search

Que são os dois valores necessários para calcular a expectativa de perda anual

1 anos atrás
Comentários: 0
Visualizações: 43

Avaliação de riscos de segurança de TI – Primeiros passos

Show

Por Marcelo Bastos – Especialista em Segurança da Informação

A realização de avaliações de riscos de segurança de TI nas empresas é uma parte do programa de implementação do Sistema de Gerenciamento de Segurança da Informação (SGSI).

Identificar, analisar e avaliar os riscos.

Com as novas regulamentações, as parcerias comerciais já demandam a adequação de qualquer tamanho de empresa. Ou seja, pequenas empresas também precisam olhar com cuidado para essa cena. Basta alguma ligação como fornecedor para estar sujeito a ser acionados e avaliados por uma auditoria.

Quando se trata de dados críticos e confidenciais, ativos de informações e instalações de uma empresa, existe algum nível de risco envolvido.

A identificação de riscos é baseada na C.I.D. (confidencialidade, integridade e disponibilidade) da informação. Isso é fundamental termos em mente.

Riscos são “incidentes em potencial”.

O objetivo de uma avaliação de risco de segurança de TI é fazer a identificação de ativos, vulnerabilidades, ameaças, impactos e probabilidade, segundo os padrões normativos de segurança da informação, como o ISO 27001 (norma internacional de gestão de segurança da informação).

Determinar quais os riscos de segurança representam para os ativos críticos da empresa e finalmente definir o nível de risco aceitável e saber o quanto irá investir, o esforço humano que será envolvido e de tempo é a principal missão desse trabalho.

Em uma visão geral sobre as etapas de uma avaliação de risco, teremos:

  1. Identificar os ativos e o escopo – Identificar os ativos a serem avaliados e determinar o escopo da avaliação.
  1. Determinar o valor dos ativos – O “valor” inclui mais fatores do que o que você pagou pelo item físico. Essas questões subjetivas devem ser consideradas conforme o seu negócio.
  1. Calcular a probabilidade e o impacto de perda anualmente – Uma coisa liga a outra, você as usará para calcular sua expectativa de perda, que, por sua vez, indica quanto gastar para mitigar os riscos identificados.
  1. Pesar o custo da prevenção em relação ao valor do ativo – Porque você gastaria mais na proteção do ativo do que seria o prejuízo da perda? Vale a reflexão.
  1. Tratamento de Riscos de TI – Vamos manusear o risco já descoberto e avaliado. Como? Evitar, Aceitar (reter), transferir ou Reduzir o risco até um nível aceitável.
  1. Reduzir o risco – Implementar e monitorar controles de segurança reavaliando o risco.

Os resultados de uma avaliação de risco ajudam a orientar e determinar as ações de gestão apropriadas e as prioridades para gerenciar os recursos, o tempo e os controles de segurança da informação de forma contínua, já que novos tipos de ameaças surgem constantemente.

A abordagem de ciclo PDCA (ferramenta de gestão de qualidade) aplicado à gestão de riscos de TI e previsto na ISO 27001 pode nos apoiar e muito para eficácia alocação de recursos e principalmente proteção da reputação empresarial.

No processo de avaliação de risco, uma pergunta comum feita pelas organizações é fazer uso da abordagem quantitativa ou qualitativa. A boa notícia é que, por meio das abordagens, você pode de fato, melhorar a eficiência do seu processo para atingir os níveis desejados de segurança.

Este artigo irá apresentar os conceitos de avaliação qualitativa e quantitativa, as suas semelhanças e diferenças, e como ambas podem ser usadas na ISO 27001 para realizar de avaliações de risco de segurança da informação eficazes e eficientes.

Avaliação de risco qualitativa

Na avaliação de risco qualitativa, o foco é na percepção das partes interessadas sobre a probabilidade de um risco ocorrer e seu impacto sobre aspectos organizacionais pertinentes (por exemplo, financeiro, reputação, etc.). Esta percepção é representada em escalas como “baixa – média – alta” ou “1 – 2 – 3”, que são usadas para definir o valor final do risco.

Uma vez que ela tem pouca dependência matemática (o risco pode ser definido através de uma simples soma, multiplicação, ou outra forma de combinação não-matemática de valores de probabilidade e impacto), avaliação de risco qualitativa é fácil e rápida de se fazer, permitindo que uma organização tire vantagem da experiência e do conhecimento do usuário do processo / ativo que está sendo avaliado. Veja abaixo um exemplo de uma tabela usada para a avaliação de risco qualitativa:

Que são os dois valores necessários para calcular a expectativa de perda anual

Um problema com a avaliação qualitativa é que ela é altamente tendenciosa, tanto em termos de probabilidade quanto de definição de impacto, por aqueles que a realizam.

Por exemplo, para pessoas de RH, os impactos de RH serão mais relevantes que os impactos na qualidade, e vice-versa. Em relação ao viés em probabilidade, a falta de compreensão dos tempos de outros processos pode levar alguém a pensar que erros e falhas ocorrem mais frequentemente em seu próprio processo do que nos outros, e isso pode não ser verdade.

