Política de Gestão de Riscos
1. Introdução |
A Gestão de Risco de Segurança da Informação é um componente importante para o sucesso do programa de segurança da informação, conforme norma principal de certificação ISO27001:2013.
Seu principal objetivo é analisar os Riscos associados aos requisitos do Anexo A da norma e prover o devido tratamento para a redução de impacto a um nível aceitável para a organização.
Esta política tem por objetivo estabelecer os requisitos mínimos necessários para a Gestão de Riscos de Segurança da Informação na MZ BARÃO CONSULTORIA E COBRANÇA LTDA., CNPJ nº 30.223.471/0001-20, com sede na Rua Barão de Itapetininga, 50, 8ª andar, República – São Paulo – SP, CEP 01042-000 (“MZ”).
2. Definições e Premissas |
Termo |
Definições |
Risco |
Efeito da incerteza nos objetivos organizacionais, sendo que um efeito é o desvio em relação ao esperado – positivo e/ou negativo. Portanto, caracteriza-se pela possibilidade de impacto e probabilidade de ocorrência que permeia todas as atividades da Companhia. |
Risco Inerente |
Probabilidade inicial da ocorrência de anomalias, irregularidades ou erros significativos, dependendo da atividade desenvolvida, da complexidade das operações, da competência e integridade das estruturas de gestão e da competência e adequação dos restantes recursos humanos. |
Risco Residual |
Probabilidade da ocorrência de anomalias, irregularidades ou erros significativos que permanecem, mesmo depois de se implementar as respostas para a tratativa dos riscos inerentes. |
Vulnerabilidade |
Uma fraqueza de um ativo ou grupo de ativos de informação que pode ser explorada por uma ameaça. |
Probabilidade |
Chance de ocorrência de um incidente não desejável, dada a exposição definida de um ativo ou grupo de ativos de informação, considerando os controles existente/ausentes. |
Impacto |
Nível de impacto, no caso da concretização de uma ameaça a um ativo ou grupo de ativos de informação que gere impactos à sua Confidencialidade, Integridade ou Disponibilidade. |
Confidencialidade |
Nível de garantia de que a informação e/ou o ativo de informação seja acessível somente àqueles autorizados a acessá-la (o). |
Disponibilidade |
Nível de garantia de que os Usuários autorizados tenham acesso à informação e/ou a ativos de informação quando requisitados. |
Integridade |
Nível de garantia da exatidão e totalidade da informação e/ou ativo de informação, através de uma condição na qual são protegidos contra modificações não autorizadas. |
Ameaça |
Agente ou ação de causa potencial de um incidente inesperado que pode resultar em danos a um ativo ou a organização. |
3. Responsabilidade |
SEG – Security Governance tem como principais objetivos:
- Definir a metodologia aplicada para Riscos de Segurança da Informação, Tecnologia da Informação e Continuidade do Negócio;
- Definir Política, Procedimento, Processo e atividades para Gestão dos Riscos de Segurança da Informação, Tecnologia da Informação e Continuidade do Negócio, incluindo etapas de identificação, análise, tratamento e resposta, monitoração, comunicação, gestão estratégica e governança de riscos; e
- Manter a análise dos Riscos de Segurança da Informação, Tecnologia da Informação e Continuidade do Negócio, atualizada, gerenciada e direcionada aos responsáveis.
4. Descrição |
Escopo
Todo e qualquer Risco de Segurança da Informação que venha a ser identificado, para o requisito de atendimento à norma ISO27001:2013 – Anexo A, estejam cobertos por este documento, sendo os principais impactos exemplificados abaixo:
- Perdas ao processo, com impactos operacionais, de imagem ou financeiros;
- Impacto de requerimentos de compliance interno ou externo;
- Fatores de impacto ao relacionamento de um ou mais clientes.
Etapas do processo
Etapas
São etapas do processo Gestão de Riscos de Segurança da Informação, Tecnologia da Informação e Continuidade do Negócio:
- Identificação de Riscos
- Análise de Riscos
- Tratamento e Resposta a Riscos
- Monitoramento e Comunicação
- Gestão Estratégica de Riscos
- Governança de Riscos
Atualização do Processo de Gestão de Riscos e Alçadas
Atualização do Processo de Gestão de Riscos
O processo de Gestão de Riscos deve considerar a revisão das matrizes de riscos, contemplando sua completeza, níveis de riscos definidos, estratégias de tratamento e respostas no mínimo em bases anuais.
Alçadas do Processo de Gestão de Riscos
Aprovação de riscos
Riscos devem ser aprovados pelos Gestores de cada área, antes de serem considerados efetivos para definição de respostas e planos de ações.
Aprovação de estratégias de tratamento de riscos
Quanto às alçadas para aprovação das estratégias de tratamento de riscos, temos:
- Mitigar: Gestor da área responsável pelo risco;
- Aceitar: Diretor da área responsável pelo risco;
- Transferir: Gestor da área responsável pelo risco;
- Evitar: Gestor da área responsável pelo risco.
Cabe ressaltar que o processo de definição de estratégias de tratamento de riscos, não inibe que posteriormente seja necessária a aprovação de outros profissionais e de Diretores para aprovação de recursos, projetos e de ações necessárias para a efetiva resposta aos riscos, alinhadas com as estratégias definidas.
Contate um de nossos representantes
Contato
contato@consultoriamz.com.br
Telefone: (11) 3121-8070
Whatsapp: (11) 95587-5932
Horário de Funcionamento
Segunda a quinta: 8:30h – 18:30h
Sexta: 8:30h – 17:30h