VIDEO
HIGHLIGHT
Log InSign up
SummaryTranscriptChat

# Apresentação e Introdução

Visão Geral da Seção: Nesta parte, são apresentadas duas possibilidades em relação ao ex-resco.

Ex-Resco

  • O ex-resco pode ser aceito ou rejeitado.

# Gerenciamento de Riscos e Análise Qualitativa

Visão Geral da Seção: Revisão sobre gerenciamento de riscos, análise qualitativa, mensuração de probabilidade e impacto em uma análise de risco.

Análise Quantitativa de Risco

  • Importância da descrição do cenário para uma análise quantitativa.
  • Etapas após entender o cenário incluem modelagem do ataque e estimativa das variáveis.

# Simulação do Risco e Exemplo Prático

Visão Geral da Seção: Exploração prática com simulação de cenários e exemplo de processo de análise de riscos em segurança da informação.

Processo de Análise de Riscos

  • Realização da simulação do processo.
  • Início do processo a partir da identificação da necessidade até a negociação com o solicitante.

# Tomada de Decisões e Implementação dos Controles

Visão Geral da Seção: Discussão sobre a tomada de decisões baseada no apetite ao risco da companhia e implementação dos controles para mitigar os riscos identificados.

Implementação dos Controles

  • Aplicação da metodologia pela segurança da informação.
  • Análise conjunta para sugestão e implementação dos controles.

[#] Identificação dos Riscos Corporativos

Visão Geral da Seção: Abordagem sobre a identificação dos riscos corporativos afetados pelas decisões tomadas durante o processo analítico.

Gestão dos Riscos Corporativos

  • Identificação detalhada dos riscos afetados pelas decisões.
  • Documentação minuciosa das análises realizadas pela segurança da informação.

[#] Proposições para Tratamento dos Riscos

Visão Geral da Seção: Detalhes sobre as propostas feitas pelo solicitante junto à área de segurança para tratamento dos riscos identificados.

Tratamento dos Riscos

  • Impasse nas propostas resulta na utilização de uma carta de riscos documentando as recomendações.

[#] Apresentação à Alçada Competente

Visão Geral da Seção: Discussão sobre a apresentação das cartas de risco à alçada competente para aprovações finais relacionadas aos riscos identificados.

Aprovações Finais

  • [](t= 5m33 s ) Carta deve ser levada à alçada competente para aprovações finais.

[#]( t = 6m25 s ) Definição das Assunções de Risco

** Visão geral desta seção : ** Detalhes sobre como definir quem é responsável por assumir determinados níveis específicos ou tipos diferentes De risco dentro Da organizacao .

Assuncao De Risco

  • [] ( t = 6m45 s ) Definicao clara Das responsabilidades antes Da implementacao Do processo .

Análise e Tratamento de Riscos

Visão Geral da Seção: Nesta seção, são abordados temas relacionados à análise e tratamento de riscos no contexto empresarial.

Processo de Análise de Riscos

  • A profissional deve recomendar a melhor solução em segurança da informação, embora não tenha poder decisório absoluto.
  • Exemplo prático: empresa precisa aumentar equipe de vendas, mas candidatos têm dificuldade com requisitos tecnológicos.
  • Dificuldades na criação de senhas complexas podem impactar o recrutamento de vendedores.
  • Necessidade de simplificar requisitos para senhas visando facilitar o cadastro dos candidatos.

Decisões e Documentação

  • Comitê avalia assumir risco de senhas fracas versus perda potencial de vendedores.
  • Decisão baseada na relação entre risco e benefício financeiro para a empresa.
  • Importância da documentação das decisões tomadas em relação aos riscos assumidos.
  • Revisão periódica das decisões e documentações feitas sobre os riscos assumidos.

Tratamento dos Riscos

  • Opções ao apresentar um risco: aceitar ou rejeitar. Se aceito, há quatro possibilidades para sua gestão.
  • Transferência do risco para terceiros capacitados é uma estratégia válida.