Esta situação com tendência geralmente faz com que a avaliação qualitativa seja útil apenas no contexto local onde é realizada, porque as pessoas fora do contexto, provavelmente, terão divergências sobre definição de valor de impacto e probabilidade.

Avaliação de risco quantitativa

Por outro lado, a avaliação quantitativa do risco concentra-se em dados factuais e mensuráveis, e bases altamente matemáticas e computacionais, para calcular os valores de probabilidade e impacto, normalmente expressando valores de risco em termos monetários, o que torna seus resultados úteis fora do contexto da avaliação (perda de dinheiro é compreensível para qualquer unidade de negócio). Para chegar a um resultado monetário, avaliação quantitativa dos riscos muitas vezes faz uso destes conceitos:

SLE (Single Loss Expectancy – Expectativa de uma única perda): dinheiro que se espera perder caso um incidente ocorra uma vez.

ARO (Annual Rate of Occurrence – Taxa anual de ocorrência): quantas vezes dentro de um período de um ano se espera que o incidente ocorra.

ALE (Annual Loss Expectancy – Expectativa de perda anual): dinheiro que se espera perder em um ano considerando o SLE e o ARO (ALE = SLE * ARO). Para a avaliação de risco quantitativa, este é o valor do risco.

Ao se basear em dados factuais e mensuráveis, a avaliação quantitativa dos riscos tem como principais benefícios a apresentação de resultados muito precisos sobre o valor do risco, e o investimento máximo que faria o tratamento de risco valer a pena, de forma que ele seja lucrativo para a organização. Abaixo está um exemplo de como os valores de risco são calculados através da avaliação quantitativa de risco:

Valor da base de dados: USD 2,5 milhões (SLE)

Estatísticas do fabricante informam que uma falha catastrófica da base de dados (devido a software ou hardware) ocorre uma vez a cada 10 anos (ARO = 1/10 = 0.1)

ALE = 2,5 * 0,1 = USD 250K

Isto é, neste caso a organização tem um risco anual de sofre uma perda de USD 250K em um evento de perda de sua base de dados. Assim, qualquer controle implementado (ex.: cópias de segurança, gestão correções, etc.) que custe menos do que este valor seria lucrativo.

O problema com a avaliação quantitativa é que na maior parte dos casos, não existem dados suficientes para serem analisados, ou o número de variáveis envolvidas é demasiado elevada, tornando a análise impraticável.

Combinando abordagens

Como você percebeu, avaliações qualitativas e quantitativas têm características específicas que tornam cada uma melhor para um cenário específico de avaliação de risco, mas no contexto maior, combinar ambas as abordagens pode se provar ser a melhor alternativa para um processo de avaliação de riscos.

Ao usar a abordagem qualitativa primeiro, você pode identificar rapidamente a maior parte dos riscos às condições normais de operação. E as preocupações das pessoas sobre seus trabalhos podem ser usadas como uma referência rápida para ajudar a avaliar estes riscos como sendo ou não relevantes.

Depois disso, você pode usar a abordagem quantitativa sobre os riscos relevantes, para ter informações mais detalhadas para a tomada de decisão.

Um exemplo geral seria uma consulta médica. O médico primeiro faz algumas perguntas simples e, a partir das respostas do paciente, decide quais exames mais detalhados pedir, ao invés de tentar cada exame que ele conhece desde o início.

Adapte sua abordagem para otimizar seus esforços e resultados

A avaliação de risco é uma das partes mais críticas da gestão de riscos, e também uma das mais complexas – afetada por questões administrativas, humanas e técnicas. Se não for feita corretamente, ela pode comprometer todos os esforços para implementar um Sistema de Gestão de Segurança da Informação ISO 27001, o que faz as organizações pensarem sobre realizar avaliações qualitativas ou quantitativas. Mas, você não precisa se basear em uma única abordagem, porque a ISO 27001 permite que tanto a avaliação de risco qualitativa quanto a quantitativa sejam realizadas.

Se a sua empresa precisa de uma avaliação de risco rápida e fácil, você pode fazer avaliações qualitativas (e é isso que 99% das empresas fazem). No entanto, se você precisa fazer um investimento realmente grande que seja fundamental para a segurança, talvez faça sentido investir tempo e dinheiro em uma avaliação quantitativa dos riscos.

Em suma, através da adopção de uma abordagem combinada, considerando as informações e o tempo de resposta necessários, e os dados e conhecimento disponíveis, você pode melhorar a eficácia e eficiência do processo de avaliação de riscos de segurança da informação baseado na ISO 27001, e também estar em conformidade com os requisitos da norma.

Para saber mais sobre avaliação de riscos, registre-se para este webinar gratuito:  The basics of risk assessment and treatment according to ISO 27001.

Quais os três protocolos que podem utilizar o Advanced Encryption Standard AES )?

WEP, WPA e EAP.

