Metodo Brasiliano

Segurança e Auditoria de Segurança e Auditoria de SistemasSistemas

ProfProf.. Fabiano Sabha Fabiano Sabha

Análise de RiscosAnálise de Riscos

ProfProf.. Fabiano Sabha Fabiano Sabha

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 3

Definição de RiscoDefinição de Risco

Podemos definir o risco como a condição que Podemos definir o risco como a condição que aumenta ou diminui o potencial de perdas, ou seja, aumenta ou diminui o potencial de perdas, ou seja, o risco é a condição existente.o risco é a condição existente.

Esta condição deve ser incerta, fortuita e de Esta condição deve ser incerta, fortuita e de conseqüências negativas ou danosas.conseqüências negativas ou danosas.

Não pode haver a certeza de que ocorrerá.Não pode haver a certeza de que ocorrerá.


Risco x PerigoRisco x Perigo

Risco é diferente de Perigo!

Perigo é a origem do da perda.

Exemplo: Um incêndio é o perigo, o

risco são as condições do ambiente.


Análise de Risco EstruturadaAnálise de Risco Estruturada

Possui dois parâmetros a serem estudados:Possui dois parâmetros a serem estudados:

PRIMEIRO: PRIMEIRO: Saber qual a chance (probabilidade) dos perigos virem a acontecer frente ao risco

SEGUNDO: SEGUNDO: Calcular o impacto seja ele, financeiro ou operacional


Categorias de análiseCategorias de análise

A análise de risco possui duas categorias de análiseA análise de risco possui duas categorias de análise

QUALITATIVA: QUALITATIVA: O objetivo é tentar calcular valoresnuméricos objetivos para cada um dos componentes

coletados durante as fases de análise de custo/benefício e de avaliação de risco.

QUANTITATIVA: QUANTITATIVA: Não tenta atribuir valores financeiros fixos aos ativos, às perdas esperadas e ao custo de controles. Em vez disso, tenta calcular valores relativos.


Perda EsperadaPerda Esperada

Podemos calcular a Perda Esperada – PE, que é a multiplicação direta entre a probabilidade – Pb do risco vir a acontecer versus seu impacto financeiro – I F.


Método de Análise de RiscoMétodo de Análise de Risco

Didaticamente utilizaremos o método Didaticamente utilizaremos o método

Brasiliano de Análise de RiscosBrasiliano de Análise de Riscos

O Método Brasiliano possui como diferencial a obtenção do GRAU DE PROBABILIDADE - GP do perigo. O Método

Brasiliano foi elaborado com o intuito de criar um dos parâmetros para formar a Matriz de Vulnerabilidade, o grau de probabilidade.

O Método Brasiliano de Análise de Riscos possui quatro fases. São elas:


Método de Análise de RiscoMétodo de Análise de Risco

O Método Brasiliano possui 4 fases:O Método Brasiliano possui 4 fases:

Identificação dos fatores de riscos; Determinação do Grau de Probabilidade (GP); Determinação do Impacto Financeiro; Elaboração da Perda Esperada e Matriz de

Vulnerabilidades


Identificação dos FatoresIdentificação dos Fatores

O Método Brasiliano possui 4 fases:O Método Brasiliano possui 4 fases:

Os fatores de risco são na realidade a origem e ou causa de cada perigo. Para compreender o risco – a condição – a soma de todos os fatores, há a necessidade de dissecar o fluxo de cada processo.

Utilizamos a técnica do Diagrama de Causa e Efeito, o chamado Diagrama de Ishikawa e ou de Espinha de Peixe para poder dissecar os fatores que influenciam a concretização do perigo.


Diagrama de Ishikawa Diagrama de Ishikawa


Meios Organizacionais - MOMeios Organizacionais - MO

É o levantamento se na empresa possui normas de rotina e de emergência, políticas de tratamento de riscos, gerenciamento de riscos entre outras. A não formalização ou o não detalhamento pode ser um fator de influência para a concretização do perigo.


Recurso Humano da Segurança - RHRecurso Humano da Segurança - RH

É o levantamento do nível de qualificação, quantidade, posicionamento tático da equipe.


