ISO 27005 - Gestão de Riscos - Prof. Luis Claudio

e aí tá bom beleza uma das primeiras coisas que a seção 6 é uma das primeiras não né a primeira coisa que a seção 6 dos mostra é uma tabela tá tem texto antes e tal mas a primeira informação relevante na seção 6 é essa essa tabelinha que vai relacionar o processo do sgsi isso vem lá da 27001 tá 27 mil em que trata do sistema de gerenciamento de segurança da informação como um todo né e essa tabela relaciona o processo do sistema de gerenciamento de segurança da informação deixe o circular que por fora né

com o processo a digestão de riscos ou seja o que é parte integrante do sgs então a gente estudou que o 27001 ela ela se relaciona é muito com as quatro etapas do ciclo pdca add me planejar e executar verificar viaje é o famoso prendo check out the do de mim é boa parte né das normas iso possuem relacionamento 9001 por exemplo relaciona-la o sistema de gestão da qualidade com o ciclo pdca para trabalhar gente perdesse a representar melhoria contínua tá e as normas sempre falam de você implementar processos e melhorar continuamente os processos então

sempre é isso tem tudo a ver com ciclo pdca só que veja eu tenho se você olhar essa figura tenho várias atividades eo mapeamento não necessariamente vai ser um para um tá se você olhar essa figura aqui ó ela essa figurinha né se sic e fala não não tá esse aqui eu trouxe de outra fonte então pp aí eu tenho dúvida executar o cd cheque né verificar e o ar iate agir então é um mapeamento um-para-um perceber que definir com o texto ó analisar avaliar e definir um plano é de tratamento de riscos tá e

depois aceitação do risco tudo isso é planejamento não tem a execução nenhuma tudo isso é planejamento é claro perceba que se uma das atividades é definir o plano não dá no muito eu vou implementar esse plano de tratamento do risco aí assim que aí sim né é que eu entro no dudu e depois é o famoso aí lembra lá do meio mami eu tenho estabelecer e implementar e operar a monitorar e analisar criticamente manter e melhorar o meu sistema tá ó deixa até colocar as letrinhas do eio mamãe aqui também não é um outro relacionamento

que pode ser feito isso aqui é e e tá tudo é estabelecer é o planejamento aqui é o implementar tá e implementar ou operar o meu sistema na verdade o meu processo de gestão de riscos tá então em uma aqui embaixo a tabelinha que botar logo aí o nome aqui ó estabelecer implementar e operar e é monitorar e analisar criticamente manter e melhorar tá definição de contexto raquel atividade do processo analisar avaliar tudo isso estabelecimento tá ainda é planejamento analisar e avaliar ó gente é oi de novo tá repetindo embora seja o processo de avaliação

lembre-se que a gente pode pensar em termos de processo macron o e processo micro porque depois quando a gente entrar em detalhes de cada uma dessas atividades aqui a gente vai ver que cada um desses caras vão se subdividir então quando eu digo que o processo ele tem entradas atividades intermediárias e saídas eu posso colocar uma lupa aqui ó em uma dessas atividades intermediárias e pensar a atividade não é uma forma de trabalho tá então se for uma macroatividade na hora que eu divido essa macro atividade em micro atividades sei lá vou colocar um uma

minúsculo não uma minúscula aqui ó micro atividade eu posso pensar no sentido de enxergar essa atividade também como sendo algo que tem entradas e saídas tá então eu tenho um macro processo que na verdade é composto por várias atividades quando analiso de o choque cada atividade é um trabalho que pode ser enxergado também comum um micro processo na composto também por entradas é atividades intermediárias tá e saídas por isso que às vezes acontece isso tá a norma chama isso aqui de processo bom e algumas bibliografias aqui dentro chamam por exemplo o quê para a norma

é uma atividade né análise e avaliação de risco algumas biografias não chamar de processo de análise e avaliação de riscos por quê porque só identificação a gente vai ver que ela se subdivide em cinco atividades menores né a análise de risco subdivide em três e assim por diante tá então existe uma forma macro de enxergar o processo que olhar essa figura aqui e uma forma micro quer entrar em detalhes então não ficar doido aí por conta da palavra processo aqui não nada mais nada menos o que eu marco o processo microprocesso tá voltando o que

a gente tava fazendo que era relacionar essa imagem aqui com o pdca do sistema de gerenciamento de segurança da informação gente viu que a gestão de riscos é parte do sistema do agc então ele tem ele tem que ser e tu tens implementada também em paralelo né aí existe um momento em que a atividade do sgsi estão acontecendo e que eu tenho que ir ao mesmo tempo implementar as atividades da gestão de risco porque ela faz parte do processo ele se entregam mas se integram como e aí que a nova fala se entregam de acordo

com essa tabela tá e eu tava falando então eu vou ter definição de contexto análise avaliação e definição de um plano tá então estou criando meu plano isso aqui é estabelecimento ainda planejamento é o pleno tá aceitação do risco perceber que a aceitação é sentar na mesa de reunião e conversar com os decisores com os responsáveis pela organização e por exemplo informar que olha é de acordo com o nosso plano de tratamento de riscos determinados riscos estão sendo aceitos eterna determinados riscos foram reduzidos mas não reduzidos por completo mesmo lado das opções de tratamento de

risco é isso aqui também ser subdividido em quatro opções né é uma delas é reduzido risco mais seja quando eu reduzo o risco eu não tô eliminando né não eliminando porque às vezes não é possível eliminar e se eu não eliminei a sua reduzir sobrou alguma coisa se sobrou alguma coisa eu tenho que verificar se as partes interessadas aceitam aquilo que sobrou então tudo isso ainda é planejamento ainda é tomada de decisão ou seja esse miolo aqui gente todinho e é faz parte do estabelecer tá faz parte do clã seu pensar em termos de plan

