Aula - Gestão Risco ISRAM Parte I

Gesto da Segurana da Informao (GSI)

Segurana da InformaoSemestre VI

Gesto de Riscos

Parte 1 Anlise de Riscos

Anlise de Risco

A anlise de risco possibilita identificar o grau de proteo que os ativos de precisam.

Permite as empresas melhor avaliar a proteo em grau adequado para o negcio.

Usar de maneira inteligente os investimentos a serem direcionados para segurana das informaes.

Anlise de Risco

Sem um analise ou avaliao de riscos, no possvel determinar quais medidas so mais necessrias ou eficazes na segurana dessas

informaes.

Anlise de RiscoAnlise de Risco, pode ser feita atravs de dois mtodos:

Anlise Qualitativao Faz uso de clculos mais simplificados.oNo se preocupa com a quantidade de dados, mas sim

com a qualidade.oDeseja extrair algo no trivial, no visvel, que no

mensurvel.oDepende do conhecimento e anlise do avaliador para

uma interpretao.

Anlise de RiscoAnlise de Risco, pode ser feita atravs de dois mtodos:

Anlise QuantitativaoUtiliza clculos mais complexos, envolvendo estatsticas.oComumente associada a resultados numricos.oAlto rigor na coleta de dados ( confiabilidade do mtodo)oObjetiva buscar padres, encontrar frequncias

numricas.

Pesquisa de inteno de votos

Mtodo ISRAM ISRAM Information Security Risk Analysis Method.

um mtodo de anlise de riscos, utilizado para avaliar o risco causado por problemas de segurana da informao.

O mtodo prope a determinao do risco com base em questionrios relacionados com os problemas de segurana e recorre a uma frmula especfica para o clculo do ndice do risco

Mtodo ISRAM Este mtodo adota uma frmula simples,

frequentemente usada por muitos autores, em que orisco o produto da probabilidade de ocorrer umaquebra de segurana pelo valor das consequncias aela associadas, e expresso como segue:

Mtodo ISRAM O ISRAM consiste em sete etapas principais:

1. Identificar os problemas de segurana que envolve a organizao em estudo;

2. Listar todos os fatores que podem influenciar a ocorrncia de uma quebra de segurana;

3. Elaborar um questionrio com base nos fatores identificados na fase anterior;


4. Elaborar a tabela de converso das respostas obtidas em funo de valores quantitativos e qualitativos para a probabilidade de ocorrer uma quebra de segurana e para as consequncias de uma quebra de segurana;

5. Aplicao dos questionrios aos utilizadores;

6. Clculo do ndice do risco;


7. Anlise dos resultados com o intuito de tentar apontar medidas que corrijam o problema de segurana.

Anlise de Risco

Exemplo Genrico para uma Industria.Clculo do Risco no nvel de Servios.

Anlise de Risco

Para realizar uma avaliao de de riscos necessrio entender como funciona e quais so os:

Processos ServiosAtivos da empresa

Ativos suportam os servios que por sua vez suportam os processos.

ProduoPreparar insumosProduzir produto finalEmbalar produto final

VendasFazer PropagandaVender para consumidor finalVender para Atacadista

Processos

Servio de Arquivos Servio de ImpressorasAcesso a Internet Sistema de Vendas

Servios

Servidor de Aplicao Servidor de Firewall Servidor de Banco de DadosPoltica de uso de recursosGerente de redeGerente de Banco de Dados

Ativos

Anlise de Risco: Avaliao da Relevncia

Aps conhecer quais so os processos, servios, ativos e como funcionam necessrio definir a relevncia de cada um dentro do funcionamento da empresa.

Relevncia dos ProcessosRelevncia dos ServiosRelevncia dos Ativos

Anlise de Risco: Relevncia dos Processos

A avaliao de relevncia de um processo, pode ser realizada por meio de questionrios aplicados:

Usurios chaves (key users) do processo. Todos do departamento e utilizar faixas percentuais na tabela de equivalncia para estimar a relevncia.

importante o conhecimento sobre os principais processos executados pela organizao para que seja avaliado quanto sua relevncia.


Muitos aspectos podem ser considerados nessa avaliao. Por exemplo:

Anlise pelo ponto de vista de Disponibilidade.Tempo de indisponibilidade que ira impactar a operao.

Anlise pelo ponto de vista financeiro.Contribuio do processo no lucro da empresa.


Para facilitar o entendimento da relevncia decada processo, Pergunte ao gerente da empresapor quanto tempo que estes processos poderiamficar parados sem gerar prejuzo para empresa?

A resposta a essa questo ira direcionar a classificao da relevncia de cada processo.

Anlise de Risco: - Tabela de EquivalnciaRelevncia dos Processos

Relevncia do ProcessoRtulo de Relevncia

Valor Nominal Faixa Percentual

Mnima 1 01-20Baixa 2 21-40Mdia 3 41-60

Alta 4 61-80Mxima 5 81-100


rea de Processo - Produo Relevncia do Processo

a. Preparar insumos Altab. Produzir produto final Mximac. Embalar produto final Mdia

rea de Produo - Vendas Relevncia do Processo

a. Fazer propaganda Baixab. Vender para consumidor final Mximac. Vender para atacadistas Alta


Grupo de Processos [Produzir] Valor Nominala. Preparar insumos 4b. Produzir produto final 5c. Embalar produto final 3

Grupo de Processos [Vender] Valor Nominala. Fazer propaganda 2b. Vender para consumidor final 5c. Vender para atacadistas 4

Trabalho de Gesto de Riscos Em Dupla avaliar o cenrio proposto pelo professor.

Discutir e elaborar o questionrio utilizado para avaliar a relevncia dos servios propostos.

A dupla deve utilizar o arquivo modelo de atividades do EAD, gerar um PDF e carregar o arquivo para a tarefa Entregvel 01 Relevncia de Processos presente no EAD no Trabalho Gesto de Risco.

Gesto da Segurana da Informao (GSI)Gesto de Riscos Parte 1 Anlise de RiscosAnlise de RiscoAnlise de RiscoAnlise de RiscoAnlise de RiscoMtodo ISRAMMtodo ISRAMMtodo ISRAMMtodo ISRAMMtodo ISRAMAnlise de RiscoAnlise de RiscoSlide Number 14Anlise de Risco: Avaliao da RelevnciaAnlise de Risco: Relevncia dos ProcessosAnlise de Risco: Relevncia dos ProcessosAnlise de Risco: Relevncia dos ProcessosAnlise de Risco: - Tabela de EquivalnciaRelevncia dos ProcessosAnlise de Risco: Relevncia dos ProcessosAnlise de Risco: Relevncia dos ProcessosTrabalho de Gesto de Riscos

Documents

Aula - Gestão Risco ISRAM Parte I