aula 3 gerenciamento de risco final

7/28/2019 Aula 3 Gerenciamento de Risco Final

1/88

Professor Jaime Pinto

www.professorjaimepinto.com

Anlise e Gerenciamento de Riscos


2/88



Agenda

ConceitoTipos de Risco

Elementos da Anlise de Risco

Anlise de RiscoGerenciamento de Riscos

Controle de Riscos

Case VAHConcluso

Referncias


3/88



Conceito

RISCO Usualmente: perigo ou incerteza Etimologia: origem no italiano antigo risicare

= ousar Conotao original: prejuzo e ganhodecorrente de uma deciso.Uma opo e no um destino.

Implica no apenas em prejuzo (como a

compreenso vulgar)Risco corresponde a uma parte de construoda realidade.


4/88



O CONCEITO DE RISCO


5/88



Conceito

Riscos so caracterizados pela possibilidade de um projeto no serealizar de acordo com os objetivos (especificaes, custos, tempo, etc.) ecom as condies externas. Os desvios que ocorrem podem ser de difcilaceitao ou at mesmo inaceitveis.


6/88




7/88



Anlise e Gerenciamento de riscos

Anlise (gerenciamento) de riscos uma medidaque busca avaliar qual a real probabilidade de queameaas se concretizem utilizando: AS vulnerabilidades existentes , Identificar os possveis impactos que possam sercausados.

A anlise de riscos tem como resultado uma lista deproblemas que devem ser priorizados, uns dosprincipais objetivos diagnosticar a situao da

segurana da informao na organizao erecomendar aes para cada vulnerabilidademapeada.


8/88



Elementos da Anlise de RiscoAmeaa - aquilo que gera um risco. Quantomais ameaa, maior a chance de risco.

Probabilidade - a chance de algumaameaa se concretizar.Impacto - a medida de dano que o risco podecausar pessoa ou ao objeto.Incerteza - no se pode determinar um riscopela falta de informao. Ao Alternativa - determinao de aespara eliminar ou mitigar o risco.


9/88



Identificando as ameaas

Esta etapa iniciada com um brainstorming,onde o facilitador expe um tema a seranalisado. Isto inclui a definio do que se deseja

analisar e alguns exemplos de ameaas que otime poder usar para se guiar inicialmente,conforme ilustrado na Tabela 9.3 (PELTIER,2005).


10/88




11/88




12/88



Tratando os RiscosSegundo Martins (2003), aps fazer aanlise/avaliao de riscos, o prximopasso fazer as recomendaes para quea empresa crie ou modifique osmecanismos de segurana existentes. Nesta atividade, as vulnerabilidades

existentes devem ser consideradas, assimcomo os respectivos riscos


13/88



Para cada forma de ameaa, dever ser definidauma ou mais contramedidas que devero seraplicadas aos ativos como, por exemplo, o uso decriptografia, senha robusta, e outras, alm de

seus custos. Os resultados sero as respostas sseguintes questes:a) O QUE deve ser protegido; b) DE QUEM proteger; c) COM QUE RISCOS (no custo desejado, a

proteo provavelmente no dar umasegurana total); ed) A QUE CUSTO;


14/88



Uma Anlise de Risco bem realizadapoder garantir :

a confidencialidade,a disponibilidadea integridade das informaes nas

empresas.


15/88



Fazem parte de uma anlise de risco: Processos de Negcio : identificar junto aosgestores e colaboradores os Processos de Negcioexistentes na Empresa.

Ativos: identificar os ativos que seroconsiderados na Anlise de Risco:Pessoas, lnfra-estrutura, Aplicaes, Tecnologia einformaes. Vulnerabilidades : identificar as vulnerabilidadesexistentes nos ativos que possam causarindisponibilidade dos servios ou serem utilizadaspara roubo das suas informaes. Ameaas: identificar os agentes que podem vira ameaar a empresa.


