Análise e gestão de risco para mitigar incidentes de segurança

Abstract

O presente artigo conceitua o que é análise e gestão de risco que é avaliação dos potenciais problemas que podem ocorrer dentro da empresa, seguindo com a explicação sobre o que é risco, e assim conceituar sobre o que são vulnerabilidades e ameaças para a organização. Neste trabalho de conclusão de curso é explicado brevemente sobre plano de continuidade de negócio, que serve para garantir uma ação quando acontecer um desastre e o que é necessário para manter os serviços básicos da empresa. Explica brevemente sobre governança de tecnologia da informação e ciclo de análise, onde este informa sobre a análise dos riscos. Neste documento, também adentra e explica sobre métodos para verificar a maturidade do negócio, como a ISO 27005 que fornece um modelo para melhorar um Sistema de Gestão de Segurança da Informação, mas é focado no COBIT, principalmente nos processos PO9, AI6, AI7, DS5 e DS8, estes sendo os mais relevantes para a pesquisa e análise. Neste artigo também é brevemente explicado para fins acadêmicos sobre o COBIT 5. Introduzir-se sobre resposta a incidentes que é responsável por trazer os procedimentos do que deve ser feito caso alguma vulnerabilidade torne-se real. E por fim, é documentado o estudo de caso utilizando o método de identificar o nível de maturidade do negócio, de acordo com alguns times de suporte nível 1 (Mainframe, Redes e Sistemas Distribuídos) e nível 2 (Banco de Dados), utilizando alguns processos do COBIT 4.1, desta forma, pode se identificar diferenças entre alguns times e verificar quais as deficiências que estes apresentam e criando sugestões para poder alcançar o mais alto nível de maturidade com base no COBIT 4.1.