1 / 127

BANCO CENTRAL DO BRASIL 2009/2010

BANCO CENTRAL DO BRASIL 2009/2010. ANÁLISE E GERENCIAMENTO DE RISCOS - Identificação e classificação de ativos; - Vulnerabilidades; - Ameaças; - Probabilidades; - Impactos; e - Alternativas de mitigação. Professor: Hêlbert.

jackson-pearson
Download Presentation

BANCO CENTRAL DO BRASIL 2009/2010

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. BANCO CENTRAL DO BRASIL 2009/2010 ANÁLISE E GERENCIAMENTO DE RISCOS - Identificação e classificação de ativos; - Vulnerabilidades; - Ameaças; - Probabilidades; - Impactos; e - Alternativas de mitigação. Professor: Hêlbert

  2. Em um mundo onde a competição, a evolução e a mudança desempenham papel importante para a inovação e o desenvolvimento de organizações, a gestão de segurança da informação é elemento fundamental para o sucesso das instituições e empresas. Dentre os diversos assuntos tratados pela gestão de segurança da informação, um dos principais elementos que direcionam as ações é o gerenciamento de risco, iniciado com a implementação de um processo de análise de risco.

  3. Cada vez mais as organizações, seus sistemas de informação e redes de computadores são colocados à prova por diversos tipos de ameaças, incluindo vazamento de informações, fraudes, roubos e invasões (físicas e lógicas). Problemas causados por vírus e hackers são freqüentes e se proliferam rapidamente.

  4. A Análise de Riscos tem por objetivo: - Mapear e tratar adequadamente as ameaças e vulnerabilidades do ambiente; - Identificar riscos; - Quantificar o impacto das ameaças; e - Conseguir um equilíbrio financeiro entre o impacto do risco e custo da contramedida.

  5. A identificação dos riscos e seu correto entendimento irá direcionar os investimentos de forma consciente, obtendo melhores resultados. Nesse processo é necessário se quantificar o impacto dos riscos existentes no ambiente sobre os resultados da empresa ou instituição. Com a análise de risco é possível verificar qual o investimentonecessário à infra-estrutura de segurança de modo que os riscos inaceitáveis sejam gerenciados.

  6. Riscos Probabilidade de ocorrência de um acidente ou evento adverso; Probabilidade de danos potenciais; Fator, evento ou condição incerta, com efeito positivo ou negativo sobre os objetivos da instituição ou empresa;

  7. O Risco é a relação existente entre a probabilidade de que uma ameaça de evento adverso ou acidente determinado se concretize e o grau de vulnerabilidade do sistema receptor e seus efeitos. Risco é a probabilidade de um agente de ameaça efetivar uma ameaça, via exploração de uma vulnerabilidade de um ativo, causando impactos que comprometem o cumprimento da missão.

  8. Risco Ambiental Possibilidade de dano, enfermidade ou morte resultante da exposição de seres humanos, animais ou vegetais a agentes ou condições ambientais potencialmente perigosas.

  9. Ameaças Ação ou evento que potencialmente pode romper a segurança e causar danos. Agentes ou condições dispostos a explorar vulnerabilidades para geração de incidentes. Ex.: funcionários insatisfeitos, enchentes, temperatura, ex-funcionários, concorrentes.

  10. É necessário identificar as falhas de segurança e as ameaças ativas, reagindo de acordo com o nível de gravidade do risco e as potenciais perdas.

  11. Identificação da Ameaça Identificação do agente ou evento adverso, efeitos favoráveis e desfavoráveis, população vulnerável e condições de exposição.

  12. Caracterização do Risco Descrição dos diferentes efeitos potenciais relacionados com a ameaça. É a etapa final da avaliação de risco, ou seja, descrição da natureza, incluindo a sua intensidade para os seres humanos e o grau de incerteza concomitante (probabilidade de ocorrência). Descrição dos diferentes efeitos potenciais (danos possíveis) e a quantificação da relação entre a magnitude do evento e a intensidade do dano esperado, mediante metodologia científica.

  13. Enumeração dos dados esperados a saúde, ao patrimônio, instalações, meio ambiente, etc. Quantificação e definição da proporção, por meio de estudos epidemiológicos e de modelos matemáticos, entre a magnitude do evento e a intensidade dos danos esperados (causa e efeito). Definição da área e da população em risco.

