metodo brasiliano
Post on 18-Jan-2016
55 Views
Preview:
DESCRIPTION
TRANSCRIPT
Segurança e Auditoria de Segurança e Auditoria de SistemasSistemas
ProfProf.. Fabiano Sabha Fabiano Sabha
Análise de RiscosAnálise de Riscos
ProfProf.. Fabiano Sabha Fabiano Sabha
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 3
Definição de RiscoDefinição de Risco
Podemos definir o risco como a condição que Podemos definir o risco como a condição que aumenta ou diminui o potencial de perdas, ou seja, aumenta ou diminui o potencial de perdas, ou seja, o risco é a condição existente.o risco é a condição existente.
Esta condição deve ser incerta, fortuita e de Esta condição deve ser incerta, fortuita e de conseqüências negativas ou danosas.conseqüências negativas ou danosas.
Não pode haver a certeza de que ocorrerá.Não pode haver a certeza de que ocorrerá.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 4
Risco x PerigoRisco x Perigo
Risco é diferente de Perigo!
Perigo é a origem do da perda.
Exemplo: Um incêndio é o perigo, o
risco são as condições do ambiente.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 5
Análise de Risco EstruturadaAnálise de Risco Estruturada
Possui dois parâmetros a serem estudados:Possui dois parâmetros a serem estudados:
PRIMEIRO: PRIMEIRO: Saber qual a chance (probabilidade) dos perigos virem a acontecer frente ao risco
SEGUNDO: SEGUNDO: Calcular o impacto seja ele, financeiro ou operacional
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 6
Categorias de análiseCategorias de análise
A análise de risco possui duas categorias de análiseA análise de risco possui duas categorias de análise
QUALITATIVA: QUALITATIVA: O objetivo é tentar calcular valoresnuméricos objetivos para cada um dos componentes
coletados durante as fases de análise de custo/benefício e de avaliação de risco.
QUANTITATIVA: QUANTITATIVA: Não tenta atribuir valores financeiros fixos aos ativos, às perdas esperadas e ao custo de controles. Em vez disso, tenta calcular valores relativos.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 7
Perda EsperadaPerda Esperada
Podemos calcular a Perda Esperada – PE, que é a multiplicação direta entre a probabilidade – Pb do risco vir a acontecer versus seu impacto financeiro – I F.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 8
Método de Análise de RiscoMétodo de Análise de Risco
Didaticamente utilizaremos o método Didaticamente utilizaremos o método
Brasiliano de Análise de RiscosBrasiliano de Análise de Riscos
O Método Brasiliano possui como diferencial a obtenção do GRAU DE PROBABILIDADE - GP do perigo. O Método
Brasiliano foi elaborado com o intuito de criar um dos parâmetros para formar a Matriz de Vulnerabilidade, o grau de probabilidade.
O Método Brasiliano de Análise de Riscos possui quatro fases. São elas:
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 9
Método de Análise de RiscoMétodo de Análise de Risco
O Método Brasiliano possui 4 fases:O Método Brasiliano possui 4 fases:
Identificação dos fatores de riscos; Determinação do Grau de Probabilidade (GP); Determinação do Impacto Financeiro; Elaboração da Perda Esperada e Matriz de
Vulnerabilidades
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 10
Identificação dos FatoresIdentificação dos Fatores
O Método Brasiliano possui 4 fases:O Método Brasiliano possui 4 fases:
Os fatores de risco são na realidade a origem e ou causa de cada perigo. Para compreender o risco – a condição – a soma de todos os fatores, há a necessidade de dissecar o fluxo de cada processo.
