O objetivo deste documento é definir a metodologia e escopo para o
gerenciamento de riscos na 2CLIX TECNOLOGIA EIRELI, além de servir como guia
base para a realização de relatórios e auditorias deste tópico.
O acesso a esta documentação é Público, no entanto os relatório
gerados a partir dos processo aqui definidos possuem a classificação
‘Restrito’.
GESTÃO DE RISCOS
Além dos fatores regulamentares e legais, a gestão de risco deve também
levar em consideração os fatores internos da organização assim como seus
processos e situação financeira. A gestão de riscos deve priorizar riscos
que apresentam impactos mais graves e que tenham maiores probabilidades de
acontecer e tentar garantir que os riscos encontrados sejam reduzidos a
categorias de probabilidade e impactos menores.
Para garantir a melhora incremental, os relatórios da família SEG2CX03 serão
atualizados em ciclos de 6 meses de acordo com as diretrizes e metodologias
definidas neste documento.
OBJETIVOS GESRAIS DA SEGURANÇA
- A Segurança dos Dados dos Clientes, Usuários e Colaboradores deve ser
tratada como prioridade; - Os processos e controles de segurança devem garantir a disponibilidade dos
serviços prestados pela 2CLIX TECNOLOGIA EIRELI; - As estações de trabalho dos colaboradores da 2CLIX TECNOLOGIA EIRELI devem
se manter funcionais e capazes de produzir os trabalhos necessários pelos
seus usuários; - Documentos e contratos físicos e virtuais devem ser guardados em lugar
seguro sendo acessados somente pela equipe de Administração, Financeiro e
Negócios; - As medidas de segurança não devem afetar os prazos de implementação de
novos serviços ou melhorias; - A conformidade à Lei Geral de Proteção de Dados deve ser garantida pelos
controles de segurança; - É imprescindível que as equipes sigam todos os processos de trabalho de
maneira correta; - Demandas e projetos devem ser desenvolvidos seguindo a Política de
Desenvolvimento Seguro e devem ser testados extensivamente para manutenção
da qualidade do serviço e de sua segurança; - Todas as equipes devem seguir a Política de Segurança de Informação e a
Política de Desenvolvimento Seguro.
METODOLOGIA
A gestão de riscos da 2CLIX TECNOLOGIA EIRELI será composta por três
relatórios: [SEG2CX03.1] Identificação de Riscos, [SEG2CX03.2]Análise de
Riscos, [SEG2CX03.3]Tratamento de Riscos. Cada um deles será responsável por
expandir um aspecto do gerenciamento de riscos e sobre cada risco encontrado
na organização.
A Identificação de Riscos conta com algumas fases incrementais para garantir
uma filtragem correta daquilo que são somente ofensores menores para
situações que de fato possam oferecer um risco real à segurança da
organização.
- A primeira fase é composta por uma revisão dos processos da
organização para a identificação de ofensores; - A segunda fase é uma análise dos eventos e incidentes já reportados
anteriormente e quaisquer registros históricos que possam ser relevantes à
cultura organizacional atual; - A terceira fase consiste em analisar os relatórios de vulnerabilidade e
logs de acesso fornecidos pelo SIEM, Antivírus e pela rotina de
monitoramento do Banco de Dados.; - A quarta fase consiste em uma análise de riscos externos e conta com uma
análise dos contratos e documentações de risco dos fornecedores,
assim como uma análise dos fatores econômicos, ambientais e políticos do
contexto em que a organização está inserida; - Por fim, todos os ‘riscos potenciais’ são reunidos e revisados em uma
análise preliminar para definir quais destes itens constituem riscos de
fato e quais são apenas ofensores inócuos. O resultado dessa fase
constitui o relatório de Identificação de Riscos.