Qual opção e uma característica de uma função hash criptográfica?

certificados digitais Qual opção é uma característica de uma função hash criptográfica? A função hash é uma função matemática unidirecional. Qual técnica cria hashes diferentes para a mesma senha? salting Técnicos estão testando a segurança de um sistema de autenticação que usa senhas.

Qual o método e utilizado por estenografia para ocultar o texto em um arquivo de imagem?

Esteganografia é uma técnica que consiste em esconder um arquivo dentro do outro, de forma criptografada.

Que estado de dados que e mantido nos serviços NAS e SAN?

2 / 2 ptsPergunta 7 Qual estado de dados é mantido nos serviços de NAS e SAN? dados em trânsito dados armazenados Correto! Correto!

valores necessários calcular expectativa perda anual

Postagens relacionadas

Quais são os elementos necessários para a existência de vida como a conhecemos?
Quais são os elementos necessários para a existência de vida como a conhecemos?

Qual a função dos leucócitos
Qual a função dos leucócitos

Valores a receber do banco central do brasil
Valores a receber do banco central do brasil

Em relação aos valores é incorreto afirmar que
Em relação aos valores é incorreto afirmar que

Oxímetro de dedo valores normais
Oxímetro de dedo valores normais

Quais os requisitos adotados pelo STF como necessários para o reconhecimento do princípio da insignificância no crime de furto?
Quais os requisitos adotados pelo STF como necessários para o reconhecimento do princípio da insignificância no crime de furto?

Quais são os requisitos necessários para a substituição da pena privativa de liberdade por pena restritiva de direitos?
Quais são os requisitos necessários para a substituição da pena privativa de liberdade por pena restritiva de direitos?

Which type of conflict is best described as interpersonal opposition based on dislike or disagreement among individuals?
Which type of conflict is best described as interpersonal opposition based on dislike or disagreement among individuals?

How do you mix short acting and intermediate insulin?
How do you mix short acting and intermediate insulin?

Can u pin someone on Snapchat on Android?
Can u pin someone on Snapchat on Android?

What total appears in row 6 of your query result?
What total appears in row 6 of your query result?

Subcutaneous injection maximum volume Pediatric
Subcutaneous injection maximum volume Pediatric

Says that behavior that is rewarded will increase, while behavior that is punished will decrease.
Says that behavior that is rewarded will increase, while behavior that is punished will decrease.

Which psychological changes is associated with aging?
Which psychological changes is associated with aging?

Which of the following stressors is likely to produce less strain than the other stressors?
Which of the following stressors is likely to produce less strain than the other stressors?

How many Litres of water must be added to 75 Litres of milk that contains 13% water to make it 25% water in it?
How many Litres of water must be added to 75 Litres of milk that contains 13% water to make it 25% water in it?

What sum of money will amount to 72900 at 8% per annum for 2 years if the interest is payable annually?
What sum of money will amount to 72900 at 8% per annum for 2 years if the interest is payable annually?

Publicidade

ÚLTIMAS NOTÍCIAS

Which type of conflict is best described as interpersonal opposition based on dislike or disagreement among individuals?
1 anos atrás . por KnownHierarchy
How do you mix short acting and intermediate insulin?
1 anos atrás . por UntrainedSnack
Can u pin someone on Snapchat on Android?
1 anos atrás . por FullHardship
What total appears in row 6 of your query result?
1 anos atrás . por UnmovedRatification
Subcutaneous injection maximum volume Pediatric
1 anos atrás . por AppreciativeStillness
Says that behavior that is rewarded will increase, while behavior that is punished will decrease.
1 anos atrás . por IneffableInvasion
Which psychological changes is associated with aging?
1 anos atrás . por IncredulousFertilization
Which of the following stressors is likely to produce less strain than the other stressors?
1 anos atrás . por MigratoryOunce
How many Litres of water must be added to 75 Litres of milk that contains 13% water to make it 25% water in it?
1 anos atrás . por MortalRoadblock
What sum of money will amount to 72900 at 8% per annum for 2 years if the interest is payable annually?
1 anos atrás . por SuspendedUnification

Toplistas

#1
Top 8 resultado do jogo do bicho de hoje das 14 2022
2 anos atrás
#2
Top 5 treino para academia masculino 2022
1 anos atrás
#3
Top 6 comida tipica dos negros 2022
1 anos atrás
#4
Top 6 como ser ponto de coleta mercado livre 2022
1 anos atrás
#5
Top 7 sonhar com criança da o quê no jogo do bicho 2022
2 anos atrás
#6
Top 7 com quanto tempo escuta o coração do bebe 2022
2 anos atrás
#7
Top 8 resultado do jogo do bicho 14 30 2022
1 anos atrás
#8
Top 5 cha dos famosos para emagrecer 2022
1 anos atrás
#9
Top 7 receita de brownie sem ovo 2022
2 anos atrás
#10
Top 7 tua palavra é lampada para os meus pes senhor 2022
2 anos atrás

Publicidade

Populer

Publicidade

Sobre

Jurídica

Ajuda

Social

hometrzhko
direito autoral © 2024 estudarpara Inc.