Gestão de Riscos em Segurança da Informação - NBR ISO/IEC 27005:2008

Olá amigos, quero compartilhar com todos minha alegria em ter defendido esse tema no meu TCC entitulado "Gestão de Riscos em Segurança da Informação".

É um tema complexo, abrangente, mas fascinante. Estava verificando nos post antigos e observei que postei algo sobre ele lá atrás, falando sobre o PGR - Plano de Gestão de Riscos -, onde nesse post informei que gostaria de falar sobre essa implementação, infelizmente não deu para fazer in loco, mas deu para definir bem o que é um plano de riscos em uma empresa.

Primeiro, segundo o IBGC - informa que risco vem do latim, risicu, que significa ousar, algo muito diferente do que imaginamos, ou até mesmo sabemos hoje, pois temos como sinônimo de risco sempre algo ruim, mas a FERMA, 2003 considera que “o risco pode ser definido como a combinação da probabilidade de um acontecimento e das suas conseqüências”.

Sabe-se que “risco de segurança da informação é a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização”, segundo o Projeto de Norma MERCOSUL 28:00-ISO/IEC 27005:2008

Conforme a norma NBR ISO/IEC 27005:2008, Guia PMBOK 4, ITILV3, Projeto de Norma MERCOSUL e os sites especializados afirmam que a gerência de riscos é o processo de planejar, organizar, dirigir e controlar os recursos humanos e materiais de uma organização, no sentido de minimizar os efeitos dos riscos sobre essa organização ao mínimo possível.

Entende-se como impacto em gestão de riscos uma mudança adversa no nível obtido dos objetivos de negócios. O Projeto de Norma MERCOSUL 28:00-ISO/IEC 27005:2008 considera que deve ser feito uma adaptação da norma para a empresa, ou seu setor, considerando as seguintes sugestões:

• Análise/avaliação;
• Tratamento do risco;
• Aceitação dos riscos;
• Comunicação do risco;
• Monitoramento e uma análise crítica de riscos.

“Convém que os resultados detalhados de cada atividade do processo de gestão de riscos de segurança da informação, assim como as decisões, sejam documentados”, afirma o Projeto de Norma MERCOSUL, (p.9, 2009).

Segundo o Guia PMBOK 4 (2008, p. 226), “o gerenciamento dos riscos do projeto inclui os processos de planejamento, identificação, análise, planejamento de respostas, monitoramento e controle de riscos em um projeto”.

O plano de gerenciamento de riscos determina o que se fará no restante do projeto, sendo por isso muito importante tê-lo desde o início.

Ao se tratar de um gerenciamento de riscos contundente, precisa-se primeiramente, ser feita uma Análise de Risco que identifique todos os riscos (vulnerabilidades + ameaças) que ameacem as informações, levando em consideração as três categorias básicas – riscos administrativos, físicos e tecnológicos.

A partir destas informações faz-se possível à elaboração do perfil de risco, proposto por Laureano (2005): (Ameaça) x (Vulnerabilidade) x (Valor do Ativo) = RISCO.

O gerenciamento de riscos é composto basicamente por três macro-processos: 1) a avaliação; 2) a mitigação e o monitoramento; 3) a análise e melhoria contínua.

A segurança da informação não pode ser garantida apenas com recursos tecnológicos, pois além das máquinas a segurança também envolve pessoas e o amplo direito de defesa perante a sociedade civil. Por este motivo os recursos humanos devem ser treinados exaustivamente com respaldo à Política da Segurança de Informação, para mitigar ao máximo a possibilidade de falha humana, seja na execução de tarefas fins, ou na divulgação de informação sigilosa.

Com o Plano de Gestão Riscos facilitará a descoberta das brechas existentes na empresa, buscando assim avaliá-las, tratá-las e por fim monitorá-las, lembrando sempre de fazer reavaliações, pois esse processo é vital para o bom funcionamento do plano, como também, da organização.

Conclui-se que o Plano de Gestão de Riscos em Segurança da Informação baseado na norma vigente NBR ISO/IEC 27005:2008, vem para melhorar a visão que os diretores, gerentes e colaboradores têm sobre o negócio, evitando desperdício tanto financeiro e material, como humano.

Obrigado por Ler esse artigo... Fiquem a vontade para complementá-lo!!!

SIGES 2010

SIGES - Semana de Informática e Geotecnologia em Santaŕem, é um evento apoiado pela SBC - Sociedade Brasileira de Computação, está acontecendo no IESPES irá até o dia 29 de Outubro (sexta-feira), nesse evento encontramos palestras voltadas para a área de Geoprocessamento e Informática, ontem na abertura tivemos a ilustre presença do Prof Drº Nelson Pretto, falando sobre a Ética Hacker e a Educação, tema excelente enfatizando dentre outras coisas a importancia de compartilhar conhecimento com todos... Sem medo de ser feliz!

Lembrou do nascimento da internet 1969 pela ARPANET, em 1988 pela BITNet até chegar na ANSP - Academic Network São Paulo. Tocou no assunto muito polêmico o MARCO CIVIL, e vez com que muitos entendessem que copiar não é roubar... Usou a estória da MAÇA, "Se você tem uma maça e eu tenho uma maça, eu lhe dou a minha você ficará com duas maças, mas se eu tenho um conhecimento e você tem outro,  nós compartilhamos e nós teremos cada um dois conhecimento."

Pekka Himanem Linux Torvalds e outros dizem que precisamos COMPARTILHAR, DEIXAR ACESSÍVEL E DESCENTRALIZAR, Pekka fala ainda mais "É preciso que você goste, É preciso que você jogue, É preciso que você queira expĺorar"

Usou uma frase um legal de Steven Levy - Hacker - "Tomar as máquinas em suas mãos para melhorar as próprias máquinas e o mundo."

Tocou em um assunto muito legal, olha essa frase "Erro é banido no processo de formação" (Nelson Pretto), ele explana que as faculdade e escolas nos ensinam a não errar, temos que por obrigação acertar tudo, mas ele explicar, tevemos sim acertar tudo, apartir do momento que erramos bastante!

Isso e muito mais vai vim nesse blog.... Mais tarde contarei a experiência que tive de lecionar meu primeiro minicurso em um evento tão grande!

Até Mais!!!