Finalidade e Acesso

O objetivo deste documento é definir a metodologia e escopo para  o gerenciamento de riscos na 2CLIX TECNOLOGIA EIRELI, além de servir como guia base para a realização de relatórios e auditorias deste tópico.   

O acesso  a esta documentação é  Público, no entanto os relatório gerados a partir dos processo aqui definidos possuem a classificação ‘Restrito’.

Gestão de Riscos

Além dos fatores regulamentares e legais, a gestão de risco deve também levar em consideração os fatores internos da organização assim como seus processos e situação financeira. A gestão de riscos deve priorizar riscos que apresentam impactos mais graves e que tenham maiores probabilidades de acontecer e tentar garantir que os riscos encontrados sejam reduzidos a categorias de probabilidade e impactos menores.

    Para garantir a melhora incremental, os relatórios da família SEG2CX03 serão atualizados em ciclos de 6 meses de acordo com as diretrizes e metodologias definidas neste documento.

Objetivos Gerais da Segurança

• A Segurança dos Dados dos Clientes, Usuários e Colaboradores deve ser tratada como prioridade;
• Os processos e controles de segurança devem garantir a disponibilidade dos serviços prestados pela  2CLIX TECNOLOGIA EIRELI;
• As estações de trabalho dos colaboradores da 2CLIX TECNOLOGIA EIRELI devem se manter funcionais e capazes de produzir os trabalhos necessários pelos seus usuários;
• Documentos e contratos físicos e virtuais devem ser guardados em lugar seguro sendo acessados somente pela equipe de Administração, Financeiro e Negócios;
• As medidas de segurança não devem afetar os prazos de implementação de novos serviços ou melhorias;
• A conformidade à Lei Geral de Proteção de Dados deve ser garantida pelos controles de segurança;
• É imprescindível que as equipes sigam todos os processos de trabalho de maneira correta;
• Demandas e projetos devem ser  desenvolvidos seguindo a Política de Desenvolvimento Seguro e devem ser testados extensivamente para manutenção da qualidade do serviço e de sua segurança;
• Todas as equipes devem seguir a Política de Segurança de Informação e a Política de Desenvolvimento Seguro.

Metodologia

A gestão de riscos da 2CLIX TECNOLOGIA EIRELI será composta por três relatórios: [SEG2CX03.1] Identificação de Riscos, [SEG2CX03.2]Análise de Riscos, [SEG2CX03.3]Tratamento de Riscos. Cada um deles será responsável por expandir um aspecto do gerenciamento de riscos e sobre cada risco encontrado na organização.

A Identificação de Riscos conta com algumas fases incrementais para garantir uma filtragem correta daquilo que são somente ofensores menores para situações que de fato possam oferecer um risco real à segurança da organização.

• A primeira fase  é composta por uma revisão dos processos da organização para a identificação de ofensores; 
• A segunda fase é uma análise dos eventos e incidentes já reportados anteriormente e quaisquer registros históricos que possam ser relevantes à cultura organizacional atual; 
• A terceira fase consiste em analisar os relatórios de vulnerabilidade e logs de acesso fornecidos pelo SIEM, Antivírus e pela rotina de monitoramento do Banco de Dados.;
• A quarta fase consiste em uma análise de riscos externos e conta com uma análise dos contratos e documentações  de risco dos fornecedores, assim como uma análise dos fatores econômicos, ambientais e políticos do contexto em que a organização está inserida;
• Por fim, todos os ‘riscos potenciais’ são reunidos e revisados em uma análise preliminar para definir quais destes itens constituem riscos de fato e quais são apenas ofensores inócuos. O resultado dessa fase constitui o relatório de Identificação de Riscos.

