O processo de análise de risco geralmente gera um documento conhecido como matriz de risco. Este documento apresenta os elementos identificados, a forma como estão relacionados e os cálculos realizados. Esta análise de risco é essencial para alcançar uma correta gestão de riscos. A gestão de riscos refere-se à gestão dos recursos da organização.

Existem diferentes tipos de riscos, como risco residual e risco total, bem como tratamento de risco, avaliação de risco e gestão de risco, entre outros. A fórmula para determinar o risco total é:.

A partir desta fórmula determinaremos o seu tratamento e após aplicar os controles poderemos obter o risco residual.

Conforme descrito na BS ISO/IEC 27001:2005, a avaliação de riscos inclui as seguintes atividades e ações:.

• - Identificação de ativos.

• - Identificação de requisitos legais e de negócio relevantes para a identificação de ativos.

• - Avaliação dos ativos identificados, tendo em conta os requisitos legais e de negócio acima identificados, e o impacto de uma perda de confidencialidade, integridade e disponibilidade.

• - Identificação de ameaças e vulnerabilidades importantes para os ativos identificados.

• - Avaliação dos riscos, ameaças e vulnerabilidades que possam ocorrer.

• - Cálculo de risco.

• - Avaliação de risco face a uma escala de risco pré-estabelecida.

Depois de realizar a análise devemos determinar as ações a tomar relativamente aos riscos residuais identificados. As ações podem ser:

• - Controlar o risco.- Fortalecer os controles existentes e/ou adicionar novos controles.

• - Elimine o risco. - Eliminar o ativo relacionado e assim eliminar o risco.

• - Compartilhamento do risco.- Através de acordos contratuais, parte do risco é transferida a terceiros.

• - Aceite o risco. - É determinado que o nível de exposição é adequado e portanto é aceito.

Não se esqueça que nas empresas a segurança começa de dentro. Treinar pessoal, criar normas baseadas em padrões, analisar lacunas e pontos cegos na segurança lógica e na segurança dos sistemas de informação.

É fundamental criar continuamente cenários de conflito com a participação da gestão da empresa em conjunto com um auditor de segurança; a partir destes cenários, podem ser alcançadas medidas para evitar eventos de segurança.

• - Ativo. É um objeto ou recurso de valor utilizado em uma empresa ou organização.

• - Ameaça. É um evento que pode causar um incidente de segurança em uma empresa ou organização, resultando em potencial perda ou dano aos seus ativos.

• - Vulnerabilidade. É uma fraqueza que pode ser explorada com a materialização de uma ou mais ameaças a um ativo.

• - Risco. É um incidente ou situação que ocorre num determinado local num determinado intervalo de tempo, com consequências negativas ou positivas que podem afetar o cumprimento dos objetivos.

• - Análise. Examinar ou decompor um todo, detalhando cada um dos elementos que o compõem para determinar a relação entre seus princípios e elementos.

• - Controle. É um mecanismo de segurança de prevenção e correção utilizado para reduzir vulnerabilidades.

Este processo de gestão de riscos é um processo contínuo, pois é necessário avaliar periodicamente se os riscos encontrados e se têm impacto, devendo ser feito um cálculo nas diferentes fases do risco. O mecanismo que hoje é revertido no maior número de organizações está no esforço diário. É por isso que a realização da análise de risco do projeto refere-se ao projeto e ao impacto futuro na estrutura de risco da organização.

AA.

Existem diversas ferramentas no mercado que podem te ajudar na avaliação de riscos, principalmente no processo de avaliação de riscos. Uma vez concluído este processo, todas as informações coletadas deverão ser documentadas para posterior análise. A ferramenta que devemos selecionar deve conter pelo menos um módulo de coleta de dados, módulo de análise de dados e outro módulo de relatório.

A importância de uma boa análise e de uma boa apresentação dos dados analisados ​​conduzir-nos-á a uma interpretação eficaz da actual situação de risco e portanto, a selecção dos controlos que devemos implementar será a mais precisa no processo de selecção, poupando custos em produtos e custos operacionais além de poupar tempo.

