Métodos para Análise e
Avaliação de Risco
Aula 03

Processo de Gestão de Riscos
• O processo de Gestão de Risco (GR) é um dos componentes mais importantes da Gestão de
Segurança da Informação (GSI) como um todo.
• A GR prevê quatro atividades ligadas à forma como lidamos com o risco:
– Ánálise e Avaliação;
– Tratamento (evitar, transferir/seguro, reter/autoseguro, reduzir o risco e mitigar/reduzir impacto)
– Aceitação (custo de proteção > valor do ativo*risco*impacto) e
– Comunicação do Risco

• O risco é a métrica mais importante do processo de gestão de segurança
• A eficácia de todas as medidas, bem como os resultados trazidos por elas, é, na grande maioria justificada por meio da medição do risco. Análise e avaliação de risco
• Método Quantitativo
• Método Qualitativo

• Os riscos não podem ser completamente eliminados, e a porção de risco exsitente após todas as medidas de tratamento terem sido tomadas é chamada de risco residual.
• O principal objetivo da GR é trazer o risco residual para dentro de patamares aceitáveis.
• Se baseia no risco tolerável definido pela organizaçao definidos por fatores de mercado, disponivilidade financeira e relação custobenefício.

Termos e definições
• Sistema de Gestão de Riscos (SGR)
– Conjunto de práticas, procedimentos e elementos de suporte que utilizamos para gerenciar o risco.
– O termo é definido na NBR ISO/IEC 17799:2005

• Ativo
– Tudo aquilo que tenha valor e que necessita de algum tipo de proteção ou cuidado por conta disso.
– A identificação dos ativos que necessitam de proteção é o passo fundamental para o estabelecimento de qualquer estratégia de proteção e, consequentemente, para a implementação da GR.

• Escopo
– Conjunto de ativos que srá coberto pelo processo
– A determinação correta do escopo é um dos passos-chave para o sucesso na implementaçào de um Sistema de Gestão de Ri

• Parte envolvida
– Indivíduos, grupos ou organizações que são