Vous êtes sur la page 1sur 156

Edson Kowask Bezerra profissional A RNP Rede Nacional de Ensino

da rea de segurana da informao e


governana h mais de quinze anos,
e Pesquisa qualificada como
atuando como auditor lder, pesquisa- uma Organizao Social (OS),
dor, gerente de projeto e gerente tc-
nico, em inmeros projetos de gesto sendo ligada ao Ministrio da
de riscos, gesto de segurana da Cincia, Tecnologia e Inovao
informao, continuidade de negcios, PCI, auditoria e recu-
perao de desastres em empresas de grande porte do (MCTI) e responsvel pelo
setor de telecomunicaes, financeiro, energia, indstria e Programa Interministerial RNP,
governo. Com vasta experincia nos temas de segurana e
governana, tem atuado tambm como palestrante nos que conta com a participao dos
principais eventos do Brasil e ainda como instrutor de trei- ministrios da Educao (MEC), da
namentos focados em segurana e governana. professor

Gesto de
e coordenador de cursos de ps-graduao na rea de Sade (MS) e da Cultura (MinC).
O livro de apoio ao curso apresenta os conceitos de

LIVRO DE APOIO AO CURSO


segurana da informao, gesto integrada, inovao e tec- Pioneira no acesso Internet no
nologias web. Hoje atua como Coordenador Acadmico de gesto de riscos a partir da norma NBR ISO 27005.
Brasil, a RNP planeja e mantm a

Gesto de Riscos de TI NBR 27005


Segurana e Governana de TI da Escola Superior de Redes.

Riscos de TI
Possui a certificao CRISC da ISACA, alm de diversas Define conceitos e trabalha a contextualizao do am-
rede Ip, a rede ptica nacional
outras em segurana e governana.
biente, identificao e levantamento dos riscos atravs
acadmica de alto desempenho.
do conhecimento das ameaas, ativos, vulnerabilidades,
Com Pontos de Presena nas
probabilidade de ocorrncia e impactos. So realizados
27 unidades da federao, a rede
a estimativa e o clculo de risco e definido o tratamento
mais adequado. Todo o trabalho baseado em um es-
NBR 27005 tem mais de 800 instituies
conectadas. So aproximadamente
tudo de caso, visando consolidar o conhecimento terico.
3,5 milhes de usurios usufruindo
Este livro inclui os roteiros das atividades prticas e o con-
de uma infraestrutura de redes
tedo dos slides apresentados em sala de aula, apoiando
avanadas para comunicao,
profissionais na disseminao deste conhecimento em
computao e experimentao,
suas organizaes ou localidades de origem.
Edson Kowask Bezerra que contribui para a integrao
entre o sistema de Cincia e
Tecnologia, Educao Superior,
Sade e Cultura.

Ministrio da
Cultura

Ministrio da
Sade

Ministrio da
Educao

ISBN 978-85-63630-06-3
Ministrio da
Cincia, Tecnologia
e Inovao

9 788563 630063
A RNP Rede Nacional de Ensino
e Pesquisa qualificada como
uma Organizao Social (OS),
sendo ligada ao Ministrio da
Cincia, Tecnologia e Inovao
(MCTI) e responsvel pelo
Programa Interministerial RNP,
que conta com a participao dos
ministrios da Educao (MEC), da
Sade (MS) e da Cultura (MinC).
Pioneira no acesso Internet no
Brasil, a RNP planeja e mantm a
rede Ip, a rede ptica nacional
acadmica de alto desempenho.
Com Pontos de Presena nas
27 unidades da federao, a rede
tem mais de 800 instituies
conectadas. So aproximadamente
3,5 milhes de usurios usufruindo
de uma infraestrutura de redes
avanadas para comunicao,
computao e experimentao,
que contribui para a integrao
entre o sistema de Cincia e
Tecnologia, Educao Superior,
Sade e Cultura.

Ministrio da
Cultura

Ministrio da
Sade

Ministrio da
Educao

Ministrio da
Cincia, Tecnologia
e Inovao
Gesto de
Riscos de TI
NBR 27005

Edson Kowask Bezerra


Gesto de
Riscos de TI
NBR 27005

Edson Kowask Bezerra

Rio de Janeiro
Escola Superior de Redes
2013
Copyright 2013 Rede Nacional de Ensino e Pesquisa RNP
Rua Lauro Mller, 116 sala 1103
22290-906 Rio de Janeiro, RJ

Diretor Geral
Nelson Simes

Diretor de Servios e Solues


Jos Luiz Ribeiro Filho

Escola Superior de Redes


Coordenao
Luiz Coelho

Edio
Pedro Sangirardi

Coordenao Acadmica de Segurana e Governana de TI


Edson Kowask Bezerra

Equipe ESR (em ordem alfabtica)


Celia Maciel, Cristiane Oliveira, Derlina Miranda, Elimria Barbosa, Evellyn Feitosa,
Felipe Nascimento, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, Renato Duarte
e Yve Abel Marcial.

Capa, projeto visual e diagramao


Tecnodesign

Verso
2.0.1

Este material didtico foi elaborado com fins educacionais. Solicitamos que qualquer erro encon-
trado ou dvida com relao ao material ou seu uso seja enviado para a equipe de elaborao de
contedo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e
Pesquisa e os autores no assumem qualquer responsabilidade por eventuais danos ou perdas, a
pessoas ou bens, originados do uso deste material.
As marcas registradas mencionadas neste material pertencem aos respectivos titulares.

Distribuio
Escola Superior de Redes
Rua Lauro Mller, 116 sala 1103
22290-906 Rio de Janeiro, RJ
http://esr.rnp.br
info@esr.rnp.br

Dados Internacionais de Catalogao na Publicao (CIP)

B574g Bezerra, Edson Kowask


Gesto de riscos de TI: NBR 27005 / Edson Kowask Bezerra. Rio de Janeiro: RNP/ESR, 2013.
138 p. : il. ; 28 cm.

Bibliografia: p.137.
ISBN 978-85-63630-32-2

1. Tecnologia da informao - Tcnicas de segurana. 2. Redes de computadores Medidas


de segurana. 3. Gesto de riscos de segurana da informao. I. Ttulo.

CDD 005.8
Sumrio

Escola Superior de Redes

A metodologia da ESRix

Sobre o curso x

A quem se destinax

Convenes utilizadas neste livrox

Permisses de usoxi

Sobre o autorxii

1. Introduo Gesto de Riscos


Introduo1

Exerccio de nivelamento 1 Introduo gesto de riscos2

Conceitos fundamentais2

Exerccio de fixao 1 Conceitos fundamentais5

Princpios da Gesto de Riscos5

Normas de gesto de segurana e de riscos7

Norma ABNT NBR ISO/IEC 27005:20089

Viso geral da gesto de riscos10

Exerccio de fixao 2 Viso geral12

Exerccio de fixao 3 PDCA15

Fatores crticos para o sucesso15

reas de conhecimento necessrias16

iii
Roteiro de Atividades 119

Atividade 1.1 Conhecendo os conceitos19

Atividade 1.2 Conhecendo a norma19

Atividade 1.3 Identificando o processo20

Atividade 1.4 Fatores crticos20

2. Contexto da gesto de riscos


Introduo21

Exerccio de nivelamento 1 Contexto21

Processo de gesto de riscos de segurana da informao21

Contexto 22

Estabelecimento do contexto23

Contexto da norma ABNT NBR ISO/IEC 2700523

Definindo o contexto24

Itens para identificao24

Exerccio de fixao 1 Definindo o contexto25

Definindo escopo e limites26

Exerccio de fixao 2 Definindo o escopo e limites27

Critrios para avaliao de riscos28

Critrios de impacto28

Critrios para aceitao do risco 29

Exerccio de fixao 3 Definindo os critrios31

Organizao para a gesto de riscos32

Roteiro de Atividades 233

Anexo A Descrio da empresa36

3. Identificao de riscos
Introduo41

Exerccio de nivelamento 1 Identificao dos riscos41

Processo de anlise de riscos de segurana da informao41

Identificao de riscos42

Identificando os ativos43

Identificando os ativos primrios45

iv
Identificando os ativos de suporte e infraestrutura46

Exerccio de fixao 1 Identificando os ativos46

Identificando as ameaas47

Exerccio de fixao 2 Identificando as ameaas49

Identificando os controles existentes49

Roteiro de Atividades 353

Anexo B Infraestrutura55

4. Anlise de riscos: Vulnerabilidades e consequncias


Introduo 59

Exerccio de nivelamento 1 Vulnerabilidades e consequncias59

Processo de anlise de riscos de segurana da informao60

Identificando as vulnerabilidades60

Exerccio de fixao 1 Identificando vulnerabilidades63

Identificao das consequncias63

Exerccio de fixao 2 Identificando as consequncias65

Roteiro de Atividades 467

Anexo C Problemas relatados69

5. Anlise de Riscos: Avaliao das consequncias


Introduo83

Exerccio de nivelamento 1 Avaliao das consequncias83

Viso geral do processo de estimativa de risco83

Metodologias84

Metodologia de anlise qualitativa85

Metodologia de anlise quantitativa85

Exerccio de fixao 1 Metodologias86

Estimativa de riscos86

Avaliao das consequncias87

Roteiro de Atividades 589

v
6. Anlise de riscos: avaliao da probabilidade
Introduo91

Exerccio de nivelamento 1 Avaliao da probabilidade91

Viso geral do processo de avaliao de risco92

Avaliao da probabilidade de ocorrncia de incidentes92

Exerccio de fixao 1 Avaliao da probabilidade94

Determinao do nvel de risco94

Roteiro de Atividades 697

7. Avaliao de riscos
Introduo101

Exerccio de nivelamento 1 Avaliao de riscos101

Processo de avaliao de riscos de segurana da informao101

Avaliao de riscos de segurana da informao102

Exerccio de fixao 1 Avaliao de risco103

Roteiro de Atividades 7105

8. Tratamento e aceitao de riscos


Introduo107

Exerccio de nivelamento 1 Tratamento e aceitao dos riscos107

Viso geral do processo de tratamento do risco107

Tratamento do risco109

Riscos residuais111

Modificao do risco111

Reteno do risco113

Ao de evitar o risco113

Compartilhamento do risco113

Exerccio de fixao 1 Tratamento de risco114

Viso geral do processo de aceitao do risco114

Aceitando o risco115

Roteiro de Atividades 8117

vi
9. Comunicao e monitoramento dos riscos
Introduo121

Exerccio de nivelamento 1 Comunicao e consulta dos riscos121

Processo de comunicao e consulta do risco de segurana


da informao122

Comunicao e consulta do risco de segurana da informao123

Exerccio de fixao 1 Comunicao e consulta dos riscos124

Roteiro de Atividades 9125

10. Monitoramento dos riscos


Introduo127

Exerccio de nivelamento 1 Monitoramento de riscos127

Processo de monitoramento e anlise crtica de riscos de


segurana da informao127

Monitoramento e anlise crtica dos fatores de risco129

Exerccio de fixao 1 Monitoramento e anlise crtica dos riscos130

Monitoramento, anlise crtica e melhoria do processo de


gesto de riscos130

Roteiro de Atividades 10133

Concluso135

Bibliografia 137

vii
viii
Escola Superior de Redes
A Escola Superior de Redes (ESR) a unidade da Rede Nacional de Ensino e Pesquisa (RNP)
responsvel pela disseminao do conhecimento em Tecnologias da Informao e Comunica-
o (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competncias
em TIC para o corpo tcnico-administrativo das universidades federais, escolas tcnicas e
unidades federais de pesquisa. Sua misso fundamental realizar a capacitao tcnica do
corpo funcional das organizaes usurias da RNP, para o exerccio de competncias aplic-
veis ao uso eficaz e eficiente das TIC.

A ESR oferece dezenas de cursos distribudos nas reas temticas: Administrao e Projeto
de Redes, Administrao de Sistemas, Segurana, Mdias de Suporte Colaborao Digital e
Governana de TI.

A ESR tambm participa de diversos projetos de interesse pblico, como a elaborao e


execuo de planos de capacitao para formao de multiplicadores para projetos edu-
cacionais como: formao no uso da conferncia web para a Universidade Aberta do Brasil
(UAB), formao do suporte tcnico de laboratrios do Proinfo e criao de um conjunto de
cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).

A metodologia da ESR
A filosofia pedaggica e a metodologia que orientam os cursos da ESR so baseadas na
aprendizagem como construo do conhecimento por meio da resoluo de problemas tpi-
cos da realidade do profissional em formao. Os resultados obtidos nos cursos de natureza
terico-prtica so otimizados, pois o instrutor, auxiliado pelo material didtico, atua no
apenas como expositor de conceitos e informaes, mas principalmente como orientador do
aluno na execuo de atividades contextualizadas nas situaes do cotidiano profissional.

A aprendizagem entendida como a resposta do aluno ao desafio de situaes-problema


semelhantes s encontradas na prtica profissional, que so superadas por meio de anlise,
sntese, julgamento, pensamento crtico e construo de hipteses para a resoluo do pro-
blema, em abordagem orientada ao desenvolvimento de competncias.

Dessa forma, o instrutor tem participao ativa e dialgica como orientador do aluno para as
atividades em laboratrio. At mesmo a apresentao da teoria no incio da sesso de apren-
dizagem no considerada uma simples exposio de conceitos e informaes. O instrutor
busca incentivar a participao dos alunos continuamente.

ix
As sesses de aprendizagem onde se do a apresentao dos contedos e a realizao das
atividades prticas tm formato presencial e essencialmente prtico, utilizando tcnicas de
estudo dirigido individual, trabalho em equipe e prticas orientadas para o contexto de atua-
o do futuro especialista que se pretende formar.

As sesses de aprendizagem desenvolvem-se em trs etapas, com predominncia de tempo


para as atividades prticas, conforme descrio a seguir:

Primeira etapa: apresentao da teoria e esclarecimento de dvidas (de 60 a 90 minutos).


O instrutor apresenta, de maneira sinttica, os conceitos tericos correspondentes ao tema
da sesso de aprendizagem, com auxlio de slides em formato PowerPoint. O instrutor levanta
questes sobre o contedo dos slides em vez de apenas apresent-los, convidando a turma
reflexo e participao. Isso evita que as apresentaes sejam montonas e que o aluno se
coloque em posio de passividade, o que reduziria a aprendizagem.

Segunda etapa: atividades prticas de aprendizagem (de 120 a 150 minutos).


Esta etapa a essncia dos cursos da ESR. A maioria das atividades dos cursos assncrona e
realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no
livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dvidas e oferecer
explicaes complementares.

Terceira etapa: discusso das atividades realizadas (30 minutos).


O instrutor comenta cada atividade, apresentando uma das solues possveis para resolv-la,
devendo ater-se quelas que geram maior dificuldade e polmica. Os alunos so convidados a
comentar as solues encontradas e o instrutor retoma tpicos que tenham gerado dvidas,
estimulando a participao dos alunos. O instrutor sempre estimula os alunos a encontrarem
solues alternativas s sugeridas por ele e pelos colegas e, caso existam, a coment-las.

Sobre o curso
O curso apresenta os conceitos de gesto de riscos a partir da norma NBR ISO 27005.
Define conceitos e trabalha a contextualizao do ambiente, identificao e levantamento
dos riscos atravs do conhecimento das ameaas, ativos, vulnerabilidades, probabilidade
de ocorrncia e impactos. So realizados a estimativa e o clculo de risco e definido o
tratamento mais adequado. Todo o trabalho baseado em um estudo de caso, visando
consolidar o conhecimento terico. Ao final do curso o participante estar apto a realizar
uma anlise de risco qualitativa no ambiente da sua organizao.

A quem se destina
Curso direcionado a gestores, tcnicos e profissionais de informtica ou reas afins, que
esto em busca do desenvolvimento de competncias na realizao de gesto e anlise
de riscos no ambiente de tecnologias da informao e comunicao (TIC). Profissionais de
outras reas podem participar desde que possuam conhecimentos de TIC, segurana da
informao e normas ISO 27001 e 27002.

Convenes utilizadas neste livro


As seguintes convenes tipogrficas so usadas neste livro:

Itlico
Indica nomes de arquivos e referncias bibliogrficas relacionadas ao longo do texto.

x
Largura constante

Indica comandos e suas opes, variveis e atributos, contedo de arquivos e resultado da sada
de comandos. Comandos que sero digitados pelo usurio so grifados em negrito e possuem
o prefixo do ambiente em uso (no Linux normalmente # ou $, enquanto no Windows C:\).

Contedo de slide
Indica o contedo dos slides referentes ao curso apresentados em sala de aula.

Smbolo
Indica referncia complementar disponvel em site ou pgina na internet.

Smbolo
Indica um documento como referncia complementar.

Smbolo
Indica um vdeo como referncia complementar.

Smbolo
Indica um arquivo de adio como referncia complementar.

Smbolo
Indica um aviso ou precauo a ser considerada.

Smbolo
Indica questionamentos que estimulam a reflexo ou apresenta contedo de apoio ao
entendimento do tema em questo.

Smbolo
Indica notas e informaes complementares como dicas, sugestes de leitura adicional ou
mesmo uma observao.

Permisses de uso
Todos os direitos reservados RNP.
Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra.
Exemplo de citao: BEZERRA, E. K. Gesto de Riscos de TI NBR 27005. Rio de Janeiro: Escola
Superior de Redes, RNP, 2013.

Comentrios e perguntas
Para enviar comentrios e perguntas sobre esta publicao:
Escola Superior de Redes RNP
Endereo: Av. Lauro Mller 116 sala 1103 Botafogo
Rio de Janeiro RJ 22290-906
E-mail: info@esr.rnp.br

xi
Sobre o autor
Edson Kowask Bezerra profissional da rea de segurana da informao e governana
h mais de quinze anos, atuando como auditor lder, pesquisador, gerente de projeto e
gerente tcnico, em inmeros projetos de gesto de riscos, gesto de segurana da infor-
mao, continuidade de negcios, PCI, auditoria e recuperao de desastres em empresas
de grande porte do setor de telecomunicaes, financeiro, energia, indstria e governo.
Com vasta experincia nos temas de segurana e governana, tem atuado tambm como
palestrante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados
em segurana e governana. professor e coordenador de cursos de ps-graduao na rea
de segurana da informao, gesto integrada, inovao e tecnologias web. Hoje atua como
Coordenador Acadmico de Segurana e Governana de TI da Escola Superior de Redes. Pos-
sui a certificao CRISC da ISACA, alm de diversas outras em segurana e governana.

xii
1
Introduo Gesto de Riscos
Conceituar e compreender ameaas, vulnerabilidades, probabilidade e riscos;
objetivos

conhecer e utilizar a norma de gesto de riscos; identificar as atividades do


processo de gesto de riscos e os fatores crticos para o sucesso; identificar
e definir as reas necessrias para a gesto de riscos.

conceitos
Ameaas, vulnerabilidades, probabilidade, riscos, segurana da informao e gesto
de riscos.

Introduo
11 A ao e interao dos objetivos com as incertezas originam o risco, que se apresenta q
no dia a dia de toda e qualquer atividade.

11 Muitas vezes, o risco no se apresenta visvel, sendo necessrias aes para identific-lo.

11 Outras vezes, o risco fruto de aes repentinas que fogem ao controle humano,
como em eventos de causas naturais.

Nas fases do ciclo de vida de qualquer atividade humana planejada, convivemos com duas cer-
tezas bsicas: daquilo que deve acontecer (os objetivos) e o que pode acontecer (as incertezas).

A ao e interao dos objetivos com as incertezas do origem ao risco, que se apresenta no


dia a dia de toda e qualquer atividade desenvolvida. Muitas vezes, o risco no se apresenta
visvel, sendo necessrias aes para identific-lo; em outras situaes o risco proveniente
de aes repentinas que fogem ao controle do ser humano, como no caso de eventos de
causas naturais.
Captulo 1 - Introduo Gesto de Riscos

Diariamente vemos manchetes em publicaes das mais diversas reas que destacam, com
nfase, os problemas relacionados aos riscos tecnolgicos de segurana da informao: roubos
de mdias de backup e de notebooks, vazamento de nmeros de cartes de crdito, manuseio
imprprio de registros eletrnicos, roubo de identidade e quebra de propriedade intelectual.

Este captulo abordar os conceitos fundamentais para a Gesto de Riscos e apresentar a


norma ABNT NBR ISO/IEC 27005:2008 - Tecnologia da Informao Tcnicas de segurana
Gesto de riscos de segurana da informao.

1
Exerccio de nivelamento 1 e
Introduo gesto de riscos
Como voc avalia na sua organizao o processo de gesto de riscos?

Existem riscos para os trabalhos e atividades da sua organizao?

Conceitos fundamentais
11 Norma ISO Guide 73:2009 Gesto de riscos Vocabulrio q
22 Recomendaes para uso em normas.

22 Apresenta as principais terminologias para uso nas atividades de gesto de riscos.

11 Esta terminologia deve ser combinada com os termos apresentados nas normas:

22 ABNT NBR ISO/IEC 27001.

22 ABNT ISO/IEC 27002.

11 Termos apresentados nas normas:

22 Segurana da Informao.

22 Ameaa.

22 Vulnerabilidade.

22 Risco.

22 Riscos de segurana da informao.

22 Identificao de riscos.

22 Impacto.

22 Estimativa de riscos.

22 Modificao do risco.

22 Comunicao do risco.

22 Ao de evitar o risco.

22 Reteno do risco.

22 Compartilhamento do risco.

importante ter sempre em mente os seguintes conceitos:


Gesto de Riscos de TI NBR 27005

Segurana da Informao a proteo da informao de vrios tipos de ameaas, visando


garantir a continuidade do negcio, minimizar os riscos que possam compromet-lo,
maximizar o retorno sobre os investimentos e as oportunidades de negcio. A segurana
da informao obtida como resultado da implementao de um conjunto de controles,
compreendendo polticas, processos, procedimentos, estruturas organizacionais e funes
de hardware e software.

A segurana da informao obtida com a implementao de controles que devero ser


monitorados, analisados e continuamente melhorados, com o intuito de atender aos

2
objetivos do negcio, mitigando os riscos e garantindo os preceitos de segurana da organi-
zao: Confidencialidade, Integridade, Disponibilidade e Autenticidade (CIDA).

11 Ameaa todo e qualquer evento que possa explorar vulnerabilidades. q


11 Causa potencial de um incidente indesejado, que pode resultar em dano para os
sistemas, pessoas ou a prpria organizao.

11 As ameaas podem ser classificadas em:

22 Ameaas intencionais.

22 Ameaas da ao da natureza.

22 Ameaas no intencionais.

So exemplos de ameaas:

11 Erros humanos;

11 Falhas de hardware;

11 Falhas de software;

11 Aes da natureza;

11 Terrorismo;

11 Vandalismo, entre outras.

Vulnerabilidade qualquer fraqueza que possa ser explorada para comprometer a segu-
rana de sistemas ou informaes. Fragilidade de um ativo ou grupo de ativos que pode ser
explorada por uma ou mais ameaas.

Para pensar

Ameaa versus Vulnerabilidade

Entende-se que a ameaa o evento ou incidente, enquanto a vulnerabilidade


a fragilidade que ser explorada para que a ameaa se torne concreta. Ameaas
podem assumir diversas formas, como furto de equipamentos, mdia e docu-
mentos, escuta no autorizada, incndio, inundao e radiao eletromagntica,
at fenmenos climticos e ssmicos. Por exemplo, um computador cuja senha seja
do conhecimento de todos, sofre ameaas como roubo, destruio ou alterao de
informaes; a vulnerabilidade que permite que estas ameaas se concretizem
justamente a senha ser conhecida e compartilhada por todos.
Captulo 1 - Introduo Gesto de Riscos

Vulnerabilidade Ameaa

Falta de treinamento de funcionrios Erros humanos

Interrupo no servidor por queima da fonte Falha de hardware

Sistema aplicativo aceita qualquer valor nos seus campos Falha de software

Tabela 1.1 Inundao da sala em virtude das fortes chuvas Aes da natureza
Exemplos de
vulnerabilidades Exploso provocada intencionalmente no terminal de nibus Terrorismo
e ameaas.
Mquina ATM virada e pichada Vandalismo

3
Os conceitos a seguir dizem respeito s atividades aps a identificao dos riscos e relacio-
nadas ao seu tratamento.

11 Risco: combinao da probabilidade (chance da ameaa se concretizar) de um evento


indesejado ocorrer e de suas consequncias para a organizao. a incerteza resultante
da combinao da probabilidade de ocorrncia de um evento e suas consequncias.
A pergunta Qual o risco? levanta dvidas a respeito da ocorrncia de algo incerto ou
inesperado. Em segurana da informao, esta incerteza reside nos aspectos tecno-
lgicos envolvidos, nos processos executados e, principalmente, nas pessoas que em
algum momento interagem com a tecnologia e se envolvem com os processos.

11 Riscos de segurana da informao: possibilidade de uma determinada ameaa explorar


vulnerabilidades de um ativo ou de um conjunto de ativos, assim prejudicando a organizao.

11 Identificao de riscos: processo para localizar, listar e caracterizar elementos de risco.


Por menor que seja a probabilidade de ocorrncia de um risco, pode ser que determinada
incerteza ocorra e explore uma vulnerabilidade, concretizando uma ameaa. Para se pre-
parar para isso necessrio conhecer os riscos de todo o ambiente, atravs da realizao
de um processo formalizado de identificao de riscos.

11 Impacto: mudana adversa no nvel obtido dos objetivos de negcios. Consequncia ava-
liada dos resultados com a ocorrncia de um evento em particular, em que determinada
vulnerabilidade foi explorada, uma ameaa ocorreu e o risco se concretizou. Qual foi o
impacto deste evento nos negcios? Quanto se perdeu? A organizao ser responsabili-
zada? Haver multas? Aes legais sero impetradas? Haver danos de imagem?

Imagine as seguintes situaes hipotticas:

1. Em uma faculdade, um usurio com acesso s informaes dos alunos deixou sua senha
escrita num papel aps renov-la. O que pode ocorrer? Qual o impacto?

2. Em plena preparao para o vestibular de uma determinada instituio, as provas


vazaram. Qual o impacto se este vazamento ocorreu seis meses antes da realizao do
vestibular? E se ocorreu nas 48 horas que antecedem a realizao do vestibular?

Exemplos de impactos: perdas financeiras, paralisao de servios essenciais, perda de


confiana dos clientes, pane no fornecimento de energia e falhas de telecomunicaes,
entre tantos outros.

11 Estimativa de riscos: processo utilizado para atribuir valores probabilidade e conse-


quncias de um risco. A estimativa de riscos permite quantificar ou descrever de forma
qualitativa um risco, permitindo s organizaes priorizar os riscos de acordo com os
critrios estabelecidos.

11 Aes de modificao do risco: aes tomadas para reduzir a probabilidade, as conse-


quncias negativas, ou ambas, associadas a um risco.
Gesto de Riscos de TI NBR 27005

11 Comunicao do risco: troca ou compartilhamento de informaes sobre o risco entre o


tomador de deciso e outras partes interessadas.

11 Ao de evitar o risco: deciso de no se envolver ou agir de forma a mitigar uma


situao de risco.

11 Reteno do risco: aceitao do nus da perda ou do benefcio do ganho associado a um


determinado risco.

11 Compartilhamento do risco: compartilhamento com outra entidade do nus da perda


ou do benefcio do ganho associado a um risco.

4
Exerccio de fixao 1 e
Conceitos fundamentais
Durante uma apresentao sobre os conceitos de gesto de riscos para a alta direo da sua
organizao, voc foi questionado sobre duas possveis ameaas existentes e seus riscos.
Como voc responderia?

Em funo da sua resposta para a alta direo, lhe pediram para explicar os possveis
impactos relacionados a estes riscos. Como voc responderia?

Princpios da Gesto de Riscos


Princpios da gesto de riscos: q
11 A gesto de riscos cria e protege valor.

11 A gesto de riscos parte integrante de todos os processos organizacionais.

11 A gesto de riscos parte da tomada de decises.

11 A gesto de riscos aborda explicitamente a incerteza.

11 A gesto de riscos sistemtica, estruturada e oportuna.

11 A gesto de riscos baseia-se nas melhores informaes disponveis.

11 A gesto de riscos feita sob medida.

11 A gesto de riscos considera fatores humanos e culturais.

11 A gesto de riscos transparente e inclusiva.


Captulo 1 - Introduo Gesto de Riscos

11 A gesto de riscos dinmica, iterativa e capaz de reagir a mudanas.

11 A gesto de riscos facilita a melhoria contnua da organizao.

Para a gesto de riscos ser eficaz, convm que uma organizao, em todos os nveis, atenda
aos princpios descritos a seguir.

a. A gesto de riscos cria e protege valor.

