Boa noite pessoal,
Passando para deixar mais algumas informações relacionadas aos riscos em TI. Espero que seja bem útil.
Já vimos que o gerenciamento de riscos é muito importante para toda e qualquer organização ajudando-a a superar diversas situações que possam vir a ocorrer.
A avaliação de riscos é a primeira etapa para o gerenciamento de riscos. Ela permite que a organização identifique as ameaças potenciais e perceba o quanto esses riscos podem afetar em suas atividades.
Para determinar o risco de um serviços de TI as ameaças e as vulnerabilidades potenciais devem ser analisadas em conjunto com a capacidade de controle da empresa em prevenir, identificar e mitigar riscos. Esta capacidade é diretamente relacionada a maturidade dos processos de gestão de serviços de segurança (COBIT), e sua conformidade com os ditames da ISO/IEC 20000 e ISO/IEC 27000.
A metodologia de avaliação de risco BRAVO abrange nove etapas principais, que são:
1. Etapa 1: Caracterização dos serviços e sistemas.
1.1. Identificação dos serviços de TI ou serviços principais.
1.2. Identificação dos Serviços de suporte ou serviços secundários.
1.3. Identificação dos Serviços intensificadores.
1.4. Identificação dos processos chave que devam ser analisados.
1.5. Identificação dos ativos críticos para os serviços.
1.5.1. Enumeração das vulnerabilidades e identificação das ameaças.
1.5.2. Confirmação dos achados
1.5.2.1. Testes de penetração
1.5.2.2. Simulação de violação de acesso (cracking de senhas, teste de segurança em aplicativos, etc).
2. Etapa 2: Identificação de ameaças.
2.1. Qualificação das fontes de ameaças.
3. Etapa 3: Identificação de vulnerabilidade.
3.1. Qualificação das falhas ou fraquezas na segurança.
4. Etapa 4: Análise dos controles.
4.1. Análise dos processos
4.1.1. Análise da maturidade
4.1.1.1. Avaliação de perfil da maturidade
4.1.1.2. Avaliação de nível da maturidade
4.1.2. Geração mapa de maturidade dos processos e objetivos de controle.
4.1.3. Geração do mapa de conformidade ISO 20.000.
4.1.4. Geração do Termo de Aplicabilidade ISO 27.000.
4.1.4.1. Geração do mapa de conformidade ISO 27.000.
4.1.5. Qualificação dos processos e controles necessários para a mitigação das falhas.
5. Etapa 5: Determinação de probabilidade.
5.1. Análise e combinação dos dados qualitativos e quantitativos das ameaças, vulnerabilidades e capacidade controle.
6. Etapa 6: Análise de impacto.
6.1. Qualificação dos danos causados pelo exercício das vulnerabilidades ou ameaças.
7. Etapa 7: Determinação de risco.
7.1. Quantificação e qualificação do risco.
8. Etapa 8: Plano de melhorias ou recomendações de controle.
8.1. Determinar a estratégia de mitigação (Assumir o risco / Evitar o risco / Limitar o risco / Transferir o risco).
8.1.1. Determinar o nível de risco residual aceitável.
8.1.2. Determinação do foco da ação de mitigação (atualização, correção / atuar na arquitetura / diminuir o ganho potencial do atacante).
9. Etapa 9: Monitoramento dos riscos e análise crítica.
9.1. Monitorar agenda de correções.
9.2. Monitorar incidentes e problemas de segurança da informação.
9.3. Organizar reavaliações dos riscos.
Fonte: https://marceloegito.wordpress.com/2012/10/25/etapas-da-avaliao-de-riscos-de-ti/
Fonte: https://marceloegito.wordpress.com/2012/10/25/etapas-da-avaliao-de-riscos-de-ti/
Nenhum comentário:
Postar um comentário