Analise E Gerenciamento De Risco Flashcards
Oque é ativo?
é qualquer coisa que tenha valor para a organização;
O que é ameaça?
é a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização;
O que é vulnerabilidades?
É a fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças
O que é ativo de informação?
base de dados e arquivos, contratos e acordos,
documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou
operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas;
O que é ativos de software?
aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;
O que é ativo físico?
equipamentos computacionais, equipamentos de
comunicação, mídias removíveis e outros equipamentos;
O que é ativos de serviços
serviços de computação e comunicações, utilidades gerais, por exemplo, aquecimento, iluminação, eletricidade e refrigeração;
O que são ativos de pessoas?
Pessoas e suas qualificações, habilidades e experiências;
O que são ativos intangíveis?
intangíveis, tais como a reputação e a imagem da organização.
O que é risco?
Possibilidade de perigo incerto, mas previsível que ameaça de dano a pessoa ou a coisa.
Conceito de risco pelo BCB
O impacto negativo da exploração de uma venerabilidade por uma determinada fonte de ameaça
Oque é venerabilidade?
É a falha ou o ponto potencialmente inseguro em um sistema, cuja exploração por uma fonte de ameaça possa causar danos e prejuízos.
Oque é ameaça?
Algum fato que pode ocorrer e acarretar algum perigo a um bem
Oque é impacto?
É a magnitude dos prejuízos que poderiam ser causados pela exploração de uma vulnerabilidades por uma dada fonte de ameaça
Diferença entre RISCO e AMEAÇA?
Risco = Dano real
Ameaça = Dano potencial
Qual a diferença entre DANO e PERDA?
Dano = resultado - não pode ser calculados
Perda = Consequência - pode ser calculados
Oque é diagnósticos?
Avaliação circunstancial, comparável a uma fotografia dos riscos ou ameaças e das perdas reais e potenciais da empresa/organização
Oque é trabalho de campo?
Determina as variáveis internas e externas potencialmente capazes de provocar dano e evidentemente passíveis de produzir perdas
inclui reuniões, visitas, inspeções, questionários, entrevistas e listagens entre outros.
Formalização do diagnóstico oque é ?
Deve-se observar a forma, utilizar linguagem simples e evitar tecnicismos que dificultem sua compreensão.
Proposições de medidas e procedimentos de segurança
Identificação e avaliação de riscos 1• ação
É a fase de identificação de áreas vulneráveis, problemas potenciais, causas prováveis, ações preventivas e contingentes.
Viés preventivo
Identificação e avaliação de riscos 2• ação
É a fase da definição de riscos e ameaças, da probabilidade de ocorrência e impacto institucional.
Custo x beneficios
Identificação e avaliação de riscos 3• ação
É a do estabelecimento dos degraus de criticidade, ou seja níveis de interferência sobre a atividade institucional.
Quais os níveis de interferência sobre a atividade institucional?
Gravíssimos = os riscos e ameaças que causam INTERRUPÇÕES das atividades institucionais
Graves = os que causam REDUÇÃO da atividades
Mediatos = os que não tem efeito IMEDIATO sobre tais atividades
Leves = os que NÃO CAUSAM EFEITO DIRETO sobre elas.
Quais as 5 espécies de graduação de resultados?
Probabilidade virtualmente certa: o evento irá ocorrer, salvo mudanças no sistema vigente
Probabilidade altamente certa: é provável que o evento aconteça
Probabilidade relativamente certa: é possível que o evento aconteça
Probabilidade incerta: evento de ocorrência duvidosa
Probabilidade desconhecida: a ocorrência do evento não pode ser avaliada por insuficiência de dados disponíveis.