A Análise de Riscos tem como objetivo encontrar o perigo real que cada risco oferece à segurança da informação da organização ela é formada por uma análise mais objetiva de cada risco, avaliando seu impacto e probabilidade de ocorrência de acordo com sua influência na Integridade, Disponibilidade e Confiabilidade tanto do sistema quanto da organização como um todo. Cada risco passa então por uma análise nos seguintes aspectos:

• A Natureza do Risco diz respeito às áreas da empresa às quais risco pertence;
• A Disponibilidade foca na análise do risco à probabilidade e impacto dele neste aspecto, tanto pensando nos impactos à disponibilidade dos serviços oferecidos pela 2CLIX TECNOLOGIA EIRELI, como na disponibilidade de documentos e equipamentos à equipe para a realização de suas funções;
• A Integridade foca na análise do risco à probabilidade e impacto dele neste aspecto, tanto pensando nos impactos à integridade dos serviços oferecidos pela 2CLIX TECNOLOGIA EIRELI, como na integridade de documentos e equipamentos usados pela equipe para a realização de suas funções;
• A Confiabilidade foca na análise do risco à probabilidade e impacto dele neste aspecto, tanto pensando nos impactos à confiabilidade dos serviços oferecidos pela 2CLIX TECNOLOGIA EIRELI, como na confiabilidade de documentos fornecidos pela equipe tanto na contratação quanto para documentar ocorrências pessoais
• Os Fatores Internos visam descrever os impactos internos que o risco pode ter, tanto entre as equipes quanto na relação dos colaboradores com a 2CLIX TECNOLOGIA EIRELI;
• Os Fatores Externos visam descrever os impactos externos do risco para a organização, desde impactos legais até impactos à imagem ou presença da empresa no segmento de mercado em que está inserida;
• Os Critérios da Empresa buscam descrever o quanto que este risco vai contra as diretrizes internas da empresa a respeito da segurança de informação;
• O Responsável do Risco é a pessoa responsável por definir o plano de tratamento do risco e após a aprovação da gerência é quem irá coordenar a implementação;
• O Tipo de Tratamento sugerido diz respeito à qual o objetivo final que se busca alcançar com a tratativa do risco: se é mitigação, prevenção, aceitação ou erradicação;
• Na Matriz de Risco é colocado de maneira gráfica para demonstrar a relação de cada impacto com probabilidade de ocorrência para a integridade(I), disponibilidade(D) e confiabilidade(C). O resultado desta matriz é a definição do grau de prioridade de tratamento para o risco. A matriz conta com 4 níveis de prioridade, sendo o nível 1 o mais crítico e o nível 4 o mais brando;
• A definição da prioridade final do Risco é feita com base no pior caso observado entre as três avaliações.

Por fim, o último relatório é o de Tratamento dos Riscos que irá contar com as diretivas oficiais da empresa para cada risco apontado nos relatórios anteriores assim como informações para a auditoria destes tratamentos no futuro. Cada risco irá contar com as seguintes informações:

• Tratamentos revisados e aprovados pela gerência;
• Guia e cronograma de implementação;
• Os objetivos e efeitos desejados para o tratamento;
• Métricas para a comparação dos resultados obtidos após o tratamento.

Gestão de Documentos

Este documento é válido a partir da sua aprovação mais recente e é de responsabilidade da equipe de projetos da 2CLIX TECNOLOGIA EIRELI.  O ciclo de atualização deste documento é semestral e deve ser realizado sempre a partir da avaliação da eficácia e adequação deste documento com as demais políticas e processos da empresa.

Para garantir uma avaliação concisa e clara, os seguintes critérios de avaliação serão utilizados:

• Quantidade de Incidentes causados por definição confusa ou incerta da metodologia de gerenciamento de risco;
• Tempo desperdiçado pelos colaboradores e funcionários resolvendo ofensores inócuos definidos como riscos;
• Incidentes de segurança envolvendo riscos não indicados pelo processo ou considerados inócuos na fase de identificação dos riscos;
• Redundâncias ou processo conflitantes causados por mal planejamento das tratativas de riscos;
• Tratativas ineficientes ou com métricas ineficazes para uma avaliação concisa.

Os registros de incidentes envolvendo o conteúdo deste documento e de seus relatórios “filhos” serão registrados em pasta específica no diretório de documentos da 2CLIX TECNOLOGIA EIRELI.