Академический Документы
Профессиональный Документы
Культура Документы
Informao (GSI)
Segurana da Informao
Semestre VI
Gesto de Riscos
Parte 1 Anlise de Riscos
Anlise de Risco
A anlise de risco possibilita identificar o grau de
proteo que os ativos de precisam.
Permite as empresas melhor avaliar a proteo
em grau adequado para o negcio.
Usar de maneira inteligente os investimentos a
serem direcionados para segurana das
informaes.
Anlise de Risco
Sem um analise ou avaliao de riscos, no
possvel determinar quais medidas so mais
necessrias ou eficazes na segurana dessas
informaes.
Anlise de Risco
Anlise de Risco, pode ser feita atravs de dois mtodos:
Anlise Qualitativa
o Faz uso de clculos mais simplificados.
o No se preocupa com a quantidade de dados, mas sim
com a qualidade.
o Deseja extrair algo no trivial, no visvel, que no
mensurvel.
o Depende do conhecimento e anlise do avaliador para
uma interpretao.
Anlise de Risco
Anlise de Risco, pode ser feita atravs de dois mtodos:
Anlise Quantitativa
o Utiliza clculos mais complexos, envolvendo estatsticas.
o Comumente associada a resultados numricos.
o Alto rigor na coleta de dados ( confiabilidade do mtodo)
o Objetiva buscar padres, encontrar frequncias
numricas.
Pesquisa de inteno de votos
Mtodo ISRAM
ISRAM Information Security Risk Analysis Method.
um mtodo de anlise de riscos, utilizado para avaliar
o risco causado por problemas de segurana da
informao.
O mtodo prope a determinao do risco com base
em questionrios relacionados com os problemas de
segurana e recorre a uma frmula especfica para o
clculo do ndice do risco
Mtodo ISRAM
Este mtodo adota uma frmula simples,
frequentemente usada por muitos autores, em que o
risco o produto da probabilidade de ocorrer uma
quebra de segurana pelo valor das consequncias a
ela associadas, e expresso como segue:
Mtodo ISRAM
O ISRAM consiste em sete etapas principais:
1. Identificar os problemas de segurana que envolve a
organizao em estudo;
2. Listar todos os fatores que podem influenciar a
ocorrncia de uma quebra de segurana;
3. Elaborar um questionrio com base nos fatores
identificados na fase anterior;
Mtodo ISRAM
O ISRAM consiste em sete etapas principais:
4. Elaborar a tabela de converso das respostas obtidas
em funo de valores quantitativos e qualitativos para
a probabilidade de ocorrer uma quebra de segurana e
para as consequncias de uma quebra de segurana;
5. Aplicao dos questionrios aos utilizadores;
6. Clculo do ndice do risco;
Mtodo ISRAM
O ISRAM consiste em sete etapas principais:
7. Anlise dos resultados com o intuito de tentar apontar
medidas que corrijam o problema de segurana.
Anlise de Risco
Anlise de Risco
Para realizar uma avaliao de de riscos
necessrio entender como funciona e quais so os:
Processos
Servios
Ativos da empresa
Processos
Servios
Ativos
Produo
Preparar insumos
Produzir produto final
Embalar produto final
Vendas
Fazer Propaganda
Vender para consumidor final
Vender para Atacadista
Servio de Arquivos
Servio de Impressoras
Acesso a Internet
Sistema de Vendas
Servidor de Aplicao
Servidor de Firewall
Servidor de Banco de Dados
Poltica de uso de recursos
Gerente de rede
Gerente de Banco de Dados
Anlise de Risco:
Relevncia dos Processos
A avaliao de relevncia de um processo, pode ser
realizada por meio de questionrios aplicados:
Usurios chaves (key users) do processo.
Todos do departamento e utilizar faixas percentuais na tabela
de equivalncia para estimar a relevncia.
Anlise de Risco:
Relevncia dos Processos
Muitos aspectos podem ser considerados nessa avaliao.
Por exemplo:
Anlise pelo ponto de vista de Disponibilidade.
Tempo de indisponibilidade que ira impactar a operao.
Anlise de Risco:
Relevncia dos Processos
Para facilitar o entendimento da relevncia de
cada processo, Pergunte ao gerente da empresa
por quanto tempo que estes processos poderiam
ficar parados sem gerar prejuzo para empresa?
A resposta a essa questo ira direcionar a
classificao da relevncia de cada processo.
Valor Nominal
Faixa Percentual
1
2
3
4
5
01-20
21-40
41-60
61-80
81-100
Anlise de Risco:
Relevncia dos Processos
rea de Processo - Produo
Relevncia do
Processo
a. Preparar insumos
Alta
Mxima
Mdia
Relevncia do
Processo
Baixa
Mxima
Alta
Anlise de Risco:
Relevncia dos Processos
Grupo de Processos [Produzir]
Valor Nominal
a. Preparar insumos
Valor Nominal
a. Fazer propaganda