GERENCIAMENTO DE RISCO EM TI

Carga Horaria Carga Horária: 8h/aula

Horário: 8h30 às 12h30 e 13h30 às 17h30

Objetivo

Entender os riscos em TI que afetam o core business da sua empresa, de modo a definir um processo de gestão de risco que inclui a identificação de riscos, a análise dos riscos, a definição e priorização do plano de ação para o tratamento dos riscos e o plano de comunicação. Diversas discussões serão realizadas e experiências práticas serão trocadas para que sua empresa ganhe competitividade com o gerenciamento de risco em TI.

Público Alvo

Gestores e profissionais das áreas de segurança da informação, tecnologia da informação, sistemas de informação, processos, riscos, recursos humanos.

Programa

1. Conceitos de Risco
* História do risco
* Probabilidade
* Tipos de risco
* Ativos
* Agentes de ameaça
* Ameaça
* Oportunidade
* Vulnerabilidades

2. Segurança da Informação
* Princípios básicos
* Classificação da informação
* O papel das pessoas
* Influência da cultura organizacional
* A importância da cultura em segurança da informação
* Tendências

3. Gerenciamento de Risco
* Contextualização
* Identificação de risco
* Análise de risco
* Avaliação de risco
* Tratamento de risco
* Comunicação
* Monitoramento

4. Normas, padrões, regulamentações sobre risco
* Sarbanes-Oxley
* COBIT
* ISO NBR/IEC 27001
* ISO NBR/IEC 27002
* ISO NBR/IEC 27005
* ITIL
* PMBOK
* Basiléia 2

5. Análise de risco em TI
* OCTAVE
* NIST
* Ferramentas para análise de risco

6. Identificação e análise de agentes de ameaça
* Técnicas
* Tipos de agentes de ameaça
* Como analisar

7. Identificação e análise de ameaças
* Técnicas
* Tipos de ameaças
* Como analisar

8. Identificação e análise de vulnerabilidades
* Técnicas
* Ferramentas
* Tipos de vulnerabilidades
* Como analisar

9. Análise de probabilidade e o risco
* Técnicas qualitativas e quantitativas
* Como analisar

10. Priorização e plano de ação
* Controles de segurança
* Técnicas para priorização
* Business Impact Analysis (BIA)

11. Monitoramento do risco e comunicação
* Processos de monitoramento do risco
* Plano de comunicação - envolvendo as pessoas
* Processo de gerenciamento de risco

Benefícios esperados: Os resultados do curso e da aplicação do gerenciamento de risco são:
* Conhecimento sobre o nível de segurança da informação de sua empresa;
* Base mais rígida e confiável para planejamento e tomada de decisão;
* Ganho de competitividade;
* Gestão pró-ativa ao invés de reativa;
* Alocação e uso mais efetivo de recursos;
* Melhoria no gerenciamento de incidentes e redução nas perdas e no custo do risco;
* Melhoria na confiança do stakeholder e no relacionamento;
* Melhora na conformidade com legislação relevante;
* Responsabilidade, confiança e governança;
* Melhora planejamento, desempenho e eficácia;
* Melhoria na reputação da empresa.

Metodologia: O curso é baseado nas principais práticas, normas e padrões nacionais e internacionais de gerenciamento de risco, em especial a AS/NZS 4360, incluindo ainda PMBOK, ISO/NBR 2007, ISO/NBR 17799, COBIT. O foco é em segurança da informação.