O risco não se apresenta visível, sendo necessárias as ações para identificá-lo

O risco é fruto de ações repentinas que fogem ao controle humano, causas naturais.

Ameaça: todo e qualquer evento que possa explorar vulnerabilidades. Causa potencial de
um incidente indesejado, que pode resultar em dano para os sistemas, pessoas ou a própria
organização

Conceitos Fundamentais
As ameaças podem ser classificadas em: Ameaças intencionais, Ameaças não intencionais,
Ameaças da ação da natureza.

Vulnerabilidade: fraqueza de um bem ou a capacidade de ser alvo de ataques. Está ligada

ao contexto do ativo.

• Características de modificação e de captação de que podem ser alvos os bens, ativos, ou

recursos intangíveis de informática, respectivamente, software, ou programas de bancos de
dados, ou informações, ou ainda a imagem corporativa.

Controle
• Ação utilizada para conter vulnerabilidades, podendo ser: Técnicas, processos
administrativos, práticas e procedimentos, protege contra possíveis riscos e incidentes de
segurança.

Ataques ativo: Intervêm no fluxo de informação, alterando ou produzindo informações

falsas para prejudicar a segurança de um sistema.

Ataques passivos: Não alteram a informação, mas são usados para obter benefícios sem
perturbar o fluxo de informações.

Princípios da Gestão de Riscos:

A gestão de riscos cria e protege valor.

• integrante de todos os processos organizacionais.

• é parte da tomada de decisões.

• aborda explicitamente a incerteza.

• feita sob medida.

• A gestão de riscos é transparente.

• sistemática, estruturada e oportuna.

• A gestão de riscos facilita a melhoria contínua da organização

• A gestão de riscos considera fatores humanos e culturais.

Normas de gestão de SI e de riscos:
ISO 27.001: sistema de gestão de requisitos

ISO 27.002: código de prática para controles de SI

ISO 31.000: princípios e diretrizes gestão de riscos

ISO 27.005: gestão de riscos de SI

Visão Geral da Gestão de Riscos:

 Deve ser abordada variando conforme a organização e o nível de risco aceitável para
alcançar seus objetivos.

 Risco aceitável: nível de risco que a organização está disposta a aceitar para alcançar
seus objetivos.

 Busca aumentar a capacidade de gerenciar riscos e otimizar os retornos.

Visão Geral da Gestão de Riscos de Segurança da Informação:

 A abordagem de gestão de riscos de SI deve ser realizada de forma oportuna,

repetitiva e ajustada ao ambiente e processos organizacionais.

 Deve receber apoio da alta direção e estar alinhada com os requisitos de negócios.

Visão geral da gestão de riscos:

Processo organizado que envolve várias etapas.

1. Definição do Contexto: é essencial definir o ambiente, o escopo e os critérios de

avaliação. Entender completamente a organização.

2. Análise/Avaliação: identificando os riscos e determinando as ações necessárias para

reduzir esses riscos a níveis aceitáveis.

3. Tratamento do Risco: com base nos resultados da análise e avaliação de riscos, são
definidos os controles necessários para tratar esses riscos. A norma ISO 27001
fornece diretrizes sobre quais controles devem ser implementados.

4. Aceitação do Risco: alguns riscos podem ser aceitos pela organização, ou seja, não
serão tratados ou serão tratados parcialmente. Esses são chamados de riscos
residuais.

5. Comunicação do Risco: organização comunica o risco e como ele será tratado a todas
as áreas operacionais e seus gestores.

6. Monitoramento e Análise Crítica: monitoramento dos resultados da implementação

dos controles e análise crítica são realizadas para melhorar continuamente o processo
de gestão de riscos.
Essas etapas garantem que a organização esteja ciente dos riscos de SI e tome medidas
apropriadas para gerenciá-los de maneira eficaz.

Modelo PDCA (Planejar, Executar, Verificar e Agir):

PLANEJAR: • Conhecer o ambiente da organização.

 Em seguida, se há a análise e avaliação de riscos.

 Define-se o plano de tratamento de riscos.

 A aceitação de riscos é considerada.

EXECUTAR: • Ocorre a implementação do plano de tratamento de riscos.

VERIFICAR: • Envolve o monitoramento contínuo e análise crítica dos riscos.

 Inclui a manutenção e melhoria do processo de gestão de riscos.

Fatores Críticos para o Sucesso:

 Redução de surpresas operacionais e prejuízos.

 Identificação de oportunidades de crescimento e melhorias.

 prioridades de investimento.

 Envolvimento e participação da alta direção.

 Comunicação e treinamento.

Contexto Externo:

 O ambiente externo no qual a organização opera e busca atingir seus objetivos,

incluindo fatores culturais, financeiros, regulatórios, tecnológicos, econômicos e
competitivos.

Identificação das ameaças

Análise das possíveis fontes de perigo, seja de origem interna ou externa, que podem
ameaçar a segurança dos ativos.

Identificação dos controles existentes

São identificados os controles de segurança já existentes na organização. Isso inclui medidas,
políticas, procedimentos e tecnologias que foram implementados para mitigar ou prevenir
riscos de segurança da informação. A identificação dos controles existentes é importante
para avaliar sua eficácia e determinar se são adequados para lidar com as ameaças
identificadas.
Identificação das vulnerabilidades
As vulnerabilidades são fraquezas ou falhas nos ativos ou nos controles existentes, Isso
envolve uma análise detalhada dos ativos e dos controles existentes para identificar pontos
fracos que precisam ser corrigidos.

