Gestão de Riscos em Segurança da Informação - NBR ISO/IEC 27005:2008

Olá amigos, quero compartilhar com todos minha alegria em ter defendido esse tema no meu TCC entitulado "Gestão de Riscos em Segurança da Informação".

É um tema complexo, abrangente, mas fascinante. Estava verificando nos post antigos e observei que postei algo sobre ele lá atrás, falando sobre o PGR - Plano de Gestão de Riscos -, onde nesse post informei que gostaria de falar sobre essa implementação, infelizmente não deu para fazer in loco, mas deu para definir bem o que é um plano de riscos em uma empresa.

Primeiro, segundo o IBGC - informa que risco vem do latim, risicu, que significa ousar, algo muito diferente do que imaginamos, ou até mesmo sabemos hoje, pois temos como sinônimo de risco sempre algo ruim, mas a FERMA, 2003 considera que “o risco pode ser definido como a combinação da probabilidade de um acontecimento e das suas conseqüências”.

Sabe-se que “risco de segurança da informação é a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização”, segundo o Projeto de Norma MERCOSUL 28:00-ISO/IEC 27005:2008

Conforme a norma NBR ISO/IEC 27005:2008, Guia PMBOK 4, ITILV3, Projeto de Norma MERCOSUL e os sites especializados afirmam que a gerência de riscos é o processo de planejar, organizar, dirigir e controlar os recursos humanos e materiais de uma organização, no sentido de minimizar os efeitos dos riscos sobre essa organização ao mínimo possível.

Entende-se como impacto em gestão de riscos uma mudança adversa no nível obtido dos objetivos de negócios. O Projeto de Norma MERCOSUL 28:00-ISO/IEC 27005:2008 considera que deve ser feito uma adaptação da norma para a empresa, ou seu setor, considerando as seguintes sugestões:
  • Análise/avaliação;
  • Tratamento do risco;
  • Aceitação dos riscos;
  • Comunicação do risco;
  • Monitoramento e uma análise crítica de riscos.
“Convém que os resultados detalhados de cada atividade do processo de gestão de riscos de segurança da informação, assim como as decisões, sejam documentados”, afirma o Projeto de Norma MERCOSUL, (p.9, 2009).

Segundo o Guia PMBOK 4 (2008, p. 226), “o gerenciamento dos riscos do projeto inclui os processos de planejamento, identificação, análise, planejamento de respostas, monitoramento e controle de riscos em um projeto”.

O plano de gerenciamento de riscos determina o que se fará no restante do projeto, sendo por isso muito importante tê-lo desde o início.

Ao se tratar de um gerenciamento de riscos contundente, precisa-se primeiramente, ser feita uma Análise de Risco que identifique todos os riscos (vulnerabilidades + ameaças) que ameacem as informações, levando em consideração as três categorias básicas – riscos administrativos, físicos e tecnológicos.

A partir destas informações faz-se possível à elaboração do perfil de risco, proposto por Laureano (2005): (Ameaça) x (Vulnerabilidade) x (Valor do Ativo) = RISCO.
O gerenciamento de riscos é composto basicamente por três macro-processos: 1) a avaliação; 2) a mitigação e o monitoramento; 3) a análise e melhoria contínua.

A segurança da informação não pode ser garantida apenas com recursos tecnológicos, pois além das máquinas a segurança também envolve pessoas e o amplo direito de defesa perante a sociedade civil. Por este motivo os recursos humanos devem ser treinados exaustivamente com respaldo à Política da Segurança de Informação, para mitigar ao máximo a possibilidade de falha humana, seja na execução de tarefas fins, ou na divulgação de informação sigilosa.

Com o Plano de Gestão Riscos facilitará a descoberta das brechas existentes na empresa, buscando assim avaliá-las, tratá-las e por fim monitorá-las, lembrando sempre de fazer reavaliações, pois esse processo é vital para o bom funcionamento do plano, como também, da organização.

Conclui-se que o Plano de Gestão de Riscos em Segurança da Informação baseado na norma vigente NBR ISO/IEC 27005:2008, vem para melhorar a visão que os diretores, gerentes e colaboradores têm sobre o negócio, evitando desperdício tanto financeiro e material, como humano.

Obrigado por Ler esse artigo... Fiquem a vontade para complementá-lo!!!

Pablo Nunes de Oliveira

Especialista em Redes Master pela Domínio Tecnologia certificação DCSP, Especialista em Sistema Linux formado pela 4Linux, atualmente Técnico em Informática da Gerência Executiva do IBAMA em Santarém-PA responsável pelo Núcleo de Informática da GEREX e dos ESREG de Oriximiná, Altamira, Itaituba e Novo Progresso, graduado em Redes de Computadores e pós-graduando em Segurança de Redes de Computadores e Administração de Sistemas - IESPES. 
 
Fonte:  http://softwarelivre.org
Share:

0 comentários:

Aviso importante!

Não realizamos upload dos ficheiros, apenas reportamos os links que encontramos na própria Internet. Assim, toda e qualquer responsabilidade não caberá ao administrador deste blog. Este blog não tem como objetivo reproduzir as obras, apenas divulgar o que foi encontrado na Internet. Os filmes aqui informados são de cunho científico assim como as séries, as quais são produzidas para exibição em TV aberta. Uma vez que a série não tenha sido ripada de um DVD, ou seja, a mesma foi gravada do sinal de TV aberta com o respectivo selo da emissora. Não é caracterizado crime, pois a mesma foi produzida para exibição pública. Será crime quando for realizado venda desta série ou filme. Quem efetuar download de qualquer ficheiro deste blog, que não tenha seu conteúdo de base Open Source (Código Aberto), ou FOSS (Free Open Source Software), deverá estar ciente que terá 24 horas para eliminar os ficheiros que baixou. Após assistir e gostar do filme ou série, adquira o original via lojas especializadas. Se algo contido no blog lhe causa dano ou prejuízo, entre em contato que iremos retirar o ficheiro ou post o mais rápido possível. Se encontrou algum post que considere de sua autoria, favor enviar e-mail para suporte@delphini.com.br informando o post e comprovando sua veracidade. Muito obrigado a todos que fizeram deste blog um sucesso.

Creative CommonsEsta obra está licenciada sob uma Licença Creative Commons. Você pode copiar, distribuir, exibir, executar, desde que seja dado crédito ao autor original (Citando nome do autor, data, local e link de onde tirou o texto). Você não pode fazer uso comercial desta obra.Você não pode criar obras derivadas.

Google+ Followers

Nossos 10 Posts Mais Populares