• Requisitos mínimos para gestão, implementação e controlo de riscos relacionados com tecnologias informáticas e sistemas de informação.

• Especifica os requisitos necessários para estabelecer, implementar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).

• Esta Norma fornece diretrizes para o Gerenciamento de Riscos de Segurança da Informação em uma Organização.

No entanto, esta Norma não fornece nenhuma metodologia específica para análise e gestão de riscos de segurança da informação.

• Norma internacional que serve de referência aos reguladores bancários, de forma a estabelecer os requisitos de capital necessários, para garantir a proteção das entidades contra riscos financeiros e operacionais.

• Promovido pelo governo norte-americano em resposta às megafraudes corporativas promovidas pela Enron, Tyco International, WorldCom e Peregrine Systems. É um conjunto de medidas destinadas a garantir a eficácia dos controlos internos sobre os relatórios financeiros.

• Promovida pelas principais bandeiras de cartões de pagamento, esta norma procura garantir a segurança dos dados do titular do cartão de pagamento no seu processamento, armazenamento e transmissão.

Contenido

• - ITIL: Information Technology Infraestructure Library “proporciona un planteamiento sistemático para la provisión de servicios de TI con calidad”. (Jan van Bon, 2008).

• - COBIT 5: Significa (Objetivos de control para la información y tecnologías relacionadas) es una metodología publicada en 1996 por el Instituto de Control de TI y la ISACA (Asociación de Auditoría y Control de Sistemas de Información).

• - ISO 31000: Esta normativa establece principio y guías para diseñar, implementar mantener la gestión de los riesgos en forma sistemática y de transparencia de toda forma de riesgo, por ejemplo: financiera, operativa, de mercadeo, de imagen, y de seguridad de información.

• - Citicus One: software comercial de Citicus, implementa el método FIRM del Foro de Seguridad de la Información;.

• - CRAMM: “CCTA Risk Assessment and Management Methodology” fue originalmente desarrollado para uso del gobierno de UK pero ahora es propiedad de Siemens;.

• - ISO TR 13335: fue el precursor de la ISO/IEC 27005;.

• - MAGERIT “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información” está disponible en castellano, inglés e italiano.[1]​.

• - CORAS: Consultative Objetive Risk Analysis System.

• - OCTAVE: “Operationally Critical Threat, Asset, and Vulnerability Evaluation” Metodología de Análisis y Gestión de Riesgos desarrollada por el CERT;.

• - NIST SP 800-39 “Gestión de Riesgos de los Sistemas de Información, una perspectiva organizacional”;.

• - NIST SP 800-30: Guía de Gestión de Riesgos de los Sistemas de Tecnología de la Información, es gratuito;.

• - Mehari: Método de Gestión y Análisis de Riesgos desarrollado por CLUSIF (Club de la Sécurité de l'Information Français);.

• - AS/NZS: Norma de Gestión de Riesgos publicada conjuntamente por Australia y Nueva Zelanda y ampliamente utilizada en todo el mundo.

Informações sobre metodologia

CORAS.

Projeto desenvolvido desde 2001 pelo Sintef, grupo de pesquisa norueguês, cujo objetivo é fornecer um framework voltado para sistemas nos quais a segurança é crítica.[2]​.

É um método de análise de riscos de segurança, estrutura a análise de ameaças e riscos utilizando uma linguagem especializada, oferecendo orientações detalhadas sobre como utilizar esta linguagem para capturar e modelar informações relevantes em cada etapa do processo.[2]​.

O CORAS fornece uma ferramenta projetada para apoiar a documentação, manutenção e relato de resultados de maneira consistente. Esta metodologia fornece conselhos detalhados sobre quais modelos devem ser construídos e como devem ser expressos, além de ajudar a reduzir riscos e medidas para evitá-los.[2]​.

Vantagens do CORAS[3]​.

• - Segue um processo estruturado e definido para garantir consistência nas análises; Além disso, utiliza ferramentas para estudo de riscos.

• - Possui ferramenta de edição gráfica para desenho e criação de maquetes. Possui uma linguagem baseada em UML.

• - Utilize diagramas para representar riscos.

