Exemplo analise de risco

Disponível somente no TrabalhosFeitos
  • Páginas : 17 (4078 palavras )
  • Download(s) : 0
  • Publicado : 30 de junho de 2011
Ler documento completo
Amostra do texto
1

Análise de Risco em Ambientes Corporativos na Área de Tecnologia da Informação
Laerte Peotta Universidade de Brasília - UNB Paulo Gondim

RESUMO Um tema que vem sendo muito discutido é a governança em TI (Tecnologia da informação), no entanto existem muitos métodos e técnicas de gestão que podem ser adotadas para se implementá-la. Um bom ponto de partida seria elaborar um plano paraanálise de risco em TI, controlando e conhecendo a infra-estrutura, agilizando a tomada de decisão visando reduzir ou mitigar o risco. Neste artigo será descrito uma metodologia para efetuar uma análise de risco eficiente.
Palavras-Chave: Gestão de risco, Segurança da informação, Governança, Compliance.

1. INTRODUÇÃO A premissa básica para uma boa governança em TI é o fato de que deve se conhecer oambiente interno para uma tomada de decisão acertada, pois o que não se conhece não pode ser gerenciado. Em uma empresa a área de TI pode ser tratada apenas como commodities, mas essa decisão pode transformar o modo como a empresa opera, sendo pouco acertado em alguns casos tratar a TI como não sendo área fim do negócio. A situação se agrava, pois muitas empresas mantêm negócios na internet emesmo assim a área de TI fica terceirizada, podendo incorrer diversos riscos que acabam indo além das previsões da empresa e seus controles. Atualmente as empresas estão bastante preocupadas com o tema segurança da informação, no entanto é necessário encontrar um método que avalie constantemente os ativos internos, auxiliando não somente a análise de risco, mas toda a gestão de TI, pois o conhecimentoda infra-estrutura e dos ativos gera conseqüente reflexo na gestão. A visão de um analista de risco em TI é poder identificar uma vulnerabilidade, calcular um score sobre a vulnerabilidade, verificar se essa falha afeta o negócio da empresa e por fim atuar de maneira a corrigir o problema, devendo o trabalho ser efetuado no menor tempo possível. Aparentemente o trabalho é simples, pois são poucospassos a seguir, no entanto a quantidades de vulnerabilidades divulgadas vem crescendo exponencialmente, tornando o trabalho cada vez mais complexo a ponto de não ser mais possível controla-lo de maneira manual ou mesmo semi-automatizado. Outro aspecto relevante na análise de risco que deve ser observado é a necessidade cada vez mais exigida pelo mercado: a transparência das informações. Issopode ser confirmado com o número crescente de exigências pelos órgãos reguladores que vem literalmente obrigando a cumprir normas como: • • Sarbanes- Oxley (SOX) [Lahti (2005)]; Acordos de Basiléia I e II [Saidenberg (2003)];

III SEGeT – Simpósio de Excelência em Gestão e Tecnologia

2



ISO 17799 [ABNT (2005)], ISO 27001[ISO/IEC (2005)] ou a BS-7799 [BSI (2001)] para a gestão desegurança da informação.

A adequação a esses padrões internacionais pode gerar custos extras, e em alguns casos, inclusive perda de competitividade, mas isso geralmente é considerado em curto prazo. Quando se avalia a adoção desses padrões e seus resultados a médio/longo prazo pode se ter claramente uma visão positiva, demonstrando uma maturidade e preparo que podem, inclusive, atrair novosinvestimentos e gerar um sentimento elevado de segurança aos acionistas. O risco pode ser definido como a probabilidade de que uma situação física com potencial de causar danos possa ocorrer, em qualquer nível, em decorrência da exposição durante um determinado espaço de tempo a uma vulnerabilidade, que por sua vez é definida como uma fraqueza em um sistema, que pode envolver pessoas, processos ou tecnologiaque pode ser explorada para se obter acesso a informações. Na existência de uma vulnerabilidade tem-se um risco que decorre do surgimento de uma ameaça que definimos como qualquer circunstância ou evento com o potencial de causar impacto sobre a confidencialidade, integridade ou disponibilidade da informação. Por este motivo a classificação da informação se torna um dos itens mais importantes...
tracking img