2a Aula Apostila 3 Topico 1 Analise e Gerenciamento de Riscos BACEN 2009 FINAL 20091212114335

BANCO CENTRAL DO BRASIL  2009/2010 

 ANÁLISE E GERENCIAMENTO GEREN CIAMENTO GERENCIAMENTO  DE RISCOS  - Identificação e classificação de ativos; -V ulnerabilid lnerabilidades; ades; Vulnerabilidades; - Ameaças; - Probabilidades; - Impactos; e - Alternativas de mitigação.

Em um mundo onde a competição, a evolução e a mudança desempenham papel importante para a inovação e o desenvolvimento de organizações, a gestão de segurança da informação   é elemento fundamental para o sucesso das instituições e empresas. Dentre os diversos assuntos tratados pela gestão de segurança da informação, um dos  principais elementos que direcionam as ações é o gerenciamento de risco , iniciado com a implementação de um processo de análise de

Em um mundo onde a competição, a evolução e a mudança desempenham papel importante para a inovação e o desenvolvimento de organizações, a gestão de segurança da informação   é elemento fundamental para o sucesso das instituições e empresas. Dentre os diversos assuntos tratados pela gestão de segurança da informação, um dos  principais elementos que direcionam as ações é o gerenciamento de risco , iniciado com a implementação de um processo de análise de

Cada vez mais as organizações, seus sistemas de informação e  redes redes de computadores são colocados  prova por diversos tipos de ameaças, incluindo vazamento de informações, fraudes, rou!os e invasões "f#sicas e l$gicas%. &ro!lemas causados por v#rus e hac'ers são freq(entes e se proliferam rapidamente.

) Análise de Riscos tem por o!*etivo+  -apear e tratar adequadamente as ameaças e vulnera!ilidades  do do am!iente  /dentificar riscos  0uantificar o impacto das ameaças e  Conseguir um equil#!rio financeiro entre o impacto  do do risco e custo  da da contramedida.

) identificação dos riscos e seu correto entendimento irá direcionar os investimentos de forma consciente, o!tendo melhores resultados.  1esse processo é necessário se quantificar o impacto dos riscos e2istentes no am!iente so!re os resultados da empresa ou instituição. Com a análise de risco é poss#vel verificar qual o investimento  necessário necessário   infraestrutura de segurança de modo que os riscos inaceitáveis se*am gerenciados.

3iscos &ro!a!ilidade de ocorr4ncia de um acidente ou evento adverso &ro!a!ilidade de danos potenciais 5ator, evento ou condição incerta, com efeito  positivo ou negativo so!re os o!*etivos da instituição ou empresa

6 3isco   é a relação e2istente entre a  pro!a!ilidade de que uma ameaça de evento adverso ou acidente determinado se concretize e o grau de vulnera!ilidade do sistema receptor e seus efeitos. 3isco   é a pro!a!ilidade de um agente de ameaça efetivar uma ameaça, via e2ploração de uma vulnera!ilidade de um ativo, causando impactos que comprometem o cumprimento da missão.

3isco )m!iental &ossi!ilidade de dano, enfermidade ou morte resultante da e2posição de seres humanos, animais ou vegetais a agentes ou condições am!ientais  potencialmente perigosas.

)meaças )ção ou evento que potencialmente pode romper a segurança e causar danos. )gentes ou condições dispostos a e2plorar vulnera!ilidades para geração de incidentes. E2.+ funcionários insatisfeitos, enchentes, temperatura, e2funcionários, concorrentes.

  7 necessário identificar as falhas de segurança e as ameaças ativas, reagindo de acordo com o n#vel de gravidade do risco e as potenciais  perdas.

/dentificação da )meaça /dentificação do agente ou evento adverso, efeitos favoráveis e desfavoráveis, população vulnerável e condições de e2posição.

Caracterização do 3isco Descrição dos diferentes efeitos potenciais relacionados com a ameaça. 7 a etapa final da avaliação de risco, ou se*a, descrição da natureza, incluindo a sua intensidade  para os seres humanos e o grau de incerteza concomitante "pro!a!ilidade de ocorr4ncia%. Descrição dos diferentes efeitos potenciais "danos poss#veis% e a quantificação da relação entre a magnitude do evento e a intensidade do dano esperado, mediante metodologia cient#fica.

Enumeração dos dados esperados a sa8de, ao  patrim9nio, instalações, meio am!iente, etc. 0uantificação e definição da proporção, por meio de estudos epidemiol$gicos e de modelos matemáticos, entre a magnitude do evento e a intensidade dos danos esperados "causa e efeito%. Definição da área e da população em risco.

)valiação da E2posição Estudo da evolução do considerandose a variável tempo.

fen9meno,

Definição dos n#veis de alerta e alarme.

