{"id":499,"date":"2020-03-02T11:00:58","date_gmt":"2020-03-02T14:00:58","guid":{"rendered":"https:\/\/aiqon.com.br\/blog\/?p=499"},"modified":"2021-01-13T13:38:54","modified_gmt":"2021-01-13T16:38:54","slug":"avaliacao-de-risco","status":"publish","type":"post","link":"https:\/\/aiqon.com.br\/blog\/avaliacao-de-risco\/","title":{"rendered":"Checklist: Avalia\u00e7\u00e3o de risco seguran\u00e7a da informa\u00e7\u00e3o"},"content":{"rendered":"<div id=\"bsf_rt_marker\"><\/div><p>Avalia\u00e7\u00e3o de risco\u00a0 \u00e9 utilizada para identificar, estimar e priorizar riscos as opera\u00e7\u00f5es organizacionais e aos ativos resultantes da opera\u00e7\u00e3o e o uso dos sistemas de informa\u00e7\u00e3o.<\/p>\n<p>A avalia\u00e7\u00e3o de risco \u00e9 primariamente um conceito de neg\u00f3cio onde tudo se trata de dinheiro. Antes de tudo, deve ser pensado em como a sua organiza\u00e7\u00e3o faz dinheiro, como os funcion\u00e1rios e os ativos afetam a rentabilidade do neg\u00f3cio e quais riscos resultariam em grandes perdas monet\u00e1rias para a empresa. Ap\u00f3s isso, voc\u00ea dever\u00e1 pensar como pode aprimorar a sua infraestrutura de TI para reduzir os riscos que podem levar as maiores perdas financeiras para a organiza\u00e7\u00e3o.<\/p>\n<p>Uma avalia\u00e7\u00e3o de risco b\u00e1sica envolve apenas tr\u00eas fatores: <strong>a import\u00e2ncia dos ativos em risco, o qu\u00e3o cr\u00edtico a amea\u00e7a \u00e9 e qu\u00e3o vulner\u00e1vel est\u00e1 o sistema a essa amea\u00e7a<\/strong>. Utilizando estes fatores, voc\u00ea pode avaliar o risco e a probabilidade da organiza\u00e7\u00e3o de perder dinheiro. Apesar da avalia\u00e7\u00e3o de risco se tratar de uma constru\u00e7\u00e3o l\u00f3gica e n\u00e3o de n\u00fameros, podemos representa-la utilizando a seguinte l\u00f3gica:<\/p>\n<blockquote><p><strong><em>Risco = Avalia\u00e7\u00e3o x Amea\u00e7a x Vulnerabilidade<\/em><\/strong><\/p><\/blockquote>\n<p>Mesmo assim, lembre-se que qualquer coisa multiplicada por zero continuar\u00e1 sendo zero. Por exemplo, se o fator de amea\u00e7a for alto e o n\u00edvel de vulnerabilidade for alto, mas a import\u00e2ncia dos ativos \u00e9 nula (ou seja, n\u00e3o valem dinheiro para a sua empresa), o seu risco de perder dinheiro \u00e9 zero.<\/p>\n<p><iframe loading=\"lazy\" src=\"https:\/\/www.youtube.com\/embed\/kTBT7fkEGF4\" width=\"500\" height=\"281\" frameborder=\"0\" allowfullscreen=\"allowfullscreen\"><span data-mce-type=\"bookmark\" style=\"float: center; display: inline-block; width: 0px; overflow: hidden; line-height: 0;\" class=\"mce_SELRES_start\"><span data-mce-type=\"bookmark\" style=\"display: inline-block; width: 0px; overflow: hidden; line-height: 0;\" class=\"mce_SELRES_start\">\ufeff<\/span>\ufeff<\/span><\/iframe><\/p>\n<p>H\u00e1 diversas formas de coletar a informa\u00e7\u00e3o que voc\u00ea precisa para avaliar seu risco. Voc\u00ea pode por exemplo:<\/p>\n<ul>\n<li>Conversar com os gerentes, funcion\u00e1rios e os donos dos dados<\/li>\n<li>Analisar os seus sistemas e a sua infraestrutura<\/li>\n<li>Rever a documenta\u00e7\u00e3o<\/li>\n<\/ul>\n<p><span style=\"color: #008080;\"><strong>Conteudo relacionado:<\/strong><\/span> <a href=\"https:\/\/lps.aiqon.com.br\/checklist_riscos_ti\">Checklist: Avalia\u00e7\u00e3o de risco da TI.