Professional Documents
Culture Documents
Aprendizagem em Foco
Aprendizagem em Foco
APRENDIZAGEM EM FOCO
GESTÃO DE RISCOS EM TI
APRESENTAÇÃO DA DISCIPLINA
Autoria: Márcio dos Santos
Leitura crítica: Cecilia Sosa Arias Peixoto
2
disciplina, você seja capaz de identificar os métodos, métricas e
conceitos envolvidos no tema.
Vamos lá?
INTRODUÇÃO
3
TEMA 1
INÍCIO
______________________________________________________________
Autoria: Márcio dos Santos
Leitura crítica: Cecilia Sosa Arias Peixoto
TEMA 1
TEMA 2
TEMA 3
TEMA 4
DIRETO AO PONTO
5
disposta, é possível gerar um novo conhecimento, vamos ver?
Antes de ler a informação acima, você não sabia que João era
casado, por exemplo, mas agora você detém este conhecimento.
Viu como é simples?
6
Embora seja uma afirmativa um tanto estranha, toda organização
precisa de riscos. Os riscos são moduladores do nível de
importância de determinada informação. Caso a perda de uma
informação não gere impactos, então a informação não teria
importância, logo, a organização estaria atuando sem trunfos de
competitividade no mercado.
7
Referências bibliográficas
8
Ao realizar esses procedimentos de segurança, atende-se ao
que Barreto et al. (2018) nos orientam quanto às categorias
de segurança da informação. Os autores nos apontam que
uma informação estará segura se atender aos requisitos de
confidencialidade, autenticidade, disponibilidade e integridade.
Referências bibliográficas
TEORIA EM PRÁTICA
9
Lorem ipsum dolor sit amet
de trabalho ao qual já se está acostumado. Essas mesmas
rejeições podem ser notadas quando uma organização decide
implementar uma governança de TI com poderes equivalentes
Autoria: Nome do autor da disciplina
(senão superiores) à própria direção e presidência, pois estará
Leitura crítica: Nome do autor da disciplina
focado na tomada de decisão que impactará diretamente o
posicionamento da organização no mercado em que atua.
Considere-se como um gestor de TI da Organização ABC S/A.
Quais argumentos você utilizaria para demonstrar ao alto
escalão a necessidade de implantar uma governança de TI e
priorizar a gestão de riscos dentro da instituição?
LEITURA FUNDAMENTAL
Indicações de leitura
Indicação 1
10
Indicação 2
QUIZ
11
segurança da informação é um risco de TI que precisa constar
no mapa de riscos e:
GABARITO
Questão 1 - Resposta B
Resolução: Como a informação foi interceptada, então
ocorreu o ataque do tipo man-in-the-middle (homem no
12
meio). A informação sofreu reencaminhamento, logo, o
remetente inicial não é o mesmo remetente final. Isso causa
quebra de autenticidade e, como o conteúdo foi modificado,
ocorreu quebra de integridade.
Questão 2 - Resposta E
Resolução: Uma informação só pode ser considerada de
valor se existir algo que a coloque em risco, logo, os riscos são
essenciais para se avaliar a importância de uma informação.
13
TEMA 2
INÍCIO
______________________________________________________________
Autoria: Márcio dos Santos
Leitura crítica: Cecilia Sosa Arias Peixoto
TEMA 1
TEMA 2
TEMA 3
TEMA 4
DIRETO AO PONTO
15
A ISO 27.001 define os requisitos para gestão dos sistemas de
informação. Já a ISO 27.005:2011 define o gerenciamento de riscos de
segurança da informação.
Como parte da família ISO 31.000, temos a ISO 31.010, que fornece
algumas técnicas para avaliação da gestão de riscos. Adicionalmente,
o Guia 73, vinculado à mesma família, traz um vocabulário quanto às
expressões utilizadas na gestão de riscos.
16
com base neste cenário, é estabelecido o que pode ser definido como
risco, identificando suas incidências e categorizando-os. Como passos
seguintes, é executada a análise desses riscos, uma avaliação e, por
fim, seu tratamento.
Fonte: human/iStock.com.
17
Utilizar a família de normas ISO não limita a equipe de
governança de TI ou o gestor de TI em utilizar apenas esta base
de conhecimentos, pelo contrário, é possível utilizar um leque
mais amplo de recursos (bibliotecas, guias, frameworks) para
complementar a base estrutural da gestão de riscos.
Referências bibliográficas
18
PARA SABER MAIS
19
seja acompanhado de incrementos, ou seja, o projeto inicia, se
desenvolve, finaliza e então recomeça com novos incrementos,
refazendo o ciclo de forma infinita.
Referências bibliográficas
TEORIA EM PRÁTICA
20
seria esboçar esta estrutura de forma individual (departamento
a departamento) e depois uni-las para compor um quadro
completo. Como você, enquanto membro da governança de TI,
realizaria esta tarefa?
LEITURA FUNDAMENTAL
Indicações de leitura
Indicação 1
21
Indicação 2
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a
verificação de leitura dos itens Direto ao Ponto, Para Saber
Mais, Teoria em Prática e Leitura Fundamental, presentes
neste Aprendizagem em Foco.
22
1. Considere que você, membro da governança de TI da ABC
S/A, precisa implantar a filosofia de gestão de riscos em
TI dentro da organização utilizando a família de normas
ISO 31.000. Um dos primeiros passos que você dará será
quanto:
23
GABARITO
Questão 1 - Resposta B
Resolução: Considerando como base a família de normas
ISO 31.000, o primeiro passo é estabelecer o contexto da
organização para que seja possível conhecer o ambiente
no qual os riscos estarão atuando e, só então, seja
possível identificá-los, mensurá-los e iniciar o processo de
tratamento.