Estimativa de 3isco Conclusão so!re o grau de risco, o!tida ap$s a comparação entre a caracterização do risco e a avaliação da e2posição. Definição de )lternativas de :estão &rocesso de desenvolvimento e análise de alternativas, com o o!*etivo de controlar e minimizar os riscos e as vulnera!ilidades.

Danos 6s desastres não produzem apenas efeitos facilmente percept#veis, pois t4m conseq(4ncias que se desenvolvem lentamente e se manifestam muito tempo depois de ocorrido o desastre.

Danos /ndiretos 3eferemse !asicamente aos !ens e serviços que dei2am de ser produzidos ou prestados durante um lapso de tempo que se inicia logo depois de ocorrido o desastre e pode se prolongar durante a fase de rea!ilitação e reconstrução.

Danos Diretos ;ão aqueles sofridos pelos imo!ilizados, destru#dos ou danificados.

ativos

, como os sofrimento humano, a insegurança, re*eição pela forma com que a autoridade enfrentaram as conseq(4ncias do desastre.

 1a análise levantamento das am!iente.

de risco é realizado um ameaças e vulnera!ilidades do

)s informações resultantes deste levantamento são correlacionadas com os ativos da empresa ou instituição, onde são analisados os riscos poss#veis a cada ativo e o valor financeiro que este risco representa.

6 resultado na análise de risco fornece informações estratégicas que possi!ilitam a definição de um limite entre os investimentos em segurança e os riscos aceitáveis.

Vulnerabilidades

;ão falhas e2istentes em am!ientes, processos ou pessoas.

tecnologias,

E2.+ falta de treinamento de funcionários, !ug em soft?are, falta de manutenção de hard?are, falta de e2tintores de inc4ndio, ine2ist4ncia ou inadequado controle de acesso a instituição, etc.

)nálise de @ulnera!ilidades  )nálise .

Ambientes

7 o espaço f#sico onde acontecem os  processos, onde as pessoas tra!alham e onde estão instalados os componentes de tecnologia. Este item é responsável pela análise de áreas f#sicas. E2.+ )cesso não autorizado a servidores, arquivos, agendas, cofres e fichários.

Impacto

)inda nesse processo é necessário se determinar qual o grau de pre*u#zo da empresa ou instituição se determinado ativo tornarse indispon#vel, p8!lico ou não confiável "sem integridade%.

enef!cios da Análise e "erenciamento de Riscos

 -aior conhecimento do am!iente, seus  pro!lemas e riscos  &ossi!ilidade de tratamento das vulnera!ilidades, com !ase nas informações geradas  /nformações investimentos

estratégicas

so!re

 -aior organização e ader4ncia a padrões de segurança  -aior confia!ilidade do am!iente ap$s a análise  /nformações para o desenvolvimento da &ol#tica de ;egurança da instituição.    -elhoria na identificação de ameaças e oportunidades  @aloração da incerteza e da varia!ilidade

 :erenciamento pr$ativo ao invés de reativo  )locação e uso mais efetivo de recursos   -elhoria no gerenciamento de incidentes e redução nas perdas e no custo do risco   -elhoria na confiança do  stakeholder  e no relacionamento  -enos surpresas

  E2ploração de oportunidades    -elhoria no plane*amento e no desempenho da instituição   Economia e efici4ncia   -elhoria na reputação   &roteção da alta administração   -elhoria pessoal.

Produtos #inais$

  3eunião 3eunião de conclusão da análise   3elat$rio 3elat$rio de )nálise de 3isco  &lano de )ção para curto e médio prazo.

Diagn$stico &ara que isso ocorra é necessário diagnosticar a situação da segurança na organização e recomendar ações e contramedidas  para cada vulnera!ilidade mapeada.

6 Diagn$stico  consiste consiste em um  processo de identificação dos riscos   de segurança a que a organização está e2posta. Ele será realizado através de uma avaliação sistemática que visa o mapeamento das ameaças e vulnera!ilidades.

6 3isco  deve deve ser visto e entendido para que as oportunidades   se*am ma2imizadas   e as  potenciais perdas  se*am se*am minimizadas. 6 3isco   representa a capacidade de en2ergar o futuro e suas conseq(4ncias, podendo ele ser tanto positivo quanto negativo. De fato, e2iste o risco de se perder algo, mas tam!ém e2iste o risco de se ganhar algo.

6s gerenciamento de risco   deve ser modelado, discutido e seguido pelos pro*etos e  pelas organizações como um instrumento de tomada de decisões.

) Análise de Riscos é, portanto, fundamental  para ma2imizar oportunidades e minimizar  potenciais perdas, e deve ser aplicada em todos os conte2tos.

“Você deseja uma válvula que não vaze e faz todo o oss!vel ara desenvolvê"la# $as no mundo real s% e&'stem válvulas que vazam# Você tem de determ'nar o grau de vazamento que ode tolerar#”

5oi com esta frase frase que que oo