A gesto de riscos contribui para a realizao demonstrvel dos objetivos e para a melhoria
do desempenho, referente segurana e sade das pessoas, conformidade legal e regula-
tria, aceitao pblica, proteo do meio ambiente, qualidade do produto, ao geren-
ciamento de projetos, eficincia nas operaes, governana e reputao.

5
b. A gesto de riscos parte integrante de todos os processos organizacionais.

A gesto de riscos no uma atividade autnoma separada das principais atividades e


processos da organizao. A gesto de riscos faz parte das responsabilidades da adminis-
trao e parte integrante de todos os processos organizacionais, incluindo o planejamento
estratgico e todos os processos de gesto de projetos e gesto de mudanas.

c. A gesto de riscos parte da tomada de decises.

A gesto de riscos auxilia os tomadores de deciso a fazer escolhas conscientes, priorizar


aes e distinguir entre formas alternativas de ao.

d. A gesto de riscos aborda explicitamente a incerteza.

A gesto de riscos explicitamente leva em considerao a incerteza, a natureza dessa incer-


teza, e como ela pode ser tratada.

e. A gesto de riscos sistemtica, estruturada e oportuna.

Uma abordagem sistemtica, oportuna e estruturada para a gesto de riscos contribui para
a eficincia e para os resultados consistentes, comparveis e confiveis.

f. A gesto de riscos baseia-se nas melhores informaes disponveis.

As entradas para o processo de gerenciar riscos so baseadas em fontes de informao, tais


como dados histricos, experincias, retroalimentao das partes interessadas, obser-
vaes, previses e opinies de especialistas. Entretanto, convm que os tomadores de
deciso se informem e levem em considerao quaisquer limitaes dos dados ou mode-
lagem utilizados, ou a possibilidade de divergncias entre especialistas.

g. A gesto de riscos feita sob medida.

A gesto de riscos est alinhada com o contexto interno e externo da organizao e com o
perfil do risco.

h. A gesto de riscos considera fatores humanos e culturais.

A gesto de riscos reconhece as capacidades, percepes e intenes do pessoal interno e


externo, que podem facilitar ou dificultar a realizao dos objetivos da organizao.

i. A gesto de riscos transparente e inclusiva.

O envolvimento apropriado e oportuno de partes interessadas e, em particular, dos toma-


dores de deciso em todos os nveis da organizao assegura que a gesto de riscos perma-
nea pertinente e atualizada. O envolvimento tambm permite que as partes interessadas
sejam devidamente representadas e tenham suas opinies levadas em considerao na
determinao dos critrios de risco.
Gesto de Riscos de TI NBR 27005

j. A gesto de riscos dinmica, iterativa e capaz de reagir a mudanas.

A gesto de riscos continuamente percebe e reage s mudanas. medida que acontecem


eventos externos e internos, o contexto e o conhecimento modificam-se, o monitoramento
e a anlise crtica de riscos so realizados, novos riscos surgem, alguns se modificam e
outros desaparecem.

6
k. A gesto de riscos facilita a melhoria contnua da organizao.

Convm que as organizaes desenvolvam e implementem estratgias para melhorar a sua


maturidade na gesto de riscos, juntamente com todos os demais aspectos da sua organizao.

Estes princpios da gesto dos riscos devem ser os norteadores desta nobre ativi-
dade no dia a dia das organizaes.

Normas de gesto de segurana e de riscos


11 Norma ABNT NBR ISO/IEC 27001:2006 q
11 Norma ABNT NBR ISO/IEC 27002:2005

A rea de segurana da informao possui um conjunto de normas para serem utilizadas


nas mais diversas organizaes, a fim de permitir uma padronizao dos requisitos e proce-
dimentos para a implementao de um SGSI.

ABNT Norma ABNT NBR ISO/IEC 27001:2006


Fundada em 1940, a
Associao Brasileira 22 Tecnologia da Informao Tcnicas de segurana Sistemas de gesto de segurana
de Normas Tcnicas o da informao Requisitos
rgo responsvel pela
normalizao tcnica 22 Apresenta e descreve os requisitos que devem ser implementados no estabeleci-
no pas, fornecendo mento de um Sistema de Gesto de Segurana da Informao (SGSI).
a base necessria ao
desenvolvimento tecno- 11 Norma ABNT NBR ISO/IEC 27002:2005
lgico brasileiro. uma 22 Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto
entidade privada, sem
fins lucrativos. de segurana da informao

22 Apresenta as melhores prticas para uma gesto adequada da segurana da informao.

Podendo ser aplicadas a qualquer ambiente de uma organizao (particularmente ao ambiente


de TI), estas normas destacam a necessidade das organizaes de possurem uma gesto de

l
riscos estruturada, com a padronizao de processos e requisitos de gesto de riscos.

Saiba mais Em 1995, a comisso de padronizao da Austrlia e Nova Zelndia lanou a primeira
norma tratando do tema: AS/NZS 4360 Gesto de Risco. Genrica, a norma estabelece um
As normas descritas
acima so apresentadas processo de gesto de riscos amplamente aceito, tendo sido atualizada em 1999 (AS/NZS
no curso Gesto de Segu- 4360:1999). Em 1996, a International Organization for Standardization (ISO) criou um grupo
rana da Informao
de trabalho baseado na AS/NZS 4360 para criar um projeto de gesto de risco, que passou
NBR 27001 e 27002,
oferecido pela Escola por diversos problemas e s foi concludo em 2009.
Superior de Redes.
ABNT NBR ISO 31000:2009 Gesto de Riscos Princpios e diretrizes: q
Captulo 1 - Introduo Gesto de Riscos

11 Norma que fornece os princpios e diretrizes genricas para qualquer indstria ou setor.

11 Criada para ser aplicada a qualquer ambiente ou organizao.

ABNT ISO GUIDE 73:2009 Gesto de Riscos Vocabulrio:

11 Norma que apresenta as definies de termos genricos relativos gesto de riscos.

11 Referncia de conceitos ligados gesto de risco.

7
ISO/IEC 31010:2009 Gesto de riscos Tcnicas de avaliao de riscos: q
11 Norma que deve ser trabalhada em apoio norma ABNT NBR ISO 31000:2009 Gesto
de Riscos Princpios e diretrizes.

11 Descreve as diversas tcnicas e ferramentas de anlise de risco, e no foi ainda tradu-


zida pela ABNT.

Em 2009 lanada pela ISO e imediatamente pela Associao Brasileira de Normas Tc-
nicas (ABNT) a norma ABNT NBR ISO 31000:2009 Gesto de Riscos Princpios e diretrizes.
Esta norma fornece os princpios e diretrizes genricas para qualquer indstria ou setor.
No mesmo ano foi lanada a norma ABNT ISO GUIDE 73:2009 Gesto de Riscos Vocabu-
lrio. Ela apresenta as definies de termos genricos relativos gesto de riscos. Quando
se pretende fazer referncia a um conceito de gesto de riscos, deve ser utilizada a defi-
nio da norma ABNT ISO GUIDE 73:2009 Gesto de Riscos Vocabulrio. Segundo a ABNT:

Este guia fornece as definies de termos genricos relativos gesto de riscos. Destina-se
a incentivar uma compreenso mtua e consistente, uma abordagem coerente na descrio
das atividades relativas gesto de riscos e a utilizao de terminologia uniforme de gesto
de riscos em processos e estruturas para gerenciar riscos.

Em 2012, foi lanada em portugus a norma ABNT NBR ISO/IEC 31010:2012 Gesto de riscos
Tcnicas para o processo de avaliao de riscos deve ser trabalhada em apoio norma
ABNT NBR ISO 31000:2009 Gesto de Riscos Princpios e diretrizes. A norma descreve as
diversas tcnicas e ferramentas de anlise de risco, fornecendo orientaes sobre a seleo
e aplicao de tcnicas sistemticas para o processo de avaliao de riscos.

Este grupo de normas da srie 31000 visa atender a qualquer tipo de ambiente de uma
organizao. Proporcionam, portanto, uma concepo ampla e genrica da gesto de riscos,
sendo aplicadas para avaliar e tratar qualquer tipo de risco corporativo. Durante o desen-
volvimento destas normas, foi publicada em 2008, pelo grupo de trabalho especfico de
tecnologia da informao, a norma ABNT NBR ISO/IEC 27005: 2008 Tecnologia da Infor-
mao Tcnicas de Segurana Gesto de riscos de segurana da informao. Esta norma
foi desenvolvida com base nos estudos da ISO 31000:2009, e portanto atende aos seus
requisitos e ao seu processo de gesto de risco. A ISO/IEC 27005 faz parte do conjunto de
normas da srie de 27000, sobre o Sistema de Gesto de Segurana da Informao (SGSI),
onde so includas ainda as normas ISO/IEC 27001 e ISO/IEC 27002. Esta norma apresenta as
melhores prticas e possibilita o aprofundamento em aspectos exclusivos da segurana da
informao, enquanto a ISO 31000 mais genrica e contempla todos os setores.

O enfoque deste curso est na norma ABNT NBR ISO/IEC 27005: 2008 Tecnologia
da Informao Tcnicas de Segurana Gesto de riscos de segurana da infor-
mao. Os conceitos, processos e atividades apresentados se adequam ao que
Gesto de Riscos de TI NBR 27005

prope a norma ABNT NBR ISO 31000:2009 Gesto de Riscos Princpios e dire-
trizes, podendo ser aplicados em qualquer outra rea que no a de TI.

8
O quadro abaixo apresenta um resumo comparativo entre estas normas:

Norma Ttulo Objetivo Observao

27001 Tecnologia da infor- Especifica os requisitos para estabelecer, Trata mais especifica-
mao Tcnicas de implementar, operar, monitorar, analisar criti- mente de diretrizes
segurana Sistemas camente, manter e melhorar um SGSI docu- e princpios para um
de gesto de segu- mentado no contexto dos riscos de negcio sistema de gesto de
rana da informao globais da organizao. Especifica requisitos segurana da infor-
Requisitos para a implementao de controles de segu- mao.
rana personalizados para as necessidades
individuais de organizaes ou de suas partes.
Cobre todos os tipos de organizao (empre-
endimentos comerciais, agncias governamen-
tais, organizaes sem fins lucrativos, entre
diversas outras).

27002 Tecnologia da infor- Estabelece diretrizes e princpios gerais para Voltada para controles
mao Tcnicas de iniciar, implementar, manter e melhorar a de segurana.
segurana Cdigo de gesto de segurana da informao. Os obje-
prtica para a gesto tivos definidos nesta norma estabelecem dire-
de segurana da infor- trizes gerais para as metas e melhores prticas
mao para a gesto da segurana da informao.

27005 Tecnologia da infor- Apresenta um sistema de gesto de riscos de Esclarece como geren-
mao Tcnicas de segurana da informao com foco em tecno- ciar riscos de segu-
segurana Gesto logia da informao. rana da informao.
de riscos de segu-
rana da informao

31000 Gesto de riscos Norma que apresenta princpios e diretrizes Editada em


Princpios e diretrizes bsicas para a gesto de riscos em geral em 2009,deste ano em
qualquer tipo de ambiente. diante as demais
normas de gesto de
riscos devem estar
alinhadas a ela.

31010 Gesto de riscos Descreve as diversas tcnicas e ferramentas Editada em 2012.


Tcnicas para o de anlise de riscos.
processo de avaliao
de riscos

GUIDE 73 Gesto de risos Apresenta as definies de termos genricos Editada em 2009.


Vocabulrio relativos gesto de riscos.

Tabela 1.2
Resumo Norma ABNT NBR ISO/IEC 27005:2008
comparativo entre
as normas. ABNT NBR ISO/IEC 27005:2008 Tecnologia da Informao Tcnicas de Segurana q
Gesto de riscos de segurana da informao

11 Apresenta as diretrizes para o gerenciamento dos riscos de segurana da informao.


Captulo 1 - Introduo Gesto de Riscos

11 Emprega os conceitos da norma ABNT NBR ISO 27001:2005.

A norma ABNT NBR ISO/IEC 27005:2008 Tecnologia da Informao Tcnicas de Segu-


rana Gesto de riscos de segurana da informao foi publicada em julho de 2008 e
apresenta as diretrizes para o gerenciamento dos riscos de segurana da informao.
Emprega os conceitos da norma ABNT NBR ISO 27001:2005, que especifica os requisitos de
sistemas de gesto da segurana da informao.

9
Esta norma descreve todo o processo necessrio para a gesto de riscos de segurana da
informao e as atividades necessrias para a perfeita execuo da gesto. Apresenta pr-
ticas para gesto de riscos da segurana da informao. As tcnicas nela descritas seguem
o conceito, os modelos e os processos globais especificados na norma ABNT NBR ISO/IEC
27001, alm de apresentar a metodologia de avaliao e tratamento dos riscos requeridos
pela mesma norma.

Partindo do princpio de que a gesto de riscos um processo cclico e contnuo, a norma


est dividida em sesses e anexos. As sesses contm as informaes do processo e das
atividades necessrias para a sua execuo. Existem 12 sesses ao todo: as sesses de 1
a 4 tratam das referncias e da estrutura da norma, e as sesses 5 e 6 apresentam a viso
geral do processo de gesto de riscos. As sesses a partir da 7 tratam especificamente do
processo de gesto de riscos. Os seis anexos so identificados de A a F e trazem informaes
adicionais e exemplos.

Nas sesses de 7 a 12 as atividades de gesto so apresentadas de acordo com a


seguinte estrutura:

11 Entrada: refere-se aos insumos e premissas necessrias para a realizao da atividade.

11 Ao: descrio da atividade, sempre acompanhada do convm.

11 Diretrizes para implementao: diretrizes necessrias para a realizao da ao, isto ,


o detalhamento de como a ao pode ser realizada. Estas diretrizes devem ser adaptadas
a cada tipo de organizao. Tambm esto acompanhadas do convm.

11 Sada: apresenta os resultados que devem ser alcanados e que vo servir para gerar evidncias.

Este curso utiliza o processo de gesto de riscos normatizado contido na norma ABNT NBR
ISO/IEC 27005.

Viso geral da gesto de riscos


11 necessria uma abordagem sistemtica de gesto de riscos que varia de organi- q
zao para organizao assim como o nvel de risco aceitvel de cada uma.

11 Risco aceitvel o grau de risco que a organizao est disposta a aceitar para con-
cretizar os seus objetivos.

11 Necessidade de aumentar a capacidade de gerir o risco e otimizar o retorno.

11 A abordagem de gesto de riscos de segurana da informao deve ser:

22 Contnua.

22 Realizada no tempo apropriado.

22 Repetitiva.

22 Prpria ao ambiente da organizao.


Gesto de Riscos de TI NBR 27005

22 Ajustada ao processo de gesto de riscos corporativos.

22 Alinhada com os requisitos de negcios.

22 Apoiada pela alta direo.

Gesto de riscos so atividades formalizadas e coordenadas para controlar e dirigir um con-


junto de instalaes e pessoas com relaes e responsabilidades, entre si e externamente,
no que se refere a riscos nos negcios sob a tica da segurana da informao.

10
Definio do contexto;

11 Anlise/Avaliao de riscos;

11 Tratamento do risco;

11 Aceitao do risco;

11 Comunicao do risco;

11 Monitoramento e anlise crtica;

11 Ciclo de melhoria contnua PDCA.

A Tabela 1.3 mostra as principais atividades de gesto de riscos da segurana da informao.

Processo do SGSI Processo de gesto de riscos de segurana da informao

11Definio do contexto
11Anlise/Avaliao de riscos
PLANEJAR
11Definio do plano de tratamento do risco
11Aceitao do risco

Tabela 1.3 EXECUTAR Implementao do plano de tratamento do risco


Principais
atividades de VERIFICAR Monitoramento contnuo e anlise crtica de riscos
gesto de riscos
Manuteno e melhoria do processo de gesto de riscos de segu-
da segurana da AGIR
rana da informao
informao.

Em seu livro Desafio aos deuses: a fascinante histria do risco, Peter Bernstein nos pre-
l senteia com uma detalhada anlise histrica da evoluo do controle e previso dos riscos
Saiba mais pela humanidade, desde a Grcia antiga. Segundo o autor, somos possuidores de elevado
potencial tcnico para a preveno das perdas e ganhos, mesmo que o comportamento dos
Dica de leitura:
BERNSTEIN, Peter. agentes seja imprevisvel. Nas suas palavras: ... acontea o que acontecer e apesar de todos
Desafio aos deuses: a fas- os nossos esforos, os seres humanos no possuem o conhecimento completo sobre as leis
cinante histria do risco.
que definem a ordem do mundo objetivamente existente. Portanto, o autor nos desquali-
Editora Campus, 1997.
fica como previsores perfeitos do futuro.

Bernstein diz ainda que Quando investidores compram aes, cirurgies realizam opera-
es, engenheiros projetam pontes, empresrios abrem seus negcios e polticos concorrem
a cargos eletivos, o risco um parceiro inevitvel. Contudo, suas aes revelam que o risco
no precisa ser to temido: administrar o risco sinnimo de desafio e oportunidade.
O risco faz parte de nosso cotidiano, de modo que precisamos conhec-lo para poder trat-
-lo e dele extrair novas oportunidades.

inquestionvel a importncia do papel que a tecnologia da informao exerce na socie-


Captulo 1 - Introduo Gesto de Riscos

dade para que esta alcance seus objetivos. A integrao do ambiente tecnolgico, caracte-
rizado pela complexidade e interdependncia, produz contextos muitas vezes hostis que
propiciam ataques cada vez mais frequentes segurana da informao, exigindo respostas
cada vez mais rpidas das organizaes. A este quadro vm somar-se novas obrigaes
legais, de proteo de privacidade e governana corporativa, gerando a necessidade das
organizaes gerenciarem mais efetivamente sua infraestrutura de tecnologia.

Para enfrentar estas novas ameaas e demandas as organizaes devem desenvolver uma
atitude proativa, antecipando-se em conhecer suas fraquezas e vulnerabilidades. Isto pode
ser obtido atravs da adoo de um processo formal de gerenciamento de riscos de segu-
rana da informao, que permita organizao estabelecer um nvel aceitvel de risco.

11
Para isso necessria uma abordagem sistemtica de gesto de riscos, que ir variar de
acordo com o negcio de cada organizao, assim como o nvel de risco aceitvel estabele-
cido pela direo de cada organizao.

Risco aceitvel o grau de risco que a organizao est disposta a aceitar para a
concretizao dos seus objetivos estratgicos.

Exerccio de fixao 2 e
Viso geral
Na sua organizao, qual seria o risco aceitvel na realizao das suas atividades? Explique.

Aumentar a capacidade de gerir o risco e otimizar o retorno so aes integrantes de uma


abordagem sistmica, que proporciona um processo formal para a melhoria da capacidade
de identificao e avaliao dos riscos. Esta abordagem deve estar de acordo com os obje-
tivos da organizao, atendendo s suas necessidades especficas de acordo com os requi-
sitos de segurana da informao. Para isso, a abordagem de gesto de riscos de segurana
da informao deve ser:

11 Contnua;

11 Realizada no tempo apropriado;

11 Repetitiva;

11 De acordo com o ambiente da organizao;

11 Ajustada ao processo de gesto de riscos corporativos;

11 Alinhada com os requisitos de negcios;

11 Apoiada pela alta direo.

Partindo do conceito amplo de que o processo de gesto composto de atividades coordenadas


e formalizadas para controlar e dirigir uma organizao formada por suas instalaes e pessoal,
com relaes e responsabilidades entre si e com agentes externos , pode-se inferir que a gesto
de riscos composta de atividades formalizadas e coordenadas para controlar e dirigir um
conjunto de instalaes e pessoas com relaes e responsabilidades, entre si e com o ambiente
externo, no que se refere a riscos nos negcios sob a tica da segurana da informao.
Gesto de Riscos de TI NBR 27005

12
A Figura 1.1 apresenta uma viso do processo de gesto de riscos de segurana da infor-
mao segundo a norma ABNT NBR ISO/IEC 27005.

DEFINIO DO CONTEXTO

PROCESSO DE AVALIAO DE RISCOS

MONITORAMENTO E ANLISE CRTICA DE RISCOS


IDENTIFICAO DE RISCOS
COMUNICAO E CONSULTA DO RISCO

ANLISE DE RISCOS

AVALIAO DE RISCOS

PONTO DE DECISO 1 No
Avaliao satisfatria
Sim

TRATAMENTO DO RISCO

PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim
Figura 1.1
Processo de
ACEITAO DO RISCO
gesto de riscos
de segurana da
informao. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES

O processo tem seis grandes grupos de atividades:

11 Definio do contexto;

11 Anlise/Avaliao de riscos;

11 Tratamento do risco;

11 Aceitao do risco;

11 Comunicao do risco;
Captulo 1 - Introduo Gesto de Riscos

11 Monitoramento e anlise crtica.

Como pode ser visto na Figura 1.1, o ciclo de vida da gesto de riscos de segurana da infor-
mao iterativo, onde a gesto se desenvolve de maneira incremental, atravs de uma
sucesso de iteraes, e cada iterao libera uma entrega (sada) para a seguinte, minimi-
zando tempo e esforo.

Definio do contexto
Dentro do processo, a definio do contexto responsvel pela definio do ambiente,
escopo, critrios de avaliao, entre outras definies.

13
Esta etapa essencial para a equipe que realiza a gesto de risco conhecer todas as infor-
maes sobre a organizao.

Anlise/Avaliao de riscos
A prxima iterao de anlise e avaliao de risco, que permitir a identificao dos riscos
e a determinao das aes necessrias para reduzir o risco a um nvel aceitvel.

Tratamento do risco
A partir dos resultados obtidos na anlise e avaliao do risco so definidos os controles
necessrios para o tratamento do risco. A norma ABNT NBR ISO/IEC 27001 especifica os
controles que devero ser implementados.

Aceitao do risco
Assegura os riscos aceitos pela organizao, ou seja, os riscos que por algum motivo no
sero tratados ou sero tratados parcialmente. So os chamados riscos residuais, cujo
enquadramento nesta categoria dever ser justificado.

Comunicao do risco
Nesta etapa feita a comunicao do risco e da forma como ser tratado, para todas as
reas operacionais e seus gestores.

Monitoramento e anlise crtica


So as atividades de acompanhamento dos resultados, implementao dos controles e de
anlise crtica para a melhoria contnua do processo de gesto de riscos.

Todas estas etapas sero detalhadas nas prximas sesses.

A norma ABNT NBR ISO/IEC 27001 especifica que os controles implementados no escopo,
limites e contexto do Sistema de Gesto de Segurana da Informao (SGSI) devem estar
baseados no risco. Este requisito deve ser atendido atravs da aplicao do processo de
gesto de riscos de segurana da informao.

No ambiente de um SGSI, a definio do contexto, a anlise e avaliao de riscos, o desen-


volvimento do plano de tratamento do risco e a aceitao do risco fazem parte da fase Pla-
nejar do ciclo de melhoria contnua PDCA. J a fase Executar do SGSI a implementao
de controles para conduzir os riscos ao nvel aceitvel pela organizao. A fase Verificar
do SGSI, por sua vez, inclui as aes de reviso. Finalmente, a fase Agir compreende as
aes necessrias para execuo, incluindo a reaplicao do processo de gesto de riscos de
segurana da informao.

Podemos resumir da seguinte forma as principais atividades de Gesto de riscos de segu-


rana da informao:
Gesto de Riscos de TI NBR 27005

Processo do SGSI Processo de gesto de riscos de segurana da informao

Definio do contexto
Anlise/Avaliao de riscos
PLANEJAR
Definio do plano de tratamento do risco
Aceitao do risco

EXECUTAR Implementao do plano de tratamento do risco

14
Processo do SGSI Processo de gesto de riscos de segurana da informao

VERIFICAR Monitoramento contnuo e anlise crtica de riscos

Manuteno e melhoria o processo de Gesto de Riscos de Segu-


AGIR
rana da Informao

PLA
NE
I R J AR
AG

Manuteno Denio
e melhoria do contexto
do processo

PL A
AR

NE J A
VERI FIC

Monitoramento Anlise/Avaliao

R
e anlise de riscos
crtica

Implementar Denio
o plano de do plano de
tratamento tratamento

LA P
N
R

Aceitao

EJ
TA

AR
do risco
U

EC
Figura 1.2 EX
Processo de gesto
de riscos e o P L ANE JAR
modelo PDCA.

Exerccio de fixao 3 e
PDCA
Explique como a fase planejar (PDCA) do processo do SGSI executado no processo de
gesto de riscos de segurana da informao.

Fatores crticos para o sucesso


q
Captulo 1 - Introduo Gesto de Riscos

11 Reduo das surpresas operacionais e prejuzos.

11 Identificao de oportunidades de crescimento e melhorias.

11 Racionalizao do capital estabelecendo uma ordem de prioridades de investimento.

11 Pr-atividade com o uso dos recursos computacionais nos negcios.

11 Envolvimento e participao da alta direo no processo.

11 Comunicao e treinamento.

11 Definio de objetivos.

11 Papis e responsabilidades definidos.

11 Integrao com as atividades de gesto de segurana da informao.

15
A gesto de riscos de segurana da informao implementada pelas organizaes na
busca por vantagens competitivas para os negcios. fundamental demonstrar, para as
partes interessadas, uma postura de segurana na gesto dos riscos relacionados pro-
teo dos ativos e informaes.

Os fatores crticos para o sucesso esto relacionados aos benefcios que devem ser alcan-
ados pelas organizaes, a depender da natureza de cada organizao. Para atingir tais
benefcios preciso realizar as etapas que envolvem os fatores crticos para o sucesso.
Como exemplos destes fatores podemos mencionar os listados a seguir.

Envolvimento e participao da alta direo no processo


essencial para o sucesso de qualquer projeto que a direo esteja envolvida e comprometida
com o seu desenvolvimento e sucesso de acordo com os objetivos estratgicos definidos.

Comunicao e treinamento
Todo o processo precisa ser comunicado a todas as partes envolvidas antes do seu incio,
durante o seu desenvolvimento e aps sua concluso, com a apresentao dos resultados
alcanados e metas atingidas. Em um processo de gesto de riscos todos os participantes
devem ser envolvidos, e para isso necessria a realizao de campanhas de conscienti-
zao e treinamentos.

Definio de objetivos
O estabelecimento de objetivos contribui decisivamente com o alcance das metas da gesto
de riscos.

Papis e responsabilidades definidas


Todos os integrantes das partes envolvidas devem conhecer as suas atribuies e responsa-
bilidades durante todo o processo de gesto de riscos de segurana da informao.

Integrao com a gesto de segurana da informao


As atividades de gesto de riscos devem estar totalmente integradas s atividades do SGSI.

No desenvolvimento deste curso sero explorados os fatores crticos de sucesso perten-


centes a cada etapa da gesto de riscos de segurana da informao.

reas de conhecimento necessrias


Os profissionais envolvidos nas atividades de anlise de risco possuem um perfil com q
conhecimento em diversas reas:

11 Tcnico.

11 Negcios.
Gesto de Riscos de TI NBR 27005

11 Legislao.

11 Processos.

Para a melhor aplicao do processo de gesto de riscos, importante que os profissionais


envolvidos possuam um perfil com conhecimento de reas diversas, permitindo a identifi-
cao das ameaas e vulnerabilidades em qualquer ambiente organizacional.

Na equipe encarregada da realizao da anlise de risco preferencialmente devem ser


encontrados os seguintes perfis:

16
11 Tcnico: contribui no atendimento das demandas das diversas reas tcnicas da organi-
zao, incluindo as reas de hardware, software, sistemas operacionais, infraestrutura e
aplicaes web, entre outras.

11 Negcios: auxilia a equipe no entendimento preciso dos negcios da organizao e seus


mltiplos processos, alm de ter importncia no clculo dos impactos.

11 Legislao: perfil voltado ao entendimento dos aspectos legais e normativos com os


quais a organizao analisada necessita se alinhar.

11 Processos: permite a compreenso dos processos e atravs de sua anlise identifica pos-
sveis ameaas e vulnerabilidades, contribuindo com a elaborao de planos de gesto e
tratamento de riscos.

Estes so alguns exemplos de perfis ou conhecimentos necessrios para a anlise de risco.


O tipo da organizao e seus objetivos de negcios indicaro os perfis realmente importantes
para compor a equipe de trabalho. No existe a necessidade de um profissional para cada
perfil citado, pois os conhecimentos podem ser encontrados em um mesmo profissional.
A quantidade de profissionais alocados ser determinada pelo escopo da anlise e prazo.

Leitura complementar
11 Sesses 4, 5 e 6 da norma ABNT NBR ISO/IEC 27005.