<\/a><\/p>\n<h2>Para iniciar a avalia\u00e7\u00e3o de risco, realize os seguintes passos:<\/h2>\n<ol>\n<li><strong>Encontre todos os ativos valiosos<\/strong> atrav\u00e9s da organiza\u00e7\u00e3o que podem ser colocados em risco por amea\u00e7as de forma que resulte em perda monet\u00e1rias, como por exemplo:<\/li>\n<\/ol>\n<ol>\n<li style=\"list-style-type: none;\">\n<ul>\n<li>Servidores<\/li>\n<li>Website<\/li>\n<li>Informa\u00e7\u00e3o de contato do cliente<\/li>\n<li>Documentos de parceiros<\/li>\n<li>Segredos empresariais<\/li>\n<li>Dados do cart\u00e3o de cr\u00e9dito do cliente<\/li>\n<\/ul>\n<\/li>\n<li><strong>Identifique as potenciais consequ\u00eancias<\/strong>. Determine as perdas financeiras que a organiza\u00e7\u00e3o teria se algum ativo fosse danificado. Algumas das consequ\u00eancias que voc\u00ea deveria se preocupar s\u00e3o:\n<ul>\n<li>Perda de dados<\/li>\n<li>Indisponibilidade de sistema ou aplica\u00e7\u00e3o<\/li>\n<li>Consequ\u00eancias legais<\/li>\n<\/ul>\n<\/li>\n<li><strong>Identifique o n\u00edvel da amea\u00e7a<\/strong>. Uma amea\u00e7a pode ser qualquer coisa que explore uma brecha de vulnerabilidade na sua seguran\u00e7a e causa danos aos seus ativos. Entre as amea\u00e7as mais comuns est\u00e3o:\n<ul>\n<li>Desastres Naturais<\/li>\n<li>Falhas de sistemas<\/li>\n<li>Interfer\u00eancia humana acidental<\/li>\n<li>A\u00e7\u00f5es humanas maliciosas (interfer\u00eancia, intercep\u00e7\u00e3o ou personifica\u00e7\u00e3o)<\/li>\n<\/ul>\n<\/li>\n<li><strong>Identifique as vulnerabilidades e avalie a possibilidade de elas serem exploradas.<\/strong> Uma vulnerabilidade \u00e9 uma fraqueza que permite que algumas amea\u00e7as criarem brechas de seguran\u00e7a que possam causar danos a um ativo. Pense sobre o que protege os seus sistemas de uma dita amea\u00e7a e, caso essa amea\u00e7a realmente ocorra, quais s\u00e3o as chances de que de fato trar\u00e3o dano aos seus ativos? As vulnerabilidades podem ser f\u00edsicas (como equipamentos antigos), problemas de software ou configura\u00e7\u00e3o (como permiss\u00f5es de acesso excessivos ou esta\u00e7\u00e3o de trabalho n\u00e3o atualizadas), ou fatores humanos (como membros da equipe descuidados ou n\u00e3o treinados).<\/li>\n<li><strong>Avalia\u00e7\u00e3o de risco<\/strong>. O risco \u00e9 o potencial que uma amea\u00e7a tem de explorar as vulnerabilidades do ambiente e causar estrago a um ou mais ativos, resultando em perda monet\u00e1ria. Avalie o risco de acordo com a f\u00f3rmula l\u00f3gica mostrada acima e marque o risco como alto, moderado ou baixo. Ent\u00e3o, desenvolva uma solu\u00e7\u00e3o para cada risco de n\u00edvel moderado ou alto, junto a uma estimativa do custo.<\/li>\n<li><strong>Crie um plano de gerenciamento de risco<\/strong> usando os dados coletados.<br \/>\nConfira alguns exemplos<img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-502 size-full\" src=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/02\/tabela-checklist-risk.jpg\" alt=\"Avalia\u00e7\u00e3o de risco\" width=\"735\" height=\"774\" srcset=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/02\/tabela-checklist-risk.jpg 735w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/02\/tabela-checklist-risk-285x300.jpg 285w\" sizes=\"auto, (max-width: 735px) 100vw, 735px\" \/><\/li>\n<li><strong>Crie uma estrat\u00e9gia<\/strong> que aprimore a infraestrutura de TI para mitigar as vulnerabilidades mais importantes para obter aprova\u00e7\u00e3o da ger\u00eancia<\/li>\n<li><strong>Defina o processo de mitiga\u00e7\u00e3o<\/strong>. Voc\u00ea pode incrementar a seguran\u00e7a da sua infraestrutura de TI mas n\u00e3o pode eliminar todos os riscos. Quando um desastre ocorre, voc\u00ea resolve o ocorrido, investiga o que o causou e, tenta prevenir que aconte\u00e7a novamente ou que ao menos fa\u00e7a as consequ\u00eancias menos severas. Abaixo, podemos ver um exemplo do processo de mitiga\u00e7\u00e3o para uma falha no servidor:\n<ul>\n<li><strong>Evento<\/strong> (Falha no servidor) &gt; <strong>Resposta<\/strong> (Utilizar seu plano de recupera\u00e7\u00e3o p\u00f3s-desastre ou utilizar a documenta\u00e7\u00e3o do fabricante para deixar o servidor