16/88



O que levar em conta na anlise: Pontos fortes :

_ verificao de conformidade; _ independncia entre os setores da empresa envolvidos, oque permite colher uma gama maior de vises;

_ criao de um plano de ao; _ verificao do nvel de maturidade. Pontos fracos :

_ no permite a classificao de ativos; _ no permite a insero de vulnerabilidades no previstas; _ plano de ao dependente do conhecimento da equipe;

_ no identifica vulnerabilidades; _ no identifica alterao no parque tecnolgico; _ clculo de risco no leva em conta a dependncia entreativos.


17/88



Anlise de Risco


18/88



Passos para avaliao do risco

d


19/88



Onde est o Risco? Onde esta o risco?


20/88



Gerenciamento de Risco

Gerenciamento de RiscoOBJETIVO

O Gerenciamento de Riscos permitir que asorganizaes convivam de uma maneira mais seguracom os riscos a que esto expostos.Com o Gerenciando do Risco possvel protegerseres humanos, recursos materiais e meio-ambiente.


21/88



Para Peltier (2005), gesto de riscos oprocesso que permite aos gerentes dosnegcios balancearem os custosoperacionais com medidas de proteoadequadas, visando obter ganhos deacordo com a misso da empresa.Ateno: a gesto de riscos no estrestrita ao campo da tecnologia dainformao, nem tampouco ao foco da

segurana da informao. Na verdade, um processo de negcio que ajudaaos gestores a proteger os interessesda organizao.


22/88



Estratgias de Gerenciamento deRiscos

Mitigao de Riscos: Esta areao a riscos normalmentelembrada em primeiro lugar. Elacontm todas as contramedidastomadas pelas equipes desegurana contra as ameaas,

inclusive firewalls, deteco deinvases e antivrus .


23/88



Aceitao de Riscos: Se o custode eliminao de um risco for maiorque o risco em si, ou se aeliminao dele desviar recursos deum risco muito mais grave, aprovidncia racional poder ser

simplesmente aceitar o risco.


24/88



Transferncia de Riscos: Emalguns casos mais prudentetransferir o risco a terceiros, comouma seguradora, que alocarrecursos limitados para iniciativasde mitigao que provavelmente

faro pouca ou nenhuma diferena .


25/88



Conteno de Riscos: Havercasos em que o nvel de risco e ocusto de elimin-lo simplesmenteno pode ser tolerado. Nesses casos melhor evitar totalmente o risco,seja retirando o sistema em

questo, ou, antes disso, deixandode instal-lo


26/88



Princpios da Gesto de Riscos

Gesto de riscos compreende um conjunto deatividades coordenadas para direcionar e controlaruma organizao no que se refere aos riscos. Agesto de riscos geralmente inclui as seguintesmacro-atividades principais:

a) anlise de riscos uso sistemtico de informaespara identificar fontes de ameaas, a fim de estimaros riscos;

b) avaliao de riscos processo de comparar o riscoestimado com critrios de risco predefinidos paradeterminar a importncia do risco;

c) tratamento de riscos processo de seleo eimplementao de medidas para modificar um risco.


27/88



Caractersticas do Risco

Risco Estratgico:Posicionamento da organizao no mercado,origem externa (mercado, cliente, fornecedor, agnciareguladora etc.)Longo Prazo

Risco Financeiro:So os objetivos decorrentes da gesto ampla do caixa, nasatividades de aplicao e captao de recursos em operaesnos mercados financeiros.

Risco Operacional;So aqueles que contribuem com a produo e distribuio dosprodutos e servios da companhia


28/88



Risco Conformidade;So os objetivos relacionados com o cumprimentoda legislao e/ou regulamentao aplicveis aonegcio e s normas e procedimentos internos.

Risco Ambiental.Considera a mensurao do montante de custos ede passivos ambientais da empresa e a avaliao desua efetiva capacitao em administr-los gerenciale financeiramente.