Meios Técnicos Passivos - MTPMeios Técnicos Passivos - MTP

É o levantamento da não existência de recursos físicos, tais como lay-out de portaria, salas, resistências de paredes, vidros entre outros.


Meios Técnicos Ativos - MTAMeios Técnicos Ativos - MTA

É o levantamento da não existência de sistemas eletrônicos, indo desde CFTV, controle de acesso, sensoriamento, sistemas de rastreamento e centrais de segurança.


Ambiente Interno - AIAmbiente Interno - AI

É o levantamento do nível de relacionamento dos colaboradores e empresa.Inclui desde políticas de remuneração até políticas de recursos humanos.


Ambiente Externo - AEAmbiente Externo - AE

É o levantamento de cenários prospectivos, identificando fatores externos incontroláveis mas que influenciam na concretização de perigos. Inclui o levantamento dos índices de criminalidade, estrutura do crime organizado, mercados paralelos, estrutura do judiciário, corrupção policial, entre outros.


Exemplo Diagrama de IshikawaExemplo Diagrama de Ishikawa

O Diagrama de Ishikawa é o risco, é a condição.O Diagrama de Ishikawa é o risco, é a condição.


Determinação do Grau de Determinação do Grau de Probabilidade - GPProbabilidade - GP

O Grau de Probabilidade – GP é a conseqüência da O Grau de Probabilidade – GP é a conseqüência da multiplicação dos fatores de riscos versus o critério multiplicação dos fatores de riscos versus o critério da exposição. É uma multiplicação direta, onde da exposição. É uma multiplicação direta, onde cada critério possui uma escala de valoração 1 a 5.cada critério possui uma escala de valoração 1 a 5.



GRAU DE PROBABILIDADE:GRAU DE PROBABILIDADE:FATOR DE RISCO X EXPOSIÇÃOFATOR DE RISCO X EXPOSIÇÃO

GP = FR x EGP = FR x E


Fator de Risco - FRFator de Risco - FR

Este critério possui seis sub critérios, estudados na fase da identificação da origem de cada perigo. Os sub critérios possuem uma escala de valoração que mede o grau de influência para a concretizaçãodo perigo. Neste caso julgamos qual o nível de influência, por sub critério, para que o perigo sejaconcretizado.


Fator de Risco - PontuaçãoFator de Risco - Pontuação


Fator de Risco - CálculoFator de Risco - Cálculo

AI + AE + RH + MO + MTA + MTPFR = _____________________________

6

FR = 5 + 2 + 3 + 4 + 3 + 4/6FR = 5 + 2 + 3 + 4 + 3 + 4/6FR = 21/6FR = 21/6FR = 3,50FR = 3,50


Exposição- “E”Exposição- “E”

É a freqüência que o perigo costuma manifestar-se É a freqüência que o perigo costuma manifestar-se na empresa ou em empresas similares. Possui ana empresa ou em empresas similares. Possui aseguinte escala de gradação:seguinte escala de gradação:



GRAU DE PROBABILIDADE:GRAU DE PROBABILIDADE:FATOR DE RISCO X EXPOSIÇÃOFATOR DE RISCO X EXPOSIÇÃO

GP = FR x EGP = FR x E


Classificação da ProbabilidadeClassificação da Probabilidade

GP = FR x E O valor obtido desta multiplicação é o Grau de Probabilidade - GP, que para saber sua classificação temos que consultar a tabela abaixo.Esta tabela da classificação da probabilidade possui cinco níveis:



No exemplo do desvio interno, temos o seguinte:

GP = FR x E FR = 3,50

E = 5

GP = 3,50 x 5 = 17,50

17,50 possui uma classificação de probabilidade ALTA, ou PROVAVEL.



17,50 x 4% = 70%.17,50 x 4% = 70%.

A probabilidade do desvio interno vir a acontecer ou continuar a acontecer na

empresa é de 70%.


Matriz de VulnerabilidadeMatriz de Vulnerabilidade

A matriz de vulnerabilidade mostra de forma clara quais são as fragilidades existentes, com a influência – impacto – no desempenho da empresa.

Através desta matriz, o gestor de riscos sabe exatamente como cada risco deve ser tratado e ter sua prioridade.







Metodo Brasiliano

Documents