dispon\u00edvel e executando) &gt; <strong>An\u00e1lise<\/strong> (Determinar o por que o servidor falhou) &gt; <strong>Mitiga\u00e7\u00e3o<\/strong> (Se o servidor falhou devido a superaquecimento do equipamento de baixa qualidade, pergunte ao seu gerente se \u00e9 poss\u00edvel adquirir novos equipamentos; em caso de recusa, fa\u00e7a um monitoramento mais detalhado para que voc\u00ea possa desligar o servidor de forma controlada)<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n<p><span style=\"color: #008080;\"><strong>Conte\u00fado relacionado:<\/strong> <\/span><a href=\"https:\/\/aiqon.com.br\/blog\/trabalho-remoto-risco-de-seguranca\/\">Trabalho remoto: O risco de seguran\u00e7a na nuvem e como interromp\u00ea-lo<\/a><\/p>\n<h3>Parab\u00e9ns!<\/h3>\n<p>Voc\u00ea terminou sua primeira avalia\u00e7\u00e3o de risco. Mas lembre-se que a avalia\u00e7\u00e3o de risco n\u00e3o \u00e9 um evento \u00fanico. Tanto o seu ambiente de TI e as amea\u00e7as est\u00e3o em constante mudan\u00e7a, ent\u00e3o \u00e9 necess\u00e1rio realizar essa avalia\u00e7\u00e3o de risco regularmente. Crie uma pol\u00edtica de avalia\u00e7\u00e3o de risco que codifica sua metodologia de avalia\u00e7\u00e3o e espec\u00edfica de quanto em quanto tempo essa isso deve ser feito.<\/p>\n<p>Veja o webinar sobre <a href=\"https:\/\/www.netwrix.com\/risk-assessment-webinar.html\">avalia\u00e7\u00e3o de risco na TI<\/a> (em ingl\u00eas) da Netwrix e aprenda como o<a href=\"https:\/\/lps.aiqon.com.br\/b852e6e73f0ffb9ba43b\"><strong> Netwrix Auditor<\/strong><\/a> pode te ajudar a identificar e priorizar seus riscos de TI e saber quais passos tomar para remedia-los.<\/p>\n<p><a href=\"https:\/\/lps.aiqon.com.br\/checklist_riscos_ti\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-1065 size-large aligncenter\" src=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/05\/GUIA_-CHECKLIST-RISCOS-DA-TI-1024x379.png\" alt=\"Avalia\u00e7\u00e3o de risco\" width=\"1024\" height=\"379\" \/><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Avalia\u00e7\u00e3o de risco\u00a0 \u00e9 utilizada para identificar, estimar e priorizar riscos as opera\u00e7\u00f5es organizacionais e aos ativos resultantes da opera\u00e7\u00e3o e o uso dos sistemas de informa\u00e7\u00e3o. A avalia\u00e7\u00e3o de risco \u00e9 primariamente um conceito de neg\u00f3cio onde tudo se trata de dinheiro. Antes de tudo, deve ser pensado em como a sua organiza\u00e7\u00e3o faz [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":507,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_feature_clip_id":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_post_was_ever_published":false},"categories":[83],"tags":[80,81,82,10],"class_list":["post-499","post","type-post","status-publish","format-standard","has-post-thumbnail","category-gerenciamento-de-risco","tag-risco","tag-risk-assessement","tag-risk-management","tag-seguranca","czr-hentry"],"jetpack_featured_media_url":"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/02\/TITLE_CHECKLIST_RISK_ASSESSEMENT.jpg","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/499","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/comments?post=499"}],"version-history":[{"count":5,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/499\/revisions"}],"predecessor-version":[{"id":1584,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/499\/revisions\/1584"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media\/507"}],"wp:attachment":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media?parent=499"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/categories?post=499"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/tags?post=499"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}