29/88



Habilidades Desejveis para a Conduo projetode gerenciamento risco

a) Ouvir nos dias atuais a arte de saber ouvir temse tornado um pouco esquecido.

b) Conduzir Essa habilidade requer que ofacilitador conduza o grupo dentro do objetivo.

c) Refletir - O facilitador deve repetir e dar nfaseao que os participantes dizem. Inclusive, umbom exerccio, repetir a idia exposta pelosmembros.

d) Sumarizar Essa habilidade requer que ofacilitador coloque junto os temas e as idiasapresentadas.


30/88



e) Confrontar O facilitador deve colher as opinies etransformar qualquer posio contrria, radical,muito enftica ou agressiva de algum membro daequipe em sentenas positivas.

f) Apoiar Nesta habilidade, o facilitador cria umambiente de confiana mtua e aceitao.

g) Construir Cabe ao facilitador fazer com que osmembros do time aceitem outras vises.


31/88



Vulnerabilidade

Vulnerabilidade: falha ou fraqueza deprocedimento, design, implementao, oucontroles internos de um sistema que possa

ser acidentalmente ou propositalmenteexplorada, resultando em uma brecha desegurana ou violao da poltica desegurana do sistema;


32/88



Tipos de Vulnerabilidade

Ameaas Causadas por Pessoas EspionagemCrimes

Empregados insatisfeitosEmpregados doentes Empregados desonestosVandalismoTerrorismoErros dos Utilizadores


33/88



Conceituando Ativos


34/88



Considerando um ativo como tudo aquiloque seja relevante para uma organizaoe que necessite de algum tipo deproteo ou cuidado , por conta disso, oentendimento adequado do que ativo,dentro de um escopo organizacional, desuma importncia, tendo em vista que aidentificao desses ativos informacionais o passo fundamental para o

estabelecimento de qualquer estratgiade proteo, associada a umametodologia de gesto de riscos a seradotada.


35/88



O termo ativo possui estadenominao oriunda da reafinanceira, por ser considerado umelemento de valor para umindivduo ou organizao, e que, poreste motivo, necessita de

proteo adequada.


36/88



Para Martins (2003), ativos soobjetos fsicos e lgicos que tmalgum valor para o processo denegcio da empresa. No primeirocaso esto objetos comohardware, prdios e outros , na

segunda categoria esto objetoscomo e-mail, sottwares, bancode dados, entre outros


37/88



A norma NBR ISO!IEC 17799 (2005)recomenda que todos os ativos sejaminventariados e tenha umproprietrio responsvel, e que esseproprietrio seja identificado e a eleatribudo a responsabilidade pelamanuteno apropriada dos controles,podendo esses delegar estasatribuies , conforme apropriado;

porm o proprietrio permaneceresponsvel pela proteo adequadados ativos.


38/88



Identificar uma pessoa ou organismoque tenha uma responsabilidadeautorizada para controlar a produo,

o desenvolvimento, a manuteno, ouso e a segurana dos ativos, e no apessoa que realmente tenha qualquerdireito de propriedade no ativo.

(SECURITY OFFICER, 2006, p. 115).


39/88




40/88



Tipos de ativosa) ativos de informao , como sendo base dedados e arquivos, contratos e acordos,

documentao de sistema, informaessobre pesquisa, manuais de usurio,material de treinamento, procedimentos desuporte ou operao, planos decontinuidade do negcio, procedimentos derecuperao, trilhas de auditoria einformaes armazenadas;

b) ativos de software , como sendoaplicativos, sistemas, ferramentas dedesenvolvimento e utilitrios;


41/88



c) ativos fsicos , como sendo equipamentoscomputacionais,

equipamentos de comunicao, mdiasremovveis e outros equipamentos;

d) servios de computao e comunicaes ,utilidades gerais, tais como aquecimento,iluminao, eletricidade e refrigerao;

e) pessoas e suas qualificaes, habilidadese experincias;

f)e intangveis , tais como a reputao e aimagem da organizao.


42/88



Como Definir nosso Risco ?


