases deste processo são:
• Identificar
• Priorizar
• Planejar
• Divulgar
• Atualizar
• Monitorar
Figura 1 - Processo de Análise e Gestão de Riscos, com início na Identificação.
Identificação dos riscos
A informação usada para estimar o impacto e a probabilidade da ocorrência de um evento, pode ser conseguida através de:
• registros e experiências passadas
• relatórios, banco de dados
• boas práticas
• padrões internacionais, guias específicos
• análise e pesquisa de mercado
• protótipos e experimentos
• modelos de engenharia, política, economia
• consultoria externa especializada.
O objetivo da fase de identificação dos riscos é, portanto:
• Identificar os ativos dentro do escopo do Plano Geral de Segurança da Informação
• Identificar as ameaças a esses ativos
• Identificar as vulnerabilidades que possam ser exploradas por essas ameaças
• Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos (CID), incluindo-se a autenticidade (A).
Priorização dos ativos
Inicialmente, devem ser considerados todos os ativos pertinentes às atividades relacionadas ao negócio, sem qualquer avaliação prévia, observado seus aspectos físicos e lógicos.
Na análise física levam-se em conta: o controle de acesso físico, localização geográfica, infra-estrutura predial e de comunicação, sistemas de monitoramento. Na análise lógica consideram-se a disponibilidade dos serviços, rotinas de backup, proteção por firewalls, atualização de versões de sistemas operacionais, e outras ações já implantadas.
Os ativos podem ser divididos em grupos, por exemplo, classificados por:
• valores relativos (A vale mais que B, ou classificação em Alto, Médio ou Baixo, escala (de 1 a 10, etc.) e
• valores financeiros (custo para desenvolvimento e implantação, custo para proteção, recuperação, valor perante a concorrência), assim como por sua importância para os negócios (ainda que “ importância” possa ser vista subjetivamente).
O bom senso, a experiência do executivo e o conhecimento do negócio são fundamentais na priorização, sendo necessário que a seleção dos profissionais entrevistados para os levantamentos seja cuidadosa, com supervisão direta da alta gerência da corporação.
Análise de Risco
Após estabelecidos os ativos e suas prioridades, procura-se associá-los aos processos de negócio, para que a análise possa ser feita à luz de impactos nos negócios, dado que não necessariamente o valor patrimonial de um ativo seria diretamente proporcional ao impacto nos negócios a ele relacionados, seja em valores financeiros, operacionais ou de imagem.
Faz-se, então, um conjunto de avaliações tal que se estabeleçam níveis de risco para cada ativo. Dentre as várias formas de classificação, define-se
...