Identificação das consequências

As consequências são os impactos que podem ocorrer caso uma ameaça seja explorada com
sucesso. são identificadas as consequências potenciais associadas a cada ameaça e
vulnerabilidade identificada. Impacto financeiro, operacional, reputacional e regulatório que
pode ter na organização.

Avaliação de Riscos
São combinadas as informações coletadas nas etapas anteriores para determinar o nível de
risco associado a cada ameaça identificada. Isso envolve a aplicação de critérios de avaliação
de riscos definidos anteriormente, levando em consideração a probabilidade de ocorrência das
ameaças, a vulnerabilidade dos ativos e as consequências potenciais. O resultado dessa
avaliação permite que a organização priorize os riscos e determine quais medidas de
tratamento são necessárias.

Em resumo, o processo de Gestão de Riscos de acordo com a NBR ISO/IEC 27005/2019

envolve as seguintes etapas:

1. Identificação do contexto: Compreender o ambiente da organização, seu escopo e

limites.

2. Identificação de riscos: Identificar ativos, ameaças, controles existentes,

vulnerabilidades e consequências.

3. Análise de riscos: Determinar a probabilidade de ocorrência das ameaças e avaliar a

vulnerabilidade dos ativos.

4. Avaliação de riscos: Combinação das informações coletadas para determinar o nível

de risco.

O objetivo final é priorizar os riscos e implementar medidas de tratamento adequadas para

mitigar ou prevenir ameaças à segurança da informação.

2. Identificação das Ameaças:

 Ações para identificar as ameaças existentes na organização.

 Informações históricas, observações de responsáveis e usuários de ativos, além de

catálogos externos de ameaças.

3. Identificação das Ameaças e Fontes:

  Também é importante identificar as fontes das ameaças, incluindo seus agentes, que
são entidades com potencial para criar ameaças explorando vulnerabilidades.

 Humanos são frequentemente agentes de ameaças perigosas.

4. Diversidade das Ameaças:

 As ameaças podem ser intencionais, acidentais ou de origem natural e ambiental.

 Uma mesma ameaça pode afetar diferentes ativos de maneira distinta.

5. Identificação dos Ativos e Controles:

 Além de identificar as ameaças, é importante identificar os ativos, os controles

existentes e planejados.

 Essa identificação ajuda a evitar custos duplicados e assegura que os controles

funcionem adequadamente.

6. Identificação de Vulnerabilidades:

 São identificadas através de listas de ameaças conhecidas, ativos e controles

existentes.

7. Observação das Áreas para Identificar Vulnerabilidades:

 Durante a identificação de vulnerabilidades, é fundamental observar várias áreas,

incluindo a organização, processos, recursos humanos, ambiente físico, sistemas de
informação e outros.

8. Métodos de Identificação de Vulnerabilidades:

 Métodos proativos, ferramentas automatizadas e avaliações de segurança são

utilizados para identificar vulnerabilidades.

9. Identificação das Consequências:

 A análise de risco também envolve a identificação das consequências caso as

vulnerabilidades sejam exploradas.

Identificação das Consequências

 Consequências são os resultados de incidentes ou eventos que afetam os objetivos da

organização.

 As consequências em análise de riscos incluem:

 Perda da eficácia operacional dos sistemas.

 Instabilidade nos sistemas.

 Condições adversas de operação.

 Perda de oportunidades de negócios.

 Danos à imagem e reputação.

  Violação de obrigações regulatórias.

 Prejuízos financeiros.

 Perda de dados e informações.

Visão Geral do Processo de Estimativa de Risco

 O processo de estimativa de risco segue a identificação de riscos e a avaliação de

ativos, ameaças, vulnerabilidades e consequências.

 Pode ser qualitativo, quantitativo ou uma combinação dos dois.

Avaliação das Consequências

 O objetivo é avaliar o impacto dos incidentes na organização, levando em

consideração as consequências.

 As consequências podem ser expressas em termos financeiros, técnicos, humanos ou

de impacto nos negócios.

 Envolve a elaboração de uma lista de consequências em relação aos ativos e critérios

de impacto.

Avaliação da Probabilidade de Ocorrência de Incidentes

 Consiste em avaliar a probabilidade de ocorrência de incidentes em cada cenário.

 Isso é feito com base no histórico de incidentes, frequência de ocorrência de ameaças

e eficiência dos controles existentes.

 A probabilidade pode ser qualitativa ou quantitativa.

Tratamento de Riscos

 Após a avaliação, os riscos são tratados de acordo com sua urgência, criticidade e
viabilidade.

 O tratamento pode envolver modificação do risco, retenção, ação para evitar o risco
ou compartilhamento do risco.

 Considerar os custos versus benefícios da implementação de controles.

Riscos Residuais

 São os riscos que permanecem após a implementação de controles.

 Devem ser tratados com a implementação de controles adicionais, se necessário.

Aceitação do Risco

 A alta direção da organização decide formalmente aceitar os riscos que não serão
mitigados.

 Um documentado na Declaração de Aplicabilidade, onde os riscos aceitos são

justificados.

Visão Geral do Processo de Aceitação do Risco

 A fase de aceitação do risco formaliza a decisão de aceitar riscos não mitigados.