Professional Documents
Culture Documents
Segurana da Informao
Roteiro
Avaliao de riscos
Entrada: uma lista de riscos com nveis de valores
designados e critrios para a avaliao de riscos.
Ao: convm que o nvel dos riscos seja comparado com
os critrios de avaliao de riscos e com os critrios para a
a aceitao do risco.
Diretrizes:
Avaliao de riscos
Diretrizes:
Avaliao de riscos
Diretrizes:
Avaliao de riscos
Diretrizes:
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
Diretrizes:
10
11
Diretrizes:
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
12
Reduo do risco
Ao: convm que o nvel de risco seja reduzido atravs da
seleo de controles, para que o risco residual possa ser
reavaliado e ento considerado aceitvel.
Diretrizes:
13
Reduo do risco
Diretrizes:
14
Reduo do risco
Diretrizes:
Alm disso, convm que o retorno do investimento, na
forma de reduo de risco e da possibilidade de se
explorar novas oportunidades de negcio em funo da
existncia de certos controles, tambm seja
considerado.
Convm que vrias restries sejam levadas em
considerao durante a escolha e a implementao de
controles. So normalmente consideradas as seguintes:
temporais, financeiras, tcnicas, operacionais, culturais,
ticas, ambientais, legais, de uso, de recursos humanos,
ligadas integrao dos controles novos aos existentes.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
15
Reteno do risco
Ao: convm que as decises sobre a reteno dos risco,
sem outras aes adicionais, sejam tomadas tendo como
base a avaliao de riscos.
Diretrizes:
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
16
Ao de evitar o risco
Ao: convm que a atividade ou condio que d origem a
um determinado risco seja evitada.
Diretrizes:
Quando os riscos identificados so considerados
demasiadamente elevados e quando os custos de
implementao de outras opes de tratamento do risco
excederem os benefcios, pode-se decidir que o risco
seja evitado completamente, seja atravs da eliminao
de uma atividade planejada ou existente (ou de um
conjunto de atividades), seja atravs de mudanas na
condies em que a operao da atividade ocorre.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
17
Transferncia do risco
Ao: convm que um determinado risco seja transferido
para outra entidade que possa gerenci-lo de forma mais
eficaz, dependendo da avaliao de riscos.
Diretrizes:
A transferncia do risco envolve a deciso de se
compartilhar certos riscos com entidades externas.
A transferncia do risco pode tambm criar novos riscos
ou modificar riscos existentes e j identificados.
Portanto, um novo tratamento do risco pode vir a ser
necessrio.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
18
Transferncia do risco
Diretrizes:
A transferncia pode ser feita por um seguro que cubra
as consequncias ou atravs da subcontratao de um
parceiro cujo papel seria o de monitorar o sistema de
informao e tomar medidas imediatas que impeam um
ataque antes que ele possa causar um determinado
nvel de dano ou prejuzo.
Note-se que, apesar de ser possvel transferir a
responsabilidade pelo gerenciamento do risco, no
normalmente possvel transferir a responsabilidade legal
pelas consequncias.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
19
20
Diretrizes:
importante que gestores responsveis faam um
anlise crtica e aprovem, se for o caso, os planos
propostos de tratamento de risco, os riscos residuais
resultantes e que registrem as condies as condies
associadas a essa aprovao.
Os critrios para a aceitao do risco podem ser mais
complexos do que somente a determinao se o risco
residual est, ou no, abaixo ou acima de um limite bem
definido.
H casos em que os tomadores de deciso podem ter
que aceitar riscos que no satisfaam os critrios
normais.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
21
Diretrizes:
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
22
23
Diretrizes:
24
Diretrizes:
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
25
26
27
28
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
29
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
30
31
32
33
Exerccios
1. (Analista Administrativo Tecnologia da Informao Anlise de
Negcios ANATEL/2009 CESPE) Julgue o item subsequente acerca
dos conceitos de segurana da informao.
1 [84] A anlise de vulnerabilidades aplicvel no contexto da figura emprega
tcnicas automatizadas e manuais, que variam amplamente, sendo o tipo de
ameaa sob anlise um fator mais correlacionado a essa variao que o tipo do
ativo sob anlise.
2. (Analista Administrativo Informtica ANTAQ/2009 - CESPE) Julgue
o item abaixo.
1 [76] A anlise de vulnerabilidades, quando realizada no arcabouo de uma
atividade de anlise de riscos, precedida, usualmente, da anlise de ameaas,
mas antecede a anlise de controles, podendo cada controle inexistente ser
traduzido em uma vulnerabilidade existente.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
34
Exerccios
3. (Analista de Sistemas Suporte de Processos de Negcios IPEA/2008
- CESPE) Com relao segurana em redes de computadores, julgue
os itens a seguir.
1 [66] As ameaas e vulnerabilidades mais freqentes e controles implementados
so insumos para o clculo das probabilidades de ocorrncia das falhas de
segurana expressas em fatores exgenos sem levar em conta as potenciais
conseqncias da perda de confidencialidade, integridade ou disponibilidade da
informao ou de outros ativos.
4. (Informtica Anlise de Sistemas MC/2008 CESPE) Acerca de
segurana da informao, julgue os itens subseqentes.
1 [52] A anlise de riscos parte da gerncia de riscos e nela podem ser realizadas
as seguintes atividades: identificar os recursos (assets), determinar os valores
dos recursos, identificar vulnerabilidades e ameaas (threat), quantificar a
probabilidade de cada ameaa ocorrer, estimar as perdas associadas s
ameaas, estimar a freqncia de ocorrncia das ameaas, reduzir, transferir ou
aceitar riscos.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
35
Exerccios
5. (Analista Desenvolvimento de Sistemas SERPRO/2008 CESPE)
Acerca dos conceitos de gerncia de riscos, julgue os itens que se
seguem.
1 [55] Para que haja segurana da informao, as ameaas devem ser identificadas
e devem ser tomadas medidas de segurana para se reduzir o risco ou a
probabilidade de ocorrerem incidentes.
2 [57] O impacto causado por um incidente de segurana proporcional ao tipo de
vulnerabilidade encontrada em um ativo, ou seja, quanto maior a
vulnerabilidade, maior o impacto, e vice-versa.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
36
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
37