  14. Avaliação da Exposição Estudo da evolução do fenômeno, considerando-se a variável tempo. Definição dos níveis de alerta e alarme.

  15. Estimativa de Risco Conclusão sobre o grau de risco, obtida após a comparação entre a caracterização do risco e a avaliação da exposição. Definição de Alternativas de Gestão Processo de desenvolvimento e análise de alternativas, com o objetivo de controlar e minimizar os riscos e as vulnerabilidades.

  16. Danos Os desastres não produzem apenas efeitos facilmente perceptíveis, pois têm conseqüências que se desenvolvem lentamente e se manifestam muito tempo depois de ocorrido o desastre.

  17. Danos Indiretos Referem-se basicamente aos bens e serviços que deixam de ser produzidos ou prestados durante um lapso de tempo que se inicia logo depois de ocorrido o desastre e pode se prolongar durante a fase de reabilitação e reconstrução.

  18. Danos Diretos São aqueles sofridos pelos ativos imobilizados, destruídos ou danificados. Trata-se, essencialmente, dos prejuízos que o patrimônio sofreu durante o sinistro.

  19. Os desastres podem provocar ainda alguns efeitos indiretos difíceis de se quantificar. São os efeitos “intangíveis”, como os sofrimento humano, a insegurança, rejeição pela forma com que a autoridade enfrentaram as conseqüências do desastre.

  20. Na análise de risco é realizado um levantamento das ameaças e vulnerabilidades do ambiente. As informações resultantes deste levantamento são correlacionadas com os ativos da empresa ou instituição, onde são analisados os riscos possíveis a cada ativo e o valor financeiro que este risco representa.

  21. O resultado na análise de risco fornece informações estratégicas que possibilitam a definição de um limite entre os investimentos em segurança e os riscos aceitáveis.

  22. Vulnerabilidades São falhas existentes em tecnologias, ambientes, processos ou pessoas. Ex.: falta de treinamento de funcionários, bug em software, falta de manutenção de hardware, falta de extintores de incêndio, inexistência ou inadequado controle de acesso a instituição, etc.

  23. Análise de Vulnerabilidades Tem por objetivo verificar a existência de falhas de segurança no ambiente. Esta análise é uma ferramenta importante para a implementação de controles de segurança eficientes sobre os ativos da instituição.

  24. Na análise de vulnerabilidades é realizada uma verificação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados. A análise de vulnerabilidade sobre ativos da informação compreende Tecnologias, Processos, Pessoas e Ambientes.

  25. Tecnologias: Software e hardware usados em servidores, estações de trabalho e outros equipamentos pertinentes, como sistemas de telefonia, rádio e gravadores. Ex.: estações sem anti-vírus, servidores sem detecção de intrusão, sistemas sem identificação ou autenticação.

  26. A vulnerabilidade na computação significa a existência de brecha em um sistema computacional, também conhecida como “bug”.

  27. Processos Análise do fluxo de informação, da geração da informação e de seu consumo. Analisa também como a informação é compartilhada entre os setores da organização.

  28. Pessoas As pessoas são ativos da informação e executam processos, logo, precisam ser analisadas. Pessoas podem possuir grandes e importantes vulnerabilidades. Ex.: Desconhecer a importância da segurança, desconhecer suas obrigações e responsabilidades, deixando processos com “dois pais” e outros “órfãos”.

  29. Ambientes É o espaço físico onde acontecem os processos, onde as pessoas trabalham e onde estão instalados os componentes de tecnologia. Este item é responsável pela análise de áreas físicas. Ex.: Acesso não autorizado a servidores, arquivos, agendas, cofres e fichários.

  30. Impacto Ainda nesse processo é necessário se determinar qual o grau de prejuízo da empresa ou instituição se determinado ativo tornar-se indisponível, público ou não confiável (sem integridade).