Utilizamos a técnica do Diagrama de Causa e Efeito, o chamado Diagrama de Ishikawa e ou de Espinha de Peixe para poder dissecar os fatores que influenciam a concretização do perigo.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 11
Diagrama de Ishikawa Diagrama de Ishikawa
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 12
Meios Organizacionais - MOMeios Organizacionais - MO
É o levantamento se na empresa possui normas de rotina e de emergência, políticas de tratamento de riscos, gerenciamento de riscos entre outras. A não formalização ou o não detalhamento pode ser um fator de influência para a concretização do perigo.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 13
Recurso Humano da Segurança - RHRecurso Humano da Segurança - RH
É o levantamento do nível de qualificação, quantidade, posicionamento tático da equipe.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 14
Meios Técnicos Passivos - MTPMeios Técnicos Passivos - MTP
É o levantamento da não existência de recursos físicos, tais como lay-out de portaria, salas, resistências de paredes, vidros entre outros.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 15
Meios Técnicos Ativos - MTAMeios Técnicos Ativos - MTA
É o levantamento da não existência de sistemas eletrônicos, indo desde CFTV, controle de acesso, sensoriamento, sistemas de rastreamento e centrais de segurança.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 16
Ambiente Interno - AIAmbiente Interno - AI
É o levantamento do nível de relacionamento dos colaboradores e empresa.Inclui desde políticas de remuneração até políticas de recursos humanos.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 17
Ambiente Externo - AEAmbiente Externo - AE
É o levantamento de cenários prospectivos, identificando fatores externos incontroláveis mas que influenciam na concretização de perigos. Inclui o levantamento dos índices de criminalidade, estrutura do crime organizado, mercados paralelos, estrutura do judiciário, corrupção policial, entre outros.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 18
Exemplo Diagrama de IshikawaExemplo Diagrama de Ishikawa
O Diagrama de Ishikawa é o risco, é a condição.O Diagrama de Ishikawa é o risco, é a condição.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 19
Determinação do Grau de Determinação do Grau de Probabilidade - GPProbabilidade - GP
O Grau de Probabilidade – GP é a conseqüência da O Grau de Probabilidade – GP é a conseqüência da multiplicação dos fatores de riscos versus o critério multiplicação dos fatores de riscos versus o critério da exposição. É uma multiplicação direta, onde da exposição. É uma multiplicação direta, onde cada critério possui uma escala de valoração 1 a 5.cada critério possui uma escala de valoração 1 a 5.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 20
Determinação do Grau de Determinação do Grau de Probabilidade - GPProbabilidade - GP
GRAU DE PROBABILIDADE:GRAU DE PROBABILIDADE:FATOR DE RISCO X EXPOSIÇÃOFATOR DE RISCO X EXPOSIÇÃO
GP = FR x EGP = FR x E
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 21
Fator de Risco - FRFator de Risco - FR
Este critério possui seis sub critérios, estudados na fase da identificação da origem de cada perigo. Os sub critérios possuem uma escala de valoração que mede o grau de influência para a concretizaçãodo perigo. Neste caso julgamos qual o nível de influência, por sub critério, para que o perigo sejaconcretizado.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 22
Fator de Risco - PontuaçãoFator de Risco - Pontuação
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 23
Fator de Risco - CálculoFator de Risco - Cálculo
AI + AE + RH + MO + MTA + MTPFR = _____________________________
6
FR = 5 + 2 + 3 + 4 + 3 + 4/6FR = 5 + 2 + 3 + 4 + 3 + 4/6FR = 21/6FR = 21/6FR = 3,50FR = 3,50
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 24
Exposição- “E”Exposição- “E”
É a freqüência que o perigo costuma manifestar-se É a freqüência que o perigo costuma manifestar-se na empresa ou em empresas similares. Possui ana empresa ou em empresas similares. Possui aseguinte escala de gradação:seguinte escala de gradação:
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 25
Determinação do Grau de Determinação do Grau de Probabilidade - GPProbabilidade - GP
GRAU DE PROBABILIDADE:GRAU DE PROBABILIDADE:FATOR DE RISCO X EXPOSIÇÃOFATOR DE RISCO X EXPOSIÇÃO
GP = FR x EGP = FR x E
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 26
Classificação da ProbabilidadeClassificação da Probabilidade
GP = FR x E O valor obtido desta multiplicação é o Grau de Probabilidade - GP, que para saber sua classificação temos que consultar a tabela abaixo.Esta tabela da classificação da probabilidade possui cinco níveis:
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 27
Classificação da ProbabilidadeClassificação da Probabilidade
No exemplo do desvio interno, temos o seguinte:
GP = FR x E FR = 3,50
E = 5
GP = 3,50 x 5 = 17,50
17,50 possui uma classificação de probabilidade ALTA, ou PROVAVEL.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 28
Classificação da ProbabilidadeClassificação da Probabilidade
17,50 x 4% = 70%.17,50 x 4% = 70%.
A probabilidade do desvio interno vir a acontecer ou continuar a acontecer na
empresa é de 70%.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 29
Matriz de VulnerabilidadeMatriz de Vulnerabilidade
A matriz de vulnerabilidade mostra de forma clara quais são as fragilidades existentes, com a influência – impacto – no desempenho da empresa.
Através desta matriz, o gestor de riscos sabe exatamente como cada risco deve ser tratado e ter sua prioridade.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 30
Matriz de VulnerabilidadeMatriz de Vulnerabilidade
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 31
Matriz de VulnerabilidadeMatriz de Vulnerabilidade
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 32
Matriz de VulnerabilidadeMatriz de Vulnerabilidade
top related