A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

27 / 09 / 2016 Rui Shantilal /// Gestão do risco na área da informação.

PublicouThomas Ramires Macedo Alterado mais de 7 anos atrás

Apresentações semelhantes

Apresentação em tema: "27 / 09 / 2016 Rui Shantilal /// Gestão do risco na área da informação."— Transcrição da apresentação:

1 27 / 09 / 2016 Rui Shantilal /// Gestão do risco na área da informação

2 /// AGENDA Definição de Risco Percepção geral de Risco Modelo de Abordagem de Risco Melhores práticas

3 3 Definição de Risco Economic Perspective “The quantifiable likelihood of loss or less-than-expected returns. “ According to ISO GUIDE 73:2002 “Risk is the combination of the probability of an event and its consequences.” General Perspective “The expectation of loss. It is a function of the probability and the consequences of harm.”

4 4 Interpretação da Definição Denominadores comuns Loss Less-than-expected Consequences Harm Risk

5 5 Percepção geral do risco Não correr riscos!!! Máxima Segurança !!!

6 6 Percepção geral do risco

7 7 Será o risco “a preto e branco”? O cenário perfeito é a inexistência de risco? A Abordagem monocromática

8 8 O risco de cobrir o risco... Image Source: Wilderdom.com

9 9 Risco Oportunidade risco – oportunidade = ? oportunidade - risco = ? MARGEM DE RISCO MARGEM DE OPORTUNIDADE Margem de Oportunidade > Margem de Risco - Tendencialmente - Máximo de oportunidade > > > > < < < < Mínimo de Risco

10 10 Image Source: Wilderdom.com

11 11 Modelos de abordagem Gestão de Risco Risk Assessment Risk Mitigation Evaluation & Assessment Risk Management Risk Analysis Risk Treatment

12 12 RISK ANALYSIS Levantamento do risco Identificação das ameaças para os assets identificados. Fonte: histórico de ataques, agências governamentais, experts na área, estatísticas, media. Vulnerabilities Caracterização de acordo com a criticidade para o negócio em termos de funções e informação. Assets / Systems Identificação das vulnerabilidades, com base em informação prévia, gestores, auditorias, requisitos, pen-tests. Threats

13 13 Identificação de controlos existentes. Natureza e motivação das ameaças. Histórico & Estatístico. Análise de Impacto atendendo à Confidencialidade, Disponibilidade e Integridade dos assets. Probabilidade de exploração de vulnerabilidades; Magnitude do Impacto; Controlos existentes; Output: Riscos & Níveis de Risco (base em Matriz). Identificação de controlos tecnológicos, processuais ou legais de abordagem ao risco. RISK ANALYSIS Levantamento do risco Assets / Systems Threats Vulnerabilities Risk Determination Impact Analysis Likelihood Control Recomendation

14 14 RISK ANALYSIS Observações adicionais Impact Analysis Método Quantitativo – Permite a aferição em termos métricos da magnitude do impacto de determinado risco. Possibilita a análise directa em termos de Custo / Benefício. Método Qualitativo – Permite a aferição em termos de prioritização dos diversos riscos (LOW, MEDIUM, HIGH). A medição é baseada com base em percepção e expertise. Risk Determination (MATRIZ DE RISCO)

15 15 Threat Likelihood Impact Low (10) Medium (50) High (100) High (1.0) Low 10 x 1.0 = 10 Medium 50 x 1.0 = 50 High 100 x 1.0 = 100 Medium (0.5) Low 10 x 0.5 = 5 Medium 50 x 0.5 = 25 Medium 100 x 0.5 = 50 Low (0.1) Low 10 x 0.1 = 1 Low 50 x 0.1 = 5 Low 100 x 0.1 = 10 Risk Determination (MATRIZ DE RISCO) RISK ANALYSIS Observações adicionais Source: NIST Asset: Web Server. Threat: Web Site Defacement. Vulnerablities: Code haven’t been audited. Likelihood: hacker – Motivation HIGH. Impact: Public image – HIGH. Existent Controls: Code have been revised by team; Level 7 Firewall. Risk Determination: Threat x Likelihood: MEDIUM. <<- Control Recomendation Risk Level Matrix Risk Scale: High (> 50 to 100); Medium (> 10 to 50); Low (1 to 10)

16 16 RISK TREATMENT Gestão do risco A fase de “Risk Treatment” ou “Risk Mitigation” é a fase das decisões. Senior Management deverá nesta fase decidir, que abordagem adoptar para cada um dos itens de risco identificados na fase anterior. Aceitar o risco. Tomar conhecimento. Reduzir o risco Implementar Controlos Transferir o risco. Efectuar um seguro. Evitar o risco As decisões são tomadas nesta fase com base na relação custo vs benefícios globais.

17 17 RISK TREATMENT Gestão do risco Aceitar o risco. Tomar conhecimento. Reduzir o risco Implementar Controlos Transferir o risco. Efectuar um seguro. Evitar o risco As decisões são tomadas nesta fase com base na relação custo vs benefícios globais. Todas as ações deverão ser prioritizadas de acordo com o seu grau de criticidade. Deverão também ser assignadas responsabilidades com a respectiva associação ao plano de implementação. Após a sua implementação é expectável que o risco seja residual nas áreas de abordagem.

18 18 RISK TREATMENT Gestão do risco

19 19 RISK MANAGEMENT Evaluation and Assessment As ameaças evoluem, os sistemas alteram-se e o próprio negócio evolui. É fundamental avaliar e medir ciclicamente o estado das medidas de controlo em produção. As medidas de controlo devem ser optimizadas por forma a continuarem a produzir os resultados adequados. Todo o processo anteriormente descrito, deverá ser executado de raiz de acordo com a calendarização definida (Exemplo: Efectuar uma sessão de Análise de Risco Formal Anual).

