Gestão da Segurança da Informação na UFRJ: um modelo para avaliação de riscos dos ativos de informação

Lilian da Silva Chagas; Patricia do Amaral Gurgel; Roberta Bordalo

Portal de Conferências da UFRJ, VII SEMINÁRIO DE INTEGRAÇÃO DOS TÉCNICOS ADMINISTRATIVOS

Lilian da Silva Chagas, Patricia do Amaral Gurgel, Roberta Bordalo

Última alteração: 2019-08-27

Resumo

Conforme a Norma Complementar nº 04/IN01/DSIC/GSIPR, um risco de segurança da informação é um potencial associado à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de ativos, por parte de uma ou mais ameaças, com impacto negativo no negócio da organização. Convém a toda organização estabelecer e implementar um processo formal e documentado para a proteção de seus ativos. A avaliação de risco é a primeira etapa da Gestão de Riscos de Segurança da Informação (GRSI) e seu propósito é identificar e analisar as ações necessárias, em relação aos requisitos de segurança da informação, a fim de preservar a integridade, confidencialidade e disponibilidade dos ativos. E assim, prover um ambiente seguro para a organização.

A Diretoria de Segurança da Informação e Governança (SegTIC), responsável pela segurança da informação na Universidade Federal do Rio de Janeiro (UFRJ), ambiciona e se compromete com a melhoria contínua de seu Sistema de Gestão de Segurança da Informação (SGSI). Por isso, atualmente, a SegTIC desenvolveu um modelo para a avaliação de riscos, pautado pelas boas práticas da ABNT NBR ISO/IEC 27005 e pela Instrução Normativa GSI N° 01. O objetivo deste modelo é identificar os riscos e, a partir da análise dos resultados, determinar as ações para tratá-los a um nível aceitável. Neste modelo, foram contempladas as seguintes etapas: definição do contexto, identificação, análise e avaliação de riscos. Com o intuito de validar e aprimorar o modelo, conduziu-se um teste piloto na SegTIC, coordenado pela própria equipe. O teste piloto obteve um bom resultado além de apontar melhorias, visto que um processo de GRSI deve ser contínuo, sempre produzindo recursos para suportar o SGSI.

É importante ressaltar que, quando se avaliam todas as circunstâncias onde determinada ameaça pode explorar alguma vulnerabilidade, a instituição obtém a vantagem de tomar decisões mais assertivas, melhorado assim o seu desempenho, além de ganhar a oportunidade de agir preventivamente contra possíveis perdas.

Palavras-chave

Segurança da Informação, Gestão de Riscos, Avaliação de Riscos

É necessário inscrever-se na conferência para visualizar os documentos.