11 Item 4 da Norma Complementar Gesto de Riscos de Segurana da Informao e Comuni-


caes GRSIC, do DSIC/GSI/PR: http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf

11 Enterprise Risk Management: Past, Present and Future:


http://www.casact.org/education/erm/2004/handouts/kloman.pdf

11 Interdisciplinary Risk Management:


http://www.riskinfo.com/rmr/rmrjun05.htm

11 Quatro dicas para uma gesto de riscos eficiente:


http://cio.uol.com.br/gestao/2009/07/03/quatro-dicas-para-a-boa-gestao-de-riscos/

11 AS/NZS 4360:
http://www.standards.org.au/

11 Histria da AS/NZS 4360:


http://www.riskinfo.com/rmr/rmrsept00.htm

Captulo 1 - Introduo Gesto de Riscos

17
18
Gesto de Riscos de TI NBR 27005
Roteiro de Atividades 1
Atividade 1.1 Conhecendo os conceitos
Para cada conceito a seguir, explique e apresente um exemplo baseado na organizao em
que voc trabalha. Justifique sua resposta:

Conceito Definio Exemplo Justificativa

Riscos de segurana
da informao

Identificao de riscos

Impacto

Compartilhamento do
risco

Evitar o risco

Comunicao do risco

Estimativa do risco

Tratamento do risco

Aceitao do risco

Atividade 1.2 Conhecendo a norma


Descreva como est organizada a norma ABNT NBR ISO/IEC 27005, citando suas sesses.

Explique como esto estruturadas as atividades das sesses 7 a 12 da norma


ABNT NBR ISO/IEC 27005.
Captulo 1 - Roteiro de Atividades

19
Atividade 1.3 Identificando o processo
Descreva a sequncia das etapas do processo de gesto de riscos.

Atividade 1.4 Fatores crticos


O que a gesto de riscos de segurana da informao e como ela se aplica na sua organizao?

Quais so os fatores crticos de sucesso? D exemplos baseados na sua organizao.

Em sua opinio qual a importncia de entendermos a gesto de risco para o exerccio das
nossas atividades cotidianas?

O que foi aprendido


Gesto de Riscos de TI NBR 27005

11 Conceito de gesto de risco. q


11 Viso geral da gesto de risco.

11 Fatores crticos de sucesso.

20
2
Contexto da gesto de riscos
objetivos

Conceituar e definir o contexto do ambiente da gesto de riscos; identificar o escopo


e as atividades de definio de critrios no processo de gesto de riscos.

conceitos
Contexto, escopo, limites e critrios.

Introduo
Ao iniciar qualquer tipo de trabalho, a primeira atividade a ser feita conhecer o ambiente em
que o trabalho ser desenvolvido, as pessoas que de alguma forma iro interagir, o que ser
desenvolvido; em resumo, conhecer o terreno para saber conduzir o andamento dos trabalhos.

Nas atividades que envolvem gesto de riscos de segurana da informao a definio do con-
texto a parte inicial e tem como objetivo permitir o conhecimento do ambiente da organizao.

Exerccio de nivelamento 1 e
Contexto
No seu entendimento qual o contexto atual da sua organizao?

Captulo 2 - Contexto da gesto de riscos

Processo de gesto de riscos de segurana da informao


11 Conhecer a sequncia das fases da gesto de riscos. q
11 Ter acesso a toda a documentao da organizao.

Na sesso anterior foi apresentada a viso geral do processo de gesto de riscos. neces-
srio que o conhecimento da sequncia das fases do processo faa parte do dia a dia dos
profissionais envolvidos com a gesto de riscos.

21
DEFINIO DO CONTEXTO

PROCESSO DE AVALIAO DE RISCOS

MONITORAMENTO E ANLISE CRTICA DE RISCOS


IDENTIFICAO DE RISCOS
COMUNICAO E CONSULTA DO RISCO

ANLISE DE RISCOS

AVALIAO DE RISCOS

PONTO DE DECISO 1 No
Avaliao satisfatria
Sim

TRATAMENTO DO RISCO

PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim

ACEITAO DO RISCO
Figura 2.1
Definio do
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES contexto.

Para realizar esta atividade, os profissionais devero ter acesso a toda documentao sobre a
organizao, permitindo assim o amplo conhecimento sobre as especificidades da organizao.

Contexto
necessrio entender o significado conceitual de contexto e sua aplicao na gesto de
riscos. Ao buscar o seu significado nos dicionrios, encontra-se, entre outras definies,
que contexto um substantivo masculino que significa inter-relao de circunstncias que
acompanham um fato ou uma situao.

Assim, ao nos referirmos a contexto queremos na verdade tratar da totalidade de circunstn-


cias que possibilitam, condicionam ou determinam a realizao de um texto, projeto, ativi-
dade ou mesmo de um evento de segurana da informao. Em outras palavras, contexto o
Gesto de Riscos de TI NBR 27005

conjunto de circunstncias que se relacionam de alguma forma com um determinado aconteci-


mento. a situao geral ou o ambiente a que est sendo referido um determinado assunto.

Chamamos de contextualizao a atividade de mapear todo o ambiente que envolve


o evento em anlise. No processo de gesto de riscos esta a primeira atividade a
ser desempenhada.

22
Segundo a norma ABNT NBR ISO 31000:2009 o contexto pode ser analisado sob dois aspectos:

11 Contexto Externo: o ambiente externo no qual a organizao se situa e busca atingir q


seus objetivos (ambiente cultural, financeiro, regulatrios, tecnolgico, econmico,
competitivo, entre outros).

11 Contexto Interno: o ambiente interno no qual a organizao busca atingir seus


objetivos (governana, estrutura organizacional, polticas, objetivos, capacidades,
sistemas de informao, cultura organizacional, normas, diretrizes, entre outras).

Estabelecimento do contexto
De acordo com a norma ABNT NBR ISO/IEC 31000, no momento em que a organizao q
estabelece seu contexto ela:

11 Articula seus objetivos.

11 Define parmetros internos e externos.

11 Define o escopo e os critrios de risco para todo o processo de gesto de riscos.

De acordo com a norma ABNT NBR ISO/IEC 31000, no momento que a organizao estabe-
lece seu contexto ela articula seus objetivos, definindo parmetros internos e externos que
devem ser levados em considerao para gerenciar o risco, e define o escopo e os critrios
de risco para todo o processo de gesto de riscos.

Contexto da norma ABNT NBR ISO/IEC 27005


Seo 7 da ABNT NBR ISO/IEC 27005: trata as atividades desenvolvidas durante a fase q
de contexto da gesto de riscos.

11 Apresentaes da organizao.

11 Entrevistas.

11 Questionrios:

22 Seo 7.1 Consideraes iniciais.

22 Seo 7.2 Critrios bsicos.

22 Seo 7.3 Escopo e limites.

22 Seo 7.4 Organizao para gesto de riscos de segurana da informao.

11 Anexo A Informativo.

A seo 7 da norma ABNT NBR ISO/IEC 27005 trata das atividades que devem ser desen-
volvidas durante a fase de contexto da gesto de riscos. Essas atividades devem ser
desenvolvidas pela equipe responsvel pela gesto de riscos, sendo realizadas por meio de
Captulo 2 - Contexto da gesto de riscos

interaes com os profissionais da organizao avaliada atravs de:

11 Apresentaes da organizao;

11 Entrevistas com diretores, gerentes, tcnicos e usurios;

11 Questionrios.

A seo 7 desta norma est organizada da seguinte forma:

11 Seo 7.1 Consideraes iniciais: finalidade de realizar a contextualizao;

11 Seo 7.2 Critrios bsicos: critrios de avaliao;

23
11 Seo 7.3 Escopo e limites: importncia da definio do escopo e os limites da gesto
de riscos;

11 Seo 7.4 Organizao para gesto de riscos de segurana da informao: organizao


e responsabilidades do processo de gesto de riscos;

11 Anexo A Informativo: detalhes para a definio do escopo e restries que podem


impactar nos trabalhos.

Definindo o contexto
11 Suporte a SGSI. q
11 Conformidade legal.

11 Plano de continuidade de negcios.

11 Plano de resposta a incidentes.

Ao iniciar o trabalho de gesto de riscos deve-se primeiramente fazer um levantamento de


todas as informaes relevantes sobre o ambiente onde ser executada a anlise de riscos.
Deve estar claro ainda o entendimento sobre as atividades da organizao e os propsitos
que a levaram gesto de riscos de segurana da informao.

So exemplos destes propsitos:

11 Suporte a SGSI: a organizao optou por implementar um SGSI e para isso deve realizar
a gesto de risco de segurana da informao como requisito obrigatrio.

11 Conformidade legal: atendimento a uma determinao legal ou normatizadora.


Ex: bancos, operadoras de carto de crdito.

11 Plano de Continuidade de Negcios: necessrio para a preparao do plano que visa


estruturar o modo como a organizao enfrentar um evento catastrfico. Para que no
ocorra um impacto significativo ao negcio necessria a realizao do processo de
gesto de riscos.

11 Plano de resposta a incidentes: para que a organizao possa ter seu plano de res-
postas a incidentes necessrio o conhecimento de seus riscos e vulnerabilidades.

De modo geral, o entendimento dos propsitos da implantao da gesto de riscos possibi-


lita uma viso da importncia desta atividade para os negcios da organizao. Na norma
ABNT NBR ISO/IEC 27005 o propsito faz parte das diretrizes para implementao da ativi-
dade de definio do contexto: vide 7.1 Consideraes gerais.

Itens para identificao


Ao analisar o ambiente da organizao, a equipe de analistas deve identificar os elementos
Tabela 2.1
que caracterizam a organizao e contribuem para o seu desenvolvimento. Na anlise da Itens para anlise
organizao devem constar pelo menos os seguintes itens: da organizao.
Gesto de Riscos de TI NBR 27005

Itens para identificao Exemplo de questionamentos

Propsito principal da
Qual a finalidade da empresa? Quais seus objetivos?
organizao

O negcio Qual o seu negcio? Qual a finalidade do que produzido / desenvolvido?

A misso Qual a sua misso? Para que ela existe? O que ela se prope a fazer? Para quem?

24
Itens para identificao Exemplo de questionamentos

A viso de futuro Qual sua viso de futuro? O que se espera dela no tempo?

Os valores Quais os seus valores? Como eles so evidenciados?

Como ela est organizada e estruturada? E a segurana das informaes?


A estrutura organizacional
E as responsabilidades pela segurana?

Qual o seu organograma? Quem quem e em que setor trabalha?


O organograma
H rea de segurana da informao?

As estratgias Quais so as suas principais estratgias de negcios? E de segurana da informao?

Os produtos Quais so os seus produtos? Qual o principal produto de alavancagem dos negcios?

Quem so seus parceiros? Como so escolhidos? Como contribuem? Como o


Os parceiros relacionamento da segurana da informao com eles? Quais as obrigaes da
segurana da informao?

Quem so os terceiros? Como so escolhidos? Como contribuem? Como o rela-


Os terceiros cionamento da segurana da informao com eles? Como o contrato? Quais as
obrigaes da segurana da informao?

Como est dividida a organizao? Onde esto os servidores? H algum mecanismo


As instalaes
de preveno de incndio? Como feita a proteo fsica? Como so os acessos?

Como so contratados? H treinamento de segurana da informao?


Os funcionrios
Como so contratados?

Exerccio de fixao 1 e
Definindo o contexto
Qual a finalidade da sua organizao? Explique.

Qual deve ser um dos propsitos que devem levar a gesto de riscos de segurana da infor-
Captulo 2 - Contexto da gesto de riscos

mao na sua organizao? Justifique.

25
Definindo escopo e limites
11 Escopo descrio dos limites do projeto, sua abrangncia, seus resultados e q
entregas. a finalidade da gesto de riscos.

11 Devem ser considerados:

22 Os objetivos e polticas da organizao.

22 Estrutura e funes da organizao.

22 Processos de negcios.

22 Ativos.

22 Expectativas.

22 Restries.

11 As restries afetam a organizao e determinam o direcionamento da segurana


da informao.

11 Algumas destas restries podem causar impactos no escopo e a equipe tem que
estar preparada para identific-las e determinar a influncia que tero no escopo.
Exemplos de restries:

22 Restries tcnicas.

22 Restries financeiras.

22 Restries ambientais.

22 Restries temporais (tempo um fator determinante).

22 Restries organizacionais.

11 O anexo A da norma ABNT NBR ISO/IEC 27005 apresenta e detalha estas restries.

11 Exemplos de escopo e limites:

22 Uma aplicao de TI.

22 A infraestrutura de TI.

22 Um processo de negcio.

22 O departamento de TI.

22 Uma filial.

22 O sistema de internet banking de uma instituio financeira.

22 O servio de e-mail da organizao.

22 O processo de controle de acesso fsico da organizao.

22 O datacenter da organizao.

22 A infraestrutura que atende aos servios ADSL de uma operadora.

22 O servio de callcenter.
Gesto de Riscos de TI NBR 27005

22 O sistema logstico de distribuio de provas de concurso pblico nacional.

22 A intranet da organizao.

Para lidar com a complexidade da definio do escopo, recomendvel escrev-la


por tpicos, tendo a certeza de que todos os pontos foram includos e que no
existem dvidas, principalmente entre o entendimento da equipe de gesto de
riscos e a organizao.

26
importante que a organizao defina o escopo e os limites da gesto de riscos de segurana
da informao. Mas o que escopo?

Escopo a maneira como so descritos os limites do projeto, sua abrangncia, seus resul-
tados e suas entregas. a finalidade, o alvo, o intento ou propsito da gesto de riscos. Se
o escopo for nebuloso, ou deixar margem para interpretao, ser difcil para a equipe de
gesto de riscos identificar os limites do seu trabalho. Portanto, o escopo deve ser claro,
bem definido e entendido pela equipe de trabalho e pela organizao. Desta forma, com
o escopo e os limites identificados, a equipe de anlise e a organizao estaro aptos a
levantar os ativos, pessoas, processos e instalaes que sero envolvidas na atividade de
anlise e avaliao dos riscos.

Ao definir o escopo, a organizao dever levar em conta os objetivos que devem ser alcanados
com a anlise/avaliao (propsitos). Para isso devem ser considerados:

11 Os objetivos e polticas da organizao;

11 Estrutura e funes da organizao;

11 Processos de negcios;

11 Ativos;

11 Expectativas;

11 Restries.

importante considerar as restries que afetam a organizao e determinam o direciona-


mento da segurana da informao. Algumas destas restries podem causar impactos no
escopo, de modo que a equipe precisa estar preparada para identific-las e determinar a
influncia que tero no escopo. Alguns exemplos de restries:

11 Restries tcnicas;

11 Restries financeiras;

11 Restries ambientais;

11 Restries temporais (tempo um fator determinante);

11 Restries organizacionais.

Existem muitas outras restries, que iro variar em funo do tipo ou do negcio da orga-
nizao, assim como tambm ir variar a influncia destas restries na gesto de riscos.
O anexo A da norma ABNT NBR ISO/IEC 27005 apresenta e detalha estas restries, sendo
uma leitura obrigatria para um melhor entendimento. Estes so apenas alguns exemplos
bem objetivos. preciso avaliar a complexidade do escopo e fazer um detalhamento dos
seus objetivos, para que no haja dvida a respeito da sua amplitude.
Captulo 2 - Contexto da gesto de riscos

Exerccio de fixao 2 e
Definindo o escopo e limites
Quais propsitos devem ser considerados na sua organizao para definio do escopo?
Justifique.

27
Cite uma restrio tcnica e uma restrio organizacional possvel de existir na sua
organizao? Justifique.

Critrios para avaliao de riscos


11 Os critrios fazem parte do mtodo da gesto de riscos. q
11 Os critrios so a forma e o valor (pesos) com que os riscos e impactos sero valorados.

A palavra critrio, do grego kritrion pelo latim critrio, significa estabelecer um padro que
serve de base para que coisas e pessoas possam ser comparadas e julgadas.

Os critrios para avaliao de riscos servem para avaliar os riscos de segurana e


devem considerar:

11 O valor estratgico do processo;

11 A criticidade dos ativos;

11 O histrico de ocorrncias de eventos de segurana;

11 O valor do ativo para o processo;

11 A probabilidade de ocorrncias e outros, de acordo com a organizao e escopo.

Os critrios tambm sero utilizados para definir as prioridades para o tratamento dos riscos.

Exemplo:

Em um ambiente que possui uma sala usada como depsito de papel e com um precrio
sistema de preveno e combate a incndios, o risco de um incndio pode ser ALTO.

No desenvolvimento dos critrios importante que:

1. Definir a quantidade de nveis necessrios para o critrio;

2. Definir o nome do nvel;

3. Definir os valores de cada nvel;

4. Fazer uma descrio detalhada de cada nvel. Colocar o mximo de informaes do que
abrange aquele nvel a fim de permitir que qualquer outra pessoa possa entender cada
nvel do critrio e aplica-lo de forma igualitria e uniforme.
Gesto de Riscos de TI NBR 27005

Critrios de impacto
Impacto a mudana adversa no nvel obtido nos objetivos de negcios. Os critrios de
impacto servem para mensurar o montante dos danos ou custos organizao causados
pela ocorrncia de um evento de segurana da informao. Geralmente esto relacionados
a perdas financeiras. Devem considerar, entre outros:

11 O comprometimento das operaes;

11 O descumprimento de prazos;

11 Os danos de reputao e imagem;

28
11 Violaes de requisitos legais e regulatrios;

11 Severidade e criticidade;

11 O comprometimento da confidencialidade, integridade e disponibilidade;

11 Outros, de acordo com a organizao e escopo.

Exemplo
Se na ocorrncia de um incndio os prejuzos foram apenas locais, restritos a uma sala, o
impacto pode ser classificado como BAIXO. Na situao do incndio ter se alastrado, e no
ter sido possvel control-lo, de modo a ter destrudo diversas salas, equipamentos e docu-
mentos importantes, o impacto pode ser classificado como ELEVADO.

Critrios para aceitao do risco


Servem para a organizao definir o seu nvel ou a sua escala de aceitao dos riscos.
Dependem das polticas, metas e objetivos da organizao, sendo definidos com a partici-
pao da alta direo da organizao. Devem considerar:

11 Aspectos legais e regulatrios;

11 Finanas;

11 Aspectos sociais;

11 Repercusso na imagem;

11 Aspectos operacionais;

11 Negcios;

11 Tecnologias.

11 Outros, de acordo com a organizao e planejamento futuro dos negcios.

Exemplo:

A empresa definiu que todo risco MUITO BAIXO que possuir IMPACTO BAIXSSIMO ou que
possa causar perdas financeiras abaixo de R$ 10 mil ser classificado como RISCO ACEITVEL
e no ser tratado com prioridade.

Exemplos de critrios:

Nvel Definio

Frequente > 0,92

Provvel > 0,65 e < = 0,92

Ocasional > 0,39 e < = 0,65


Captulo 2 - Contexto da gesto de riscos

Tabela 2.2 Remoto > 0,15 e < = 0,39


Exemplo de critrio
de probabilidade. Improvvel > = 0 e < =0,15

Valor Definio

1 Apenas na rede local.

Tabela 2.3 2 Restringe-se ao setor, departamento ou gerncia.


Exemplo de critrio
de abrangncia. 3 Atinge parte do site onde est o ativo.

29
Valor Definio

4 As consequncias incidem sobre todo o site/filial onde est o ativo.

5 O ativo tem consequncias sobre toda a organizao.

Nvel de risco Valor Descrio

Extremo 5 De acordo com a organizao

Altssimo 4 De acordo com a organizao

Alto 3 De acordo com a organizao

Mdio 2 De acordo com a organizao

Baixo 1 De acordo com a organizao Figura 2.4


Exemplo de critrio
Irrelevante 0,5 De acordo com a organizao
de nvel de risco.

Outro ponto importante a definio dos critrios (7.2 Critrios bsicos). Os critrios fazem
parte do mtodo com o qual ser feita a gesto de riscos. Em outras palavras, os critrios so a
forma e o valor (pesos) com que sero valorados os riscos e os impactos. Para identificar o maior
ou menor risco, e o mais alto ou mais baixo impacto, preciso definir os critrios. Critrio um
padro que serve de base para que coisas e pessoas possam ser comparadas e julgadas.

A definio de critrios de risco envolve decidir sobre: q


11 A natureza e os tipos de consequncias a serem includos e a forma como sero
medidos.

11 A maneira pela qual as probabilidades sero representadas.

11 O modo como um nvel de risco ser determinado.

11 Os critrios que nortearo a deciso pelo tratamento do risco.

11 Os parmetros para definir quando um risco aceitvel e/ou tolervel.

11 Se as combinaes de riscos sero tomadas em considerao.

Os critrios podem ser baseados em fontes como:

11 Os objetivos acordados do processo;

11 Os critrios identificados no caderno de encargos;

11 As fontes de dados;

11 Critrios geralmente aceitos pela indstria, como nveis de integridade, segurana


(melhores prticas);

11 O apetite de risco da organizao;


Gesto de Riscos de TI NBR 27005

11 Os requisitos legais cumpridos pela organizao;

11 Outros atravs de informaes tcnicas de equipamentos especficos ou aplicaes.

Os critrios a serem adotados devem ser determinados em comum acordo entre a equipe
de gesto de riscos e a organizao. Caso a organizao j possua critrios para outros sis-
temas de gesto, estes podero ser adaptados a depender da demanda, facilitando o enten-
dimento dos critrios de gesto de riscos por parte da organizao, pois sero semelhantes
aos j utilizados por outros sistemas de gesto implementados.

30
Nvel de risco Valor Descrio

11No ocorrem leses, mortes na fora de trabalho e/ou de pessoas


externas empresa. Podem ocorrer casos de primeiros socorros ou
tratamento mdico (sem afastamento).
Desprezvel 1
11Sem danos ou com danos insignificantes aos equipamentos e/ou
instalaes.
11Os sistemas de TI ficaram fora de operao por at 5 minutos.

11Leses leves na fora de trabalho, ausncia de leso.


Levemente 11Danos leves aos equipamentos ou instalaes, controlveis e/ou de
2
prejudicial baixo custo de reparo.
11Os sistemas de TI ficaram fora de operao por at 30 minutos.

11Leses de gravidade moderada na fora de trabalho ou em pessoas


externas empresa.
11Leses leves em pessoas externas empresa. Danos severos a
Prejudicial 3 equipamentos e/ou instalaes.
11Os sistemas de TI ficaram fora de operao acima de 30 minutos.
Emisso de nota fiscal por sistema alternativo. Necessidade de recu-
perar backup.

11Provoca morte ou leses graves em uma ou mais pessoas (na fora d


e trabalho e/ou em pessoas externas empresa).
Extremamente 11Danos irreparveis a equipamentos ou instalaes (reparao lenta
5
prejudicial ou impossvel).
11Acionado site alternativo. Perda de dados e informaes. Clientes sem
atendimento total.

Tabela 2.5 Cabe ressaltar que estes exemplos provavelmente no se aplicam a qualquer tipo de
Exemplos de organizao, mas quelas para as quais foram desenvolvidos. Entretanto, fornecem uma
critrios de
impacto. ideia sobre a criao de critrios aplicados s atividades de gesto de riscos. No decorrer
deste curso sero desenvolvidos critrios durante a realizao das atividades.

Exerccio de fixao 3 e
Definindo os critrios
Que critrios j existem atualmente na sua organizao? Justifique.

Captulo 2 - Contexto da gesto de riscos

Considerando o ambiente da sua organizao, faa a descrio dos nveis baixo e


altssimo da Tabela 2.5? Justifique.

31
Organizao para a gesto de riscos
11 A definio dos papis e responsabilidades importante para o sucesso do processo q
de gesto de riscos.

11 Devem ser definidos:

22 O processo de gesto de risco adequado organizao.

22 As partes interessadas.

22 Os papis e responsabilidades das partes envolvidas, internas e externas organizao.

22 As relaes necessrias entre a organizao, suas partes interessadas e


outros projetos.

22 A cadeia de comunicao e de decises.

22 Os registros que devem ser mantidos.

22 Outros registros que atendam a particularidades especficas de cada tipo


de organizao.

11 Todas estas atividades devem gerar evidncias para a aplicao dos processos de
gesto de riscos.

A definio dos papis e responsabilidades um fator importante para o sucesso do


processo de gesto de riscos. Para tal isto deve estar formalmente definida, comunicada,
documentada e aprovada pelos gestores da alta administrao.

Deve ficar claro para todos os envolvidos que o conjunto destas atividades deve gerar
evidncias que auxiliem para uma aplicao adequada dos processos de gesto de riscos.
Sendo assim, importante que todas as informaes e dados sejam documentados para o
caso de uma futura auditoria.

Leitura complementar
11 Sesso 7 da norma ABNT NBR ISO/IEC 27005.

11 Sesses 5, 6 e 7 da norma ABNT NBR ISO/IEC 27002.

11 Captulo 5 do livro O risco de TI (Desenvolvendo o processo de governana de risco), de


George Westerman e Richard Hunter: Harvard Business School Press, 2008.
Gesto de Riscos de TI NBR 27005

32
Roteiro de Atividades 2
Viso geral da atividade
Sero realizadas as atividades necessrias para a Definio do contexto. A figura a seguir
apresenta graficamente a localizao destas atividades no processo de gesto de riscos.

DEFINIO DO CONTEXTO

PROCESSO DE AVALIAO DE RISCOS

MONITORAMENTO E ANLISE CRTICA DE RISCOS


IDENTIFICAO DE RISCOS
COMUNICAO E CONSULTA DO RISCO

ANLISE DE RISCOS

AVALIAO DE RISCOS

PONTO DE DECISO 1 No
Avaliao satisfatria
Sim

TRATAMENTO DO RISCO

PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim

Figura 2.2
ACEITAO DO RISCO
Atividades para
a Definio do
contexto. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES

A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.

Para esta atividade, o aluno deve se valer do Anexo A (Descrio da Empresa), que permitir
Captulo 2 - Roteiro de Atividades

a criao de uma empresa fictcia ou ainda auxiliar em algumas observaes sobre sua orga-
nizao. A planilha desta atividade composta de perguntas bsicas para o entendimento
do contexto organizacional.

A sequncia das atividades ser:

1. Leitura da Seo 7 e do Anexo A da norma ABNT NBR ISO/IEC 27005;

2. Leitura do Anexo A (Descrio da Empresa) deste caderno de atividades;

3. Explicao e demonstrao pelo instrutor da planilha de anlise de risco.

33
4. Execuo das atividades da planilha:

a. Exerccios da guia Definir Contexto

O objetivo desta atividade , atravs de respostas a algumas perguntas, desenvolver no aluno


o entendimento do que deve ser pensado, planejado e verificado ao definirmos o contexto.

Devem ser respondidas as perguntas que permitiro que a equipe de anlise de risco identi-
fique e compreenda o contexto do ambiente onde ser desenvolvida a anlise.

Para cada tpico devero ser colocadas direita as observaes ou justificativas correspondentes.

S passe para a guia seguinte aps concluir.

b. Exerccios da guia Restries

Esta atividade conduz ao entendimento da importncia da identificao das restries existentes.

Nesta guia sero inseridas as restries aplicveis organizao, de acordo com o Anexo A
da ABNT NBR ISO/IEC 27005.

A coluna Restries apresenta uma lista baseada na norma, cabendo ao aluno escolher as
que se aplicam e escrever a justificativa.

Figura 2.3
Anlise das
restries.

Existem restries que afetam a organizao e restries que afetam o escopo da gesto de riscos.

S passe para a guia seguinte aps concluir.

a. Exerccios da guia Escopo

O objetivo desta atividade , atravs de respostas a algumas perguntas, desenvolver no


aluno o entendimento do que deve ser pensado, planejado e verificado ao definirmos o
escopo e seus limites.

Esta guia apresenta exerccios para que a equipe de anlise tenha um perfeito entendi-
mento do escopo e seus limites. Para cada tpico devero ser colocadas direita as observa-
es correspondentes.

S passe para a guia seguinte aps concluir.


Gesto de Riscos de TI NBR 27005

b. Exerccios da guia Critrios

Esta guia apresenta um exerccio para permitir a definio dos critrios que sero traba-
lhados durante toda a anlise de risco.

Aqui a equipe de anlise de risco da organizao onde realizado o trabalho, definir os cri-
trios que conduziro os trabalhos durante todo o processo. importante que estes critrios
sejam factveis e vlidos para o ambiente do escopo da gesto de riscos e para a organizao.

34
Critrios a serem definidos:

11 Probabilidade representa o percentual de chance de um evento ocorrer;

11 Relevncia do ativo importncia do ativo para os negcios/servios da organizao;

11 Severidade das consequncias grau das consequncias sofridas por um ativo em


relao aos servios/negcios (disponibilizados pelo ativo ou que passam por ele) ao ser
atacado ou parar de funcionar;

11 Impacto ndice para mensurar o montante dos danos ou custos organizao causados
pela ocorrncia de um evento de segurana da informao;

11 Critrio de risco define o nvel ou sua escala de aceitao dos riscos e depende das
polticas, metas e objetivos da organizao.

