Upload
edilaine-tata
View
97
Download
81
Embed Size (px)
DESCRIPTION
Segurança da InformaçãoProf. Santiago Fatec Ourinhos - SP
Citation preview
Gesto da Segurana da Informao (GSI)
Segurana da InformaoSemestre VI
Gesto de Riscos
Parte 1 Anlise de Riscos
Anlise de Risco
A anlise de risco possibilita identificar o grau de proteo que os ativos de precisam.
Permite as empresas melhor avaliar a proteo em grau adequado para o negcio.
Usar de maneira inteligente os investimentos a serem direcionados para segurana das informaes.
Anlise de Risco
Sem um analise ou avaliao de riscos, no possvel determinar quais medidas so mais necessrias ou eficazes na segurana dessas
informaes.
Anlise de RiscoAnlise de Risco, pode ser feita atravs de dois mtodos:
Anlise Qualitativao Faz uso de clculos mais simplificados.oNo se preocupa com a quantidade de dados, mas sim
com a qualidade.oDeseja extrair algo no trivial, no visvel, que no
mensurvel.oDepende do conhecimento e anlise do avaliador para
uma interpretao.
Anlise de RiscoAnlise de Risco, pode ser feita atravs de dois mtodos:
Anlise QuantitativaoUtiliza clculos mais complexos, envolvendo estatsticas.oComumente associada a resultados numricos.oAlto rigor na coleta de dados ( confiabilidade do mtodo)oObjetiva buscar padres, encontrar frequncias
numricas.
Pesquisa de inteno de votos
Mtodo ISRAM ISRAM Information Security Risk Analysis Method.
um mtodo de anlise de riscos, utilizado para avaliar o risco causado por problemas de segurana da informao.
O mtodo prope a determinao do risco com base em questionrios relacionados com os problemas de segurana e recorre a uma frmula especfica para o clculo do ndice do risco
Mtodo ISRAM Este mtodo adota uma frmula simples,
frequentemente usada por muitos autores, em que orisco o produto da probabilidade de ocorrer umaquebra de segurana pelo valor das consequncias aela associadas, e expresso como segue:
Mtodo ISRAM O ISRAM consiste em sete etapas principais:
1. Identificar os problemas de segurana que envolve a organizao em estudo;
2. Listar todos os fatores que podem influenciar a ocorrncia de uma quebra de segurana;
3. Elaborar um questionrio com base nos fatores identificados na fase anterior;
Mtodo ISRAM O ISRAM consiste em sete etapas principais:
4. Elaborar a tabela de converso das respostas obtidas em funo de valores quantitativos e qualitativos para a probabilidade de ocorrer uma quebra de segurana e para as consequncias de uma quebra de segurana;
5. Aplicao dos questionrios aos utilizadores;
6. Clculo do ndice do risco;
Mtodo ISRAM O ISRAM consiste em sete etapas principais:
7. Anlise dos resultados com o intuito de tentar apontar medidas que corrijam o problema de segurana.
Anlise de Risco
Exemplo Genrico para uma Industria.Clculo do Risco no nvel de Servios.
Anlise de Risco
Para realizar uma avaliao de de riscos necessrio entender como funciona e quais so os:
Processos ServiosAtivos da empresa
Ativos suportam os servios que por sua vez suportam os processos.
ProduoPreparar insumosProduzir produto finalEmbalar produto final
VendasFazer PropagandaVender para consumidor finalVender para Atacadista
Processos
Servio de Arquivos Servio de ImpressorasAcesso a Internet Sistema de Vendas
Servios
Servidor de Aplicao Servidor de Firewall Servidor de Banco de DadosPoltica de uso de recursosGerente de redeGerente de Banco de Dados
Ativos
Anlise de Risco: Avaliao da Relevncia
Aps conhecer quais so os processos, servios, ativos e como funcionam necessrio definir a relevncia de cada um dentro do funcionamento da empresa.
Relevncia dos ProcessosRelevncia dos ServiosRelevncia dos Ativos
Anlise de Risco: Relevncia dos Processos
A avaliao de relevncia de um processo, pode ser realizada por meio de questionrios aplicados:
Usurios chaves (key users) do processo. Todos do departamento e utilizar faixas percentuais na tabela de equivalncia para estimar a relevncia.
importante o conhecimento sobre os principais processos executados pela organizao para que seja avaliado quanto sua relevncia.
Anlise de Risco: Relevncia dos Processos
Muitos aspectos podem ser considerados nessa avaliao. Por exemplo:
Anlise pelo ponto de vista de Disponibilidade.Tempo de indisponibilidade que ira impactar a operao.
Anlise pelo ponto de vista financeiro.Contribuio do processo no lucro da empresa.
Anlise de Risco: Relevncia dos Processos
Para facilitar o entendimento da relevncia decada processo, Pergunte ao gerente da empresapor quanto tempo que estes processos poderiamficar parados sem gerar prejuzo para empresa?
A resposta a essa questo ira direcionar a classificao da relevncia de cada processo.
Anlise de Risco: - Tabela de EquivalnciaRelevncia dos Processos
Relevncia do ProcessoRtulo de Relevncia
Valor Nominal Faixa Percentual
Mnima 1 01-20Baixa 2 21-40Mdia 3 41-60
Alta 4 61-80Mxima 5 81-100
Anlise de Risco: Relevncia dos Processos
rea de Processo - Produo Relevncia do Processo
a. Preparar insumos Altab. Produzir produto final Mximac. Embalar produto final Mdia
rea de Produo - Vendas Relevncia do Processo
a. Fazer propaganda Baixab. Vender para consumidor final Mximac. Vender para atacadistas Alta
Anlise de Risco: Relevncia dos Processos
Grupo de Processos [Produzir] Valor Nominala. Preparar insumos 4b. Produzir produto final 5c. Embalar produto final 3
Grupo de Processos [Vender] Valor Nominala. Fazer propaganda 2b. Vender para consumidor final 5c. Vender para atacadistas 4
Trabalho de Gesto de Riscos Em Dupla avaliar o cenrio proposto pelo professor.
Discutir e elaborar o questionrio utilizado para avaliar a relevncia dos servios propostos.
A dupla deve utilizar o arquivo modelo de atividades do EAD, gerar um PDF e carregar o arquivo para a tarefa Entregvel 01 Relevncia de Processos presente no EAD no Trabalho Gesto de Risco.
Gesto da Segurana da Informao (GSI)Gesto de Riscos Parte 1 Anlise de RiscosAnlise de RiscoAnlise de RiscoAnlise de RiscoAnlise de RiscoMtodo ISRAMMtodo ISRAMMtodo ISRAMMtodo ISRAMMtodo ISRAMAnlise de RiscoAnlise de RiscoSlide Number 14Anlise de Risco: Avaliao da RelevnciaAnlise de Risco: Relevncia dos ProcessosAnlise de Risco: Relevncia dos ProcessosAnlise de Risco: Relevncia dos ProcessosAnlise de Risco: - Tabela de EquivalnciaRelevncia dos ProcessosAnlise de Risco: Relevncia dos ProcessosAnlise de Risco: Relevncia dos ProcessosTrabalho de Gesto de Riscos