43/88



CONTINUIDADE DE NEGCIO EPLANO DE CONTINGNCIA

Um plano de contingncia,tambm chamado de planejamento

de riscos,plano de continuidade de negciosplano de recuperao de desastres,


44/88



OBJETIVO DO PLANO DE CONTINGNCIA

tem o objetivo de descrever as medidas a seremtomadas por uma empresa:incluindo a ativao de processos manuais, para

fazer com que seus processos vitais voltem afuncionar plenamente, ou num estado minimamenteaceitvel, o mais rpido possvel, evitando assimuma paralisao prolongada que possa gerarmaiores prejuzos a corporao, como:a fuga de acionistas,

grandes perdas de receita,sanes governamentais,

problemas jurdicos para os dirigentes, abordagensmaliciosas da imprensa,fuga de funcionrios para os concorrentese at mesmo, em casos extremos, o fechamento daempresa.


45/88



Causas Comuns

Os incidentes mais comuns que causam acontingncia na rea de sistemas so:enchentes, incndios, rebelies, greves,

terremotos, tsunamis, furaces, falta deenergia, ataques de hackers internos(funcionrios ou consultores malintencionados)ou externos, vrus de computador,vazamento qumico, sabotagem,atentados terroristas, acidentes e erroshumanos.


46/88



Onde concentrar os planos decontingncia

devem se concentrar nos incidentesde maior probabilidade e nonos catastrficos que,normalmente, so menosprovveis


47/88



Confeco de um Plano de Contingncia

O plano de contingncia deve ser desenvolvidoenvolvendo todas as reas sujeitas a catstrofes,sistema de informticaquanto as de negcio eno deve ser de exclusiva responsabilidade da reade Tecnologia da Informao da organizao.Testes peridicos no plano tambm so necessriospara verificar se o processo continua vlido. Odetalhamento das medidas deve ser apenas onecessrio para sua rpida execuo, sem excessode informaes que podem ser prejudiciais numasituao crtica.


48/88



Alguns procedimentos de um plano de Contigncia

Os procedimentos mais simples de contingncia so:manter backup regular das bases de dados, manterum site de contingncia sempre atualizado,possuir ferramentas seguras para acesso aos dadosremotamente para o caso da impossibilidade chegarat o prdio da empresa (VPN ou acesso discado,por exemplo),ter cpias completas e atualizadas de servidoresvitais para o funcionamento da empresa(principalmente os que requerem muito tempo parareconstituio)

, manter senhas em local seguro mas de fcil acessoa pessoas chaves da empresa no caso de umaemergncia.


49/88



Para se criar um plano de contingncia mais eficaz,normalmente as grandes empresas algumas utilizamregras abaixo descritas,

Identificar todos os processos de negcioda organizao;Avaliar os impactos no negcio, ou seja,

para cada processo identificado, avaliar oimpacto que a sua falha representa para aorganizao,levar em considerao tambm asinterdependncias entre processos. Comoresultado deste trabalho ser possvelidentificar todos processos crticos para asobrevivncia da organizao;


50/88



Identificar riscos e definir cenriospossveis de falha para cada um dosprocessos crticos, levando em conta aprobabilidade de ocorrncia de cada falha,provvel durao dos efeitos,conseqncias resultantes, custos inerentese os limites mximos aceitveis depermanncia da falha sem a ativaoda respectiva medida de contingncia ;


51/88



Identificar medidas para cadafalha, ou seja, listar as medidas aserem postas em prtica caso afalha acontea, incluindo atmesmo o contato com a imprensa;


52/88



Definir aes necessrias paraoperacionalizao das medidas cujaimplantao dependa da aquisiode recursos fsicos e/ou humanos(por exemplo, aquisio de geradore combustvel para um sistema de

contingncia de energia eltrica);


53/88



Estimar custos de cada medida ,comparando-os aos custosincorridos no caso da contingncia

no existir;Definir forma de monitoramento

aps a falha;Definir critrios de ativao do

plano, como tempo mximoaceitvel de permanncia da falha;


54/88



Identificar o responsvel pelaativao do plano, normalmentesituado em um alto nvelhierrquico da companhia ;


55/88



Identificar os responsveis em colocar emprtica as medidas de contingncia definidas, tendo cada elemento

responsabilidades formalmente definidas enominalmente atribudas.