Introdução aos Riscos e Perdas

Visão Geral da Seção: Nesta seção, são discutidos exemplos de riscos e possíveis perdas relacionadas à segurança da informação, cybersegurança, identidade, automação, privacidade e outros aspectos.

Análise de Riscos em Segurança da Informação

  • Risco de recuperação ou substituição de ativos e perda de dados.
  • Impacto no faturamento devido à interrupção das operações.
  • Multas e penalidades resultantes do descumprimento de leis como a LGPD.

Materialização dos Riscos: Exemplos Conhecidos

Visão Geral da Seção: Aqui são apresentados exemplos concretos de materialização de riscos, incluindo custos associados e impacto nas empresas.

Exemplos de Materialização dos Riscos

  • Reposição ou substituição de ativos resultando em perda financeira.
  • Impacto no faturamento e interrupção das operações com casos reais como o da Colonial Pipeline nos EUA.
  • Multas e penalidades decorrentes do vazamento de informações em desacordo com a LGPD.

Importância dos Indicadores na Gestão de Riscos

Visão Geral da Seção: Destaca-se a relevância dos indicadores para o gerenciamento eficaz dos riscos corporativos.

Papel dos Indicadores na Gestão

  • A necessidade de medir para gerenciar efetivamente os riscos.
  • Cuidado para não banalizar os riscos e manter a seriedade na avaliação.

Criação de Indicadores Operacionais

Visão Geral da Seção: Nesta seção, é abordada a importância da criação de indicadores operacionais para o direcionamento adequado dos riscos.

Indicadores de Risco e Controle

  • Indicadores como KRI e KSI são fundamentais para o controle de riscos.
  • Os indicadores são baseados em métricas específicas que auxiliam na identificação dos principais riscos enfrentados pela organização.

Métricas e Controles de Risco

Visão Geral da Seção: Esta parte destaca a aplicação de métricas e controles para avaliar e mitigar os riscos enfrentados pela empresa.

Métricas de Risco

  • As métricas são essenciais para medir a probabilidade e impacto da materialização dos riscos.
  • Exemplo: vazamento de informação como um tipo de risco.

Implementação e Acompanhamento dos Controles

Visão Geral da Seção: Aqui é discutida a implementação e monitoramento efetivo dos controles para reduzir os riscos identificados.

Controle Adequado

  • Exemplo: diminuição do acesso a informações confidenciais como medida de controle.
  • A importância do acompanhamento constante da efetividade dos controles implementados.

Características Essenciais dos KRIs

Visão Geral da Seção: Destaque das características cruciais que os KRIs devem possuir para serem eficientes no gerenciamento de riscos.

Características dos KRIs

  • Relevância, mensurabilidade, preditividade, facilidade de monitoramento e auditabilidade são aspectos essenciais.
  • Devem ajudar na identificação, quantificação, monitoramento e gestão dos riscos associados aos objetivos do negócio.

Segurança da Informação

Visão Geral da Seção: Aborda a importância da documentação detalhada na segurança da informação e sua comparabilidade interna e externa.

Documentação na Segurança da Informação

  • Todo processo deve ser documentado, evidenciado e comparável internamente ou externamente.

Visão Estratégica e Comunicação Eficaz

Visão Estratégica:

  • Em uma visão estratégica bem elaborada, traz conforto para a alta administração.
  • Dificuldade em fazer com que os níveis estratégicos entendam as questões de segurança.

Comunicação Eficiente:

  • Cores (verde, amarelo e vermelho) facilitam o entendimento dos riscos de segurança.
  • Recomendação de uso das cores para indicar situações específicas.

Resiliência Operacional e Tecnologia Sien

Resiliência Operacional:

  • Importância do tema da resiliência operacional.
  • Rico em informações relevantes para a gestão.

Tecnologia Sien:

  • Tecnologia Sien auxilia na visibilidade e tratamento de riscos e alertas identificados.
  • Próxima aula abordará o Sien em detalhes.

Encerramento da Aula

Próxima Aula:

  • Tópico da próxima aula será sobre resiliência operacional e tecnologia Sien.