Dentro do ramo de segurança da informação existe uma área de atuação chamada Gestão de Riscos, esta área preocupa-se com a identificação, avaliação, classificação e tratamento de riscos de segurança da informação e de negócio para organizações. Por esta ser uma tarefa de alta complexidade e variedade, dependendo do segmento de negócio da organização, muitos órgãos públicos e instituições privadas propuseram frameworks para coordenar as ações de Gestão de Risco. Contudo, esses frameworks precisam ser genéricos para atingir o maior número de organizações e serem usados em diferentes segmentos de negócio, o que dificulta a sua implementação em organizações específicas. Este trabalho, então, desenvolveu e testou um Guia de implementação dos dois primeiros passos do framework de gestão de risco da NIST (National Institute of Standards and Technologies). O Guia centralizou técnicas e ferramentas que podem ser aplicadas para implementar os passos Prepare e Categorize do framework mencionado acima. Após seu desenvolvimento, sua aplicação foi testada em uma empresa do ramo de Tecnologia da Informação, então sua efetividade foi avaliada através da coleta de opiniões e sugestões da equipe de segurança da empresa sobre a aplicação do Guia por meio de entrevistas, formulários de coleta de opinião e revisões da aplicação do Guia. Após esta fase, as sugestões e opiniões coletadas foram utilizadas para desenvolver melhorias ao Guia. As melhorias propostas incluem formas de se reduzir a subjetividade da avaliação de riscos, desenvolvimento de definições mais claras dos componentes de riscos e formas de se apresentar os resultados da Gestão de Risco à pessoas ocupando cargos estratégicos e/ou profissionais de áreas diferentes de Segurança da Informação. |