1.    Introdução

A Gestão de Risco de Segurança da Informação é um componente importante para o sucesso do programa de segurança da informação, conforme norma principal de certificação ISO27001:2013. 

Seu principal objetivo é analisar os Riscos associados aos requisitos do Anexo A da norma e prover o devido tratamento para a redução de impacto a um nível aceitável para a organização.

Esta política tem por objetivo estabelecer os requisitos mínimos necessários para a Gestão de Riscos de Segurança da Informação na MZ BARÃO CONSULTORIA E COBRANÇA LTDA., CNPJ nº 30.223.471/0001-20, com sede na Rua Barão de Itapetininga, 50, 8ª andar, República – São Paulo – SP, CEP 01042-000 (“MZ”). 

2.    Definições e Premissas

Termo	Definições
Risco	Efeito da incerteza nos objetivos organizacionais, sendo que um efeito é o desvio em relação ao esperado – positivo e/ou negativo. Portanto, caracteriza-se pela possibilidade de impacto e probabilidade de ocorrência que permeia todas as atividades da Companhia.
Risco Inerente	Probabilidade inicial da ocorrência de anomalias, irregularidades ou erros significativos, dependendo da atividade desenvolvida, da complexidade das operações, da competência e integridade das estruturas de gestão e da competência e adequação dos restantes recursos humanos.
Risco Residual	Probabilidade da ocorrência de anomalias, irregularidades ou erros significativos que permanecem, mesmo depois de se implementar as respostas para a tratativa dos riscos inerentes.
Vulnerabilidade	Uma fraqueza de um ativo ou grupo de ativos de informação que pode ser explorada por uma ameaça.
Probabilidade	Chance de ocorrência de um incidente não desejável, dada a exposição definida de um ativo ou grupo de ativos de informação, considerando os controles existente/ausentes.
Impacto	Nível de impacto, no caso da concretização de uma ameaça a um ativo ou grupo de ativos de informação que gere impactos à sua Confidencialidade, Integridade ou Disponibilidade.
Confidencialidade	Nível de garantia de que a informação e/ou o ativo de informação seja acessível somente àqueles autorizados a acessá-la (o).
Disponibilidade	Nível de garantia de que os Usuários autorizados tenham acesso à informação e/ou a ativos de informação quando requisitados.
Integridade	Nível de garantia da exatidão e totalidade da informação e/ou ativo de informação, através de uma condição na qual são protegidos contra modificações não autorizadas.
Ameaça	Agente ou ação de causa potencial de um incidente inesperado que pode resultar em danos a um ativo ou a organização.

3.    Responsabilidade

SEG – Security Governance tem como principais objetivos:

• Definir a metodologia aplicada para Riscos de Segurança da Informação, Tecnologia da Informação e Continuidade do Negócio;
• Definir Política, Procedimento, Processo e atividades para Gestão dos Riscos de Segurança da Informação, Tecnologia da Informação e Continuidade do Negócio, incluindo etapas de identificação, análise, tratamento e resposta, monitoração, comunicação, gestão estratégica e governança de riscos; e
• Manter a análise dos Riscos de Segurança da Informação, Tecnologia da Informação e Continuidade do Negócio, atualizada, gerenciada e direcionada aos responsáveis.

4.     Descrição

Escopo

Todo e qualquer Risco de Segurança da Informação que venha a ser identificado, para o requisito de atendimento à norma ISO27001:2013 – Anexo A, estejam cobertos por este documento, sendo os principais impactos exemplificados abaixo:

• Perdas ao processo, com impactos operacionais, de imagem ou financeiros;
• Impacto de requerimentos de compliance interno ou externo;
• Fatores de impacto ao relacionamento de um ou mais clientes.

Etapas do processo

Etapas

São etapas do processo Gestão de Riscos de Segurança da Informação, Tecnologia da Informação e Continuidade do Negócio:

• Identificação de Riscos
• Análise de Riscos
• Tratamento e Resposta a Riscos
• Monitoramento e Comunicação
• Gestão Estratégica de Riscos
• Governança de Riscos

Atualização do Processo de Gestão de Riscos e Alçadas

Atualização do Processo de Gestão de Riscos

O processo de Gestão de Riscos deve considerar a revisão das matrizes de riscos, contemplando sua completeza, níveis de riscos definidos, estratégias de tratamento e respostas no mínimo em bases anuais.

Alçadas do Processo de Gestão de Riscos

Aprovação de riscos

Riscos devem ser aprovados pelos Gestores de cada área, antes de serem considerados efetivos para definição de respostas e planos de ações.

Aprovação de estratégias de tratamento de riscos

Quanto às alçadas para aprovação das estratégias de tratamento de riscos, temos:

• Mitigar: Gestor da área responsável pelo risco;
• Aceitar: Diretor da área responsável pelo risco;
• Transferir: Gestor da área responsável pelo risco;
• Evitar: Gestor da área responsável pelo risco.

Cabe ressaltar que o processo de definição de estratégias de tratamento de riscos, não inibe que posteriormente seja necessária a aprovação de outros profissionais e de Diretores para aprovação de recursos, projetos e de ações necessárias para a efetiva resposta aos riscos, alinhadas com as estratégias definidas.