Questão 2 - Resposta C
Resolução: Conforme demonstra a família de normas
ISO 31.000, a identificação dos riscos deve ocorrer de
forma integral após o estabelecimento do contexto da
organização e nenhum risco pode ser deixado de fora,
caso contrário, ele não poderá receber um tratamento nos
passos seguintes do processo de gestão de riscos.
24
TEMA 3
INÍCIO
______________________________________________________________
Autoria: Márcio dos Santos
Leitura crítica: Cecilia Sosa Arias Peixoto
TEMA 1
TEMA 2
TEMA 3
TEMA 4
DIRETO AO PONTO
26
• Impacto: toda ameaça, quando concretizada, gera impacto
(que nem sempre é negativo). Desta forma, apontar o
nível de impacto contribuirá para apontar o seu nível de
criticidade. É interessante observar que o impacto não deve
ser visto apenas no aspecto financeiro – o que é comum
de acontecer –, mas também nos impactos produtivos e de
imagem da organização.
27
Quadro 1 – Proposta de elicitação de ameaças,
com categorização
Nível
Modo de Plano de Prazo de
Ameaça Tipo Origem Impacto de
solução contingência conclusão criticidade
Trafegar dados
essenciais apenas
pela sub-rede de
contingência
28
O ideal é que você consiga adaptar o quadro de ameaças à forma
e necessidade da organização na qual você atua/atuará, pois seu
aspecto não é fixo, tampouco fechado.
Referências bibliográficas
CABRAL, C.; CAPRINO, W. Trilhas em segurança da informação:
caminhos e ideias para a proteção de dados. Rio de Janeiro: Brasport,
2015.
29
Veremos, a seguir, como lidar com o ativo de recursos humanos
dentro de uma estrutura que busca identificar os ativos para
compor a gestão de riscos de uma organização:
30
que impactará diretamente a forma como as ameaças irão
afetá-los.
Referências bibliográficas
BARRETO, J. S. et al. Fundamentos de segurança da informação.
Porto Alegre: SAGAH, 2018.
TEORIA EM PRÁTICA
31
LEITURA FUNDAMENTAL
Indicações de leitura
Indicação 1
Indicação 2
32
QUIZ
a. Vírus.
b. Worm.
c. Trojan.
d. Spyware.
e. Keylogger.
a. Simétrica e assimétrica.
b. Ação e verificação.
c. Hash e coding.
d. Simétrica e hash.
33
e. Coding e hash.
GABARITO
Questão 1 - Resposta A
Resolução: O objetivo do worm (verme) é sobrecarregar
recursos de uma rede por meio da autorreplicação. Ele pode
permitir acesso remoto a recursos do computador.
Questão 2 - Resposta A
Resolução: Por meio da criptografia simétrica/assimétrica, a
integridade de uma mensagem/dado/informação pode ser
protegida e assegurada.
34
TEMA 4
Tratamento, aceitação e
monitoramento dos riscos
INÍCIO
______________________________________________________________
Autoria: Márcio dos Santos
Leitura crítica: Cecilia Sosa Arias Peixoto
TEMA 1
TEMA 2
TEMA 3
TEMA 4
DIRETO AO PONTO
36
já é conhecido e se tem dele todo um histórico, estatísticas e
probabilidades de ocorrência e impacto.
37
na geração de um risco B, ou que uma alteração no risco B
pode agravar o risco C.
Referências bibliográficas
CABRAL, C.; CAPRINO, W. Trilhas em segurança da informação:
caminhos e ideias para a proteção de dados. Rio de Janeiro:
Brasport, 2015.
38
HINTZBERGEN, J. et al. Fundamentos de segurança da
informação: com base na ISO 27.001 e na ISO 27.002. Rio de
Janeiro: Brasport, 2018.
39
Figura 2 – Estrutura de uma DMZ
Referências bibliográficas
CABRAL, C.; CAPRINO, W. Trilhas em segurança da informação:
caminhos e ideias para a proteção de dados. Rio de Janeiro:
Brasport, 2015.
40
TEORIA EM PRÁTICA
A empresa ABC S/A, que está implantando a gestão de riscos
em sua estrutura, ingressou na fase de tratamento e aceitação
dos riscos. Você, enquanto gestor de TI e membro do time de
governança de TI, tem como responsabilidade verificar as formas
de modificar os riscos que podem afetar a organização.
LEITURA FUNDAMENTAL
Indicações de leitura
Indicação 1
41
e 410, o tema é abordado de maneira mais enfática, embora
haja menção em outras seções do livro. É uma leitura que irá
contribuir para que você compreenda, com maior clareza, duas
formas adicionais de prover um controle de acesso aos dados
em uma rede.
Este material está disponível em nossa biblioteca virtual e a
referência está logo a seguir.
STALLINGS, W. Criptografia e segurança de redes. 6. ed. São
Paulo: Pearson Education do Brasil, 2015.
Indicação 2
QUIZ
42
Para as avaliações virtuais e presenciais, as questões serão
elaboradas a partir de todos os itens do Aprendizagem em Foco
e dos slides usados para a gravação das videoaulas, além de
questões de interpretação com embasamento no cabeçalho
da questão.
GABARITO
Questão 1 - Resposta A
Resolução: A modificação dos riscos pode ocorrer de
formas diversas. Uma delas é por meio do encerramento da
atividade que dá origem ao risco em questão.
43
Questão 2 - Resposta E
Resolução: A manipulação das variáveis envolvidas em um
cálculo probabilístico alterará o valor final. Desta forma, a
probabilidade pode ser modificada ao serem considerados
outros fatores que haviam sido deixados de fora nos
cálculos iniciais.
44