Pular para o conteúdo principal

O FACIN na prática com o Projeto GEO - Parte 8

No post anterior abordamos o detalhamento da visão Infraestrutura com a aplicação da dinâmica de Análise de Cenário utilizada na Oficina ABEP-FACIN, realizada pelo Serpro em parceria com a Associação Brasileira de Entidades Estaduais de Tecnologia da Informação e Comunicação (ABEP).
A dinâmica compreende as atividades de identificação do problema, modelagem, análise e construção dos cenários atual e proposto (solução do problema).
Na PRODEMGE o cenário utilizado foi a implantação de uma solução corporativa de geoprocessamento no Estado de Minas Gerais, aqui identificada apenas como Projeto GEO.
Nesta postagem abordaremos o detalhamento da visão Segurança do Projeto GEO utilizando o Framework de Arquitetura Corporativa para Interoperabilidade no Apoio à Governança (FACIN), conforme figura 1.

Figura 1: Detalhamento da visão Segurança do Projeto GEO

A Política de Segurança - Risco está plenamente alinhada ao The Open Group Standard for Risk Taxonomy (O-RT), versão 2.0. É uma versão atualizada do Padrão de Taxonomia de Risco (Doc. No. C081) que foi publicado em janeiro de 2009, figura 2.

O documento fornece a seguinte definição padrão de taxonomia para o risco de segurança da informação:

Este Padrão de Taxonomia de Risco deve ser usado como uma referência fundamental do espaço do problema que a profissão é encarregada de ajudar a gerenciar; isto é, risco. Com base nesta base, métodos para análise, cálculo, comunicação e gerenciamento de risco podem ser desenvolvidos.

Os analistas de risco podem escolher fazer suas medidas e/ou estimativas em qualquer nível de abstração dentro da taxonomia. Por exemplo, ao invés de medir a Frequência de Contato (CF), o analista poderia subir uma camada de abstração e, em vez disso, medir a Frequência do Evento de Ameaça (TEF). Essa escolha pode ser conduzida pela natureza ou volume de dados disponíveis, ou o tempo disponível para realizar a análise (ou seja, as análises em camadas mais profundas de abstração demoram).

Embora os termos "risco" e "gerenciamento de riscos" signifiquem coisas diferentes para pessoas diferentes, este Padrão pretende ser aplicado ao problema de gerenciar a frequência e a magnitude da perda que decorrem de uma ameaça (seja humano, animal ou evento natural). Em outras palavras, gerenciar "a frequência com que as coisas ruins acontecem e o quão ruim elas são quando ocorrem".

Figura 2: Política de Segurança ORT- visão Segurança

No contexto geral da gestão de riscos, é importante reconhecer que o objetivo do negócio em realizar avaliações de risco é identificar e estimar níveis de exposição à probabilidade de perda, de modo que os gerentes de negócios possam tomar decisões sobre como gerenciar esses riscos de perda - aceitando cada risco ou mitigando-o - investindo em medidas de proteção interna apropriadas julgadas suficientes para reduzir a perda potencial a um nível aceitável ou investindo em indenização externa. Crítico para permitir uma boa tomada de decisões empresariais é, portanto, usar métodos de avaliação de risco que ofereçam resultados objetivos, significativos e consistentes.

Um desses métodos pode ser obtido através da norma ISO/IEC 38500:2009, ilustrado na figura 3, que é reconhecido pelo mercado e considerado como uma das melhores práticas da Gestão de Riscos.
Figura 3: Gestão de Risco

O Processo de Gestão de Riscos é composto pelos seguintes Subprocessos:

·    Estabelecimento do contexto - Captura os objetivos da organização, o ambiente em que ela persegue esses objetivos, suas partes interessadas e a diversidade de critérios de risco.

·      Identificação de riscos - Gera uma lista abrangente de riscos baseada nos eventos que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos;

·      Análise de riscos e Oportunidades - Envolve a apreciação das causas e das fontes de risco, suas consequências positivas e negativas, e a probabilidade de que essas consequências possam ocorrer.

·     Avaliação de risco - A finalidade da avaliação de riscos é auxiliar na tomada de decisões com base nos resultados da análise de riscos, sobre quais riscos necessitam de tratamento e a prioridade para a implementação do tratamento.

·      Tratamento de Risco - Envolve a seleção de uma ou mais opções para mitigar os riscos e a implementação dessas opções. Uma vez implementado, o tratamento fornece novos controles ou modifica os existentes.

A análise de riscos envolve desenvolver a compreensão dos riscos, como no Mapeamento dos Riscos do Ambiente do Produto IDE (Infraestrutura de Dados Espaciais) Corporativa da figura 4.


Figura 4: Mapeamento do Risco do Ambiente do Produto IDE GEO

O mapeamento fornece uma entrada para a avaliação de riscos e para as decisões sobre a necessidade dos riscos serem tratados, e sobre as estratégias e métodos mais adequados de tratamento de riscos.

A análise de riscos envolve a apreciação das causas e as fontes de risco, suas consequências positivas e negativas, e a probabilidade de que essas consequências possam ocorrer. Um evento pode ter várias consequências e pode afetar vários objetivos.

É preciso que os controles existentes e sua eficácia e eficiência também sejam levados em consideração. A forma em que as consequências e a probabilidade são expressas e o modo com que elas são combinadas para determinar um nível de risco refletem o tipo de risco, as informações disponíveis e a finalidade para a qual a saída do processo de avaliação de riscos será utilizada.

Convém que isso tudo seja compatível com os critérios de risco. É também importante considerar a interdependência dos diferentes riscos e suas fontes.

O modelo proposto utiliza-se de dois componentes: elementos e relacionamentos, descritos na tabela 1. As cores dos elementos representam as camadas do ArchiMate e sua respectiva correspondência com o TOGAF.

Tabela 1: Elementos e Relacionamentos da visão Segurança 


Fonte: ArchiMate 3.0 – Um Guia de Bolso

Acesse aqui o detalhamento completo da aplicação da dinâmica de Análise de Cenário, apresentada na Oficina ABEP-FACIN e utilizada pela PRODEMGE, para implantar uma solução corporativa de geoprocessamento no Estado de Minas Gerais, utilizando o FACIN.

No próximo artigo abordaremos o detalhamento das visões Programas e Projetos e Sociedade do Projeto GEO utilizando o FACIN!


Autores: Ademilson Monteiro, Antonio Plais, Guttenberg Ferreira Passos, Ivanise Cence Lopes, Leonardo Grandinetti Chaves e Sandro Laudares

Voltar

Comentários