No post anterior abordamos o
detalhamento da visão Infraestrutura com a aplicação da dinâmica de Análise de Cenário
utilizada na Oficina ABEP-FACIN,
realizada pelo Serpro em parceria com a Associação Brasileira de Entidades Estaduais de Tecnologia da Informação e Comunicação (ABEP).
A dinâmica
compreende as atividades de identificação do problema, modelagem, análise e
construção dos cenários atual e proposto (solução do problema).
Na PRODEMGE o cenário utilizado foi a
implantação de uma solução corporativa de geoprocessamento no Estado de Minas
Gerais, aqui identificada apenas como Projeto GEO.
Nesta postagem
abordaremos o detalhamento da visão Segurança do Projeto GEO utilizando o Framework
de Arquitetura Corporativa para Interoperabilidade no Apoio à Governança
(FACIN), conforme figura 1.
Figura 1: Detalhamento da visão Segurança do Projeto GEO
A Política de
Segurança - Risco está plenamente alinhada ao The Open Group Standard for Risk
Taxonomy (O-RT), versão 2.0. É uma versão atualizada do Padrão de Taxonomia
de Risco (Doc. No. C081) que foi publicado em janeiro de 2009, figura 2.
O documento
fornece a seguinte definição padrão de taxonomia para o risco de segurança da
informação:
Este Padrão de Taxonomia de Risco deve ser
usado como uma referência fundamental do espaço do problema que a profissão é
encarregada de ajudar a gerenciar; isto é, risco. Com base nesta base, métodos
para análise, cálculo, comunicação e gerenciamento de risco podem ser
desenvolvidos.
Os analistas de risco podem escolher fazer suas
medidas e/ou estimativas em qualquer nível de abstração dentro da taxonomia.
Por exemplo, ao invés de medir a Frequência de Contato (CF), o analista
poderia subir uma camada de abstração e, em vez disso, medir a Frequência do
Evento de Ameaça (TEF). Essa escolha pode ser conduzida pela natureza ou volume
de dados disponíveis, ou o tempo disponível para realizar a análise (ou seja,
as análises em camadas mais profundas de abstração demoram).
Embora os termos "risco" e "gerenciamento
de riscos" signifiquem coisas diferentes para pessoas diferentes, este
Padrão pretende ser aplicado ao problema de gerenciar a frequência e a
magnitude da perda que decorrem de uma ameaça (seja humano, animal ou evento
natural). Em outras palavras, gerenciar "a frequência com que as coisas
ruins acontecem e o quão ruim elas são quando ocorrem".
Figura 2: Política de
Segurança ORT- visão Segurança
No contexto geral da gestão de riscos, é
importante reconhecer que o objetivo do negócio em realizar avaliações de risco
é identificar e estimar níveis de exposição à probabilidade de perda, de modo
que os gerentes de negócios possam tomar decisões sobre como
gerenciar esses riscos de perda - aceitando cada risco ou mitigando-o -
investindo em medidas de proteção interna apropriadas julgadas suficientes para
reduzir a perda potencial a um nível aceitável ou investindo em indenização
externa. Crítico para permitir uma boa tomada de decisões empresariais é,
portanto, usar métodos de avaliação de risco que ofereçam resultados objetivos,
significativos e consistentes.
Um desses
métodos pode ser obtido através da norma ISO/IEC 38500:2009, ilustrado na
figura 3, que é reconhecido pelo mercado e considerado como uma das melhores
práticas da Gestão de Riscos.
Figura 3: Gestão de Risco
O Processo de Gestão de Riscos é composto
pelos seguintes Subprocessos:
· Estabelecimento do contexto - Captura os
objetivos da organização, o ambiente em que ela persegue esses objetivos, suas
partes interessadas e a diversidade de critérios de risco.
· Identificação de riscos - Gera uma lista
abrangente de riscos baseada nos eventos que possam criar, aumentar, evitar,
reduzir, acelerar ou atrasar a realização dos objetivos;
· Análise de riscos e Oportunidades - Envolve
a apreciação das causas e das fontes de risco, suas consequências positivas e
negativas, e a probabilidade de que essas consequências possam ocorrer.
· Avaliação de risco - A finalidade da
avaliação de riscos é auxiliar na tomada de decisões com base nos resultados da
análise de riscos, sobre quais riscos necessitam de tratamento e a prioridade
para a implementação do tratamento.
· Tratamento de Risco - Envolve a seleção
de uma ou mais opções para mitigar os riscos e a implementação dessas opções.
Uma vez implementado, o tratamento fornece novos controles ou modifica os
existentes.
A análise de
riscos envolve desenvolver a compreensão dos riscos, como no Mapeamento dos
Riscos do Ambiente do Produto IDE (Infraestrutura de Dados Espaciais)
Corporativa da figura 4.
Figura 4: Mapeamento do
Risco do Ambiente do Produto IDE GEO
O mapeamento fornece
uma entrada para a avaliação de riscos e para as decisões sobre a necessidade
dos riscos serem tratados, e sobre as estratégias e métodos mais adequados de
tratamento de riscos.
A análise de
riscos envolve a apreciação das causas e as fontes de risco, suas consequências
positivas e negativas, e a probabilidade de que essas consequências possam
ocorrer. Um evento pode ter várias consequências e pode afetar vários
objetivos.
É preciso que
os controles existentes e sua eficácia e eficiência também sejam levados em
consideração. A forma em que as consequências e a probabilidade são expressas e
o modo com que elas são combinadas para determinar um nível de risco refletem o
tipo de risco, as informações disponíveis e a finalidade para a qual a saída do
processo de avaliação de riscos será utilizada.
Convém que isso
tudo seja compatível com os critérios de risco. É também importante considerar
a interdependência dos diferentes riscos e suas fontes.
O modelo proposto utiliza-se de dois
componentes: elementos e relacionamentos, descritos na tabela 1. As cores dos
elementos representam as camadas do ArchiMate
e sua respectiva correspondência com o TOGAF.
Tabela 1: Elementos e Relacionamentos
da visão Segurança
Fonte: ArchiMate 3.0 – Um
Guia de Bolso
Acesse aqui o
detalhamento completo da aplicação da dinâmica de Análise de Cenário,
apresentada na Oficina ABEP-FACIN e utilizada pela PRODEMGE, para implantar uma solução corporativa de geoprocessamento
no Estado de Minas Gerais, utilizando o FACIN.
No próximo artigo abordaremos
o detalhamento das visões Programas e Projetos e Sociedade do Projeto GEO utilizando o FACIN!
Autores: Ademilson
Monteiro, Antonio
Plais, Guttenberg Ferreira Passos, Ivanise Cence Lopes, Leonardo Grandinetti Chaves
e Sandro Laudares
Comentários
Postar um comentário