INSTITUTO FEDERAL DE EDUCAO, CINCIA E TECNOLOGIA DE ALAGOAS COORDENAO DE SISTEMAS DE INFORMAO DISCIPLINA: GESTO DE SEGURANA DA INFORMAO

DISCENTE: EDNELSON JOS DA SILVA SANTOS 5 PERODO

GESTO DE RISCOS Atividades 1, 2, 3, 4

Macei 2011

ATIVIDADES D3-D4 Atividade 1 Apresente os conceitos de gesto de risco abaixo e cite exemplos a. Anlise de risco: Estudo tcnico aprimorado de possveis ameaas que podero ocorrer, no qual se aplica frmulas de mensurao, a partir de um levantamento acerca do que se est trabalhando, do tipo de negcio, bens patrimoniais e pessoas a serem protegidos por sistemas de segurana, sejam eles de qualquer espcie. realizada para detectar os riscos aos quais esto submetidos os ativos de uma organizao, ou seja, para saber qual a probabilidade de que as ameaas se concretizem. Como exemplo de um cenrio para aplicao da anlise de risco tem-se que: vinte e cinco dias depois de detectar uma vulnerabilidade em um aplicativo de uso comum na rede, criado um vrus para aproveitar essa fragilidade. Quatorze dias depois, ele espalhado pela Internet e milhares de computadores de muitos usurios em todo o mundo que tm esse aplicativo vulnervel so infectados. A anlise de riscos viabiliza o conhecimento de muitos cenrios semelhantes mas no consegue abranger todos as possibilidades. b. Avaliao de risco: Processo dividido em etapas por exemplo: Determinao ou identificao do risco, Caracterizao do risco, Avaliao de exposio ao risco, Caracterizao do risco; desta forma e de posse dos dados relevantes, procura-se quantificar um evento gerador de possveis acidentes, sendo identificado pela freqncia ou probabilidade e pelas possveis conseqncias. c. Aceitao de risco: Processo definido aps a avaliao dos riscos onde se passa a conviver com o risco, e definido um plano de contingncia. Por exemplo: seu integrador o nico que sabe integrar os diferentes componentes de sua aplicao. Um plano de contingncia poderia ser a identificao de um recurso em outro projeto que voc utilizaria caso seu integrador ficasse doente, deixasse a empresa. d. Tratamento de risco: Refere-se ao processo de tomada de deciso quanto eliminao, reduo, reteno ou transferncia dos riscos detectados nas etapas anteriores. A deciso quanto eliminao ou reduo diz respeito s estratgias prevencionistas adotadas e no se trata do financiamento dos riscos, mas sim, da realimentao e feedback, tornando-se assim um processo dinmico e contnuo. e. Comunicao de risco: Refere-se ao quadro pessoal, no qual deve ser orientado a passar todas as informaes de notificao imprescindveis a organizao.

Atividade 2 a) O que deve ser medido numa anlise de risco para que o resultado sirva como orientao (guia)? Justifique Antes da fase de execuo, sero analisados os riscos potenciais. Este trabalho realizado atravs da Anlise Preliminar de Risco APR, no mnimo, as seguintes informaes: Descrio detalhada das etapas dentro de um servio, operao ou atividade; Identificao dos riscos existentes em cada etapa; Medidas de segurana para a realizao de todas as etapas dos servios, no sentido de reduzir e/ou eliminar riscos existentes (tcnicas de execuo, equipamentos a serem utilizados, EPC, EPI, etc.); Nmero de profissionais necessrios para a execuo dos servios com segurana. Mensurar o custo dos ativos que so afetados pela concretizao do risco e de que forma podero afetar todo o sistema. De posse deste material pode-se ter de forma mais concreta um detalhamento de tudo que a organizao tem e os riscos aos quais ela est exposta. b) Explique o que anlise de impacto. o processo de identicao das futuras conseqncias de uma ao em curso ou proposta. Impacto a diferena entre o que aconteceria sem a ao e o que aconteceria com a ao. a avaliao das variaes de qualidade, produtividade e aspectos de custos dos processos de desenvolvimento e gesto do negcio, em funo de mudanas no ambiente, juntamente com as ameaas que foram identificadas. Assim definindo os vrios nveis de impacto que iro depender da ameaa, no qual avaliado o custo para a organizao. c) Como calculo o risco. Justifique. Mede o grau de incerteza, ento o clculo segue a seguinte equao: R= P*I. Onde o R o risco, o P a probabilidade e o I as conseqncias. d) Quais as formas de avaliao de riscos existentes? Podem-se avaliar os ricos por dois mtodos, o quantitativo que se baseia de forma contbil e o qualitativo que por meio de valores subjetivos. e) Descreva o que significa tratar o risco? Quando busca o tratamento do risco nada mais do que parir solues rpidas, prticas, de fcil implementao e de preferncia a baixo custo, no qual vai tentar exaurir as vulnerabilidades existentes.

Atividade 3 Pesquise ou desenvolva planilhas/softwares sobre gesto de riscos que contemplem o contedo abordado
Ameaa Vulnerabilidade Baixa M A 2 3 4 5 6 8 Mdia M A B 5 8 4 6 9 8 11 17 12 Alta M 6 14 20

B B 1 Impacto ou valor do ativo M 2 A 3

B 2 3 5

A 10 20 30

Risco Baixo de 1 a 7 Risco Mdio de 8 a 14 Risco Alto de 15 a 30 Nveis Alto Mdio Baixo Valores 3 2 1 Risco=Vulnerabilidade x Ameaa x Impacto

Atividade 4 Utilizar planilha da atividade 3 e realizar a seguinte atividade Considere o departamento de pesquisa e desenvolvimento de uma empresa do ramo industrial da rea de telefonia. Durante atendimento da equipe de suporte tcnico em informtica, um dos tcnicos reportou a chefia que, em um de seus atendimentos, observou funcionrios do departamento de pesquisa mantendo senhas de acesso aos sistemas sob o teclado. 1. As senhas embaixo do teclado uma vulnerabilidade. Que tem o valor: 4. 2. Encontro da senha por pessoas indevidas. Que tem valor 5. 3. Destruio, perda ou roubo gera um impacto. Que tem valor 8. Valor do risco= (1)*(2)*(3)=160 = Alto.

O risco apresentado afetaria de forma grave a empresa. Utilizar planilha da atividade 3 e realizar a seguinte atividade Observou ainda, que as mesmas variavam desde nomes prprios a datas do calendrio. Considerando esse contexto simples, realize uma anlise de risco da situao realizando a identificao das ameaas, os riscos, as vulnerabilidades, as consequncias e o impacto para a organizao. 1. Senhas fracas fator de vulnerabilidade. (valor= 2) 2. Processo de identificao da senha fraca uma ameaa. (valor= 3) 3. Destruio, perda ou roubo gera um impacto. (valor= 5) Valor do risco= (1)*(2)*(3)=30 = Alto.

Pode ocorrer perda de insignificantes informaes.