56/88



Deve tambm existir um substitutonominalmente definido para cadapara cada elemento. Todos devemestar familiarizados com o planovisando evitar hesitaes ouperdas de tempo que possam

causas maiores problemas emsituao de crise.


57/88



Definir a forma de reposio donegcio aos moldes habituais, ouseja, quando e como sair do estadode contingncia e retornar ao seuestado normal de operao, assimcomo quem so os responsveis por

estas aes e como este processoser monitorado.


58/88



Concluso plano de contigncia

Um plano de contingncia nada mais , conformeseu prprio nome sugere, um documento quedescreve, passo a passo, quais aes a empresadeve tomar a fim de retomar normalmente seusprocessos de trabalho, aps a ocorrncia de um

incidente segurana (ou uma contingncia). Trata-sede um documento desenvolvido com o intuito de :treinar,organizar,orientar,facilitar,agilizare uniformizar as aes necessrias s respostas decontrole e combate s ocorrncias anormais.


59/88




60/88



Para que uma crise seja bem administrada, necessria a existncia prvia de umplanejamento bem elaborado e factvel.Este plano possui diversas etapas, as quaisdestacam:Levantamento de riscosDiagnstico de ameaasPlanejamento de processosImplementaoManuteno


61/88




62/88




63/88




64/88




65/88




66/88




67/88




68/88




69/88




70/88




71/88




72/88




73/88




74/88




75/88




76/88




77/88




78/88




79/88




80/88



Elementos da Anlise de Risco


81/88



ELEMENTOS

Ameaa - aquilo que gera um risco. Quanto mais ameaa, maior a

chance de risco.

Probabilidade - a chance de alguma ameaa se concretizar.

Impacto - a medida de dano que o risco pode causar pessoa ou

ao objeto.

Incerteza - no pode-se determinar um risco pela falta de

informao.

Ao Alternativa - determinao de aes para eliminar ou mitigar o risco. Fonte: Marcos Hashimoto Voc S/A

Gerenciamento de Risco


82/88



OBJETIVO O Gerenciamento de Riscos permitir que asorganizaes convivam de uma maneira maissegura com os riscos a que esto expostos.

Com o Gerenciando do Risco possvelproteger seres humanos, recursos materiais emeio-ambiente.

Controle de Riscos


83/88



FERRAMENTAS

APR (anlise preliminar de riscos),TIC (Tcnica de insidentes crticos)

SR (srie de riscos)

AE (arvore de causas)

WIF (What IF/ Checklist)

AAF (Anlise de rvore de falhas)

AMFE ( Anlise do modo de falha e efeitos)

HAZOP (Estudo de operabilidade e riscos)

Value at risk (mensurao de riscos)

CONCLUSO:


84/88




85/88



Referncias


86/88



1. Lieber, Renato Rocha. Melhoria das Condies de Trabalho e o Conceito de

Risco. ABEPRO- Associao Brasileira de Engenharia de Produo. Disponvelem (http://www.abepro.org.br/biblioteca/ENEGEP1999_A0556.PDF). Acesso em:5 out. 2008.

2. Melo, Carlos Haddad de. Avaliao de Riscos para Priorizao do Plano deSegurana . Departamento de Engenharia de Produo e Sistemas. Disponvelem (http://www.eps.ufsc.br/disserta96/anete/cap1/cap1_ane.htm#1). Acesso em:

8out. 2008.

3. Braga, Paulo Csar Fonseca. Clausewitz e Gesto de Riscos . RevistaEletrnica/Brasiliano & Associados Julho/Agosto de 2007 Ed. 31. ISSN 1678-2496N. Disponvel em (http://www.abrepo.org.br/biblioteca/ENEGEP1994

A0556.pdf).Acesso em: 9 out. 2008.