• - Fornece relatório indicando as vulnerabilidades encontradas no processo de avaliação.

Desvantagens do CORAS[3]​.

• - Para sistemas grandes, haverá um esforço considerável devido à quantidade de dados.

• - Não mede o grau de segurança.

• - Não considera processos e dependências na gestão de riscos.

• - Não otimiza os custos das tecnologias de informação.

• - Não possui plano de contingência.

Recursos disponíveis nas diferentes metodologias

• - Na edição em inglês, enquanto o primeiro Livro (Método) evoluiu para a versão 3, o segundo e terceiro livros são baixados na versão 2 (versão para download).

• - Na edição italiana só temos o livro I (Método), sim, na versão mais recente (Magerit v3).

• - GxSGSI: Ferramenta de Análise e Gestão de Risco baseada em Magerit e aprovada pela Agência Europeia de Segurança da Informação (ENISA).[4]​.

• - R-Box: Solução para Gestão de Segurança da Informação e atendimento a normas. Módulo de Análise e Gestão de Riscos.[5]​.

• - Ponto Focal: plataforma para gestão de riscos tecnológicos e operacionais. Suporta diretrizes regulatórias como MAAGTICSI, ISO 27001:2013, entre outras. https://web.archive.org/web/20161009155348/http://aluxit.com/soluciones.html.

• - SECITOR: Ferramenta de Análise e Gestão de Riscos de Alto Nível que permite a gestão integral da Segurança da Informação sendo um sistema multi-framework (ISO 27001, Proteção de Dados, ENS, ISO 19001, etc.), além do monitoramento em tempo real da segurança da organização. http://www.secitor.com/ Arquivado em 20 de abril de 2017 na Wayback Machine.

• - Segurança informática.

• - Computador.

• - Hacker.

• - Ciência da Computação.

• - Cibercriminalidade.

• -Internet.

• - Internet na ficção científica.

Literatura

• - Sistemas de gestão de segurança da informação (2006). «Parte 3: Diretrizes para gestão de riscos de segurança da informação» (em inglês).

O processo de análise de risco geralmente gera um documento conhecido como matriz de risco. Este documento apresenta os elementos identificados, a forma como estão relacionados e os cálculos realizados. Esta análise de risco é essencial para alcançar uma correta gestão de riscos. A gestão de riscos refere-se à gestão dos recursos da organização.

Existem diferentes tipos de riscos, como risco residual e risco total, bem como tratamento de risco, avaliação de risco e gestão de risco, entre outros. A fórmula para determinar o risco total é:.

A partir desta fórmula determinaremos o seu tratamento e após aplicar os controles poderemos obter o risco residual.

Conforme descrito na BS ISO/IEC 27001:2005, a avaliação de riscos inclui as seguintes atividades e ações:.

• - Identificação de ativos.

• - Identificação de requisitos legais e de negócio relevantes para a identificação de ativos.

• - Avaliação dos ativos identificados, tendo em conta os requisitos legais e de negócio acima identificados, e o impacto de uma perda de confidencialidade, integridade e disponibilidade.

• - Identificação de ameaças e vulnerabilidades importantes para os ativos identificados.

• - Avaliação dos riscos, ameaças e vulnerabilidades que possam ocorrer.

• - Cálculo de risco.

• - Avaliação de risco face a uma escala de risco pré-estabelecida.

Depois de realizar a análise devemos determinar as ações a tomar relativamente aos riscos residuais identificados. As ações podem ser:

• - Controlar o risco.- Fortalecer os controles existentes e/ou adicionar novos controles.

• - Elimine o risco. - Eliminar o ativo relacionado e assim eliminar o risco.

• - Compartilhamento do risco.- Através de acordos contratuais, parte do risco é transferida a terceiros.

• - Aceite o risco. - É determinado que o nível de exposição é adequado e portanto é aceito.

Não se esqueça que nas empresas a segurança começa de dentro. Treinar pessoal, criar normas baseadas em padrões, analisar lacunas e pontos cegos na segurança lógica e na segurança dos sistemas de informação.