IMPACTO

Nvel Descrio

Desprezvel De acordo com a organizao - DEFINA

Baixo De acordo com a organizao - DEFINA

Significativo De acordo com a organizao - DEFINA

Afetam a imagem da organizao e causam interrupo de 12 horas nos


Importante
Tabela 2.6 negcios. A empresa deixa de funcionar/produzir por 12 horas.
Definio de
critrios. Desastre De acordo com a organizao - DEFINA

Cada critrio composto por nvel e descrio. Para cada um deles a equipe de anlise
dever definir seus critrios.

Para a atividade, as descries que possuem a palavra DEFINA devero ser comple-
tadas pela equipe e alguns nveis podero ser alterados. Os critrios definiro as
demais atividades no decorrer do curso.

5. Verificao e correo pelo instrutor.

Ao concluir o Roteiro de Atividades 2, a equipe de anlise conhecer o ambiente da organi-


zao. O escopo da anlise estar definido, assim como os critrios de anlise que nortearo
todos os trabalhos da gesto de risco.

Captulo 2 - Roteiro de Atividades

35
Anexo A Descrio da empresa
A empresa
Com sede na cidade de Braslia, um escritrio comercial situado em Campinas e outro
escritrio no Rio de Janeiro, a KWX Indstria Grfica e Servios LTDA atua no mercado desde
1998. Atualmente conta com aproximadamente 230 funcionrios. Possui equipamentos de
alta tecnologia e o objetivo de produzir e distribuir produtos e servios com padro de quali-
dade internacional, atendendo ao mercado de empresas do setor educacional.

A empresa detm uma pequena fatia do mercado nacional, com um faturamento mdio de R$
45 milhes anuais. Tendo como meta dobrar sua participao de mercado em trs anos,
a KWX planeja a reestruturao de seus processos internos e tambm a reformulao de sua
cultura, visando a Segurana da Informao e a preparao para a certificao ISO 27001.
Atualmente possui a certificao ISO 9001, obtida h dois anos.

Viso
A alta administrao visa aperfeioar a maneira de trabalhar, reduzindo custos e procu-
rando preservar e investir em seu ativo intelectual e parque tecnolgico, trabalhando em
busca da melhoria contnua e da excelncia operacional, para se firmar cada vez mais como
uma marca de sucesso.

A KWX tem como viso ser uma marca de expresso nacional, conquistando o pblico
atravs de produtos inovadores, relaes ticas com parceiros e a comunidade, e a prtica
constante de responsabilidade social, tendo como prioridade a preservao ecolgica.

Apesar de tudo isso, a KWX tambm aposta no fator humano e na satisfao dos seus funcio-
nrios e colaboradores. A satisfao pessoal algo que buscamos oferecer aos nossos funcio-
nrios. Queremos que eles sejam mais que simples trabalhadores, mas que venham para a
KWX com satisfao e orgulho de serem parte desta empresa, afirma o diretor presidente.

Estrutura organizacional

Diretor Presidente

Diretor Administrativo/
Diretor Operacional Diretor Comercial
Financeiro

Gerente de Pesquisa Gerente de


Gerente de Vendas
& Desenvolvimento Recursos Humanos

Coordenao
Gerente de Produo Gerente Financeiro
Atendimento
Gesto de Riscos de TI NBR 27005

ao Cliente

Gerente Compras/
Gerente de Logstica Coordenao de
Materiais
Plaejamento
de Produo
Gerente de Manuteno Gerente de Manuteno

Gerente de Marketing
Gerente de Segurana, Gerente de Tecnologia
Sade e Meio Ambiente de Informao

Gerente de Coordenao
Infraestrutura Segurana de Figura 2.4
Corporativa Informao Organograma
da KWX.

36
Diretoria Operacional
Pesquisa e Desenvolvimento

A KWX est sempre em busca de novas tendncias e tecnologias para ser uma referncia no
mercado nacional de cursos apostilados. A elaborao de novos cursos e produtos, alinhada
s tendncias de mercado e a concorrncia, so de vital importncia para o sucesso da
empresa. neste departamento que novas ideias, materiais e produtos so concebidos,
alm de melhorias no processo de fabricao de produtos existentes. Todas as anlises de
novos cursos e apostilas so feitas neste departamento, que o principal capital intelectual
da empresa, por isso devendo ser protegido de todas as formas.

Produo

O planejamento de produo realizado com base nas informaes recebidas pela rea de
atendimento ao cliente, e tambm no histrico de produo dos ltimos dois anos. Para o bom
funcionamento do planejamento, necessria uma grande interao com as reas de atendi-
mento ao cliente, compras, vendas, controle de materiais (almoxarifado) e principalmente com
as reas de cho de fbrica. A rea de planejamento gera uma programao de produo para
os prximos 5 dias, embora essa programao seja revisada e atualizada diariamente.

Almoxarifado

Responsvel pelo recebimento dos materiais, alm do estoque de produtos considerados


essenciais para o funcionamento do processo fabril. Materiais de escritrio tambm ficam
no almoxarifado.

Logstica

rea responsvel por toda a movimentao de produtos dentro e fora da companhia,


definindo a estratgia de distribuio dos produtos para os clientes. Garante que o produto
seja entregue no destino final, dentro dos prazos e especificaes corretos. Controla ainda a
movimentao dos produtos e materiais no cho de fbrica.

Manuteno

Engloba a manuteno eltrica e mecnica. O time da manuteno trabalha durante o


horrio administrativo, com um funcionrio alocado em cada turno para acompanhar e
resolver eventuais problemas no processo de produo. A manuteno tem a responsabili-
dade de manter todas as mquinas em funcionamento, alm da parte eltrica, ar-condicio-
nado, alarmes e catracas da fbrica, cuidando ainda de manutenes preventivas.

Segurana, Sade e Meio Ambiente

A rea de segurana ambiental engloba os seguintes elementos: Sade Ocupacional,


Segurana Patrimonial e Meio Ambiente, alm da integridade dos funcionrios. respon-
Captulo 2 - Roteiro de Atividades

svel pelas normas de meio ambiente, pelo relacionamento com rgos ambientais, pela
aplicao de ferramentas e procedimentos de segurana, realizao de mapa de riscos das
reas da empresa, e ainda pela definio e aprovao dos EPIs utilizados pelos funcionrios.

37
Esta rea tambm responsvel pela definio dos treinamentos e da conscientizao dos
funcionrios sobre a importncia de se trabalhar com segurana. , ainda, de responsabili-
dade desta rea a investigao de acidentes e incidentes ocorridos na empresa, e tambm
por tomar aes corretivas para evitar uma nova ocorrncia. Esta uma rea de vital
importncia para a KWX, uma vez que a conformidade com as leis e a proteo ambiental
so prioridades para a organizao. Fortes investimentos foram feitos nesta rea, ajudando
a tornar a KWX uma referncia no aspecto socioambiental.

Diretoria Administrativo-Financeira
Recursos Humanos

Tem a responsabilidade da contratao e demisso de pessoal, organizao de treinamentos


internos e externos, gerenciamento da folha de pagamento, controle de ponto, refeies e
benefcios. Tambm de responsabilidade do RH a pesquisa por mdias salariais de mercado,
programas de promoo de funcionrios e controle do programa de participao nos lucros.

Finanas

Departamento que engloba a parte financeira: tesouraria, rea fiscal, custos, contas a pagar
e a receber, controladoria e ativo fixo. Por se tratar de uma rea de grande sensibilidade
e importncia, a rea financeira suportada por uma srie de sistemas e aplicaes que
garantem o bom funcionamento da empresa e a confiabilidade nos nmeros e planos de
conta apresentados.

Compras e Materiais

Este setor tem a responsabilidade por todo o processo de compras, desde a negociao com
os fornecedores at a compra final dos produtos. Informam preos mdios de mercado a
funcionrios especficos, para que possam fazer uma requisio de compras. Funcionrios
que no sejam da rea de compras no podem ter contato com fornecedores. Os contratos
tambm so negociados pela rea de compras.

Diretoria Comercial
Vendas

rea responsvel por planejar o volume de vendas a realizar no ms, atravs de dados
recebidos do pessoal de planejamento de produo, e tambm encarregada de estimar os
pedidos dos clientes. A rea de vendas responsvel por todo o processo de vendas dos
produtos da empresa, e tambm pelo relacionamento com os clientes, que so as institui-
es de ensino que comercializam a linha KWX. Esta rea tambm fornece o suporte tcnico
aos consumidores finais, alm de informaes para a manuteno do website da empresa.

Marketing
Gesto de Riscos de TI NBR 27005

rea responsvel por desenvolver toda a estratgia de comercializao e divulgao dos


produtos da linha KWX. Coordena campanhas publicitrias em diferentes mdias, alm de
desenvolver e manter atualizado o website da companhia.

38
Infraestrutura

Figura 2.5
Planta atual da KWX
fbrica.

Captulo 2 - Roteiro de Atividades

39
Figura 2.6
Planta atual da
KWX escritrio
comercial.

O que foi aprendido


11 Descrio do contexto. q
Gesto de Riscos de TI NBR 27005

11 Definio do escopo.

11 Identificao das restries.

11 Definio dos critrios.

40
3
Identificao de riscos
objetivos

Compreender o processo de identificao de riscos e identificar ativos, ameaas


e controles existentes.

conceitos
Anlise e identificao de riscos, ameaas e controles.

Introduo
Aps as fases de identificao do contexto e definio do escopo, a prxima fase a de
anlise/avaliao de riscos, composta por duas grandes etapas de trabalho:

11 Anlise de riscos;

11 Avaliao de riscos.

Nesta sesso de aprendizagem, iniciaremos o estudo da etapa de anlise de riscos.

Exerccio de nivelamento 1 e
Identificao dos riscos
No seu entendimento o que identificao dos riscos?

Processo de anlise de riscos de segurana da informao


Captulo 3 - Identificao de riscos

A fase de processo anlise de riscos identifica e valora ativos, ameaas e vulnerabili- q


dades, sendo composta pelas seguintes etapas:

11 Identificao de riscos onde so determinados os eventos que podem causar


perdas potenciais.

11 Anlise de riscos onde determinada a probabilidade de ocorrncia dos eventos.

11 Avaliao de riscos ordena os riscos de acordo com os critrios de avaliao estabele-


cidos na definio de contexto.

41
Aps a identificao do contexto e a definio do escopo, com o perfeito entendimento de
todo ambiente, iniciado o processo de anlise/avaliao de riscos de segurana da infor-
mao. Veja em destaque na figura a seguir as atividades no processo de gesto de riscos.

DEFINIO DO CONTEXTO

PROCESSO DE AVALIAO DE RISCOS

MONITORAMENTO E ANLISE CRTICA DE RISCOS


IDENTIFICAO DE RISCOS
COMUNICAO E CONSULTA DO RISCO

ANLISE DE RISCOS

AVALIAO DE RISCOS

PONTO DE DECISO 1 No
Avaliao satisfatria
Sim

TRATAMENTO DO RISCO

PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim
Figura 3.1
ACEITAO DO RISCO Posio da fase de
anlise de riscos no
processo de gesto
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES de riscos.

Neste captulo sero apresentados os detalhes da identificao de riscos. Recomendamos o


seu acompanhamento com a leitura do item 8.2.1 da norma ABNT NBR ISO/IEC 27005.

Identificao de riscos
11 Realizada para que se possa conhecer e determinar os possveis eventos com poten- q
cial de causar perdas, e fazer o levantamento de como isso pode acontecer.

11 Os resultados desta etapa sero os dados de entrada da etapa de estimativa de riscos.


Gesto de Riscos de TI NBR 27005

importante que qualquer organizao identifique as suas fontes de risco, suas causas e
consequncias. A finalidade gerar uma lista abrangente de riscos baseada em eventos que
possuam capacidade de criar, aumentar, evitar, reduzir, acelerar ou atrasar a conquista dos
seus objetivos.

Na fase de anlise de risco, a primeira etapa a identificao de riscos. Esta identificao


realizada para que se possa conhecer e determinar os possveis eventos que tenham um
potencial de causar perdas, assim como levantar de que forma isso pode acontecer. As ativi-
dades de identificao de riscos so as mostradas na figura 3.2:

42
PROCESSO DE AVALIAO DE RISCOS

IDENTIFICAO DE RISCOS

ANLISE DE RISCOS

Figura 3.2
Identificao de AVALIAO DE RISCOS
riscos na fase de
anlise de riscos.

As atividades de identificao de riscos so mostradas na figura abaixo:

Identicao de Riscos

Identicao
dos ativos

Identicao
das ameaas

Identicao dos
controles existentes

Identicao das
vulnerabilidades

Identicao das
consequncias
Figura 3.3
Atividades de
identificao de
Avaliao de Riscos
riscos.

Identificando os ativos
11 Ativo qualquer elemento com valor para a organizao que necessite de proteo. q
22 Entrada: resultados da etapa de definio do escopo.

22 Ao: desenvolvimento da atividade de identificao dos ativos.

11 Nvel de detalhamento que permita o fornecimento de informaes adequadas


Captulo 3 - Identificao de riscos

e suficientes para a anlise e avaliao de riscos.

11 A primeira informao sobre cada ativo quem o seu responsvel?

11 Identificao de ativos:

22 Ativos primrios.

22 Ativos de suporte e infraestrutura.

43
Identicao de Riscos

Identicao
dos ativos

Identicao
das ameaas

Identicao dos
controles existentes

Identicao das
vulnerabilidades

Identicao das
consequncias

Figura 3.4
Avaliao de Riscos Identificao
dos ativos.

De posse das informaes levantadas durante a fase de definio de contexto, como escopo,
lista de componentes e responsveis, entre outras, inicia-se a identificao dos ativos.

Ativo qualquer elemento de valor para a organizao, isto , qualquer item tangvel
(como hardware) ou intangvel (por exemplo, propriedade intelectual), recurso ou
habilidade que tenha valor ou seja crtico para a existncia da organizao, e que por
consequncia necessite de proteo.

Na atividade de identificao dos ativos:

11 Entrada: contempla os resultados da etapa de definio do escopo.

11 Ao: desenvolvimento da atividade de identificao dos ativos. A identificao dos


ativos deve ser feita em um nvel de detalhamento que permita o fornecimento de infor-
maes adequadas e suficientes para a anlise e avaliao de riscos. Como o processo
define a necessidade de diversas iteraes, o detalhamento pode ser aprofundado em
cada iterao.

11 Sada: lista dos ativos considerados sensveis para a organizao e tambm uma lista dos
negcios relacionados a estes ativos.

Entrada Ao Sada
Gesto de Riscos de TI NBR 27005

Escopo
Lista de Componentes Identicao
Responsveis dos ativos Lista de Ativos
Localidade
(8.2.2 da ABNT NBR Lista de negcios
Funo
ISO/IEC 27005)
Estrutura Organizacional Figura 3.5
Misso, Objetivos Identificao
dos ativos.

44
A primeira informao sobre cada ativo quem o seu responsvel?. Este profissional tem
responsabilidade sobre a produo, desenvolvimento, manuteno, utilizao e segurana
do ativo; possui a maioria das informaes sobre o ativo e frequentemente ser a pessoa
mais adequada para determinar o valor do ativo.

Dois tipos de ativos podem ser identificados:

11 Ativos primrios;

11 Ativos de suporte e infraestrutura.

Identificando os ativos primrios


11 Os ativos primrios so processos e atividades de negcios e a informao. q
11 Tipos de ativos primrios:

22 Processos ou subprocessos.

22 Atividades de negcio.

11 A informao primria pode compreender:

22 Informao vital para o exerccio das atividades da organizao.

22 Informao de carter pessoal, como as definidas em leis nacionais de privacidade.

Os ativos primrios so processos e atividades de negcios e as informaes relacionadas.


A melhor forma de identificar estes ativos atravs de entrevistas com um grupo hete-
rogneo de profissionais que represente o processo, como gestores, especialistas nos
sistemas de informao e usurios. importante a participao de representantes de todos
os nveis da organizao.

Normalmente, os ativos primrios so os principais processos e informaes das atividades


includas no escopo. Os ativos primrios podem ser de dois tipos:

11 Processos ou subprocessos e atividades do negcio. Por exemplo:

22 Processos cuja interrupo (mesmo que parcial) impossibilita a organizao de prosseguir


com seu negcio;

22 Processos que contm procedimentos secretos ou que envolvam tecnologia proprietria.

11 A informao primria pode compreender:

22 Informao vital para o exerccio das atividades da organizao;

22 Informao de carter pessoal, como as definidas em leis nacionais sobre privacidade.

Normalmente as informaes para a identificao detalhada dos ativos primrios so


obtidas no nvel gerencial e da alta direo da organizao. Estes ativos sero considerados
sensveis para a organizao. Cabe ressaltar que existiro processos e informaes que no
sero sensveis, mas que frequentemente herdaro controles para a proteo de processos
Captulo 3 - Identificao de riscos

e informaes sensveis.

45
Identificando os ativos de suporte e infraestrutura
11 Os ativos de suporte e infraestrutura so compostos por: q
22 Elementos fsicos (hardware) que suportam os processos

22 Programas (software) que contribuem para a operao de um sistema

22 Aplicaes de negcios

22 Dispositivos de telecomunicaes (redes)

22 Recursos humanos

22 Instalaes fsicas

22 Estrutura organizacional

11 Normalmente todas as informaes necessrias equipe de anlise de riscos no


sero obtidas numa primeira entrevista.

11 A realizao de outras iteraes e de entrevistas nos nveis gerencial, tcnico e com


usurios, somadas s observaes in loco na organizao permitiro que sejam
obtidas informaes suficientes para a identificao dos ativos.

O anexo B da norma ABNT NBR ISO/IEC 27005 em seu item B.1.2 apresenta em deta-
lhes exemplos de ativos de suporte e infraestrutura.

importante salientar a importncia do detalhamento destas informaes sobre os ativos.


Normalmente todas as informaes necessrias equipe de anlise de riscos no sero
obtidas numa primeira entrevista. A realizao de outras iteraes e de entrevistas nos
nveis gerencial, tcnico e de usurios, somadas s observaes in loco na organizao, per-
mitiro que sejam obtidas informaes suficientes para a identificao dos ativos.

Para a atividade de identificao dos ativos, a equipe de anlise ter como sada uma lista
dos ativos considerados sensveis para a organizao e tambm uma lista dos negcios
relacionados a estes ativos.

Exerccio de fixao 1 e
Identificando os ativos
Cite dois ativos primrios da sua organizao e justifique.

Cite dois ativos de suporte e infraestrutura da sua organizao e justifique.


Gesto de Riscos de TI NBR 27005

46
Identificando as ameaas
11 Ameaa qualquer evento que explore vulnerabilidades, com potencial de causar inci- q
dentes indesejados, que podem resultar em dano para um sistema ou organizao.

11 Na identificao das ameaas so realizadas aes para identificar dentro do escopo


as ameaas existentes na organizao.

22 Entrada: as informaes do histrico e de incidentes passados, das observaes


dos responsveis e usurios dos ativos, e ainda de catlogos externos de ameaas.

22 Ao: identificao das ameaas e suas fontes.

22 Sada: lista de ameaas identificadas por tipo e fonte.

11 Identificao da fonte da ameaa e de seu agente

22 A ameaa tem o potencial de comprometer os ativos e as organizaes e devem


ser identificadas.

22 O agente da ameaa uma entidade com potencial para criar uma ameaa, explo-
rando ou evidenciando alguma vulnerabilidade.

22 O ser humano um dos principais e mais perigosos agentes da ameaa.

22 As ameaas podem ser intencionais, acidentais ou de origem natural e ambiental.

22 Entrevistas, visitas ao local e checklists ajudam nas aes de identificao de ameaas.

11 comum as ameaas afetarem mais de um ativo.

22 Nesses casos, a equipe de anlise deve considerar que as ameaas podem afetar
cada ativo de maneira diferente.

11 importante lembrar o cuidado com os dados e as informaes recebidas, pois tratam


de dados confidenciais e sensveis da organizao e como tal devem ser tratados.

Identicao de Riscos

Identicao
dos ativos

Identicao
das ameaas

Identicao dos
controles existentes

Identicao das
vulnerabilidades
Captulo 3 - Identificao de riscos

Figura 3.6 Identicao das


Identificao consequncias
das ameaas.

Como foi visto, ameaa qualquer evento que explore vulnerabilidades, com potencial de
causar um incidente indesejado, que pode resultar em dano para um sistema ou organi-
zao. Na atividade de Identificao das Ameaas sero realizadas aes para levantar e
identificar, dentro do escopo estabelecido, as ameaas existentes na organizao.

47
Desta atividade de identificao das ameaas, a equipe de anlise ter como:

11 Entrada: informaes de seu histrico, obtidas de incidentes ocorridos, de observaes


apresentadas pelos responsveis e usurios dos ativos, e ainda informaes coletadas de
catlogos externos de ameaas.

11 Ao: identificao das ameaas e suas fontes. A fonte da ameaa est relacionada ao seu
agente, entidade que pode provocar uma ameaa explorando ou evidenciando alguma
vulnerabilidade. Um dos principais e mais perigosos agentes da ameaa o ser humano.

11 Sada: uma lista de ameaas com a identificao do tipo e da fonte das ameaas.

Entrada Ao Sada

Informaes Identicao
Anlise crtica de incidentes das ameaas Lista de Ameaas
Tipo e fonte Figura 3.7
Informao dos Responsveis (8.2.3 da ABNT NBR das ameaas
Catlogo de ameaas ISO/IEC 27005) Identificao das
ameaas.

As ameaas podem ser intencionais, acidentais ou de origem natural e ambiental. O anexo C


da norma ABNT NBR ISO/IEC 27005 apresenta uma lista com 43 exemplos de ameaas que
abrangem vrios tipos. Neste anexo tambm consta uma tabela com a origem de ameaas
representadas por seres humanos e suas motivaes e consequncias.

As ameaas tm o potencial de comprometer os ativos e as organizaes, e por isso


devem ser identificadas. Durante a atividade de identificao necessria a criao de um
catlogo das ameaas organizao. Neste catlogo deve constar a categoria de ameaa:
se interna (origem dentro da organizao), externa (origem de fora da organizao) ou
interna e externa simultaneamente.

Durante as aes de identificao de ameaas, devero ser realizadas entrevistas, observa-


es no local e checklists, com os nveis gerenciais, tcnicos e tambm com usurios, para
obter o mximo possvel de informaes. Assim podem ser obtidas informaes como:
dados de incidentes ocorridos, quantidade de ocorrncias, aspectos culturais e de ambiente
dos ativos, experincias em ocorrncias anteriores, avaliaes e outras informaes cole-
tadas nas reunies. Todas estas informaes devem ser registradas e compiladas em um
documento para posterior utilizao como evidncias, caso seja necessrio.

comum algumas ameaas afetarem mais de um ativo. Nesses casos a equipe deve ter a
viso de que estas ameaas podem atuar de forma diferente em cada ativo, afetando-os de
maneira diferente.

importante lembrar o cuidado com os dados e as informaes recebidas, pois


tratam de dados confidenciais e sensveis da organizao e como tal devem ser tra-
tados por todos os envolvidos na anlise de riscos.
Gesto de Riscos de TI NBR 27005

48
Exerccio de fixao 2 e
Identificando as ameaas
Utilizando a norma, cite trs ameaas existentes na sua organizao e justifique sua resposta.

Identificando os controles existentes


11 Controle qualquer mecanismo administrativo, fsico ou operacional capaz de tratar q
os riscos da ocorrncia de um incidente de segurana.

11 O objetivo identificar no ambiente do escopo os controles planejados para imple-


mentao e os controles existentes, j implementados e em uso.

22 Entrada: documentaes dos controles j implementados e os planos de imple-


mentao de controle para o tratamento do risco.

22 Ao: identificao dos controles implementados e planejados.

22 Sada: lista de todos os controles existentes e planejados, sua implementao e


status de utilizao.

11 Objetivos da identificao de controles:

22 Evitar custos e retrabalho com duplicao de controles.

22 Assegurar que os controles existentes estejam funcionando de forma adequada e


tratando o risco de forma desejada.

11 Atividades da identificao de controles:

22 Reunies com os responsveis pela segurana da informao.

22 Entrevistas com usurios para identificao dos controles existentes.

22 Analisar de forma crtica a documentao sobre os controles existentes.

22 Realizar questionrios e checklists.

22 Fazer inspees fsicas, visitas e observaes nos locais.

11 Controles complementares podem ser necessrios para o tratamento efetivo do risco.

11 Controles ineficazes ou insuficientes devem ser removidos e substitudos.

11 Controles planejados devem ser avaliados se realmente sero capazes de sanar os


riscos a que se referem quando forem implementados.
Captulo 3 - Identificao de riscos

49
Identicao de Riscos

Identicao
dos ativos

Identicao
das ameaas

Identicao dos
controles existentes

Figura 3.8
Identicao das Fase de
vulnerabilidades identificao
dos controles
existentes no
Identicao das processo de
consequncias identificao de
riscos.

Controle qualquer mecanismo administrativo, fsico ou operacional capaz de tratar os


riscos da ocorrncia de um incidente de segurana. Exemplos de controles incluem pol-
ticas, procedimentos, estruturas organizacionais, antivrus, patches, fechaduras, extintor e
backups, entre outros.

Na atividade de identificao dos controles existentes o objetivo identificar no ambiente


do escopo os controles que esto planejados para implementao, e os controles j imple-
mentados e em uso corrente. Nesta atividade:

11 Entrada: documentaes dos controles existentes e planos de implementao de con-


trole para tratamento de riscos.

11 Ao: identificao dos controles implementados e planejados.

11 Sada: lista de todos os controles existentes e planejados, sua implementao e


status de utilizao.

Entrada Ao Sada

Identicao dos Lista de Controles


Documentao dos controles controles existentes existentes e planejados Figura 3.9
Identificao
Planos de Implementao (8.2.4 da ABNT NBR Sua implementao
dos controles
ISO/IEC 27005) e status de utilizao
existentes.

Os objetivos desta atividade so evitar retrabalho e custos adicionais com a duplicao de


controles e assegurar que os controles existentes estejam funcionando de forma adequada,
Gesto de Riscos de TI NBR 27005

tratando efetivamente o risco. Uma forma de realizar esta atividade analisando relatrios
de auditorias no SGSI, os relatrios de anlise crtica pela direo e os indicadores de efi-
ccia dos controles. Caso estas informaes no estejam disponveis, altamente recomen-
dada a realizao de:

11 Reunies com os responsveis pela segurana da informao;

11 Entrevistas com usurios para levantamento dos controles existentes;

11 Anlise crtica da documentao sobre os controles existentes;

50
11 Questionrios e checklists;

11 Inspees fsicas e visitas aos locais.

Uma observao importante sobre a eficcia e eficincia dos controles existentes e plane-
jados. Um controle pode no atender plenamente e falhar no tratamento do risco. Assim con-
troles complementares podem ser necessrios para o tratamento efetivo do risco. Outro ponto
sobre controles ineficazes ou insuficientes. Nestes casos pode ser necessrio que o controle
seja removido e substitudo por outro. Estes pontos devem constar na anlise dos controles
existentes, realizada pela equipe de anlise. Controles planejados devem ser avaliados se real-
mente sero capazes de sanar os riscos a que se referem quando forem implementados.

Leitura complementar
11 Sesso 8.1, 8.2.1, 8.2.2 e 8.2.3 da norma ABNT NBR ISO/IEC 27005.

11 Sesso B.1 do anexo B da norma ABNT NBR ISO/IEC 27005.

11 Anexos C e D da norma ABNT NBR ISO/IEC 27005.

Captulo 3 - Identificao de riscos

51
52
Gesto de Riscos de TI NBR 27005
Roteiro de Atividades 3
Viso geral da atividade
Aps identificar o ambiente, delimitar o escopo e definir os critrios, a equipe de anlise de
risco j est em condies de iniciar a etapa de identificao dos riscos, executando as ativi-
dades necessrias Identificao de riscos: ameaas, ativos e controles existentes.

A figura a seguir apresenta graficamente a localizao destas atividades no processo de


gesto de riscos:

DEFINIO DO CONTEXTO

PROCESSO DE AVALIAO DE RISCOS

MONITORAMENTO E ANLISE CRTICA DE RISCOS


IDENTIFICAO DE RISCOS
COMUNICAO E CONSULTA DO RISCO

ANLISE DE RISCOS

AVALIAO DE RISCOS

PONTO DE DECISO 1 No
Avaliao satisfatria
Sim

TRATAMENTO DO RISCO

PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim

Figura 3.10
ACEITAO DO RISCO
Atividades do
processo de gesto
de riscos. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
Captulo 3 - Roteiro de Atividades

A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.