20 20 Conceitos chave Risk Management O risco deve ser medido e gerido ciclicamente, esta acção transformará as actividades de “bombeiro” em actividades pró- activas e controladas. A abordagem do risco deverá ser orientada ao negócio, maximização da oportunidade vs minimização do risco. A gestão de risco não é uma atividade que deve ser encarada como um custo, mas sim como uma medida que potencia o negócio (lucros e oportunidades). Mesmo que não consiga cobrir o risco, mais vale conhece-lo do que ignorá-lo (awareness).

21 21 Overview do Processo RISK TREATMENT RISK ASSESSMENT

22 22 Definição de Risk Management “The reduction of exposures identified by risk analysis to a level acceptable for the organization.” Source: Insight UK

23 23 Risk Management

Carregar ppt "27 / 09 / 2016 Rui Shantilal /// Gestão do risco na área da informação."

Apresentações semelhantes

Certificação e Auditorias Benefícios internos: Melhoria dos processos de negócio; Melhorias na motivação e no desempenho dos colaboradores; Clarificação.

Certificação e Auditorias Benefícios internos: Melhoria dos processos de negócio; Melhorias na motivação e no desempenho dos colaboradores; Clarificação.
S&OP - Sales and Operations Planning – Planejamento de operações e vendas. Prof.Luciel Oliveira

S&OP - Sales and Operations Planning – Planejamento de operações e vendas. Prof.Luciel Oliveira
Curso de Projecto Empresarial Luís Todo Bom. 1ª Aula O Sistema Global de Desenvolvimento de um Projecto de Investimento Luís Todo Bom.

Curso de Projecto Empresarial Luís Todo Bom. 1ª Aula O Sistema Global de Desenvolvimento de um Projecto de Investimento Luís Todo Bom.
Formulação de Indicadores Novembro/2012. O desafio (dos objetivos aos indicadores)... Objetivo Em alguns casos, o enunciado dos objetivos permite a identificação.

Formulação de Indicadores Novembro/2012. O desafio (dos objetivos aos indicadores)... Objetivo Em alguns casos, o enunciado dos objetivos permite a identificação.
Título da Apresentação 00/00/0000 Uma Abordagem para Modelar Negócios de Governo Palestrante:José Ronaldo Agra jose-

Título da Apresentação 00/00/0000 Uma Abordagem para Modelar Negócios de Governo Palestrante:José Ronaldo Agra jose-
RISCOS. Processo de identificação de perigos Observação, descrição e a classificação.

RISCOS. Processo de identificação de perigos Observação, descrição e a classificação.
ITIL (Information Technology Infrastructure Library) Profª Cynara Carvalho.

ITIL (Information Technology Infrastructure Library) Profª Cynara Carvalho.
Ambiente de Riscos e Controles. Agenda Apetite a Risco Apetite a Risco X Estratégia Empresarial Colocando o Apetite a Risco em prática Cultura 2.

Ambiente de Riscos e Controles. Agenda Apetite a Risco Apetite a Risco X Estratégia Empresarial Colocando o Apetite a Risco em prática Cultura 2.
SISTEMA DE GERENCIAMENTO DA APLICAÇÃO E MANUTENÇÃO DO PROGRAMA DE QUALIDADE 5S Marlos T. S. Sedrez Orientador: Paulo Roberto Dias.

SISTEMA DE GERENCIAMENTO DA APLICAÇÃO E MANUTENÇÃO DO PROGRAMA DE QUALIDADE 5S Marlos T. S. Sedrez Orientador: Paulo Roberto Dias.
Preparação do Orçamento para Fundo de Emprego JOBA VIP Hotel August 11,

Preparação do Orçamento para Fundo de Emprego JOBA VIP Hotel August 11,
Sistemas de Gestão da Qualidade Os sistemas de gestão da qualidade (SGQ) tem o objetivo de verificar todos os processos da empresa e como esses processos.

Sistemas de Gestão da Qualidade Os sistemas de gestão da qualidade (SGQ) tem o objetivo de verificar todos os processos da empresa e como esses processos.
Luciana Rodrigues Borges – Liduina Bezerra de souza

Luciana Rodrigues Borges – Liduina Bezerra de souza
Tecnologias Para Defesa

Tecnologias Para Defesa
Soluções inovadoras em governança de TI e de Central de Serviços compartilhados Falar brevemente sobre a empresa Logic IT. www.logicit.com.br.

Soluções inovadoras em governança de TI e de Central de Serviços compartilhados Falar brevemente sobre a empresa Logic IT.
Organização e Análise de Projectos

Organização e Análise de Projectos
EAE5876 – Economia da Alimentação e da Nutrição

EAE5876 – Economia da Alimentação e da Nutrição
Proposta de Dissertação – IST

Proposta de Dissertação – IST
AUDITORES DA SEGURANÇA

AUDITORES DA SEGURANÇA
RISCOS PROFISSIONAIS E ESTATÍSTICAS DE ACIDENTES DE TRABALHO

RISCOS PROFISSIONAIS E ESTATÍSTICAS DE ACIDENTES DE TRABALHO
Promoção da Cultura de Qualidade no Ensino Superior: Procedimentos, instrumentos, papel dos diferentes actores e desafios Prof. Doutor Jeffy Mukora 2ª.

Promoção da Cultura de Qualidade no Ensino Superior: Procedimentos, instrumentos, papel dos diferentes actores e desafios Prof. Doutor Jeffy Mukora 2ª.

Apresentações semelhantes

Anúncios Google