Análise de Riscos

Por: Equipe Técnica da Certtum

Análise de Riscos

Nas organizações  nos deparamos com inúmeras situações que podem comprometer o desempenho dos sistemas funcionais de processamento de dados.
Nosso intuito neste estudo é o de alertar para estas ameaças, nos concentrando na infraestrutura física destas instituições.  


A segurança física do meio ambiente das áreas de TI, é de fundamental importância, visto que, os processos são executados em equipamentos instalados em uma realidade baseada nas interligações dos diversos subsistemas desenvolvidos para o correto funcionamento destes equipamentos, como podemos ver no exemplo abaixo:


Mas como podemos ter expectativa quanto a performance dos sistemas, se estes  estão em muitas ocasiões expostos a condições  precárias de funcionamento?

Ferramentas de Avaliação

Dentro deste cenário podemos utilizar a Avaliação de Riscos, como instrumento precioso de verificação dos subsistemas que compõe a segurança física e do ambiente na área de TI.
A elaboração deste tipo de análise é baseada em normas como: ABNT 27001,  ABNT 27002 e ABNT 11515, voltadas para o desenvolvimento de SGSI (Sistema de Gestão da Segurança da Informação), que orientam as organizações, visando o incremente de políticas voltadas a segurança da informação. Este documento pode ser elaborado com a abordagem sobre toda ou em parte da Norma, nos exemplos a seguir iremos nos ater a segurança física do ambiente, embora as normas citadas abordam todos os demais sistemas pertinentes a área de TI.

 
Segurança Física e do ambiente

Como já afirmamos, temos em muitas organizações situações que configuram riscos junto aos sistemas de TI, notadamente nos sistemas de suprimento de energia elétrica e interligação lógica junto aos equipamentos: 


Situações em que o sistema de cabeamento está desorganizado, mal instalado,  prejudicando o funcionamento dos equipamentos:    


Poderíamos apresentar muitos outros exemplos de precarização junto aos subsistemas que compõe a segurança física e do ambiente, nosso intuito porém é o de levarmos estas e outras informações para a montagem de um Relatório de Análise de Riscos, alertando as instituições sobre os riscos que ocorrem em suas infraestruturas, a repercução destes riscos e principalmente o enquadramento dentro das métricas apresentadas pelas normas.

Este documento passa a ser um agente balizador dentro das corporações, indicando caminhos a serem seguidos rumo a melhorias e mensuração de investimentos, aliado a necessidade de desenvolvimento de projetos nas áreas analisadas.   
Esperamos nesta breve análise podermos ter contribuido com você visando o enquadramento e soluções em sua organização!  

ISO/IEC 27001:2005 Tecnologia da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação - Requisitos
Esta Norma cobre todos os tipos de organizações (por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos), especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. Ela especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes.

ABNT-NBR/ISO/IEC 27002:2005-Tecnologia da informação - Técnicas de Segurança - Código de pratica para a gestão de segurança da informação
Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta Norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão de segurança da informação.

ABNT-NBR 11515:2007: Esta Norma estabelece condições ambientais exigíveis para o armazenamento de dados em condições operacionais ou cópia de segurança (back up), transporte, bem como em situação de emergência