Para esta atividade o aluno deve se valer do Anexo B (Infraestrutura), que permitir o levan-
tamento dos equipamentos, processos, pessoas e tecnologias da empresa KWX.

Sequncia das atividades:

1. Leitura das sees 8.1, 8.2 e ainda B.1 do Anexo A da ABNT NBR ISO/IEC 27005;

2. Leitura do Anexo B (Infraestrutura) deste caderno de atividades;

53
3. Explicao e demonstrao da planilha de anlise de riscos pelo instrutor;

4. Execuo das atividades da planilha:

Na guia Sesso de atividades 3 da Planilha encontram-se trs guias: q


1) A guia Ativos

2) a guia Ameaas

3) a guia Controles Existentes

a. Exerccio da guia Ativos Identificao dos ativos do escopo da anlise de riscos

Neste exerccio a equipe de anlise listar todos os ativos da organizao que estejam
dentro do escopo da anlise de riscos, dividindo-os em dois grupos: Ativos Primrios e
Ativos de Suporte e Infraestrutura. Cada ativo listado dever ser justificado.

Devero ser listados 20 ativos, sendo 10 primrios e 10 de suporte e infraestrutura.

S passe para a guia seguinte aps concluir.

b. Exerccio da guia Ameaas Identificao das ameaas aos ativos.

Com os ativos j identificados e conhecidos a equipe de anlise agora identificar TODAS as


ameaas s quais est sujeito cada um dos ativos levantados.

Para a realizao do exerccio, devero ser listadas apenas duas ameaas para cada ativo,
mas lembre-se de que em uma atividade prtica real todas as ameaas devero ser listadas.
Como meio auxiliar para isso, ser utilizado o Anexo C (Exemplos de ameaas comuns) da
norma ABNT NBR ISO/IEC 27005.

Na nossa planilha, os ativos listados na atividade anterior so copiados automaticamente


para a guia Ameaas, aparecendo ao lado uma lista de ameaas para que sejam selecio-
nadas as ameaas que podem vir a afetar cada ativo. No se esquea de justificar as suas
escolhas. S passe para a guia seguinte aps concluir.

c. Exerccio da guia Controles Existentes Identificao dos controles existentes ou com


implementao planejada.

Com os ativos e ameaas j identificados pela equipe de anlise, a prxima atividade


identificar os controles existentes e os que esto em processo de implementao. Para cada
ameaa identificada e para cada ativo, a equipe de anlise de risco dever identificar se j
existem controles implementados ou que esto planejados para ser implementados. Isto
feito com o objetivo de evitar que estes controles sejam recomendados novamente no futuro.

Neste exerccio devero ser apresentados dois controles para cada ameaa identificada,
CASO EXISTAM. Para cada ativo devem ser identificados pelo menos quatro controles. Na
realidade este nmero pode ser varivel para cada ativo. Estes controles no precisam
Gesto de Riscos de TI NBR 27005

necessariamente ser referentes s ameaas listadas na etapa anterior. Se no existir con-


trole implementado ou a ser implementado, basta colocar a resposta No existe.

As respostas das guias anteriores so copiadas para esta guia. Para cada tpico devero ser colo-
cadas direita as justificativas correspondentes. S passe para a guia seguinte aps concluir.

5. Verificao e correo pelo instrutor.

Ao concluir o Roteiro de Atividades 3, a equipe de anlise ter uma listagem contendo os


ativos, as ameaas que afetam ou podem vir a afetar cada ativo e os controles atualmente
existentes ou previstos para serem implementados.

54
Anexo B Infraestrutura
Infraestrutura fsica
A segurana fsica mantida por uma equipe formada por profissionais relacionados
Segurana Patrimonial.

A segurana fsica/patrimonial da KWX contempla os seguintes ativos:

11 Portaria/Guarita: duas catracas para controle de acesso (sem funcionamento), 5 guardas


terceirizados da empresa GuarFull24;

11 Estacionamentos: portes eletrnicos (dois sem funcionar) e cercas eltricas;

11 Data Center: controle de acesso atravs de chaves, sprinklers e racks destrancados;

11 No h sala cofre;

11 Estaes de trabalho sem controles especficos.

Infraestrutura tecnolgica
A rea de TI encontra-se atualmente subordinada ao diretor administrativo-financeiro. tambm
a responsvel pela recm-criada rea de Segurana da Informao. Aloca dois profissionais
em funes multitarefa, que se revezam nas tarefas do dia a dia, como por exemplo help desk,
administrao da rede, criao e excluso de contas de usurio, entre outras.

Ativos de tecnologia
A estrutura suportada pela rea de TI da KWX atualmente composta por:

11 750 usurios com acesso rede e e-mail;

11 800 mquinas (sendo 550 notebooks);

11 25 impressoras;

11 Redes Windows;

11 Redes Linux;

11 1 servidor de e-mail Windows Exchange;

11 6 servidores de arquivos;

11 6 servidores de backup;

11 1 servidor web para suporte ao ambiente de comrcio eletrnico via internet;

11 1 servidor DNS;

11 5 firewalls;

11 3 roteadores para acesso internet (um em cada sede);

11 4 switches core para suporte infraestrutura de acesso internet;


Captulo 3 - Roteiro de Atividades

11 1 PABX contendo ramais analgicos e digitais (total de 1200 ramais, sendo 300 com identi-
ficador de chamadas para a fbrica);

11 1 PABX contendo ramais digitais (total de 400 ramais, todos com identificador de cha-
madas para o escritrio);

11 7 salas reunies com rede wireless, videoconferncia e projetor;

11 1 servidor dedicado para o sistema ERP;

11 Servidor de e-mail/antivrus (Linux Debian);

11 Servidor de Proxy (Linux Debian);

55
11 Servidor ADM/Intranet (Windows 2000 Server/IIS);

11 Servidor Unix Criao (AIX 4);

11 10 estaes de trabalho (Windows 2003);

11 35 estaes de trabalho (Windows 8 Professional);

11 20 estaes de trabalho (Windows 7 Professional);

11 15 estaes de trabalho (Macintosh);

11 100 estaes de trabalho rodando Ubuntu 12;

11 10 notebooks (para diretoria, totalmente liberados);

11 6 switch (3 com 12 portas);

11 4 hubs (3 com 24 portas);

11 3 roteador (Cisco);

11 1 Access Point Wirelles (D-Link);

11 Link com internet (1 GB) em cada sede;

11 3 links ADSL de 10 MB inoperantes por falta de uso.

Sistemas de suporte aos negcios


Os seguintes sistemas so suportados pela rea de TI:

11 ERP: controla processos financeiro-contbeis, de fabricao, gerenciamento de


materiais e logstica;

11 Sistemas de RH (folha de pagamento, controle de ponto): terceirizado com um


fornecedor externo;

11 Segurana patrimonial: sistema leitor de crachs para acesso a reas controladas/restritas;

11 Site e-commerce da KWX: site institucional e de comrcio eletrnico B2B para relaciona-
mento com clientes e fornecedores;

11 Intranet: local onde esto contidas as notcias internas da KWX, sua viso e misso, bem
como todas as polticas, procedimentos e regras da empresa;

11 Sistemas de produo: aplicaes especficas de cada uma das reas produtivas que
trabalham de maneira integrada entre si, suportando, assim, os processos de produo
e planejamento da KWX;

11 Sistemas de catracas/acessos: controles dos acessos, bases de dados e logs das catracas,
data center e sala cofre;

11 Sistema de CFTV.

Situao atual da Segurana da Informao na empresa


Gesto de Riscos de TI NBR 27005

Subordinada a rea de TI, a rea de Segurana da Informao conta com um profissional


que atua na funo de coordenador de segurana da informao, sendo responsvel pela
elaborao e gerenciamento de polticas e prticas de segurana. Trabalha em conjunto com
o pessoal de TI e tambm executa periodicamente auditorias internas, alm de trabalhos de
conscientizao junto aos funcionrios. O poder de deciso deste profissional no muito
grande, estando ele subordinado ao gerente de TI.

56
Buscando maior competitividade, credibilidade e segurana, a KWX contratou uma equipe
de consultores de segurana de informao. Essa ao foi tomada com base em uma pes-
quisa feita por uma consultoria de mercado realizada junto a outras empresas do mesmo
segmento, motivada pelo objetivo de internacionalizao da marca no futuro. Foi definido,
na contratao, um trabalho de levantamento da atual situao da empresa em termos de
segurana da informao, entendimento dos processos, anlise dos riscos, propostas de
melhorias, tudo isso dentro de um escopo definido com a alta gerncia.

O que foi aprendido


11 Viso geral da identificao de riscos. q
11 Metodologia e atividades para identificar os riscos.

Captulo 3 - Roteiro de Atividades

57
58
Gesto de Riscos de TI NBR 27005
4
Anlise de riscos: Vulnerabilidades
e consequncias
objetivos

Identificar vulnerabilidades e suas consequncias.

conceitos
Vulnerabilidades e suas consequncias.

Introduo
11 A anlise de risco um processo formal de identificao de ameaas e vulnerabilidades. q
11 A partir da identificao do risco planejado o tratamento necessrio.

11 Identificao dos ativos, ameaas e controles existentes e a implementar.

11 Identificao das vulnerabilidades e consequncias se forem exploradas.

A anlise de risco um processo formal para identificar ameaas e vulnerabilidades, e a partir


desta identificao categorizar o risco envolvido e estabelecer o tratamento adequado.

Na sequncia deste processo, aps o conhecimento do contexto do ambiente onde ser


realizada a anlise de risco, devem ser identificados os ativos, ameaas, alm dos controles

Captulo 4 - Anlise de riscos: Vulnerabilidades e consequncias


existentes e tambm aqueles que precisam ser implementados. O prximo passo identi-
ficar as vulnerabilidades e as consequncias que podem ser provocadas caso as vulnerabili-
dades sejam exploradas.

Esta sesso aborda as atividades de identificao das vulnerabilidades e identificao das


consequncias.

Exerccio de nivelamento 1 e
Vulnerabilidades e consequncias
No seu entendimento, o que so vulnerabilidades e consequncias?

59
Processo de anlise de riscos de segurana da informao
Esta etapa de identificao do risco possui cinco atividades, conforme a figura abaixo:

Identicao de Riscos

Identicao
dos ativos

Identicao
das ameaas

Identicao dos
controles existentes

Identicao das
vulnerabilidades

Identicao das
consequncias
Figura 4.1
Identificao das
vulnerabilidades e
Avaliao de Riscos
consequncias.

Cada atividade deve ser executada na sequncia. Estas atividades permitiro, ao final da
etapa, que os riscos tenham sido identificados.

Identificando as vulnerabilidades
11 A atividade de identificao das vulnerabilidades tem por objetivo criar uma lista com q
as vulnerabilidades associadas aos ativos, ameaas e controles.

11 Vulnerabilidade qualquer fraqueza que possa ser explorada e comprometa a segu-


rana de sistemas ou informaes.

22 Entrada: as listas de ameaas conhecidas, de ativos e de controles existentes,


e todas sadas das atividades anteriores.

22 Ao: atividade de identificao das vulnerabilidades que possam ser exploradas


por ameaas e assim comprometer os ativos da organizao.

22 Sada: lista de cenrios de incidentes com suas consequncias associadas aos


ativos e processos do negcio.

11 Durante o desenvolvimento da atividade, as seguintes reas devero ser observadas


Gesto de Riscos de TI NBR 27005

para a identificao de vulnerabilidades:

22 Organizao.

22 Processos e procedimentos.

22 Rotinas de gesto e documentao.

22 Recursos humanos (incluindo terceiros e prestadores de servios).

22 Ambiente fsico e instalaes prediais.

60
22 Configurao dos sistemas de informao (incluindo os sistemas operacionais q
e aplicativos).

22 Hardware, software e equipamentos de comunicao.

22 Dependncias de entidades externas.

11 Mtodos proativos:

22 Ferramentas automatizadas de procura e identificao de vulnerabilidades.

22 Avaliao e testes de segurana.

22 Teste de invaso.

22 Anlise crtica de cdigo.

Vulnerabilidade qualquer fraqueza que possa ser explorada e comprometa a segurana


de sistemas ou informaes. uma fragilidade de um ativo ou grupo de ativos que pode ser
explorada para concretizar uma ou mais ameaas.

Identicao de Riscos

Identicao
dos ativos

Identicao
das ameaas

Identicao dos
controles existentes

Identicao das
vulnerabilidades

Figura 4.2 Identicao das


Identificao das consequncias
vulnerabilidades.

Captulo 4 - Anlise de riscos: Vulnerabilidades e consequncias


A atividade de identificao das vulnerabilidades tem por objetivo criar uma lista com as
vulnerabilidades associadas aos ativos, ameaas e controles. Nesta atividade, a equipe de
anlise ter como:

11 Entrada: listas de ameaas conhecidas, listas de ativos e de controles existentes, alm de


todas as sadas das atividades anteriores.

11 Ao: atividade de identificao das vulnerabilidades que possam ser exploradas por
ameaas com a possibilidade de comprometer os ativos.

11 Sada: lista de cenrios de incidentes com suas consequncias associadas aos ativos e
processos do negcio.

61
Entrada Ao Sada

Lista de vulnerabilidades
associadas aos ativos, s
Identicao das ameaas e aos controles
Lista de ameaas
Vulnerabilidades
Lista de ativos
(8.2.5 da ABNT NBR Lista de vulnerabilidades
Lista de controles existentes ISO/IEC 27005) que no se referem a
Figura 4.3
nenhuma ameaa
Identificao das
identicada
vulnerabilidades.

Na realizao da atividade de identificao de vulnerabilidade, a equipe deve trabalhar


atravs de dois olhares: de fora para dentro e de dentro para fora. No olhar de dentro para
fora, a viso interna, com diversos privilgios, sendo confivel. Que vulnerabilidades
podem existir ou podem ser exploradas? Como os sistemas podem ser comprometidos pelo
pessoal interno?

Na segunda, de fora para dentro, os sistemas tentaro ser comprometidos de fora. O que
pode ser acessado externamente que possa comprometer os ativos e informaes da orga-
nizao? O que pode ser explorado para conferir privilgios no permitidos? Esta a viso
de um atacante que tenta invadir o sistema: endereos IP publicamente roteveis, sistemas
na DMZ (DeMilitarized Zone zona desmilitarizada), interfaces externas do firewall etc. H
diferenas notveis entre estes dois tipos de avaliao de vulnerabilidades.

A equipe de anlise deve ter em mente que a existncia de vulnerabilidades por si s no


produz prejuzos, pois para isso preciso que haja uma ameaa. Mesmo assim necessrio
monitorar a vulnerabilidade, para o caso de identificar mudanas em sua configurao.

Uma boa prtica para esta atividade a equipe de anlise percorrer todas as dependncias
abrangidas pelo escopo e realizar as entrevistas no prprio ambiente de trabalho dos entre-
vistados, facilitando a formulao de questionamentos a partir das observaes no ambiente.
uma forma de observar vulnerabilidades e a partir delas identificar outras. Outra prtica que
pode ser empregada a identificao de vulnerabilidades atravs do uso de mtodos proa-
tivos de testes, apesar do custo mais elevado. Entre os mtodos podem ser citados:

11 Ferramentas automatizadas de procura e identificao de vulnerabilidades:


softwares criados para testes de segurana e descobertas de vulnerabilidades de forma
automtica, gerando relatrios detalhados dos problemas e vulnerabilidades identifi-
cados no sistema. As ferramentas automatizadas so capazes de cruzar informaes,
analis-las e testar as vulnerabilidades encontradas de maneira eficiente. Tais ferra-
mentas tm amadurecido, catalogando em suas bases de conhecimento a maioria das
vulnerabilidades existentes, embora ainda possuam um custo relativamente alto.

11 Avaliao e testes de segurana: avaliao de vulnerabilidade um primeiro passo de


d
verificao de vulnerabilidades. Os resultados e informaes obtidos atravs das avalia-
Gesto de Riscos de TI NBR 27005

O anexo D da norma
es sero utilizados para a realizao dos testes. A avaliao verifica vulnerabilidades ABNT NBR ISO/IEC
potenciais e os testes de segurana tentam explor-las. 27005 apresenta uma
lista com diversos
11 Teste de invaso: tem como objetivo a verificao da resistncia do ativo em relao aos exemplos de vulnerabi-
lidades, suas ameaas
mtodos de ataque conhecidos.
relacionadas e mtodos
11 Anlise crtica de cdigo: identificao de vulnerabilidades em cdigos-fonte. para avaliao de
vulnerabilidades
Em resumo, os resultados destes tipos de testes de segurana ajudam na identificao das tcnicas.
vulnerabilidades de um sistema.

62
Exerccio de fixao 1 e
Identificando vulnerabilidades
Cite trs vulnerabilidades, sob a viso interna, da sua organizao? Justifique.

Cite trs vulnerabilidades, sob a viso de fora para dentro, da sua organizao? Justifique.

Identificao das consequncias


11 Entende-se por consequncia o resultado de um incidente ou evento que pode ter um q
impacto nos objetivos da organizao. Na anlise de riscos uma consequncia pode ser:

22 A perda da eficcia no funcionamento operacional dos sistemas.

22 Instabilidade no funcionamento de sistemas.

22 Condies adversas de operao.

22 Perda de oportunidade de negcios.

22 Imagem e reputao afetadas.

22 Violao de obrigaes regulatrias.

22 Prejuzo financeiro.

22 Perda de dados e informaes.

22 Perda de vidas humanas.

Captulo 4 - Anlise de riscos: Vulnerabilidades e consequncias


22 Perda de competitividade.

11 Um cenrio nada mais do que a descrio de uma ameaa explorando uma ou mais
vulnerabilidades em um incidente de segurana da informao.

11 Exemplos de consequncias operacionais:

22 Oportunidade perdida.

22 Sade e segurana dos profissionais envolvidos.

22 Tempo de investigao e tempo de reparo.

22 Tempo de trabalho perdido.

22 Custo financeiro para reparar o prejuzo.

22 Imagem e reputao.

63
Identicao de Riscos

Identicao
dos ativos

Identicao
das ameaas

Identicao dos
controles existentes

Identicao das
vulnerabilidades

Identicao das Figura 4.4


consequncias Identificao das
consequncias.

Entende-se por consequncia o resultado de um incidente ou evento que pode ter um


impacto nos objetivos da organizao. Nesta parte da anlise de riscos, uma consequncia
pode ser, por exemplo:

11 A perda da eficcia no funcionamento operacional dos sistemas;

11 Instabilidade no funcionamento de sistemas;

11 Condies adversas de operao;

11 Perda de oportunidade de negcios;

11 Imagem e reputao afetadas;

11 Violao de obrigaes regulatrias;

11 Prejuzo financeiro;

11 Perda de dados e informaes;

11 Perda de vidas humanas;

11 Perda de competitividade,

11 Entre diversas outras, de acordo com os negcios da organizao.

Entrada Ao Sada

Lista de vulnerabilidades
associadas aos ativos, s
Identicao das Lista de cenrios de
ameaas e aos controles
consequncias incidentes e suas
Gesto de Riscos de TI NBR 27005

consequncias
Lista de vulnerabilidades (8.2.6 da ABNT NBR associadas aos ativos e
que no se referem a ISO/IEC 27005) processos do negcio Figura 4.5
nenhuma ameaa
identicada Identificao das
consequncias.

Esta atividade visa identificar as consequncias ou prejuzos para a organizao que podem
decorrer de um cenrio de incidentes, fruto das vulnerabilidades identificadas. A configurao
de um cenrio de incidentes considerada uma falha de segurana.

64
Um cenrio nada mais do que a descrio de uma ameaa que explora uma ou mais vulnera-
bilidades em um incidente de segurana da informao, podendo afetar um ou mais ativos ou
apenas parte de um ativo, de acordo com os critrios estabelecidos na Definio do Contexto.

Como exemplos de consequncias operacionais citam-se:

11 Oportunidade perdida;

11 Sade e segurana;

11 Tempo de investigao e tempo de reparo;

11 Tempo de trabalho perdido;

11 Custo financeiro para reparar o prejuzo;

11 Imagem e reputao.

Exerccio de fixao 2 e
Identificando as consequncias
Apresente uma consequncia para trs vulnerabilidades respondidas nos exerccios de
fixao 1? Justifique.

Leitura complementar
11 Sesso 8.2.5 e 8.2.6 da ABNT NBR ISO/IEC 27005.

11 Anexo D da ABNT NBR ISO/IEC 27005.

11 Norma Complementar Gesto de Riscos de Segurana da Informao e Comunicaes


GRSIC, do DSIC/GSI/PR: http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf

11 SANS The Top Cyber Security Risks Twenty Critical Security Controls for Effective Cyber
Defense: http://www.sans.org/

Captulo 4 - Anlise de riscos: Vulnerabilidades e consequncias


11 Security Focus Vulnerabilities: http://www.securityfocus.com/

11 CERT.br Security Related Links: http://www.cert.br/links/

11 CAIS Centro de Atendimento a Incidentes de Segurana


RNP: http://www.rnp.br/cais/alertas/

65
66
Gesto de Riscos de TI NBR 27005
Roteiro de Atividades 4
Viso geral da atividade
Com os ativos, ameaas e controles j levantados e identificados pela equipe de anlise, os
prximos passos so a identificao das vulnerabilidades e as consequncias caso essas
vulnerabilidades sejam exploradas pelos agentes para concretizao das ameaas. Agora
sero realizadas as atividades necessrias para a Anlise de riscos identificao de riscos:
vulnerabilidades e consequncias.

A figura a seguir apresenta graficamente a localizao destas atividades no processo de


gesto de riscos:

DEFINIO DO CONTEXTO

PROCESSO DE AVALIAO DE RISCOS

MONITORAMENTO E ANLISE CRTICA DE RISCOS


IDENTIFICAO DE RISCOS
COMUNICAO E CONSULTA DO RISCO

ANLISE DE RISCOS

AVALIAO DE RISCOS

PONTO DE DECISO 1 No
Avaliao satisfatria
Sim

TRATAMENTO DO RISCO

PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim

Figura 4.6
Atividades no
ACEITAO DO RISCO
Captulo 4 - Roteiro de Atividades

processo de gesto
de riscos. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES

A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.

Para esta atividade o aluno deve se valer do Anexo C (Problemas relatados e observados)
que permitir o levantamento dos problemas da empresa KWX.

67
A sequncia das atividades ser:

1. Leitura das Sees 8.2.1.5, 8.2.1.6 e do Anexo D da ABNT NBR ISO/IEC 27005;

2. Leitura do Anexo C (Problemas relatados e observados) deste caderno de atividades;

3. Explicao e demonstrao da planilha de anlise de risco pelo instrutor;

4. Execuo das atividades da planilha;

Na guia Sesso 4 da Planilha encontram-se dois botes: q


1) Identifique as Vulnerabilidades abre a guia Vulnerabilidades

2) Identifique as Consequncias abre a guia Consequncias

a. Exerccio da guia Vulnerabilidades Identificao das vulnerabilidades no atendidas


pelos controles existentes

Nesta atividade a equipe de anlise identificar e listar as vulnerabilidades existentes para


cada ativo da organizao.

Com os ativos, ameaas e controles j levantados e identificados pela equipe de anlise, a


prxima atividade identificar as vulnerabilidades e fraquezas existentes nestes ativos e
que podem ser exploradas pelos agentes para concretizarem as ameaas. Para cada vulne-
rabilidade deve ser apresentada a evidncia (Justificativa).

Para o exerccio prtico, para cada ativo devem ser identificadas at oito vulnerabilidades,
quatro para cada ameaa identificada. Na realidade este nmero varivel para cada ativo
e para cada ameaa.

Para auxiliar a atividade, o Anexo C deste caderno de atividades apresenta fotografias


tiradas do ambiente da organizao, que revelam diversas vulnerabilidades. Alm disso, na
planilha existe uma guia denominada Vulnerabilidades e Controles. Este material serve
apenas como apoio para a realizao desta atividade.

A planilha permite a edio apenas das clulas de vulnerabilidades e da justificativa.

S passe para a guia seguinte aps concluir.

b. Exerccio da guia Consequncias Identificao das consequncias das vulnerabilidades


levantadas

Nesta atividade a equipe de anlise vai identificar as consequncias para cada vulnerabili-
dade caso ela ocorra. Essas consequncias podem variar para cada tipo de ativo e cada tipo
de ameaa. Para cada consequncia deve ser apresentada a evidncia ( Justificativa).

Para o exerccio, para cada vulnerabilidade identificaremos apenas uma consequncia de


uma lista pr-definida. Essa lista composta por:
Gesto de Riscos de TI NBR 27005

11 Perda ou degradao da confidencialidade;

11 Perda ou degradao da integridade;

11 Perda ou degradao da disponibilidade;

11 Perda ou degradao da autenticidade;

11 Prejuzo financeiro por retrabalho;

11 Afeta imagem e reputao.

68
Esta lista apenas para a realizao exerccio. Normalmente estas consequncias so espe-
cficas para cada tipo de organizao. Assim como a quantidade de consequncias para cada
vulnerabilidade tambm um nmero varivel.

As respostas das guias anteriores so copiadas para esta guia.

S passe para a guia seguinte aps concluir.

5. Verificao e correo pelo instrutor.

Ao concluir o Roteiro de Atividades 4, a equipe de anlise ter uma listagem dos ativos,
ameaas que afetam ou podem vir a afetar cada ativo, os controles existentes ou com pre-
viso de implementao, as vulnerabilidades de cada ativo e as consequncias caso estas
vulnerabilidades sejam exploradas pelos agentes da ameaa.

Anexo C Problemas relatados

Situao do ambiente de trabalho no almoxarifado de Braslia.

Captulo 4 - Roteiro de Atividades

A conexo entre duas reas da mesma empresa apresenta instabilidade. Os tcnicos j utili-
zaram todas as ferramentas tecnolgicas disponveis, porm no identificaram o motivo da
instabilidade na linha de produo, que no consegue salvar as informaes na base de dados.

69
Vista da parte lateral da sede em Campinas (SP).

Recentemente o departamento de informtica da empresa identificou srios problemas de


instabilidade eltrica em sua rede. A surpresa dos tcnicos que na sala de servidores no
ocorreu nenhum problema. O problema somente aconteceu na rea de estoque da organi-
zao. Os tcnicos esto desconfiados da falta de conhecimento dos operadores do estoque
(fonte: http://www.arqcoop.com/patologias-da-construcao/).
Gesto de Riscos de TI NBR 27005

70
A equipe responsvel pela rea de TI da organizao tem sido surpreendida com a falta de
link com a internet. Eles esto buscando o que pode estar ocorrendo uma vez que os fios
que entram no prdio por parte da operadora esto cortados e parte desses fios foi roubada
(fonte: http://brazil.indymedia.org/content/2007/02/373244.shtml).

Captulo 4 - Roteiro de Atividades

A contabilidade da organizao e o setor de contas a pagar tiveram problemas na impresso


dos boletos, e o departamento de recursos humanos da organizao no consegue emitir
a folha de pagamento. Aps a anlise na impressora, percebeu-se que no havia problema
com ela, mas o problema ocorria na conexo de rede. Tcnicos esto trabalhando no local
para identificar o motivo. Ultimamente tem ocorrido interrupo na conexo das mquinas
da empresa com o servidor de impresso. Os tcnicos j reinstalaram o software e reini-
cializaram o servio de impresso. Porm, o problema permanece (fonte: http://sfsonline.
wordpress.com/2009/03/08/victor-konder/).

71
J aconteceu do filho do dono da empresa entrar na sala de equipamentos da organizao e
colocar seu pendrive no servidor de banco de dados. Houve uma parada no servio e toda
a linha de produo teve suas atividades interrompidas por duas horas. A equipe tcnica
ainda est pesquisando por que o problema pode ter acontecido e o que pode ser feito para
impedir que se repita.

A equipe responsvel do link de internet da organizao foi surpreendida com a reiniciali-


zao do roteador da operadora aps terem finalizado o chamado para o acerto do mesmo
e o reestabelecimento da conexo com a internet. Ao chegar na sala de equipamentos
perceberam que o rack estava aberto.
Gesto de Riscos de TI NBR 27005

72
Aps interrupo na sala de conferncia da organizao durante reunio entre a diretoria e
a presidncia, os tcnicos de TI (terceirizados) foram acionados para identificar o que tinha
ocorrido. Os tcnicos levaram 5 horas para responder diretoria. Por este motivo tiveram
o seu contrato finalizado. E a organizao optou pela contratao de outra empresa para o
fornecimento do suporte de TI.