A Análise de Riscos tem como objetivo encontrar o perigo real que cada risco
oferece à segurança da informação da organização ela é formada por uma
análise mais objetiva de cada risco, avaliando seu impacto e probabilidade
de ocorrência de acordo com sua influência na Integridade, Disponibilidade e
Confiabilidade tanto do sistema quanto da organização como um todo. Cada
risco passa então por uma análise nos seguintes aspectos:
- A Natureza do Risco diz respeito às áreas da empresa às quais risco
pertence; - A Disponibilidade foca na análise do risco à probabilidade e impacto dele
neste aspecto, tanto pensando nos impactos à disponibilidade dos serviços
oferecidos pela 2CLIX TECNOLOGIA EIRELI, como na disponibilidade de
documentos e equipamentos à equipe para a realização de suas funções; - A Integridade foca na análise do risco à probabilidade e impacto dele
neste aspecto, tanto pensando nos impactos à integridade dos serviços
oferecidos pela 2CLIX TECNOLOGIA EIRELI, como na integridade de documentos
e equipamentos usados pela equipe para a realização de suas funções; - A Confiabilidade foca na análise do risco à probabilidade e impacto dele
neste aspecto, tanto pensando nos impactos à confiabilidade dos serviços
oferecidos pela 2CLIX TECNOLOGIA EIRELI, como na confiabilidade de
documentos fornecidos pela equipe tanto na contratação quanto para
documentar ocorrências pessoais - Os Fatores Internos visam descrever os impactos internos que o risco pode
ter, tanto entre as equipes quanto na relação dos colaboradores com a
2CLIX TECNOLOGIA EIRELI; - Os Fatores Externos visam descrever os impactos externos do risco para a
organização, desde impactos legais até impactos à imagem ou presença da
empresa no segmento de mercado em que está inserida; - Os Critérios da Empresa buscam descrever o quanto que este risco vai
contra as diretrizes internas da empresa a respeito da segurança de
informação; - O Responsável do Risco é a pessoa responsável por definir o plano de
tratamento do risco e após a aprovação da gerência é quem irá coordenar a
implementação; - O Tipo de Tratamento sugerido diz respeito à qual o objetivo final que se
busca alcançar com a tratativa do risco: se é mitigação, prevenção,
aceitação ou erradicação; - Na Matriz de Risco é colocado de maneira gráfica para demonstrar a relação
de cada impacto com probabilidade de ocorrência para a integridade(I),
disponibilidade(D) e confiabilidade(C). O resultado desta matriz é a
definição do grau de prioridade de tratamento para o risco. A matriz conta
com 4 níveis de prioridade, sendo o nível 1 o mais crítico e o nível 4 o
mais brando; - A definição da prioridade final do Risco é feita com base no pior caso
observado entre as três avaliações.
Por fim, o último relatório é o de Tratamento dos Riscos que irá contar com
as diretivas oficiais da empresa para cada risco apontado nos relatórios
anteriores assim como informações para a auditoria destes tratamentos no
futuro. Cada risco irá contar com as seguintes informações:
- Tratamentos revisados e aprovados pela gerência;
- Guia e cronograma de implementação;
- Os objetivos e efeitos desejados para o tratamento;
- Métricas para a comparação dos resultados obtidos após o tratamento.
GESTÃO DE DOCUMENTOS
Este documento é válido a partir da sua aprovação mais recente e é de
responsabilidade da equipe de projetos da 2CLIX TECNOLOGIA EIRELI. O
ciclo de atualização deste documento é semestral e deve ser realizado sempre
a partir da avaliação da eficácia e adequação deste documento com as demais
políticas e processos da empresa.
Para garantir uma avaliação concisa e clara, os seguintes critérios de
avaliação serão utilizados:
- Quantidade de Incidentes causados por definição confusa ou incerta da
metodologia de gerenciamento de risco; - Tempo desperdiçado pelos colaboradores e funcionários resolvendo ofensores
inócuos definidos como riscos; - Incidentes de segurança envolvendo riscos não indicados pelo processo ou
considerados inócuos na fase de identificação dos riscos; - Redundâncias ou processo conflitantes causados por mal planejamento das
tratativas de riscos; - Tratativas ineficientes ou com métricas ineficazes para uma avaliação
concisa.
Os registros de incidentes envolvendo o conteúdo deste documento e de seus
relatórios “filhos” serão registrados em pasta específica no diretório de
documentos da 2CLIX TECNOLOGIA EIRELI.
