Gestão de risco em segurança da informação PDF
Document Details
CENES - Centro de Estudos de Especialização e Extensão
2020
Fernanda Helena Rosa Pereira
Tags
Related
Summary
This document details a study about risk management in information security. The post-graduation course, offered by CENES, examines concepts, processes, and risk treatment, relating the topics to standards like ABNT and ISO 27005.
Full Transcript
Gestão de risco em segurança da informação Pereira, Fernanda Helena Rosa SST Gestão de risco em segurança da informação / Fernanda Helena Rosa Pereira Ano: 2020 nº de p.: 8 Copyright © 2020. Delinea Tec...
Gestão de risco em segurança da informação Pereira, Fernanda Helena Rosa SST Gestão de risco em segurança da informação / Fernanda Helena Rosa Pereira Ano: 2020 nº de p.: 8 Copyright © 2020. Delinea Tecnologia Educacional. Todos os direitos reservados. Gestão de risco em segurança da informação Apresentação Neste momento, trataremos da gestão de risco em segurança da informação. Começaremos estudando os conceitos básicos sobre gestão de risco e, na sequência, o processo de gestão de risco. Por fim, veremos com detalhes o processo de gestão de riscos da segurança da informação, considerando as particularidades das normas da ABNT, os aspectos de definição de contexto, análise e avaliação de riscos, tratamento, aceitação, monitoramento e análise crítica dos riscos, comunicação e melhoria contínua. Conceitos iniciais A gestão de risco da segurança da informação surgiu com a finalidade de criar um processo para identificação e tratamento de riscos. A priorização dos riscos é fundamental nesse processo; a gestão de risco é o que permite à organização analisar o impacto negativo de cada aspecto de risco de suas estratégias organizacionais e, dessa forma, produzir conhecimentos fundamentais para a implementação de novos sistemas que minimizem riscos futuros. (MANOEL, 2014) A ABNT NBR ISO 27005:2011 (gestão de risco da segurança da informação) sugere que a gestão de risco da segurança da informação auxilie nos seguintes quesitos: Apontamento dos riscos; Avaliação e medição dos riscos que podem gerar problemas ao negócio; Divulgação e percepção dos riscos e consequências que podem causar; Hierarquia de prioridade na tratativa dos riscos; Comunicação entre os interessados nas decisões tomadas para a gestão de risco e informação atualizada de toda situação; Êxito no monitoramento da tratativa do risco; Análise e fiscalização regular do processo dos riscos e da gestão de riscos; Recolhimento de amostragens de dados para a melhoria contínua da gestão de risco; Treinamento dos interessados em riscos e de ações para amenizá-los. 3 Processo de gestão de risco A ABNT NBR ISO 27005:2011 normatiza o processo de gestão de risco com base na ABNT NBR ISO 3100:2009 (Gestão de Risco), conforme posto no diagrama a seguir. Processo de gestão de risco da NBR: ISO 3100:2009 Fonte: ABNT (2011). Aplicação da norma no processo de gestão de riscos prevê ainda a aplicação desse processo, conforme indica a ABNT NBR ISO 27005:2011 (Gestão de Risco da Segurança da Informação): 4 Aplicação da norma no processo de gestão de riscos Fonte: ABNT (2011) 5 A ABNT NBR ISO 27005:2011 reafirma a importância da gestão de risco na segurança da informação para gerenciamento de incidentes e redução de prejuízos futuros. Tal associação destaca o quão fundamental é a comunicação dos processos de gestão de riscos não só entre gestores, mas também em áreas operacionais. Segundo a ABNT (2011), não basta implementar tratamentos de gestão de riscos, é preciso também comunicar os riscos e a natureza dos controles de riscos aplicados a todos os colaboradores que lidam com os sistemas. Essa comunicação preventiva com os colaboradores integra uma das etapas da elaboração, definição e execução da gestão de riscos (MANOEL, 2014). Os detalhes do processo de gestão de riscos O processo completo de gestão de riscos da segurança da informação é composto por: Definição do contexto: delimita o escopo da gestão de riscos, cujo objetivo é determinar a área de atuação. A definição do escopo pode ser abordada em toda a organização ou em qualquer processo. Nessa fase, também se defi- nem parâmetros de avaliação e aceitação de riscos. Análise e avaliação de riscos: são identificados os riscos, classificando qual- quer tipo de ameaça a ativos de informação. Assim, é possível mensurar o nível de risco, possibilitando uma análise de prioridade conforme o grau de risco identificado no processo. Tratamento dos riscos: confronta riscos que necessitam ser tratados. Os ris- cos serão tratados por priorização, conforme critérios estabelecidos na defi- nição do escopo. Os tratamentos de riscos a serem aplicados são definidos nessa fase, na qual é importante cuidar para não reduzir, evitar, transferir ou aceitar o risco. Aceitação dos riscos: verifica os processos executados na gestão de riscos. A aceitação de risco avalia se ele deverá ser aceito ou se é necessária uma avaliação do comitê de segurança da informação. Monitoramento e análise crítica dos riscos: encontra possíveis erros nos re- sultados e apura sua eficiência dentro do processo de gestão de riscos. Comunicação dos riscos: mantém informados todos os interessados e envol- vidos no processo de gestão de riscos sobre a evolução do processo. 6 Melhoria contínua: propõe melhorias que podem ser implantadas no proces- so de gestão de riscos. Essas melhorias têm o objetivo de aumentar a eficiên- cia dos processos de monitoramento e análise crítica. (MANOEL, 2014) Fechamento Estudamos a gestão de risco em segurança da informação, considerando os principais conceitos trazidos pela norma ABNT. Nosso primeiro ponto foi a compreensão do processo de gestão de risco e suas particularidades, com a análise do diagrama de fluxo do processo. Na sequência, vimos com detalhes todo o processo de gestão de riscos da segurança da informação. Estudamos os pontos trazidos pela norma que rege este tópico, considerando os aspectos de definição de contexto, análise e avaliação de riscos, tratamento, aceitação, monitoramento e análise crítica dos riscos, comunicação e melhoria contínua. 7 Referências ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO/IEC 27005: Gestão de Riscos de Segurança da Informação. Rio de Janeiro, 2011. ______. ABNT NBR ISO 31000: Gestão de Riscos - Princípios e Diretrizes. Rio de Janeiro, 2009. BRASIL. Lei n. 12.737, de 30 de novembro de 2012. Disponível em: http://www. planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Lei/L12737.htm. Acesso em: 9 jan. 2019. MANOEL, S. da S. Governança de segurança da informação: como criar oportunidades para o seu negócio. Rio de Janeiro: Brasport, 2014. 8