É fundamental criar continuamente cenários de conflito com a participação da gestão da empresa em conjunto com um auditor de segurança; a partir destes cenários, podem ser alcançadas medidas para evitar eventos de segurança.

• - Ativo. É um objeto ou recurso de valor utilizado em uma empresa ou organização.

• - Ameaça. É um evento que pode causar um incidente de segurança em uma empresa ou organização, resultando em potencial perda ou dano aos seus ativos.

• - Vulnerabilidade. É uma fraqueza que pode ser explorada com a materialização de uma ou mais ameaças a um ativo.

• - Risco. É um incidente ou situação que ocorre num determinado local num determinado intervalo de tempo, com consequências negativas ou positivas que podem afetar o cumprimento dos objetivos.

• - Análise. Examinar ou decompor um todo, detalhando cada um dos elementos que o compõem para determinar a relação entre seus princípios e elementos.

• - Controle. É um mecanismo de segurança de prevenção e correção utilizado para reduzir vulnerabilidades.

Este processo de gestão de riscos é um processo contínuo, pois é necessário avaliar periodicamente se os riscos encontrados e se têm impacto, devendo ser feito um cálculo nas diferentes fases do risco. O mecanismo que hoje é revertido no maior número de organizações está no esforço diário. É por isso que a realização da análise de risco do projeto refere-se ao projeto e ao impacto futuro na estrutura de risco da organização.

AA.

Existem diversas ferramentas no mercado que podem te ajudar na avaliação de riscos, principalmente no processo de avaliação de riscos. Uma vez concluído este processo, todas as informações coletadas deverão ser documentadas para posterior análise. A ferramenta que devemos selecionar deve conter pelo menos um módulo de coleta de dados, módulo de análise de dados e outro módulo de relatório.

A importância de uma boa análise e de uma boa apresentação dos dados analisados ​​conduzir-nos-á a uma interpretação eficaz da actual situação de risco e portanto, a selecção dos controlos que devemos implementar será a mais precisa no processo de selecção, poupando custos em produtos e custos operacionais além de poupar tempo.

• Requisitos mínimos para gestão, implementação e controlo de riscos relacionados com tecnologias informáticas e sistemas de informação.

• Especifica os requisitos necessários para estabelecer, implementar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).

• Esta Norma fornece diretrizes para o Gerenciamento de Riscos de Segurança da Informação em uma Organização.

No entanto, esta Norma não fornece nenhuma metodologia específica para análise e gestão de riscos de segurança da informação.

• Norma internacional que serve de referência aos reguladores bancários, de forma a estabelecer os requisitos de capital necessários, para garantir a proteção das entidades contra riscos financeiros e operacionais.

• Promovido pelo governo norte-americano em resposta às megafraudes corporativas promovidas pela Enron, Tyco International, WorldCom e Peregrine Systems. É um conjunto de medidas destinadas a garantir a eficácia dos controlos internos sobre os relatórios financeiros.

• Promovida pelas principais bandeiras de cartões de pagamento, esta norma procura garantir a segurança dos dados do titular do cartão de pagamento no seu processamento, armazenamento e transmissão.

Contenido

• - ITIL: Information Technology Infraestructure Library “proporciona un planteamiento sistemático para la provisión de servicios de TI con calidad”. (Jan van Bon, 2008).

• - COBIT 5: Significa (Objetivos de control para la información y tecnologías relacionadas) es una metodología publicada en 1996 por el Instituto de Control de TI y la ISACA (Asociación de Auditoría y Control de Sistemas de Información).

• - ISO 31000: Esta normativa establece principio y guías para diseñar, implementar mantener la gestión de los riesgos en forma sistemática y de transparencia de toda forma de riesgo, por ejemplo: financiera, operativa, de mercadeo, de imagen, y de seguridad de información.

• - Citicus One: software comercial de Citicus, implementa el método FIRM del Foro de Seguridad de la Información;.

• - CRAMM: “CCTA Risk Assessment and Management Methodology” fue originalmente desarrollado para uso del gobierno de UK pero ahora es propiedad de Siemens;.

• - ISO TR 13335: fue el precursor de la ISO/IEC 27005;.