Este emaranhado de fios atrapalha o bom andamento e a agilidade na soluo de pro-


blemas. A organizao, preocupada com este cenrio, contratou uma firma terceirizada para
resolver o problema.
Captulo 4 - Roteiro de Atividades

73
A situao dos equipamentos de energia e telefonia tem se mostrado sem cuidado e os
equipamentos so constantemente encontrados abertos. No existe qualquer controle de
acesso aos equipamentos.

Certa vez, ao chegarem para trabalhar, os funcionrios foram surpreendidos pela queda de
Gesto de Riscos de TI NBR 27005

parte do teto por causa das fortes chuvas que ocorreram. A equipe tcnica de redes teve
srios problemas para resolver a conexo dos equipamentos de toda a empresa para que os
mesmos pudessem trabalhar em rede e dar suporte ao restante da organizao.

74
No passado, parte da empresa teve sua estrutura abalada por fortes ventos e chuvas.
A equipe de suporte do provedor de internet da localidade teve sua rede isolada da internet
por todo o perodo em que ocorreram as chuvas na regio.

Tem havido instabilidade na conexo de rede do prdio entre os equipamentos dos dife-
rentes departamentos da empresa e a sala de servidores, ocasionando parada ao longo do
dia nos servios e a insatisfao dos usurios com a rede. O que pode estar gerando esta
instabilidade est sendo avaliado pelos tcnicos responsveis de TI.
Captulo 4 - Roteiro de Atividades

75
Foi verificado pela equipe de TI que existem pessoas utilizando os equipamentos da orga-
nizao para jogos eletrnicos durante o expediente, o que vai contra a poltica organiza-
cional. O administrador de sistemas da organizao utiliza o seu perfil para habilitar jogos
durante o perodo de trabalho e passa parte do dia jo-gando. O responsvel de TI est
buscando uma forma de educar o administrador para que evite esta prtica durante o seu
perodo de trabalho
Gesto de Riscos de TI NBR 27005

Situao dos cabos no rack do almoxarifado.

76
Viso do cabeamento na parte traseira dos equipamentos do datacenter.

Uma viso na filial da organizao.

Captulo 4 - Roteiro de Atividades

No escritrio do diretor encontram-se expostos lembretes das senhas de diversos


sistemas. Segundo este diretor a empresa no tem problemas de segurana. Aqui todo
mundo de confiana.

77
comum encontrar funcionrios utilizando suas tabuletas para acessar jogos durante o
expediente via rede sem fio da organizao.

Situao encontrada em um notebook em uso por gerente.


Gesto de Riscos de TI NBR 27005

Situao da documentao dos visitantes na portaria onde o sistema de vigilncia e a


catraca no funcionam h seis meses.

78
Tem sido encontrado um grande nmero de funcionrios utilizando tabuletas e
smartphones para acessar a rede sem fio da empresa.

Depsito de material ao lado do depsito de material inflamvel.

Captulo 4 - Roteiro de Atividades

Sala de guarda de documentao de software e sistemas.

79
Foi encontrada uma visitante fotografando a tela de um computador com seu celular.

Infiltrao na sala de servidores em Campinas.


Gesto de Riscos de TI NBR 27005

80
Infiltrao na sala de servidores no Rio de Janeiro (fonte: http://estadodeminas.lugarcerto.
com.br/app/noticia/noticias/2008/12/06/interna_noticias,28526/sinais-de-infiltracao.shtml).

O que foi aprendido


11 Viso geral da identificao de riscos. q
11 Metodologia e atividades para identificar vulnerabilidades e consequncias.

Captulo 4 - Roteiro de Atividades

81
82
Gesto de Riscos de TI NBR 27005
5
Anlise de Riscos:
Avaliao das consequncias
objetivos

Realizar a avaliao das consequncias.

conceitos
Estimativa de riscos, metodologias de estimativa qualitativa e quantitativa, avaliao
das consequncias.

Introduo
Aps a realizao do processo de identificao de riscos, necessrio um processo de atribuir
valores para os ativos, ameaas, vulnerabilidades e consequncias. Isso possibilita colocar os
riscos em ordem de prioridade, para trat-los de acordo com sua urgncia ou criticidade. Estes
valores seguem os mesmos critrios definidos na fase de definio do contexto.

Exerccio de nivelamento 1 e
Avaliao das consequncias
No seu entendimento o que avaliao das consequncias?

Captulo 5 - Anlise de Riscos: Avaliao das consequncias

Viso geral do processo de estimativa de risco


11 A etapa de estimativa de riscos a realizao de uma estimativa de valores para cada q
um dos itens identificados, para uma ordenao do nvel de criticidade do risco e a
sua posterior mitigao.

11 Pode ser realizada com diferentes graus de detalhamento, a depender do risco, do


objetivo da anlise, e das informaes, dados e recursos disponveis.

11 Pode ser qualitativa, quantitativa ou a combinao das duas.

11 Desenvolvida de acordo com os dados identificados nas atividades das etapas anteriores.

83
11 Estimativa de valores para cada um dos itens identificados para que seja possvel q
uma ordenao do nvel de criticidade, do risco e o tratamento posterior para a
mitigao dos riscos.

A anlise de riscos pode ser realizada com diferentes graus de detalhes, dependendo do
risco, do objetivo da anlise, e das informaes, dados e recursos disponveis. Os fatores
que afetam a probabilidade e consequncias devem ser identificados. Esta anlise pode ser
qualitativa, quantitativa ou a combinao das duas, dependendo das circunstncias.

A estimativa de riscos realizada de acordo com os critrios de risco definidos pela equipe
de anlise durante o incio dos trabalhos. importante considerar a interdependncia dos
diferentes riscos e suas fontes.

A figura seguinte apresenta o posicionamento da etapa de estimativa de riscos dentro do


processo de gesto de riscos.

DEFINIO DO CONTEXTO

PROCESSO DE AVALIAO DE RISCOS


MONITORAMENTO E ANLISE CRTICA DE RISCOS

IDENTIFICAO DE RISCOS
COMUNICAO E CONSULTA DO RISCO

ANLISE DE RISCOS

AVALIAO DE RISCOS

PONTO DE DECISO 1 No
Avaliao satisfatria
Sim

TRATAMENTO DO RISCO

PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim

ACEITAO DO RISCO
Gesto de Riscos de TI NBR 27005

Figura 5.1
Etapa de estimativa
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES de riscos.

Metodologias
Duas metodologias podem ser usadas para a anlise dos riscos: q
11 Anlise qualitativa de riscos.

11 Anlise quantitativa de riscos.

84
Metodologia de anlise qualitativa
11 Estimativa atravs de atributos qualificadores e descritivos que avaliam a intensidade q
das consequncias e a probabilidade de ocorrncia do risco.

11 No so atribudos valores financeiros aos ativos, consequncias e controles, mas


escalas de atributos, atravs de valores descritivos relativos.

11 Estimativa considerada muito subjetiva.

A anlise qualitativa se baseia na avaliao, atravs de atributos qualificadores e descritivos,


da intensidade das consequncias e probabilidade de ocorrncia do risco identificado. Na
metodologia qualitativa, no se atribuem valores financeiros aos ativos, consequncias e
controles, mas so utilizadas escalas de atributos atravs de valores descritivos relativos.

Esta estimativa considerada muito subjetiva, sendo ideal para uma verificao inicial dos
riscos, quando no esto disponveis dados numricos em quantidade suficiente.

Exemplos de uso da anlise qualitativa:

Para Probabilidade:

11 Alta, Mdia e Baixa;

11 Raro, Improvvel, Possvel, Provvel e Quase Certo;

11 Remotamente possvel, Ocasionalmente, Frequentemente, Vrias vezes ao ms;

11 Improvvel, Provvel e Certo;

11 Pequena, Mdia e Grande;

11 Baixa, Mdia, Alta, Muito Alta e Elevada;

11 Improvvel, Remoto, Ocasional, Provvel, Frequente.

Para Consequncias (Impactos):

11 Alto, Mdio e Baixo;

11 Irrelevante, Negligencivel, Marginal, Crtico, Extremo e Catastrfico;

11 Extremo, Alto, Mdio, Baixo e Desprezvel;

11 Grande, Mdio, Pequeno e Irrisrio;

11 Perturbaes muito graves, Graves, Limitadas, Leves e Muito Leves;

Os critrios citados acima so apenas exemplos para uso didtico. O desenvolvi- Captulo 5 - Anlise de Riscos: Avaliao das consequncias
mento destes critrios deve levar em conta o tipo de organizao, suas informaes
e dados existentes. As escalas devem ser construdas e adaptadas para as diferentes
organizaes e riscos a elas associados.

Metodologia de anlise quantitativa


11 Escala de valores numricos para calcular valores numricos para cada um dos com- q
ponentes coletados durante a etapa de identificao de riscos.

11 Estimativa que utiliza dados histricos, exatos e auditveis, sem os quais torna-se falsa.

Na metodologia da anlise quantitativa utilizada uma escala de valores numricos com


objetivo de tentar calcular valores numricos para cada um dos componentes coletados
durante as atividades de identificao de riscos. A abordagem quantitativa adotada
quando h um cenrio que permita definir os valores financeiros, mesmo que aproximados,

85
dos ativos priorizados, assim como dos impactos. Por exemplo, estima-se o valor real de cada
ativo em termos do custo de sua substituio, ou do custo associado perda de produti-
vidade, e outros valores de acordo com o tipo da organizao. Esta mesma maneira para
calcular pode ser empregada para o levantamento estimado do custo dos controles e outros
valores identificados na etapa anterior. A anlise quantitativa deve utilizar dados histricos e
dados exatos e auditveis. Caso no existam tais dados, este tipo de estimativa torna-se falsa.

Exemplos de uso desta anlise quantitativa:

Para Probabilidade:

11 50 %;

11 0,2;

11 0,75

Para Consequncias (Impactos):

11 Valor de substituio do ativo: R$ 12 mil;

l
11 Valor da manuteno do ativo;

11 Custo de implantao do controle;


Complemente seu
11 Valor da multa por no cumprimento do contrato; aprendizado estu-
dando o item 8.3.1 da
11 Prejuzo pelas horas paradas. norma ABNT NBR ISO/
IEC 27005.
Exerccio de fixao 1 e
Metodologias
Explique as diferenas entre a metodologia qualitativa e a metodologia quantitativa.

Qual a metodologia que melhor se aplica a sua organizao? Justifique.


Gesto de Riscos de TI NBR 27005

Estimativa de riscos
11 Realizada aps a etapa de identificao de riscos. q
11 Composta por trs atividades:

22 Avaliao das consequncias.

22 Avaliao da probabilidade dos incidentes.

22 Estimativa do nvel de risco.

86
A etapa de estimativa de riscos realizada logo aps a identificao de riscos, quando j se
possui levantado e identificado, dentro do escopo acordado, os ativos, as ameaas, as vulne-
rabilidades e suas consequncias.

A figura abaixo ilustra, didaticamente, a sequncia das atividades:

Identicao dos Riscos

Anlise dos Riscos

Avaliao das
consequncias

Avaliao da
probabilidade

Determinao do
Nvel de Risco
Figura 5.2
Atividades da
estimativa de
Avaliao de Riscos
riscos.

Avaliao das consequncias


11 Objetivo de avaliar os impactos sobre os negcios da organizao levando-se em q
conta as consequncias de uma violao da segurana da informao.

11 A ordenao dos ativos pode ser feita de duas formas:

22 Atravs do valor de reposio do ativo.

22 Atravs das consequncias ao negcio.

11 A valorao dos ativos e sua classificao pela criticidade so fatores importantes


para a determinao do impacto de um cenrio de incidente.

22 O incidente pode afetar mais de um ativo, em virtude da interdependncia dos ativos.

11 As consequncias podero ser expressas em funo de critrios financeiros, tcnicos,


humanos, do impacto nos negcios, entre outros critrios.

Captulo 5 - Anlise de Riscos: Avaliao das consequncias


11 Elaborao de lista de consequncias avaliadas referentes a um cenrio de incidente,
em relao aos ativos e critrios de impacto.

Anlise de Riscos

Avaliao das
consequncias

Avaliao da
probabilidade

Figura 5.3 Determinao do


Avaliao das Nvel de Risco
consequncias.

87
A atividade de avaliao das consequncias tem como objetivo avaliar os impactos sobre os
negcios da organizao, levando em conta as consequncias de uma violao da segurana
da informao, como, por exemplo: perda ou degradao da disponibilidade dos ativos,
perda da confidencialidade ou perda da integridade. Para esta avaliao, a equipe de anlise
levar em conta os critrios e fatores definidos e adotar uma das metodologias de estima-
tiva: qualitativa ou quantitativa.

Entrada Ao Sada

Lista de cenrios de Avaliao das


incidentes, incluindo ativos Lista de
consequncias
afetados, vulnerabilidades e consequncias
consequncias para os (8.3.2 da ABNT NBR avaliadas
ISO/IEC 27005) Figura 5.4
ativos e negcios
Avaliao das
consequncias.

11 Entrada: resultados da etapa de identificao dos riscos.

11 Ao: exatamente o desenvolvimento da atividade de avaliao das consequncias sobre


o negcio da organizao.

11 Sada: lista de consequncias referentes a um cenrio de incidente, estando relacionada


aos ativos e critrios de impacto.

Uma das primeiras aes a ordenao dos ativos de acordo com a sua criticidade e impor-
tncia para a realizao dos objetivos de negcio da organizao. possvel realizar isto de
duas formas:

11 Atravs do valor de reposio do ativo: onde se determina o custo financeiro da


recuperao ou reposio do ativo e tambm do valor da informao que ele contenha.
Por exemplo: um servidor de e-mail de uma determinada empresa queimou e tem o seu
custo de reposio estimado em R$ 5 mil. Na metodologia qualitativa o valor ALTO e na
metodologia quantitativa o valor R$ 5 mil.

11 Atravs das consequncias ao negcio: o valor determinado pelo impacto das conse-
quncias nos negcios. Normalmente este valor mais significativo que somente o valor
do ativo. Prosseguindo no exemplo do servidor de e-mail queimado do item anterior,
identificamos que a empresa trabalha com vendas de material esportivo artesanal, e que
suas vendas so realizadas via e-mail, inclusive o processo de pagamento. O servidor
levou cinco dias para ser reposto e configurado, e o proprietrio estima que deixou de
vender aproximadamente R$ 20 mil por cada dia parado. Na metodologia qualitativa o
valor ELEVADO e na metodologia quantitativa o valor de R$ 100 mil (5 dias parado x
R$ 20 mil por dia).

A valorao dos ativos e sua classificao pela criticidade so importantes para a determi-
nao do impacto de um cenrio de incidente, pois o incidente pode ainda afetar mais de
Gesto de Riscos de TI NBR 27005

um ativo, em virtude da interdependncia dos ativos. Assim, a avaliao das consequncias


est fortemente relacionada valorao dos ativos. Lembre-se de que as consequncias
podero ser expressas em funo dos critrios monetrios, tcnicos, humanos, do impacto
nos negcios ou outros critrios importantes para a organizao.

Leitura complementar
11 Sesso 8.3.2 da norma ABNT NBR ISO/IEC 27005.

88
Roteiro de Atividades 5
Viso geral da atividade
Aps a equipe ter as listagens de ativos, ameaas, vulnerabilidades e consequncias, tem
incio o trabalho de estimativa dos riscos. Aqui a equipe avalia a relevncia dos ativos e a
severidade das consequncias, com as atividades necessrias para a Anlise de risco
estimativa de riscos.

A figura a seguir apresenta graficamente a localizao destas atividades no processo de


gesto de riscos:

DEFINIO DO CONTEXTO

PROCESSO DE AVALIAO DE RISCOS

MONITORAMENTO E ANLISE CRTICA DE RISCOS


IDENTIFICAO DE RISCOS
COMUNICAO E CONSULTA DO RISCO

ANLISE DE RISCOS

AVALIAO DE RISCOS

PONTO DE DECISO 1 No
Avaliao satisfatria
Sim

TRATAMENTO DO RISCO

PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim

Figura 5.5
ACEITAO DO RISCO
Atividades do
processo de gesto
de riscos. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
Captulo 5 - Roteiro de Atividades

A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.

Para esta atividade o aluno deve se valer das observaes sobre a empresa KWX.

A sequncia das atividades ser:

1. Leitura da Seo 8.3.2 e do Anexo E da ABNT NBR ISO/IEC 27005;

2. Explicao e demonstrao da planilha de anlise de risco pelo instrutor;

89
3. Execuo das atividades da planilha;

Na guia Sesso 5 da planilha encontram-se duas guias: q


1) a guia Aval. Qual. dos Ativos

2) a guia Aval. Qual. da Severidade

a. Exerccio da guia Aval. Qual. dos Ativos Avaliao da relevncia dos ativos

Neste exerccio a equipe de anlise identificar a relevncia de cada ativo para os negcios da
organizao. Para cada relevncia de cada ativo deve ser apresentada a evidncia (Justificativa).

Os critrios de relevncia foram definidos no Roteiro de Atividades 2 e agora sero aplicados.

Para o exerccio, os critrios sero escolhidos de uma lista que apresentar os critrios
anteriormente definidos. A planilha permite a edio apenas das clulas de relevncia
e da justificativa.

S passe para a guia seguinte aps concluir.

b. Atividade da guia Aval. Qual. da Severidade Avaliao da severidade das consequncias.

Nesta atividade a equipe de anlise identificar a severidade de cada consequncia anterior-


mente levantada sobre determinado ativo e sua relevncia para o negcio da organizao.

A resposta ser dada por um dos nveis do critrio Severidade das Consequncias definido
no Roteiro de Atividades 2 na guia de Critrios.

Para cada consequncia a equipe de anlise definir a severidade das consequncias sobre
aquele ativo. Para cada severidade de cada consequncia deve ser apresentada a evidncia
( Justificativa).

Para o exerccio, os critrios sero escolhidos de uma lista que apresentar os critrios
anteriormente definidos.

A planilha permite a edio apenas das clulas de severidade e da justificativa.

S passe para a guia seguinte aps concluir.

4. Verificao e correo pelo instrutor.

Ao concluir o Roteiro de Atividades 5, a equipe de anlise ter uma listagem contendo os


ativos, as ameaas que afetam ou podem vir a afetar cada ativo, os controles existentes ou
com previso de implementao, as vulnerabilidades que existem em cada ativo e as con-
sequncias caso estas vulnerabilidades sejam exploradas pelos agentes da ameaa. J ter
determinado ainda a relevncia de cada ativo para os negcios da organizao e a severi-
dade das consequncias.
Gesto de Riscos de TI NBR 27005

O que foi aprendido


11 Metodologias qualitativa e quantitativa. q
11 Como realizar a estimativa dos riscos.

11 Como realizar a avaliao das consequncias.

90
6
Anlise de riscos:
avaliao da probabilidade
objetivos

Realizar a avaliao da probabilidade e determinar o nvel de risco.

conceitos
Probabilidade, avaliao da probabilidade e nvel de risco.

Introduo
Nesta etapa da anlise de risco, que faz parte do processo de anlise de risco, so tratadas
as atividades de identificao das probabilidades de ocorrncia e a determinao do nvel de
risco. Estas duas atividades iro compor a concluso do processo de anlise de risco.

Exerccio de nivelamento 1 e
Avaliao da probabilidade
O que probabilidade em um processo de gesto de riscos?

Captulo 6 - Anlise de riscos: avaliao da probabilidade

91
Viso geral do processo de avaliao de risco
Conforme foi visto, o processo de avaliao de risco composto por trs atividades bsicas.
Nesta sesso sero abordadas duas, como mostra a figura abaixo:

Anlise de Riscos
PROCESSO DE AVALIAO DE RISCOS
Avaliao das
IDENTIFICAO DE RISCOS consequncias

Avaliao da
ANLISE DE RISCOS
probabilidade

AVALIAO DE RISCOS
Determinao
do Nvel de Risco Figura 6.1
Estimativa e
avaliao de riscos.

Avaliao da probabilidade de ocorrncia de incidentes


11 Avaliao da probabilidade de ocorrncia de incidentes em cada cenrio e seus impactos. q
11 Para a estimativa da probabilidade ser necessrio:

22 Estudo do histrico de ocorrncias de incidentes de segurana.

22 Relatrio de frequncia de ocorrncia das ameaas e dos nveis de possibilidade de


explorao das vulnerabilidades identificadas.

11 Para a estimativa da probabilidade a equipe de anlise dever levar em conta:

22 A experincia passada e as estatsticas histricas aplicveis determinada ameaa.

22 As vulnerabilidades, individualmente e em conjunto.

22 Os controles existentes e a eficincia e eficcia com que reduzem as vulnerabilidades.

11 Metodologias de anlise:

22 Qualitativa

22 Quantitativa

Anlise de Riscos

Avaliao das
consequncias

Avaliao da
probabilidade
Gesto de Riscos de TI NBR 27005

Determinao do Figura 6.2


Nvel de Risco Avaliao da
probabilidade.

Aps a identificao dos cenrios de incidentes e da avaliao das consequncias,


necessrio realizar a avaliao da probabilidade de riscos em cada cenrio e dos impactos
correspondentes. Nesta atividade importantssimo o uso do histrico de ocorrncias de
incidentes de segurana.

92
Na atividade de avaliao da probabilidade de incidentes:

11 Entrada: listas de cenrios de incidentes identificados como relevantes na atividade de


avaliao das consequncias.

11 Ao: avaliao da probabilidade de ocorrncia de incidentes de segurana.

11 Sada: probabilidade dos cenrios de incidentes no mtodo quantitativo ou qualitativo.

Entrada Ao Sada

Lista de cenrios de Avaliao da


Figura 6.3 incidentes, incluindo ativos probabilidade Probabilidade
Avaliao da afetados, vulnerabilidades dos cenrios
exploradas e consequncias (8.3.3 da ABNT NBR de incidentes
probabilidade dos ISO/IEC 27005)
incidentes. para os ativos e negcios

Para esta avaliao so usadas metodologias de anlise quantitativa e qualitativa. Para a


equipe estimar a probabilidade necessrio realizar o estudo do histrico de ocorrncias, da
frequncia da ocorrncia das ameaas e da facilidade com que as vulnerabilidades podem ser
exploradas. Como exemplo considere os seguintes depoimentos em entrevistas:

11 Histrico: consta que h cerca de trs anos ocorreu uma indisponibilidade do servidor
por falha de hardware.

11 Frequncia: tem havido falhas de software e travamento do servidor de e-mail, que logo
depois volta a funcionar. Isto j ocorreu umas cinco vezes nos ltimos dois meses.

11 Facilidade: o servidor de e-mail tem ficado na sala do almoxarifado. Assim fica mais fcil
despachar os pedidos. O pessoal acessa diretamente o servidor de e-mail. No se trata
de um ambiente fechado, pois cerca de nove pessoas trabalham ali.

Na estimativa da probabilidade, a equipe de anlise dever considerar a experincia


passada e as estatsticas histricas aplicveis determinada ameaa.

11 Fontes de ameaas intencionais:

22 Motivao para explorar, como conflitos com superiores e insatisfao profissional.

22 Competncias e conhecimento: determinadas vulnerabilidades s podem ser explo-


radas se o atacante tiver elevado conhecimento tcnico; para explorar outras vulnera-
bilidades basta desligar a energia.

22 Conhecimento da vulnerabilidade, pois nem todos conseguem perceber a existncia

Captulo 6 - Anlise de riscos: avaliao da probabilidade


da vulnerabilidade, embora alguns j saibam onde a senha guardada.

22 Poder de atrao do ativo: para um atacante motivado em causar um grande prejuzo,


um servidor de e-mail no o bastante; j para outro atacante com objetivo de pro-
vocar pequenos problemas repetidamente, tirar o servidor do ar suficiente.

11 Para as fontes de ameaas acidentais:

22 Proximidade de lugares insalubres e que possam danificar os equipamentos;

22 Eventos climticos como temporais, inundaes e vendavais;

22 Fatores facilitadores, que permitem que um erro humano acidental (como manuseio
por pessoas tecnicamente despreparadas) acarrete em mau funcionamento
(por exemplo, rede eltrica instvel).

As vulnerabilidades devem ser analisadas tanto individualmente quanto em conjunto, assim como
os controles existentes e a eficincia e eficcia com que esto reduzindo as vulnerabilidades.

93
Assim, ao analisar um determinado ativo de acordo com os fatores mencionados, a equipe
de anlise pode ter o seguinte resultado, baseado em duas metodologias de estimativa:

11 Qualitativa: alta probabilidade de ocorrer uma falha de disponibilidade, pois o equipa-


mento est localizado em rea de grande umidade;

11 Quantitativa: probabilidade de 75% de ocorrer uma falha de disponibilidade, pois o equi-


pamento est localizado em uma rea de grande umidade.

Exerccio de fixao 1 e
Avaliao da probabilidade
Como voc avaliar a probabilidade na sua organizao? Explique.

Determinao do nvel de risco


11 A determinao do nvel de risco uma atividade na qual a equipe de anlise vai men- q
surar o nvel de risco com o uso dos resultados obtidos nas etapas anteriores.

11 Nesta atividade sero conferidos valores para a probabilidade e consequncias do risco.

11 Esta atividade o incio da construo da tabela de anlise dos riscos.

Avaliao das
consequncias

Avaliao da
probabilidade

Determinao
do Nvel de Risco Figura 6.4
Determinao do
nvel do risco.

A determinao do nvel de risco uma atividade na qual a equipe de anlise vai mensurar o
nvel de risco com o uso dos resultados obtidos nas etapas anteriores. Nesta atividade sero
dados valores para a probabilidade e consequncias do risco.

Nesta atividade de determinao do nvel de risco:


Gesto de Riscos de TI NBR 27005

11 Entrada: so as listas de cenrios de incidentes identificados com suas consequncias e


probabilidades na atividade de avaliao da probabilidade.

11 Ao: determinao do nvel de risco para todos os incidentes considerados.

11 Sada: uma lista de riscos com nveis de valores.

94
Entrada Ao Sada

Lista de cenrios de incidentes Determinao do


com suas consequncias nvel de risco Lista de riscos com
associadas aos ativos, nveis de valores
Figura 6.5 (8.3.4 da ABNT NBR designados
processos de negcios e suas
Determinao do ISO/IEC 27005)
probabilidades
nvel de risco.

Esta atividade o incio da construo da tabela para analisar os riscos. O item E.2 do
anexo E da norma ABNT NBR ISO/IEC 27005 detalha os mtodos existentes para esta esti-
mativa. A escolha do mtodo ideal fruto do tipo da organizao e de sua estrutura para a
gesto dos riscos.

A equipe de anlise deve escolher o mtodo que melhor atenda s necessidades de negcio
da organizao e que seja facilmente entendido pelos seus integrantes.

Para pensar

Leia atentamente o Anexo E. Aps a leitura, escolha o mtodo que voc considera
que melhor se adaptaria sua organizao. Aps a escolha comece a trabalhar com
este modelo.

Leitura complementar
11 Sesso 8.3.3 da norma ABNT NBR ISO/IEC 27005.

11 Sesso 8.3.4 da norma ABNT NBR ISO/IEC 27005.

11 Anexo E da norma ABNT NBR ISO/IEC 27005.

Captulo 6 - Anlise de riscos: avaliao da probabilidade

95
96
Gesto de Riscos de TI NBR 27005
Roteiro de Atividades 6
Viso geral da atividade
Neste roteiro, sero realizadas as atividades necessrias para a Anlise de risco
probabilidade e estimativa de riscos.

A figura a seguir apresenta graficamente a localizao destas atividades no processo de


gesto de riscos:

DEFINIO DO CONTEXTO

PROCESSO DE AVALIAO DE RISCOS

MONITORAMENTO E ANLISE CRTICA DE RISCOS


IDENTIFICAO DE RISCOS
COMUNICAO E CONSULTA DO RISCO

ANLISE DE RISCOS

AVALIAO DE RISCOS

PONTO DE DECISO 1 No
Avaliao satisfatria
Sim

TRATAMENTO DO RISCO

PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim
Figura 6.6
Atividades no ACEITAO DO RISCO
processo de gesto
de riscos. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES

A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
Captulo 6 - Roteiro de Atividades

27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.

Para esta atividade o aluno deve se valer das observaes da empresa KWX.

A sequncia das atividades ser:

1. Leitura das Sees 8.3.2, 8.3.3 e 8.3.4 da ABNT NBR ISO/IEC 27005;

2. Explicao e demonstrao da planilha de anlise de risco pelo instrutor;

3. Execuo das atividades da planilha;

97
Na guia Sesso 6 da planilha encontram-se trs guias: q
1) a guia Aval. Qualitativa Probabilidade

2) a guia Estimativa

3) a guia Res. Estimativa Qualitativa

a. Exerccio da guia Aval. Qualitativa Probabilidade Avaliao da probabilidade

Neste exerccio a equipe de anlise identificar e definir a probabilidade das vulnerabilidades


serem exploradas e das consequncias acontecerem.