4. Matos, Ricardo N. de. Gerenciamento de Riscos: Uma AbordagemPrtica. PMI/MG -Project Management Institute de Minas Gerais. Setembro de2005. Disponvel em (http://www.pmimg.org.br/downloads/Ger_de_Riscos-PMIMG_site.pdf). Acesso em: 20 out. 2008.

Referncias


87/88



5. Marcos Laureano - Um site diferente sobre segurana, sistemas operacionais e

sobre mim tambm

Gerenciamento de Risco . Disponvel em(http://www.mlaureano.org/aulas_material/gst/gst_cap_09_v1.pdf). Acesso em 21out. 2008.

6. Alberto, Lus Cludio . Gerindo Riscos e Flexibilidade: a importncia do prazode retorno. GR TIPS - Um blog sobre Governana, Riscos, TI, Pessoas eServios. Disponvel em (http://www.virtue.com.br/blog/?p=58). Acesso em 21 set.

2008.

7. ENAP-Escola Nacional de Administrao Pblica. A Gesto de Riscos.Disponvel em (http://www.enap.gov.br/downloads/gestao_de_riscos.pdf). Acessoem 21 set 2008.

8. Departamento de Engenharia de Produo e Sistemas. Universidade Federal deSanta Catarina. Disponvel em(http://www.eps.ufsc.br/disserta96/anete/cap1/cap1_ane.htm#1). Acesso em: 14out. 2008.


88/88

[mitigao] substantivo femsingular .Sinnimos: aao de mitigar ouatenuar diminuiao do mal alivio consolao refrigrio lenitivo .Antnimos: opresso carga aumento do mal sensao de sufoco
http://www.dicionarioinformal.com.br/buscar.php?palavra=a%C3%A7ao%20de%20mitigar%20ou%20atenuarhttp://www.dicionarioinformal.com.br/buscar.php?palavra=a%C3%A7ao%20de%20mitigar%20ou%20atenuarhttp://www.dicionarioinformal.com.br/buscar.php?palavra=diminui%C3%A7ao%20do%20malhttp://www.dicionarioinformal.com.br/buscar.php?palavra=aliviohttp://www.dicionarioinformal.com.br/buscar.php?palavra=consola%C3%A7%C3%A3ohttp://www.dicionarioinformal.com.br/buscar.php?palavra=refrig%C3%A9riohttp://www.dicionarioinformal.com.br/buscar.php?palavra=lenitivohttp://www.dicionarioinformal.com.br/buscar.php?palavra=opress%C3%A3ohttp://www.dicionarioinformal.com.br/buscar.php?palavra=cargahttp://www.dicionarioinformal.com.br/buscar.php?palavra=aumento%20do%20malhttp://www.dicionarioinformal.com.br/buscar.php?palavra=sensa%C3%A7%C3%A3o%20de%20sufocohttp://www.dicionarioinformal.com.br/buscar.php?palavra=sensa%C3%A7%C3%A3o%20de%20sufocohttp://www.dicionarioinformal.com.br/buscar.php?palavra=aumento%20do%20malhttp://www.dicionarioinformal.com.br/buscar.php?palavra=cargahttp://www.dicionarioinformal.com.br/buscar.php?palavra=opress%C3%A3ohttp://www.dicionarioinformal.com.br/buscar.php?palavra=lenitivohttp://www.dicionarioinformal.com.br/buscar.php?palavra=refrig%C3%A9riohttp://www.dicionarioinformal.com.br/buscar.php?palavra=consola%C3%A7%C3%A3ohttp://www.dicionarioinformal.com.br/buscar.php?palavra=aliviohttp://www.dicionarioinformal.com.br/buscar.php?palavra=diminui%C3%A7ao%20do%20malhttp://www.dicionarioinformal.com.br/buscar.php?palavra=a%C3%A7ao%20de%20mitigar%20ou%20atenuarhttp://www.dicionarioinformal.com.br/buscar.php?palavra=a%C3%A7ao%20de%20mitigar%20ou%20atenuar

aula 3 gerenciamento de risco final

Documents