  31. Benefícios da Análise e Gerenciamento de Riscos - Maior conhecimento do ambiente, seus problemas e riscos; - Possibilidade de tratamento das vulnerabilidades, com base nas informações geradas; - Informações estratégicas sobre investimentos;

  32. - Maior organização e aderência a padrões de segurança; - Maior confiabilidade do ambiente após a análise; - Informações para o desenvolvimento da Política de Segurança da instituição. - Melhoria na identificação de ameaças e oportunidades; - Valoração da incerteza e da variabilidade;

  33. - Gerenciamento pró-ativo ao invés de reativo; - Alocação e uso mais efetivo de recursos; - Melhoria no gerenciamento de incidentes e redução nas perdas e no custo do risco; - Melhoria na confiança do stakeholder e no relacionamento; - Menos surpresas;

  34. - Exploração de oportunidades; - Melhoria no planejamento e no desempenho da instituição; - Economia e eficiência; - Melhoria na reputação; - Proteção da alta administração; - Melhoria pessoal.

  35. Produtos Finais: • Reunião de conclusão da análise; • Relatório de Análise de Risco; • - Plano de Ação para curto e médio prazo.

  36. Diagnóstico Para que isso ocorra é necessário diagnosticar a situação da segurança na organização e recomendar ações e contramedidas para cada vulnerabilidade mapeada.

  37. O Diagnóstico consiste em um processo de identificação dos riscos de segurança a que a organização está exposta. Ele será realizado através de uma avaliação sistemática que visa o mapeamento das ameaças e vulnerabilidades.

  38. O Risco deve ser visto e entendido para que as oportunidades sejam maximizadas e as potenciais perdas sejam minimizadas. O Risco representa a capacidade de enxergar o futuro e suas conseqüências, podendo ele ser tanto positivo quanto negativo. De fato, existe o risco de se perder algo, mas também existe o risco de se ganhar algo.

  39. Os gerenciamento de risco deve ser modelado, discutido e seguido pelos projetos e pelas organizações como um instrumento de tomada de decisões.

  40. A Análise de Riscos é, portanto, fundamental para maximizar oportunidades e minimizar potenciais perdas, e deve ser aplicada em todos os contextos.

  41. “Você deseja uma válvula que não vaze e faz todo o possível para desenvolvê-la. Mas no mundo real só existem válvulas que vazam. Você tem de determinar o grau de vazamento que pode tolerar.”

  42. Foi com esta frase que o TheNew York Times apresentou, em 3 de janeiro de 1996, o obituário de Arthur Rudolph, o cientista responsável pelo desenvolvimento do foguete Saturno 5, que lançou a primeira missão Apolo à Lua. A frase representa, de forma peculiar, a inquietação dos cientistas quanto ao uso seguro da tecnologia.

  43. Num mundo de equipamentos complexos, onde panes podem ter conseqüências desastrosas, é necessário se estar sempre alerta para possíveis erros e falhas. Este fato tem ganhado cada vez mais importância, uma vez que o uso de diferentes tecnologias de uma forma interligada aumenta a complexidade dos sistemas, que ainda sofrem influência dos processos das organizações.

  44. A Segurança da Informação se insere fortemente ao ambiente de negócios, principalmente porque a Análise de Riscos é uma premissas cada vez mais adotada pelas organizações.

  45. A Análise de Riscos tem como um dos pilares a segurança da informação, existindo uma inter-relação entre a gestão da segurança da informação e o gerenciamento de risco.

  46. Uma das visões do risco é que ele está relacionado com a capacidade de se enxergar o futuro, de modo a se tomar as ações mais indicadas e necessárias para minimizar possíveis danos e também para maximizar as oportunidades.

  47. Gestão de Segurança da Informação e Gerenciamento de Risco A gestão de segurança da informação influencia cada vez mais os processos das organizações. Uma boa gestão de segurança começa com uma análise de risco, que identifica e analisa os principais riscos capazes de afetar a organização.

  48. Com base nas informações de contexto obtidas pela análise de risco, as ações mais indicadas são definidas. A Análise de Risco é parte do Gerenciamento de Risco, que é uma abordagem importante para que as organizações minimizem os riscos negativos e maximizem as oportunidades.

  49. É crescente o interesse das organizações brasileiras por saber qual seu grau de exposição frente às ameaças capazes de comprometer a estabilidade da suas operações. São ameaças como: concorrentes, hackers, funcionários insatisfeitos, que somadas ao grande número de vulnerabilidades nos sistemas tecnológicos, materializam o nível de risco de uma organização.

  50. Arriscar faz parte da estratégia, conhecer e gerenciar os riscos é administrar o futuro. Garantir que as suas estratégias alcançarão o nível desejado significa identificar e entender os riscos, para então administrá-los.

More Related