• - MAGERIT “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información” está disponible en castellano, inglés e italiano.[1]​.

• - CORAS: Consultative Objetive Risk Analysis System.

• - OCTAVE: “Operationally Critical Threat, Asset, and Vulnerability Evaluation” Metodología de Análisis y Gestión de Riesgos desarrollada por el CERT;.

• - NIST SP 800-39 “Gestión de Riesgos de los Sistemas de Información, una perspectiva organizacional”;.

• - NIST SP 800-30: Guía de Gestión de Riesgos de los Sistemas de Tecnología de la Información, es gratuito;.

• - Mehari: Método de Gestión y Análisis de Riesgos desarrollado por CLUSIF (Club de la Sécurité de l'Information Français);.

• - AS/NZS: Norma de Gestión de Riesgos publicada conjuntamente por Australia y Nueva Zelanda y ampliamente utilizada en todo el mundo.

Informações sobre metodologia

CORAS.

Projeto desenvolvido desde 2001 pelo Sintef, grupo de pesquisa norueguês, cujo objetivo é fornecer um framework voltado para sistemas nos quais a segurança é crítica.[2]​.

É um método de análise de riscos de segurança, estrutura a análise de ameaças e riscos utilizando uma linguagem especializada, oferecendo orientações detalhadas sobre como utilizar esta linguagem para capturar e modelar informações relevantes em cada etapa do processo.[2]​.

O CORAS fornece uma ferramenta projetada para apoiar a documentação, manutenção e relato de resultados de maneira consistente. Esta metodologia fornece conselhos detalhados sobre quais modelos devem ser construídos e como devem ser expressos, além de ajudar a reduzir riscos e medidas para evitá-los.[2]​.

Vantagens do CORAS[3]​.

• - Segue um processo estruturado e definido para garantir consistência nas análises; Além disso, utiliza ferramentas para estudo de riscos.

• - Possui ferramenta de edição gráfica para desenho e criação de maquetes. Possui uma linguagem baseada em UML.

• - Utilize diagramas para representar riscos.

• - Fornece relatório indicando as vulnerabilidades encontradas no processo de avaliação.

Desvantagens do CORAS[3]​.

• - Para sistemas grandes, haverá um esforço considerável devido à quantidade de dados.

• - Não mede o grau de segurança.

• - Não considera processos e dependências na gestão de riscos.

• - Não otimiza os custos das tecnologias de informação.

• - Não possui plano de contingência.

Recursos disponíveis nas diferentes metodologias

• - Na edição em inglês, enquanto o primeiro Livro (Método) evoluiu para a versão 3, o segundo e terceiro livros são baixados na versão 2 (versão para download).

• - Na edição italiana só temos o livro I (Método), sim, na versão mais recente (Magerit v3).

• - GxSGSI: Ferramenta de Análise e Gestão de Risco baseada em Magerit e aprovada pela Agência Europeia de Segurança da Informação (ENISA).[4]​.

• - R-Box: Solução para Gestão de Segurança da Informação e atendimento a normas. Módulo de Análise e Gestão de Riscos.[5]​.

• - Ponto Focal: plataforma para gestão de riscos tecnológicos e operacionais. Suporta diretrizes regulatórias como MAAGTICSI, ISO 27001:2013, entre outras. https://web.archive.org/web/20161009155348/http://aluxit.com/soluciones.html.

• - SECITOR: Ferramenta de Análise e Gestão de Riscos de Alto Nível que permite a gestão integral da Segurança da Informação sendo um sistema multi-framework (ISO 27001, Proteção de Dados, ENS, ISO 19001, etc.), além do monitoramento em tempo real da segurança da organização. http://www.secitor.com/ Arquivado em 20 de abril de 2017 na Wayback Machine.

• - Segurança informática.

• - Computador.

• - Hacker.

• - Ciência da Computação.

• - Cibercriminalidade.

• -Internet.

• - Internet na ficção científica.

Literatura

• - Sistemas de gestão de segurança da informação (2006). «Parte 3: Diretrizes para gestão de riscos de segurança da informação» (em inglês).