Gestão de Riscos

clip_image002

A Gestão de Riscos é definida como as atividades coordenadas para direcionar e controlar uma organização no que se refere ao risco (ABNT ISO/IEC Guia 73:2005). A gestão de risco deve ser um processo que inclui a identificação, análise, avaliação, tratamento, aceitação, comunicação, monitoramento e revisão do risco, onde se deve analisar todos os riscos inerentes às atividades de uma organização.

O processo de melhoria continua conhecido como Plan – Do -Check – Act (PDCA) é um ciclo de análise e melhoria dos processos gerenciais necessários para o sucesso da organização e para a área de segurança da informação. O PDCA deve ser utilizado para estruturar os processos do Sistema de Gestão da Segurança da Informação (SGSI) e alinhar os processos de gestão de risco.

A primeira etapa do processo (Planejar) inicia com a definição das estratégias e a forma como elas vão ser alcançadas, ou seja, a definição de políticas, controles e procedimentos para garantir a segurança das informações. É de extrema importância que a direção da organização esteja de acordo e comprometida com os processos estratégicos definidos. Segundo a norma ISO 27005, na fase de planejamento são tratados os processos de Definição do Contexto, Análise / Avaliação de Riscos, Definição do Plano de Tratamento do Risco e Aceitação do Risco.

Na segunda etapa (Executar), os processos definidos são implementados e executados. Também é necessária a coleta de informações para utilização na próxima etapa. Alinhando com a norma ISO 27005 é implementado o plano de Tratamento do Risco.

Na terceira etapa (Checar) é feita a avaliação dos processos implementados para verificar se o planejado foi realmente executado de forma adequada para alcançar as metas. Nessa fase são identificados os desvios de execução e apresentados os resultados para uma análise critica da direção. Nessa etapa, segundo a norma ISO 27005, é realizado o Monitoramento Contínuo e Análise Crítica do Risco.

Na quarta etapa (Agir) são realizadas ações corretivas e preventivas baseadas na identificação de desvios de execução e nas considerações apresentadas pela direção da organização. A norma 27005 orienta manter e melhorar o processo de Gestão de Riscos de Segurança da Informação (BRANDÃO 2008; HARUNARI apud GUARAGNA, 1992, p 79).

Comunicação do Risco => Na fase de Comunicação do Risco as partes envolvidas, ou seja, os stakeholders, e as partes interessadas, pessoa ou grupo que tem interesse no desempenho ou no sucesso da organização, devem ser identificadas e os seus papéis e responsabilidades devem ser definidos. Um plano de comunicação é criada para conhecimento das partes do andamento do processo de gestão de risco.

Definição do Contexto => Define o escopo da gestão de riscos que será utilizado para a identificação, avaliação, impacto e aceitação dos riscos. Nessa etapa são coletadas todas as informações relevantes sobre a organização, mas principalmente para a gestão de riscos de segurança.

Os principais resultados da definição do contexto devem ser a descrição dos objetivos da gestão do risco e dos ambientes nos quais eles estão contextualizados. Também são definidos os critérios que serão utilizados na determinação dos riscos, isto é, a determinação das conseqüências de segurança e os métodos usados para a análise e avaliação dos riscos.

Identificação de Riscos => O papel da identificação de riscos é identificar junto aos gestores os eventos de cada processo de negócio existente na organização que possam afetar o funcionamento das atividades essenciais e causar perdas potenciais. São respondidas as perguntas: “O que pode acontecer?”, “Quando pode acontecer?”, “Quando e onde?” e “Como e por quê?”.

É necessário identificar as ameaças, os controles existentes, as vulnerabilidades e as conseqüências para cada propriedade da segurança da informação, ou seja, confidencialidade, integridade e disponibilidade.

Estimativa de Riscos => Analisa a origem dos riscos, suas conseqüências e as probabilidades da ocorrência dos riscos. Os dados devem ser mensurados através de uma metodologia qualitativa ou quantitativa. Como exemplo pode ser adotada a metodologia Common Vulnerability Scoring System (CVSS) para cálculo do impacto das vulnerabilidades.

A norma ISO 27005 orienta estimar o risco de duas formas. Qualitativamente, onde é utilizada uma escala com atributos como, por exemplo, baixa, média e alta. Quantitativamente deve ser usada uma escala de valores numéricos para estimar o risco.

Avaliação de Riscos => são definidos como os mesmos serão tratados tomando como base os resultados obtidos nas fases de identificação e estimativa de riscos. Algumas organizações definem que todos os riscos serão tratados e outras focam somente nos riscos que afetam os principais processos de negócio da organização. Os riscos devem ser ordenados por prioridade e associados aos processos de negócio.

Tratamento dos Riscos => inicia com a priorização entre os riscos encontrados, levando em conta os riscos que têm maior probabilidade de se concretizar, tornando-se um incidente. Os riscos devem estar relacionados conforme as opções de tratamento, que são: redução, retenção, evitação e transferência.

Aceitação de Riscos => os riscos residuais devem ser formalmente aceitos pela organização levando em conta o escopo elaborado na definição do contexto.

Monitoramento e análise crítica dos riscos => A fase de monitoramento e analise crítica dos riscos é de extrema importância para a gestão de riscos, pois é necessário que os riscos sejam monitorados e os processos revisados para identificar oportunidade de melhoria no tratamento dos riscos. Tendo em vista que o ambiente computacional é dinâmico, revisões e auditorias periódicas devem ser realizadas para identificar modificações internas e externas que possam alterar o contexto do processo de negócio da organização.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s