Com uma viso mais ampla das vulnerabilidades e consequncias, a equipe definir a
probabilidade de ocorrncia destes eventos. Os critrios de probabilidades foram definidos
durante o Roteiro de Atividades 2 e sero agora aplicados.

Para cada vulnerabilidade a equipe analisar e definir sua probabilidade. Para cada proba-
bilidade de cada vulnerabilidade dos ativos deve ser apresentada a evidncia (Justificativa).

Para o exerccio, os critrios de probabilidade sero escolhidos de uma lista que apresentar
os critrios anteriormente definidos.

A planilha permite a edio apenas das clulas de probabilidade e da justificativa.

S passe para a guia seguinte aps concluir.

b. Exerccio da guia Estimativa Definio das estimativas (pesos).

Neste exerccio a equipe de anlise j conhecer todo o ambiente, seus ativos, vulnerabilidades
e probabilidade de ocorrncia, e assim definir os pesos para a definio e clculo do risco.

A insero de pesos em cada critrio visa facilitar o clculo dos riscos e assim permitir que
sejam ordenados por criticidade.

Os critrios foram definidos no Roteiro de Atividades 2. Agora ser feita apenas a insero
dos pesos em cada critrio. Note que nesta atividade no ser feita nenhuma alterao nos
critrios anteriormente definidos. Caso se identifique a necessidade de alterar os critrios
durante o processo de gesto de risco, ser necessrio voltar para a atividade de critrios e
refaz-la, revisando todo o trabalho a partir da.

Para o exerccio, a guia Estimativa apresenta os critrios anteriormente definidos, acres-


cidos da coluna Peso. Nesta coluna ser colocado o peso definido pela equipe de anlise
de risco a partir de sua viso da organizao. A planilha j apresenta os pesos com valor 0
e a equipe dever substitu-los pelos valores que julgar vlidos. Por exemplo:

11 1, 2, 3, 4 e 5;

11 1, 3, 5,7 e 9;
Gesto de Riscos de TI NBR 27005

11 1, 2, 3, 6 e 10;

11 1, 2, 4, 6 e 8.

Estes pesos podem ser alterados para que possam representar a realidade da organizao.
A equipe define estes pesos pela sua experincia com a organizao. Cada valor de peso
deve ter uma justificativa para o seu valor.

Ao lado dos critrios de risco, aparece a pontuao de cada critrio, calculada automatica-
mente a partir dos pesos dados pela equipe, alm da priorizao de tratamento dos riscos
aceita pela equipe.

98
A planilha permite a edio apenas das clulas de peso e de aceitao.

S passe para a guia seguinte aps concluir.

11 Atividade da guia Res. Estimativa Qualitativa Resultado das estimativas.

Nesta atividade a equipe de anlise analisar o resultado das estimativas para identificar se
ela est realmente atendendo as necessidades do negcio da organizao. A equipe deve
analisar detalhadamente os resultados.

Para o exerccio, analise cada resultado e apresente sua justificativa informando se atendem
ou no aos requisitos da organizao. Para facilitar o entendimento, volte para a atividade
anterior e altere os pesos, verificando o que acontece com os resultados.

Na sua viso de analista de riscos, qual resultado atende melhor aos requisitos de negcios?

Analise todos os resultados da estimativa, e em caso de dvida pergunte ao instrutor.

A planilha permite a edio apenas das clulas da justificativa.

S passe para a guia seguinte aps concluir.

4. Verificao e correo pelo instrutor.

Ao concluir o Roteiro de Atividades 6, a equipe de anlise ter uma viso ampla dos resul-
tados da anlise de risco, podendo identificar o impacto de cada consequncia caso as
vulnerabilidades sejam exploradas pelo agente da ameaa.

O que foi aprendido


11 Conceito de probabilidade e estimativa de riscos. q
11 Clculo da probabilidade de um risco ocorrer.

Captulo 6 - Roteiro de Atividades

99
Gesto de Riscos de TI NBR 27005

100
7
Avaliao de riscos
objetivos

Conceituar, definir e executar a avaliao de riscos.

conceitos
Avaliao de risco.

Introduo
Com os resultados obtidos nas fases anteriores, a equipe de anlise j possui dados sufi-
cientes para iniciar a fase de avaliao de riscos, fase responsvel por ordenar os riscos por
prioridade, de acordo com os critrios de avaliao de riscos definidos.

Este captulo deve ser realizado com consulta norma ABNT NBR ISO/IEC 27005.

Exerccio de nivelamento 1 e
Avaliao de riscos
Quais as informaes voc j possui para iniciar a avaliao de riscos? Explique.

Processo de avaliao de riscos de segurana da informao


A fase de avaliao de riscos auxiliar nas decises tendo como base os resultados da anlise de
riscos. Esta fase da gesto de riscos tem por objetivo comparar os nveis de riscos identificados
Captulo 7 - Avaliao de riscos

na fase anterior com os critrios de avaliao e aceitao de riscos. Estes critrios so definidos
durante a definio do contexto e devero estar alinhados aos objetivos da organizao.

Da fase de avaliao de riscos:

11 Entrada: lista de riscos com os nveis de valores e critrios para avaliao de riscos.

11 Ao: comparao do nvel dos riscos com os critrios de avaliao.

11 Sada: lista de riscos ordenados por prioridade, segundo os critrios de avaliao de riscos.

101
DEFINIO DO CONTEXTO

PROCESSO DE AVALIAO DE RISCOS

MONITORAMENTO E ANLISE CRTICA DE RISCOS


IDENTIFICAO DE RISCOS
COMUNICAO E CONSULTA DO RISCO

ANLISE DE RISCOS

AVALIAO DE RISCOS

PONTO DE DECISO 1 No
Avaliao satisfatria
Sim

TRATAMENTO DO RISCO

PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim

ACEITAO DO RISCO
Figura 7.1
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES Avaliao de riscos.

Avaliao de riscos de segurana da informao


11 Comparao dos riscos estimados com os critrios de avaliao definidos na fase q
de contexto.

22 A organizao dever tomar as decises desta fase com base no nvel de risco aceitvel.

11 importante que a organizao considere tambm:

22 As propriedades da segurana da informao (CIDA):

33 Confidencialidade.

33 Integridade.

33 Disponibilidade.

33 Autenticidade.
Gesto de Riscos de TI NBR 27005

22 A importncia do processo de negcios ou da atividade suportada por um deter-


minado ativo ou conjunto de ativos.

22 A agregao de riscos pequenos e mdios que podem resultar em um risco total


significativo, para assim trat-lo.

22 A considerao aos requisitos contratuais, regulatrios e legais.

33 Atividade a ser concluda em conjunto com a organizao, pois somente ela tem
a viso completa dos objetivos estratgicos de seu negcio.

102
Nesta fase as equipes de anlise juntamente com a organizao devem comparar os riscos
estimados (mtodos no Anexo E da norma) com os critrios de avaliao definidos durante
a fase de contexto. A organizao dever tomar as decises desta fase com base no nvel
de risco aceitvel. Porm, fatores como consequncias, probabilidade e confiana tambm
devero ser considerados para melhor orientar as tomadas de deciso.

Durante esta avaliao importante que a organizao considere:

11 As propriedades da segurana da informao (Confidencialidade, Integridade, Disponi-


bilidade, Autenticidade CIDA): se uma destas propriedades no for importante para a
organizao, ela poder considerar como de baixo valor os riscos que provocam vulnera-
bilidades ligadas a esta propriedade, e assim enquadr-los como riscos aceitveis.

11 A importncia do processo de negcios ou da atividade suportada por determinado ativo ou


conjunto de ativos: se um processo ou atividade avaliado pela organizao como de baixa
importncia, os riscos associados a ele devem ser tambm levados menos em considerao
do que os riscos que causam impactos em processos ou atividades mais importantes.

Exerccio de fixao 1 e
Avaliao de risco
Explique a importncia das propriedades da segurana da informao para a sua organizao?

Outro ponto importante a ser considerado durante a avaliao de riscos a agregao de


vrios riscos considerados riscos pequenos ou mdios para, atravs desta agregao, que
resulta em um risco total bem mais significativo, poder trat-lo adequadamente.

Nesta fase importante que as equipes de anlise avaliem os requisitos contratuais,


regulatrios e legais. Esta atividade deve ser realizada em conjunto com a organizao, pois
somente ela tem a viso completa dos seus objetivos estratgicos de negcio.

Entrada Ao Sada

Avaliao de
Uma lista de riscos com Lista de riscos ordenados
Riscos
nveis de valores e critrios por prioridade segundo
Figura 7.2 para avaliao de riscos (8.4 da ABNT NBR os critrios de avaliao
Fase de avaliao ISO/IEC 27005)
de riscos.

Leitura complementar
Captulo 7 - Avaliao de riscos

11 Sesso 8.4 da norma ABNT NBR ISO/IEC 27005.

11 Anexo E da norma ABNT NBR ISO/IEC 27005.

11 Item 5.4.4 da norma ABNT NBR ISO 31000.

103
Gesto de Riscos de TI NBR 27005

104
Roteiro de Atividades 7
Viso geral da atividade
Nesta atividade, sero realizadas as atividades necessrias para a Anlise de riscos
avaliao de riscos numa avaliao qualitativa.

A figura a seguir apresenta graficamente a localizao destas atividades no processo de


gesto de riscos:

DEFINIO DO CONTEXTO

PROCESSO DE AVALIAO DE RISCOS

MONITORAMENTO E ANLISE CRTICA DE RISCOS


IDENTIFICAO DE RISCOS
COMUNICAO E CONSULTA DO RISCO

ANLISE DE RISCOS

AVALIAO DE RISCOS

PONTO DE DECISO 1 No
Avaliao satisfatria
Sim

TRATAMENTO DO RISCO

PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim

Figura 7.3
ACEITAO DO RISCO
Atividades no
processo de gesto
de riscos. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
Captulo 7 - Roteiro de Atividades

A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.

Para esta atividade o aluno deve se valer das observaes da empresa KWX.

A sequncia das atividades ser:

1. Leitura da Seo 8.4 da ABNT NBR ISO/IEC 27005;

2. Explicao e demonstrao da planilha de anlise de risco pelo instrutor;

3. Execuo das atividades da planilha;

105
Na guia Sesso 7 da Planilha encontram-se duas guias: q
1) a guia Calcular o Risco

2) a guia Avaliar o Risco

a. Exerccio da guia Calcular o Risco Clculo do risco.

Nesta atividade a equipe de anlise ir realizar o clculo do risco.

Com as atividades anteriores j realizadas, o trabalho nesta atividade de acompanha-


mento e anlise dos resultados com a aplicao dos critrios. Para fins de exerccio, a equipe
deve analisar criteriosamente os resultados e verificar se h concordncia com os resultados
de risco apresentados.

Para facilitar a compreenso, volte para as atividades dos Roteiros 5 e 6 e altere suas res-
postas, observando o que acontece com os resultados neste Roteiro 7.

Comente suas impresses sobre os resultados.

Nesta anlise de riscos, qual a quantidade de riscos extremos? E de riscos considerados


Altos? E de riscos Baixos?

A planilha no permite a edio de nenhuma das clulas.

S passe para a guia seguinte aps concluir.

b. Exerccio da guia Avaliar o risco Avaliao do risco.

Aps a equipe de anlise ter calculado o risco e com o conhecimento de todo o ambiente
e de seus problemas, ela dever fazer uma avaliao dos riscos e de seus resultados,
definindo a prioridade de mitigao destes riscos.

Para fins de exerccio, a prioridade ser escolhida da lista definida na guia Estimativa
da Sesso 6. Para cada prioridade definida a equipe de anlise deve apresentar a
evidncia ( Justificativa).

A planilha permite a edio apenas das clulas de Avaliao de risco (prioridade) e da justificativa.

S passe para a guia seguinte aps concluir.

4. Verificao e correo pelo instrutor.


Gesto de Riscos de TI NBR 27005

Ao concluir o Roteiro de Atividades 7, a equipe de anlise estar com uma listagem dos
ativos e riscos para cada vulnerabilidade. Esta listagem permite a definio dos maiores
riscos, colocando-os em ordem de prioridade e definindo os controles que devem ser
empregados para trat-los.

O que foi aprendido


11 Compreender o processo de avaliao de riscos. q
11 Realizar a avaliao de riscos.

106
8
Tratamento e aceitao de riscos
objetivos

Conceituar e definir tratamento de riscos; desenvolver e aplicar o plano de tratamento


de riscos; compreender e aplicar as formas de tratamento de riscos; definir o risco
aceitvel e o risco residual; e executar a aceitao de riscos.

conceitos
Tratamento e aceitao de riscos, risco residual e risco aceitvel.

Introduo
O trabalho realizado pela equipe de anlise at este momento foi basicamente de coleta de
informaes, avaliao dos riscos e ordenao dos riscos por prioridade. Mas como tratar
estes riscos? Como selecionar os controles necessrios? Estas dvidas sero sanadas na fase
de tratamento do risco de segurana da informao.

Este captulo deve ser realizado com consulta norma NBR ISO/IEC 27005.

Exerccio de nivelamento 1 e
Tratamento e aceitao dos riscos
Como so executados o tratamento e a aceitao de riscos na sua organizao? Explique.

Captulo 8 - Tratamento e aceitao de riscos

Viso geral do processo de tratamento do risco


11 Fase posterior s fases de definio do contexto, anlise de riscos e avaliao de riscos. q
11 Ao final destas trs fases, a equipe faz uma anlise crtica dos resultados e da situ-
ao dos trabalhos desenvolvidos.

11 Se a avaliao for considerada satisfatria, a equipe prossegue em seus trabalhos e


inicia a fase seguinte, de tratamento do risco.

A fase de tratamento de risco realizada aps as fases de definio do contexto, anlise de


riscos e avaliao de riscos. Ao final destas trs fases, a equipe faz uma anlise crtica dos
resultados e verifica a situao dos trabalhos desenvolvidos.

107
Caso esta avaliao seja considerada insatisfatria ou incompleta, a equipe retorna aos traba-
lhos a partir da definio do contexto, buscando solucionar as dvidas que porventura tenham
surgido, ou seja, refaz os trabalhos desde o incio, buscando um aprofundamento maior. Se a
avaliao for considerada satisfatria, a equipe prossegue em seus trabalhos e realiza a fase
seguinte, de tratamento do risco. A figura abaixo apresenta o posicionamento desta fase:

DEFINIO DO CONTEXTO

PROCESSO DE AVALIAO DE RISCOS

MONITORAMENTO E ANLISE CRTICA DE RISCOS


IDENTIFICAO DE RISCOS
COMUNICAO E CONSULTA DO RISCO

ANLISE DE RISCOS

AVALIAO DE RISCOS

PONTO DE DECISO 1 No
Avaliao satisfatria
Sim

TRATAMENTO DO RISCO

PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim

ACEITAO DO RISCO
Figura 8.1
Tratamento
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES do risco.

No tratamento do risco a equipe de anlise ter como:

11 Entrada: lista de riscos ordenados por prioridade, associados aos cenrios de incidentes.

11 Ao: identificao dos controles para reduzir, reter, evitar ou transferir os riscos e a
definio do plano de tratamento.

11 Sada: plano de tratamento dos riscos e dos riscos residuais. Este plano estar sujeito
aprovao dos gestores da organizao.
Gesto de Riscos de TI NBR 27005

Entrada Ao Sada

Tratamento do Risco Plano de tratamento


Lista de riscos ordenados do risco e dos riscos
(9 da ABNT NBR residuais, sujeito a Figura 8.2
por prioridade
ISO/IEC 27005) aprovao Tratamento
do risco.

108
A figura a seguir apresenta as atividades do processo de tratamento do risco.

RESULTADOS
DA AVALIAO
DE RISCOS

AVALIAO
SATISFATRIA
Ponto de Deciso 1

Tratamento do risco

OPES DE TRATAMENTO DO RISCO

AO DE
MODIFICAO RETENO COMPARTILHAMENTO
EVITAR
DO RISCO DO RISCO DO RISCO
O RISCO

RISCOS RESIDUAIS

Figura 8.3
TRATAMENTO
Atividades
SATISFATRIO
do tratamento
do risco. Ponto de Deciso 2

Tratamento do risco
11 O tratamento de risco utilizado para responder aos riscos identificados. q
11 As escolhas e decises tomadas devem levar em conta:

22 A avaliao do tratamento de risco proposto j realizado.

22 A viabilidade tcnica e financeira.

22 A eficcia dos controles.


Captulo 8 - Tratamento e aceitao de riscos

22 A eficincia do tratamento.

22 Deciso se os nveis de risco residual so tolerveis.

22 As caractersticas do negcio da organizao.

11 A fase de tratamento do risco possui quatro opes, que no so mutuamente exclusivas:

22 Modificao do risco.

22 Reteno do risco.

22 Ao de evitar o risco .

22 Compartilhamento do risco.

109
11 Para a deciso de remoo de controles, imprescindvel que a equipe tenha noo q
da interdependncia dos ativos e seus controles, para que esta deciso no provoque
a reduo da segurana como um todo.

11 A equipe dever montar um plano de tratamento.

11 O plano aborda os ndices de reduo do risco com a implementao de cada controle,


permitindo aos gestores uma deciso pautada em indicadores e metas bem definidas.

11 Uma forma de identificar os controles seguindo a norma NBR ISO/IEC 27002.

O tratamento de risco utilizado para responder aos riscos identificados. Existem diferentes
opes para tratar e responder ao risco. As escolhas e decises tomadas pela equipe de
anlise, em conjunto com a direo da organizao, devem levar em conta:

11 A avaliao do tratamento de risco proposto j realizado;

11 A viabilidade tcnica e financeira, isto , os custos de implementao do controle;

11 A eficcia dos controles;

11 A eficincia do tratamento;

11 Deciso se os nveis de risco residual so tolerveis;

11 As caractersticas do negcio da organizao (viabilidade econmica).

Aps esta anlise sobre os controles necessrios para o tratamento dos riscos, a equipe
deve selecionar a melhor opo para reduzir o risco a um nvel aceitvel ou ao mnimo
possvel. A fase de tratamento do risco possui quatro opes que no so mutuamente
exclusivas, ou seja, que podem ser combinadas entre si:

11 Modificao do risco;

11 Reteno do risco;

11 Ao de evitar o risco;

11 Compartilhamento do risco.

Estas opes so definidas pela equipe de anlise levando em conta tudo o que foi identi-
ficado no processo de anlise. Na definio dos controles necessrios, a equipe vai desen-
volvendo uma viso geral de todos os controles, tanto os identificados como necessrios
quanto os identificados como implementados. Desta maneira permite o levantamento dos
controles redundantes e desnecessrios, passveis de remoo.

Para a deciso de remoo de controles, imprescindvel que a equipe tenha uma noo
precisa da interdependncia dos ativos e dos seus controles, para que a deciso no pro-
voque a reduo da segurana como um todo. Durante esta fase, todas as restries levan-
tadas na definio do contexto devero ser levadas em considerao durante o processo de
tratamento do risco.
Gesto de Riscos de TI NBR 27005

Aps a deciso do tratamento necessrio, a equipe dever montar um plano de tratamento.


O plano uma ordenao dos riscos e controles a serem implementados de acordo com o
seu grau de impacto nos negcios. Em princpio os riscos de maior impacto devem ser os
primeiros a serem tratados.

Entretanto, pelo custo e pela demora de implementao dos controles para os riscos mais cr-
ticos, pode ser mais interessante comear pelos controles de custo mais baixo e mais rpidos
de serem implementados. Esta pode ser uma boa opo caso se queira apresentar resultados
rpidos para apoiar uma poltica de conscientizao e treinamento em segurana da infor-
mao. Lembre-se, entretanto, de que isto no significa esquecer os demais controles.

110
Uma forma de identificar os controles seguir a norma NBR ISO/IEC 27002.

A aprovao do plano de tratamento cabe aos gestores da organizao. Por isso extrema-
mente importante que o plano aborde os ndices de reduo do risco. A implementao de cada
controle permitir aos gestores uma deciso pautada em indicadores e metas bem definidas.

Selecionar a opo mais adequada de tratamento de riscos envolve equilibrar os custos e os


esforos necessrios de implementao de um lado e do outro, os benefcios decorrentes
levando-se em conta os requisitos legais, regulatrios ou quaisquer outros. importante
que o plano identifique de forma clara a ordem de prioridade em que cada tratamento e
controle deva ser implementado.

Riscos residuais
11 Riscos residuais so aqueles que restam aps a implantao de controles para evitar, q
transferir ou mitigar riscos.

11 Aps a implementao de um controle, pode ser que o risco no tenha sido total-
mente mitigado.

22 Esta diferena o risco residual.

11 Riscos residuais devem ser tratados atravs da implementao de controles.

11 Caso o risco esteja acima do nvel de aceitao de riscos estabelecido pela organi-
zao, pode ser necessria nova iterao.

11 Entre os riscos residuais incluem-se tambm os riscos sem importncia.

Uma vez que a equipe definiu o plano de tratamento, ela precisa determinar os riscos
residuais que restam aps a implementao de controles para evitar, transferir ou mitigar
riscos. Isto , aps a implementao de um determinado controle, possvel que ele no
seja suficiente para mitigar totalmente um risco. A diferena, isto , a possibilidade restante
de ocorrncia do risco, aps a implementao do controle para mitig-lo, caracteriza o risco
residual. Em outras palavras, so os riscos que restam aps a tomada de medidas para
evit-los, transferi-los ou mitig-los.

O risco residual deve ser identificado e tratado atravs da implementao de controles.


Caso determinado risco esteja acima do nvel de aceitao de riscos estabelecido pela orga-
nizao, pode ser necessrio realizar uma nova iterao. Incluem-se tambm como riscos
residuais aqueles sem importncia, ou seja, que precisam ser aceitos.

Modificao do risco
q
Captulo 8 - Tratamento e aceitao de riscos

11 A modificao ou mitigao do risco a ao de implementar controles para reduzir


os riscos a um nvel aceitvel.

11 Tipos de proteo:

22 Correo.

22 Eliminao.

22 Preveno.

22 Minimizao do impacto.

22 Dissuaso.

22 Deteco.

111
22 Recuperao. q
22 Monitoramento.

22 Conscientizao.

11 Leva em considerao os custos de aquisio, implementao, administrao,


operao, monitoramento e manuteno dos controles em relao ao valor do ativo
que ser protegido.

11 Deve-se evitar a escolha de controles de custos mais elevados que os custos do ativo
ou dos servios gerados com a sua implementao.

11 necessrio ter ateno falsa sensao de segurana.

A forma de tratamento do risco chamada de modificao ou mitigao dos riscos a ao de


implementar controles que busquem reduzir os riscos a um nvel aceitvel pela organizao.
A escolha destes controles deve levar em conta os critrios da organizao para a aceitao
do risco, tais como: requisitos legais, regulatrios, contratuais, culturais e ambientais e
aspectos tcnicos, alm de custos e prazos para a implementao de controles. De forma
geral, a escolha destes controles deve fornecer, quando aplicados e implementados, um ou
mais tipos de proteo:

11 Correo: atividades atravs da implementao de controle realizadas a fim de corrigir


qualquer anormalidade;

11 Eliminao: aplicao de controles com a finalidade de excluir possveis erros e vulne-


rabilidades ou fontes de erros e vulnerabilidades, sem no entanto eliminar o risco mas
apenas reduzindo-o;

11 Preveno: implementao de controles a fim de prevenir e impedir a explorao de


qualquer vulnerabilidade;

11 Minimizao do impacto: implementao de controles que buscam reduzir ou limitar os


danos caso ocorra um incidente de segurana;

11 Dissuaso: ao, atividade ou medida de controle organizada e realizada a fim de fazer


mudar de opinio, inteno ou ideia;

11 Deteco: atividades de implementao de controles realizadas com a finalidade de


descobrir erros ou anormalidades;

11 Recuperao: atividade de implementao de controle realizada a fim de voltar a situ-


ao de normalidade;

11 Monitoramento: atividade de aplicao de controles para acompanhar, observar, acom-


panhar desvios e perceber os sinais de alerta de vulnerabilidades, ameaas e riscos, tudo
com a finalidade de antecipadamente tomar providncias;

11 Conscientizao: aplicao de controles e atividades de ensino que tem como objetivo


orientar sobre a segurana da informao, a fim de que todos os usurios saibam aplicar
Gesto de Riscos de TI NBR 27005

os conhecimentos mostrados em sua rotina pessoal e profissional.

Na definio e seleo de controles, a equipe de anlise deve levar em considerao os


custos de aquisio, implementao, administrao, operao, monitoramento e manu-
teno dos controles em relao ao valor do ativo que ser protegido. Isto permitir que se
evite a escolha de controles cujos custos sero mais elevados que o custo do ativo ou dos
servios gerados nele.

112
l A equipe dever ainda estar atenta falsa sensao de segurana. A implementao de
O anexo F da norma alguns controles pode dar a falsa sensao de segurana, pois, devido sua complexidade
ABNT NBR ISO/IEC ou falta de conhecimento do usurio, este pode achar alternativas para burlar os controles,
27005 apresenta em
detalhes as restries ludibriando os esforos dos administradores em proteger a segurana da informao. Nas
que afetam a reduo aes de reduo do risco tambm devem ser consideradas as restries existentes na orga-
do risco.
nizao, que afetaro a escolha e a implementao dos controles.

Reteno do risco
11 A reteno do risco significa correr o risco. q
11 A reteno do risco inclui ainda os riscos no identificados.

11 Deve ser feita de acordo com os critrios para aceitao de riscos estabelecidos
pela organizao.

11 Deciso da alta direo e embasada.

11 Neste caso no necessria a implementao de controles.

11 Deve ser elaborado um registro dos riscos aceitos, com a justificativa da razo de
terem sido aceitos, e a relao dos responsveis pela aprovao da reteno do risco.

A reteno do risco a aceitao do risco de uma perda, ou seja, correr o risco, incluindo
ainda os riscos que no tenham sido identificados. Deve ser feita de acordo com os critrios
de aceitao de riscos definidos pela organizao, neste caso no sendo necessria a imple-
mentao de controles. uma deciso consciente da alta direo e deve bem embasada e
registrada. importante que seja criado um registro dos riscos aceitos, com a justificativa de
seu aceite e a relao dos responsveis pela sua aprovao.

Ao de evitar o risco
11 Eliminao da atividade ou processo gerador do risco atravs de mudanas na forma q
de sua ocorrncia.

11 Quando a equipe de anlise identifica riscos elevados, cujos custos de implemen-


tao de controles excedem os benefcios, possvel decidir que o risco deve ser
totalmente evitado.

11 Aps as mudanas necessrias dever ser feita uma nova iterao de anlise de riscos.

Quando a equipe de anlise identifica riscos extremamente elevados, e os custos para a


implementao de controles excedem os benefcios do prprio servio ou negcio, pos-
svel decidir que o risco deve ser 100% evitado. Isto feito atravs da eliminao da ativi-
dade ou processo, via mudanas na forma de ocorrncia da atividade ou processo passvel
Captulo 8 - Tratamento e aceitao de riscos

de produzir o risco. Outra forma de evitar o risco atravs da remoo da fonte de risco.
Algumas mudanas podero ser necessrias, aps as quais deve ser realizada nova iterao
de anlise de riscos.

Compartilhamento do risco
O compartilhamento do risco envolve a transferncia ou compartilhamento dos riscos com
uma entidade externa. Uma forma de compartilhamento do risco o uso de seguros que
cubram as consequncias da ocorrncia de um incidente de segurana da informao.

Outra forma de transferncia a utilizao de servios de parceiros (outsourcing) para a gesto


de eventos de segurana da informao. Apesar de ser possvel a transferncia das operaes
com algum risco, a responsabilidade legal pelas consequncias no ser transferida.

113
Exerccio de fixao 1 e
Tratamento de risco
Qual a forma de tratamento que voc utilizaria para tratar o risco roubo/extravio de
documentos classificados? Justifique.

Qual a forma de tratamento que voc utilizaria para tratar o risco falta constantes de
energia eltrica? Justifique.

Explique a diferena entre risco aceitvel e risco residual.

Viso geral do processo de aceitao do risco


11 Esta fase trata do aceite formal do plano de tratamento pela direo da organizao. q
11 Entrada: plano de tratamento do risco e a anlise do risco residual.