do check out how does estabelecer né se eu pensar em termos do meio mami tá bom tranquilo então em uma me escrever uma letra mais bonitinho aqui tá bom se eu definir um plano lembrar que o tratamento de riscos né ele gera como sair de um plano se atividade é definir o plano eu vou gerar como saída a implementação veja que se olhar internamente aqui o processo tá ele fala somente né da atividade tratamento do risco tá mas o que que tem dentro do tratamento a gente vai ver que isso aqui na verdade ele ele

vai ser estudar em detalhes na norma como algo que tem entrada que tem saída tá que tem algumas diretrizes então aí o processo de novo dentro do processo maior então parte desse processo de tratamento de riscos envolve um pedaço que fica aqui no estabelecer que é definir o plano tá e um pedaço que vai lá para implementação e operação tá é como se você tivesse no e umami dividindo o tratamento dos riscos e dos riscos né em duas etapas tá bom e depois fica fácil só só vão dois tá o m aqui do monitorar e

analisar criticamente lembrando que essa atividade inclusive até aparece aqui de forma explícita no processo e no macroprocesso na figura que a 27005 trás e o mm né que é o manter e melhorar isso não aparece explicitamente aqui na figura mas obviamente toda nova 27005 uma vez que o processo foi estabelecido é obviamente ela faz uma ressalva com relação à melhoria do processo não faz sentido nenhum você ter etapas de estabelecimento e implementação pela ação monitoramento e análise e depois da análise você não faz nada hora depois que eu analisei eu vou manter e melhorar inclusive

é justamente ó a continuidade do ciclo tá por quê que eu entro aqui no monitorar e analisar criticamente e depois que eu monitora e analisa criticamente eu entro de novo aqui na definição de contexto hora porque eu quero melhorar ah tá então a ideia de melhoria ela tá em crista no fato de que eu tenho ciclos sendo representada aqui tá então o agir significa a partir da análise que você fez você age para melhorar a sua gestão de riscos tá bom gente observa aqui que internamente na figura tenho vários ciclos já que acabei desenhando um

círculo definição de contexto análise avaliação e aqui eu tenho chamado ponto de decisão um tá se eu estiver satisfeito com a minha análise avaliação eu vou partir para um plano de tratamento senão eu posso internamente refazer a minha definição de contexto e a minha análise de novo tá se eu não tiver satisfeito se eu tivesse feito faço tratamento e aí após o tratamento de novo um segundo ponto de decisão se eu não tivesse o tratamento o recomeço o ciclo lá do início aí perceba que eu posso recomeçar lá do início ou eu posso refazer o

tratamento então eu tenho duas possibilidades aqui de de retomar o meu ciclo tá eu posso fazer o caminho maior e começando lá pela definição de contexto assim como posso voltar ao meu tratamento várias vezes tá e por último se eu tivesse satisfeito aceitação de risco e aí é a ideia que eu já representei aqui tá monitora e analisa criticamente o meu sistema porque quando eu chego na aceitação de riscos de fato eu consegui fazer minha primeira versão de implementação de uma gestão de riscos e que eu consigo fazer análise e monitoramento tá perceba que no

momento em que eu tenho ali no meu ponto de decisão um não há muito que monitorar o que as atividades definição de contexto de análise e avaliação elas não conversam com monitoramento tá porque porque eu não perguntei nada na prática agora depois que eu fiz o tratamento de riscos eu já posso ter alguma coisa implementada e portanto já posso ter alguma espécie de monitoramento tá bom e também obviamente depois que eu aceitei né porque aí é a última atividade da gestão de riscos né em que eu tenho rede falsa a implementação plena inclusive já com

aval das partes interessadas com relação aos riscos que vão ou não ser aceito tá então deixa apagar aqui e ficou bem poluído na verdade o que eu quero é que você preste atenção a essas setinhas e pense sobre elas tá os diversos ciclos que você tem internamente na nessa figura tá os diversos ciclos tá então eu faço talismã exercício depois é você ao declarar as atividades redesenhar esse daqui não é tão complicado tá não é tão complicado lembra aqui é basicamente eu tenho definição análise avaliação totalmente aceitação tá e essas duas esses dois cabos em

paralelo que são comunicação monitoramento me lembra aqui depois da definição vem avaliação e nessas duas etapas eu não tenho nada de concreto ainda rodando né dentro da minha organização então não há como fazer monitoramento mas depois que eu faço tratamento aí sim por isso que eu tenho um ponto de decisão aqui já eu vou ficar na definição de contexto análise avaliação por um bom período até o me sentir seguro né a implementar alguma alguma opção de tratamento de risco quando eu me sinto segura eu passo para o totalmente no tratamento sim já o que monitorar

por isso que eu já tenho aqui ó uma comunicação entre essa atividade e monitoramento depois tratamento tiver sido feito de forma satisfatória segundo ponto de decisão que é justamente deixar claro né partir dos diversos looks que eu possa ter percorrido aqui entre tratamento mandamento tratamento mandamento para entender melhor o que eu tô aceitando não lá eu tenho segundo ponto de decisão que a stand e o meu tratamento comunicavam as partes interessadas inclusive no sentido de dizer olha esses riscos aqui a gente está aceitando né a gente não vai fazer nada pode ser um risco residual

resultante daquilo que você reduziu mais não eliminou pode ser aquilo que você aceitou tá isso a gente vê depois de mais detalhes tente ideia geral ta entender o relacionamento entre as etapas do sgsi e as etapas do processo de gestão de risco decorar essa figura tá e essa tabela tá senador adora cobrar só esse conhecimento [Música] e aí há muito tempo tempo co