11 Ao: deciso formal de aceitao do plano pela direo da organizao.

Aps a definio do plano de tratamento e este ser julgado satisfatrio, tem incio a fase
de aceitao do risco. Esta fase trata do aceite formal do plano de tratamento pela direo
da organizao.
Gesto de Riscos de TI NBR 27005

114
A figura abaixo apresenta a fase de aceitao do risco.

DEFINIO DO CONTEXTO

PROCESSO DE AVALIAO DE RISCOS

MONITORAMENTO E ANLISE CRTICA DE RISCOS


IDENTIFICAO DE RISCOS
COMUNICAO E CONSULTA DO RISCO

ANLISE DE RISCOS

AVALIAO DE RISCOS

PONTO DE DECISO 1 No
Avaliao satisfatria
Sim

TRATAMENTO DO RISCO

PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim

ACEITAO DO RISCO
Figura 8.4
Aceitao do risco. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES

Nesta fase de tratamento do risco:

11 Entrada: plano de tratamento do risco e a anlise do risco residual.

11 Ao: deciso formal de aceitao do plano pela direo da organizao.

11 Sada: lista de riscos aceitos e uma justificativa para aqueles que no satisfizeram
os critrios definidos.

Aceitando o risco
Captulo 8 - Tratamento e aceitao de riscos

11 Anlise criteriosa do plano de tratamento de riscos. q


11 Elaborada pela equipe, definir em documento formal os riscos que sero aceitos.

11 Deciso que cabe aos gestores da organizao, pois seus critrios so complexos
e envolvem as estratgias de negcio da organizao.

11 Este documento formal far parte da chamada Declarao de Aplicabilidade, em


que a organizao apresenta os controles no aplicveis e justifica o fato de no
serem contemplados em seu SGSI.

11 Vide norma ABNT NBR ISO/IEC 27001.

115
Nesta fase, a direo da organizao analisar criteriosamente o plano de tratamento de
riscos elaborado pela equipe, definindo em documento formal os riscos que sero aceitos.
A deciso cabe aos gestores da organizao, pois os critrios da deciso so complexos e
envolvem as estratgias de negcio da organizao. Este documento formal far parte da
chamada Declarao de Aplicabilidade, na qual a organizao apresenta os controles que
no so aplicveis e justifica porque eles no sero contemplados em Sistema de Gesto da
Segurana da Informao (SGSI), de acordo com a norma ABNT NBR ISO/IEC 27001.

Lembre-se de que o risco devidamente calculado e tratado um ingrediente


importante do negcio.

Entrada Ao Sada

Plano de tratamento Aceitao do Risco Lista de riscos


do risco e anlise (10 da ABNT NBR aceitos e Figura 8.5
dos riscos residuais ISO/IEC 27005) justicativas Fase de aceitao
do risco.

Leitura complementar
11 Sesso 9 da norma ABNT NBR ISO/IEC 27005.

11 Sesso 10 da norma ABNT NBR ISO/IEC 27005.

11 Anexo F da norma ABNT NBR ISO/IEC 27005.

11 Item 5.5 da norma ABNT NBR ISO 31000.


Gesto de Riscos de TI NBR 27005

116
Roteiro de Atividades 8
Viso geral da atividade
Nesta atividade, sero realizadas as atividades necessrias para a Anlise de Risco
tratamento e aceitao de riscos.

A figura a seguir apresenta graficamente a localizao destas atividades no processo de


gesto de riscos.

DEFINIO DO CONTEXTO

PROCESSO DE AVALIAO DE RISCOS

MONITORAMENTO E ANLISE CRTICA DE RISCOS


IDENTIFICAO DE RISCOS
COMUNICAO E CONSULTA DO RISCO

ANLISE DE RISCOS

AVALIAO DE RISCOS

PONTO DE DECISO 1 No
Avaliao satisfatria
Sim

TRATAMENTO DO RISCO

PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim

Figura 8.6
ACEITAO DO RISCO
Atividades no
processo de gesto
de riscos. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES

A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
Captulo 8 - Roteiro de Atividades

27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.

Para esta atividade o aluno deve se valer das observaes sobre a empresa KWX.

A sequncia das atividades ser:

1. Leitura das Sesses 9 e 10 da ABNT NBR ISO/IEC 27005;

2. Explicao e demonstrao da planilha de anlise de risco pelo instrutor;

3. Execuo das atividades da planilha;

117
Na guia Sesso 8 da Planilha encontram-se quatro guias: q
1) a guia Tratamento

2) a guia Controles do Plano

3) a guia Riscos Residuais

4) a guia Aceitao do Risco

a. Exerccio da guia Tratamento Definio de tratamento dos riscos.

Neste exerccio a equipe de anlise definir a forma de tratamento que determinado risco
dever receber. Para isto a equipe de risco escolher uma dentre as formas de tratamento:

11 Modificao do risco;

11 Reteno do risco;

11 Ao de evitar o risco;

11 Compartilhamento do risco.

Para cada forma de tratamento dos riscos deve ser apresentada a evidncia (Justificativa).

Para o exerccio, as formas de tratamento sero escolhidas de uma lista.

A planilha permite a edio apenas das clulas de tratamento e da justificativa.

S passe para a guia seguinte aps concluir.

b. Exerccio da guia Controles do plano Definio dos controles

Neste exerccio a equipe definir os controles que devem ser implementados para mitigar os
riscos encontrados. Com sua experincia e conhecimento do ambiente, a equipe selecionar
os melhores controles que realmente sero eficazes e eficientes no tratamento dos riscos.
Estes controles fazem parte do Plano de Tratamento dos Riscos, que um dos resultados de
uma anlise de riscos.

A pergunta chave aqui : Quais controles precisam ser aplicados sobre as vulnerabilidades
para mitigar os riscos provocados por elas?

Para o exerccio, devero ser identificados dois controles que permitam a mitigao dos riscos
no menor prazo possvel. Para fins de aprendizagem, recomenda-se iniciar com os controles
da NBR ISO/IEC 27002. Ao final da planilha, a guia Vulnerabilidades e Controles pode ser
usada para auxiliar na definio de alguns controles para certos tipos de vulnerabilidades.

A equipe de anlise neste exerccio dever analisar cada vulnerabilidade e seus riscos e
decidir os melhores controles, apresentando suas justificativas.

A planilha permite a edio apenas das clulas de controles e da justificativa.

S passe para a guia seguinte aps concluir.


Gesto de Riscos de TI NBR 27005

c. Exerccio da guia Riscos Residuais Levantamento dos riscos residuais.

Neste exerccio a equipe de anlise identificar e definir os riscos residuais aps a aplicao
dos controles. Esta uma atividade vital, pois permitir que se verifique se os riscos real-
mente diminuram e chegaram at o nvel aceitvel pela organizao.

Alm de verificar os riscos residuais, a equipe dever, caso o risco ainda permanea acima
do nvel aceitvel, propor novos controles ou ainda controles compensatrios, de tal forma
que o nvel de risco seja reduzido o mximo possvel e o mais prximo do aceitvel.
Caso isso no seja possvel, um novo ciclo de anlise de risco dever ser executado.

118
A resposta ser dada por um dos nveis do critrio Severidade das Consequncias definido
na Sesso 2 na guia Critrios.

Para o exerccio, sero preenchidas as seguintes colunas:

1. Existem riscos residuais? para cada risco e os controles implementados a equipe


dever responder (sim ou no);

2. Quais? Descreva a equipe dever informar os riscos e vulnerabilidades que ainda no


foram tratados (riscos residuais);

3. Justificativa/Evidncia a equipe dever apresentar as evidncias do risco residual;

4. Nova severidade caso existam riscos residuais, a equipe dever analis-los e definir a
nova severidade, escolhendo da lista semelhante da Sesso 5. Ao escolher o item da lista,
automaticamente aparece o peso desta severidade na coluna ao lado;

5. Nova probabilidade depois de preenchida a coluna da nova severidade, dever ser preen-
chida a nova probabilidade, escolhendo da lista semelhante ao feito na Sesso 6. Ao escolher
da lista, automaticamente aparece o peso desta probabilidade na coluna ao lado.

Ao preencher estas colunas surgir o novo valor do risco residual. Caso ainda esteja acima
do nvel aceitvel aparecer uma mensagem de erro ao lado.

A planilha permite a edio apenas das clulas das colunas citadas.

S passe para a guia seguinte aps concluir.

d. Exerccio da guia Aceitao do Risco Aceitao dos riscos.

Nesta atividade a equipe de anlise e a organizao, como partes interessadas, conduziro


as atividades necessrias para a aceitao dos riscos.

Esta aceitao um documento formal que informa que o risco ser aceito, uma justifica-
tiva para isso e o responsvel pela tomada da deciso. Normalmente, quem tem o poder
para tomar esta deciso faz parte da alta direo. Esta aceitao somente ser feita para os
riscos que ainda estejam acima do nvel aceitvel.

Para o exerccio sero preenchidas trs colunas:

1. Deciso qual a deciso de aceitao do risco? A escolha deve ser feita a partir de uma
lista de opes;

2. Justificativa justificativa a para tomada da deciso;

3. Responsvel nome do responsvel pela tomada a deciso.

Caso o risco no seja aceito a clula deve ser deixada em branco.


Captulo 8 - Roteiro de Atividades

A planilha permite a edio apenas das clulas das colunas citadas.

S passe para a guia seguinte aps concluir.

4. Verificao e correo pelo instrutor.

Ao concluir o Roteiro de Atividades 8, a equipe de anlise ter praticamente terminado a


anlise de risco. Nesta etapa ela ter percorrido todas as atividades da gesto de riscos,
tendo pleno conhecimento dos ativos crticos, suas ameaas e vulnerabilidades, o trata-
mento e os controles que precisam ser implementados e, uma vez implementados, identi-
ficar os riscos residuais que ainda podem existir.

119
Observe a figura no incio de cada Roteiro de Atividades e verifique a execuo de todas as
etapas do processo de gesto de riscos.

O que foi aprendido


11 Conceito de tratamento do risco. q
11 Formas de tratar o risco.

11 Como realizar a aceitao do risco.


Gesto de Riscos de TI NBR 27005

120
9
Comunicao e monitoramento
dos riscos
objetivos

Compreender a execuo do processo de comunicao e consulta dos riscos.

conceitos
Comunicao.

Introduo
11 Existem duas fases que se desenvolvem simultaneamente com as demais fases: q
22 Comunicao do risco.

22 Monitoramento e anlise crtica de riscos.

11 Estas duas fases so permanentes durante todo o processo de gesto de riscos.

Durante todo o trabalho da equipe de anlise de riscos, existem duas fases que se desen-
volvem simultaneamente s demais fases: a comunicao do risco e o monitoramento e
anlise crtica de riscos.

Durante todo e qualquer tipo de trabalho, a comunicao uma atividade de grande


importncia. atravs dela que so transmitidas informaes sobre o desenvolvimento das
atividades e os resultados alcanados.

Captulo 9 - Comunicao e monitoramento dos riscos


Outra fase de suma importncia e que se desenvolve paralelamente a todas as demais fases
a de monitoramento e anlise crtica de riscos. Esta uma fase em que a equipe realiza o
monitoramento e a anlise crtica dos riscos e do seu trabalho. Uma caracterstica destas
duas fases que so permanentes durante todo o processo de gesto de riscos.

Exerccio de nivelamento 1 e
Comunicao e consulta dos riscos
Existe algum processo de comunicao na sua organizao? Explique.

121
Processo de comunicao e consulta do risco de segurana
da informao
Comunicao do risco uma troca interativa de informaes, conhecimentos e percep- q
es sobre como os riscos devem ser gerenciados.

11 uma atividade crtica para o sucesso dos trabalhos, realizada entre a equipe envol-
vida e as partes interessadas nas decises do processo de anlise de riscos.

11 Fase que se desenvolve durante todo o processo de anlise de riscos, desde a pri-
meira atividade da equipe de anlise de riscos.

A comunicao e consulta do risco uma fase que se desenvolve durante todo o processo
de anlise de riscos, desde a primeira atividade da equipe de anlise de riscos. Trata-se de
uma troca interativa, documentada formalmente, contnua e intencional, de informa-
es, conhecimentos e percepes sobre como os riscos devem ser gerenciados.
A comunicao realizada entre a equipe envolvida e as partes interessadas nas decises
do processo de anlise de riscos, sendo uma atividade crtica para o sucesso dos trabalhos.

A Figura 9.1 apresenta a fase dentro do contexto do processo de gesto de riscos.

DEFINIO DO CONTEXTO

PROCESSO DE AVALIAO DE RISCOS


MONITORAMENTO E ANLISE CRTICA DE RISCOS

IDENTIFICAO DE RISCOS
COMUNICAO E CONSULTA DO RISCO

ANLISE DE RISCOS

AVALIAO DE RISCOS

PONTO DE DECISO 1 No
Avaliao satisfatria
Sim

TRATAMENTO DO RISCO

No
Gesto de Riscos de TI NBR 27005

PONTO DE DECISO 2
Tratamento satisfatrio
Figura 9.1
Sim Fase de
comunicao e
ACEITAO DO RISCO consulta do risco
no contexto do
processo de gesto
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES de riscos.

122
Na fase de comunicao e consulta do risco a equipe de anlise e a organizao tero como:

11 Entrada: TODAS as informaes sobre os riscos e atividades desenvolvidas.

11 Ao: troca e/ou compartilhamento destas informaes entre a equipe, o tomador de


deciso e as partes interessadas.

11 Sada: entendimento contnuo do processo de gesto de riscos e dos resultados obtidos.

importante que a comunicao seja executada durante todo o processo de gesto de riscos
para manter as partes interessadas, internas e externas, de forma bidirecional, para que deci-
ses bem informadas possam ser tomadas sobre o nvel de risco e a necessidade de tratamento.

Comunicao e consulta do risco de segurana da informao


11 Deve conter o mximo de detalhes sobre os riscos encontrados, como: q
22 A existncia da ameaa, vulnerabilidade e risco

22 A natureza e a forma de atuao

22 A estimativa de probabilidade

22 Sua severidade e consequncias possveis

22 Tratamento e aceitao dos riscos.

11 A comunicao permite a rpida tomada de deciso para a implementao de con-


troles de risco a fim de evitar maiores danos.

11 Permitir ainda um trabalho de conscientizao sobre a gesto dos riscos e a segu-


rana da informao.

11 A equipe pode contar com um profissional da organizao como ponto focal, cabendo
a ele o acompanhamento dos trabalhos e as aes iniciais de comunicao.

11 A equipe tambm pode realizar reunies regulares de acompanhamento com os ges-


tores da organizao, para apresentao dos resultados obtidos at o momento.

11 Comunicar tambm dar um retorno (status) sobre a gesto dos riscos para a equipe,
para a direo da organizao e demais partes interessadas.

22 A criao de relatrios permite que as informaes reunidas sejam divulgadas e


usadas na tomada de deciso.

As atividades desta fase so executadas durante todo o processo de anlise de riscos,


devendo conter o mximo possvel de detalhes sobre os riscos encontrados, tais como:

11 A existncia da ameaa, vulnerabilidade e risco; Captulo 9 - Comunicao e monitoramento dos riscos

11 A natureza e forma de atuao;

11 A estimativa de probabilidade;

11 Sua severidade e consequncias possveis;

11 Tratamento e aceitao dos riscos.

A comunicao vai permitir o entendimento adequado e a maior agilidade na tomada de


decises para a implementao de mecanismos de controle de riscos, a fim de evitar danos
mais significativos. Alm disso, ir permitir uma melhor percepo dos riscos e dos benef-
cios do seu rpido tratamento, assim como realizar um trabalho de conscientizao sobre a
gesto dos riscos e a segurana da informao.

123
Uma das formas de realizar esta comunicao integrando equipe um profissional da
organizao como ponto focal, cabendo a ele o acompanhamento dos trabalhos e as aes
iniciais de comunicao. Outra forma a equipe realizar regularmente (semanal, quinzenal,
dependendo do escopo da anlise) uma reunio de acompanhamento com os gestores da
organizao e apresentar os resultados at aquele momento.

Exerccio de fixao 1 e
Comunicao e consulta dos riscos
Durante o processo de anlise de risco, ao identificar uma vulnerabilidade grave e de alto
risco, qual ser a sua atitude com esta informao? Justifique.

Comunicar tambm dar um retorno (status) sobre a gesto dos riscos para a equipe, para
a direo da organizao e todas as partes interessadas. A criao de relatrios uma forma
de comunicao que permite que as informaes reunidas sejam divulgadas e usadas na
tomada de decises.

A seo 11 da norma ABNT NBR ISO/IEC 27005 apresenta outros detalhes da comunicao
do risco.

Entrada Ao Sada

Comunicao
TODAS as informaes do risco Entendimento contnuo
sobre os riscos obtidas (11 da ABNT NBR do precesso de gesto
nas atividades ISO/IEC 27005) de riscos Figura 9.2
Comunicao
do risco.

Leitura complementar
11 Sesso 11 da norma ABNT NBR ISO/IEC 27005.

11 Sesso 12 da norma ABNT NBR ISO/IEC 27005.


Gesto de Riscos de TI NBR 27005

124
Roteiro de Atividades 9
Viso geral da atividade
Nesta atividade, sero realizadas as atividades necessrias para a Anlise de risco
comunicao dos riscos.

A figura a seguir apresenta graficamente a localizao destas atividades no processo de


gesto de riscos:

DEFINIO DO CONTEXTO

PROCESSO DE AVALIAO DE RISCOS

MONITORAMENTO E ANLISE CRTICA DE RISCOS


IDENTIFICAO DE RISCOS
COMUNICAO E CONSULTA DO RISCO

ANLISE DE RISCOS

AVALIAO DE RISCOS

PONTO DE DECISO 1 No
Avaliao satisfatria
Sim

TRATAMENTO DO RISCO

PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim
Figura 9.3
Atividades no ACEITAO DO RISCO
processo de gesto
de riscos. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES

A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
Captulo 9 - Roteiro de Atividades

27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.

Para esta atividade o aluno deve se valer das observaes da empresa KWX.

A sequncia das atividades ser:

1. Leitura da Seo 11 da ABNT NBR ISO/IEC 27005;

2. Explicao e demonstrao da planilha de anlise de risco pelo instrutor;

3. Execuo das atividades da planilha;

125
Na guia Sesso 9 da planilha encontra-se um boto: q
1) Comunicao dos Riscos abre a guia Comunicao dos Riscos

a. Atividade da guia Comunicao dos Riscos Comunicao dos riscos.

Nesta atividade a equipe de anlise realizar as atividades necessrias para a comuni-


cao durante o processo de gesto dos riscos. Esta atividade realizada durante toda a
gesto de riscos. Em cada atividade realizada a equipe dever realizar a comunicao de
uma forma planejada.

Para fins de exerccio, a equipe de anlise de risco responder a uma sequncia de perguntas
que visam mostrar um encadeamento das comunicaes durante toda a gesto de riscos na
organizao, para assim permitir um perfeito entendimento desta importante atividade.
A comunicao permitir orientar e conscientizar sobre a importncia da gesto de riscos.

A planilha permite a edio apenas das clulas azuis.

S passe para a guia seguinte aps concluir.

4. Verificao e correo pelo instrutor.

Ao concluir o Roteiro de Atividades 9, a equipe de anlise ter conhecimento e compreenso


dos procedimentos adotados para realizar a comunicao durante toda a gesto de riscos.

O que foi aprendido


11 Conceito de comunicar os riscos. q
11 O que deve ser comunicado.

11 Como fazer a comunicao dos riscos.


Gesto de Riscos de TI NBR 27005

126
10
Monitoramento dos riscos
objetivos

Executar o monitoramento e a anlise de riscos.

conceitos
Monitoramento de riscos e anlise crtica.

Introduo
Paralelamente s etapas da anlise de risco ocorre tambm uma etapa importantssima
para a verificao e controle dos resultados do trabalho: a etapa do Monitoramento.

A execuo desta etapa durante toda a realizao do projeto permitir que a organizao e
a equipe acompanhem a eficincia dos resultados e a eficcia dos controles.

Exerccio de nivelamento 1 e
Monitoramento de riscos
Como realizado o monitoramento na sua organizao? Explique.

Processo de monitoramento e anlise crtica de riscos de


Captulo 10 - Monitoramento dos riscos

segurana da informao
11 Monitoramento a observao contnua e o registro regular das atividades q
e aes da gesto de riscos.

11 Processo rotineiro de coleta de informaes da gesto de riscos em todos


os seus aspectos.

11 Monitorar verificar e acompanhar o progresso das atividades da gesto de riscos.

22 uma observao sistemtica, regular e com propsito de verificar o


desenvolvimento da gesto de riscos.

127
11 A anlise crtica uma avaliao geral e criteriosa sobre os resultados e aes da q
gesto de riscos com relao a requisitos pr-estabelecidos.

22 Objetivo da anlise crtica levantar e identificar problemas e pontos de melhoria.

11 A anlise crtica ocorre simultaneamente s demais fases da gesto de riscos.

11 Durante esta fase so executadas duas atividades:

22 Monitoramento e anlise crtica dos fatores de risco.

22 Monitoramento, anlise crtica e melhoria do processo de gesto de riscos.

DEFINIO DO CONTEXTO

PROCESSO DE AVALIAO DE RISCOS

MONITORAMENTO E ANLISE CRTICA DE RISCOS


IDENTIFICAO DE RISCOS
COMUNICAO E CONSULTA DO RISCO

ANLISE DE RISCOS

AVALIAO DE RISCOS

PONTO DE DECISO 1 No
Avaliao satisfatria
Sim

TRATAMENTO DO RISCO

PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim Figura 10.1
Fase de
ACEITAO DO RISCO monitoramento e
anlise crtica de
riscos no processo
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES da gesto de riscos.

O monitoramento pode ser definido como a observao contnua e o registro regular das
atividades e aes da gesto de riscos. um processo rotineiro de coleta de informaes da
gesto de riscos em todos os seus aspectos. Monitorar verificar e acompanhar o progresso
Gesto de Riscos de TI NBR 27005

das atividades da gesto de riscos, ou seja, uma observao sistemtica, regular e com pro-
psito de verificar o desenvolvimento da gesto de riscos.

A anlise crtica uma avaliao geral e criteriosa sobre os resultados e aes da gesto de
riscos com relao a requisitos pr-estabelecidos, com o objetivo de fazer o levantamento e
a identificao de problemas e pontos de melhoria, para com isso solucionar os problemas e
aprimorar continuamente o processo de gesto de riscos.

128
Esta fase ocorre simultaneamente s demais fase da gesto de riscos. Durante todo o
processo de gesto de riscos, a equipe de anlise estar tambm realizando atividades de
monitoramento e anlise crtica, a fim de fazer as correes necessrias o quanto antes.

Durante esta fase so executadas duas atividades:

11 Monitoramento e anlise crtica dos fatores de risco;

11 Monitoramento, anlise crtica e melhoria do processo de gesto de riscos.

Monitoramento e anlise crtica dos fatores de risco


11 O monitoramento a atividade de identificar e de assegurar o controle do risco, q
monitorando riscos residuais e identificando novas ameaas e vulnerabilidades,
assegurando a execuo dos planos de tratamento do risco e avaliando sua eficincia
e eficcia na reduo dos riscos.

11 A equipe deve estar atenta e preparada para lidar com o dinamismo dos riscos e ameaas.

11 O acompanhamento do dinamismo dos riscos e ameaas deve ser feito atravs do


monitoramento dos ativos, vulnerabilidades e probabilidades, para que seja possvel
a rpida identificao de qualquer mudana.

11 A contratao de servios de terceiros para este monitoramento pode representar


um ganho de eficincia no atendimento s novas ameaas que surgirem.

11 O monitoramento deve ser feito para garantir que:

22 O tratamento do risco est sendo implementado conforme planejado.

22 Novos ativos foram includos no escopo da gesto de riscos.

22 Os controles selecionados como de resposta ao risco ainda esto eficazes.

11 O monitoramento deve ser feito ainda para verificar se:

22 As hipteses de cenrios de incidentes e probabilidades ainda so vlidas.

22 Surgiu um novo agente de ameaa capaz de explorar novos riscos.

22 As polticas e procedimentos esto sendo executados de forma adequada.

22 Tem havido incidentes relacionados segurana da informao.

22 Surgiram novos riscos no identificados anteriormente.

22 Surgiram novos riscos que elevaram as consequncias e impactos a um nvel de


risco inaceitvel.

11 A anlise crtica deve ser feita pela alta direo da organizao no nvel estratgico, para
verificar se a gesto de riscos est atendendo aos objetivos de negcio da organizao.

O monitoramento a atividade de identificar e de assegurar o controle do risco, monitorando


Captulo 10 - Monitoramento dos riscos

riscos residuais e identificando novas ameaas, vulnerabilidades e riscos, assegurando a exe-


cuo dos planos de tratamento do risco e avaliando sua eficincia e eficcia na reduo dos
riscos. A equipe deve estar atenta ao dinamismo dos riscos e ameaas. Bons procedimentos
de monitoramento e anlise crtica do risco fornecem informaes que suportam as tomadas
de deciso eficazes em relao ao surgimento de novas ocorrncias dos riscos.

Da atividade de monitoramento e anlise crtica, a equipe de anlise ter como:

11 Entrada: TODAS as informaes sobre os riscos obtidos e atividades desenvolvidas;

11 Ao: a realizao de procedimentos de monitoramento e anlise crtica para a identifi-


cao de eventuais mudanas no contexto e manuteno de uma viso geral dos riscos.

129
11 Sada: o alinhamento contnuo da gesto de riscos com os objetivos de negcios e com os
critrios de aceitao do risco.

O acompanhamento do dinamismo dos riscos e ameaas deve ser feito atravs do monito-
ramento dos ativos, vulnerabilidades, probabilidades, entre outros, para que seja possvel
a rpida identificao de qualquer mudana. Neste tipo de atividade, a contratao de
servios de terceiros para o monitoramento pode representar para a organizao um ganho
de eficincia no atendimento s novas ameaas que surgirem.

Os resultados do monitoramento sero utilizados como dados de entrada para a realizao


de uma anlise crtica, que deve ser feita pela alta direo da organizao no nvel estrat-
gico, para verificar se a gesto de riscos est atendendo aos objetivos de negcio da orga-
nizao. No processo de anlise de riscos, a equipe de anlise deve identificar problemas e
pontos de ateno que necessitam de melhorias.

Entrada Ao Sada

Monitoramento e
anlise crtica dos Alinhamento contnuo da
TODAS as informaes
fatores de risco gesto de riscos com os Figura 10.2
sobre os riscos obtidas
objetivos de negcio e Atividade de
nas atividades (12.1 da ABNT NBR
com os critrios de risco monitoramento e
ISO/IEC 27005)
anlise crtica.

Exerccio de fixao 1 e
Monitoramento e anlise crtica dos riscos
O que monitoramento e anlise crtica dos riscos? Explique sua finalidade.

Monitoramento, anlise crtica e melhoria do processo de


gesto de riscos
11 Garante que o processo de gesto de riscos atende aos requisitos estratgicos do q
negcio da organizao.

22 Entrada: TODAS as informaes obtidas sobre os riscos e atividades desenvol-


vidas.

22 Ao: monitoramento, anlise crtica e melhoria do processo de gesto de riscos


de segurana da informao.
Gesto de Riscos de TI NBR 27005

22 Sada: a garantia permanente da relevncia do processo de gesto de riscos de segu-


rana para os objetivos de negcio da organizao ou a atualizao do processo.

11 Permite que a organizao analise seu processo de gesto de riscos e execute as


melhorias necessrias ao processo.

11 O trabalho da equipe de anlise nesta atividade ter realizado a atividade anterior e


ter passado os resultados para a organizao, para que estes sejam utilizados como
subsdios para o monitoramento, anlise crtica e melhorias do processo de gesto de
riscos para toda a organizao.

130
11 O monitoramento e anlise da organizao permitiro: q
22 A verificao da disponibilidade dos recursos necessrios gesto e tratamento
do risco.

22 A verificao da necessidade de mudanas nos critrios, na metodologia ou nas


ferramentas utilizadas.

Esta atividade tem por objetivo garantir que o processo de gesto de riscos esteja realmente
atendendo aos requisitos estratgicos do negcio da organizao.

Na atividade de monitoramento, anlise crtica e melhoria do processo de gesto de riscos:

11 Entrada: so TODAS as informaes sobre os riscos obtidos e atividades desenvolvidas

11 Ao: monitoramento, anlise crtica e melhoria do processo de gesto de riscos de segu-


rana da informao.

11 Sada: a garantia permanente da relevncia do processo de gesto de riscos de segu-


rana para os objetivos de negcio da organizao ou a atualizao do processo.

Esta atividade permite que a organizao analise seu processo de gesto de riscos e a possi-
bilidade de execuo das melhorias necessrias ao processo. Nesta atividade, o trabalho
da equipe de anlise ter realizado a atividade anterior e ter passado os resultados para
a organizao, para que sejam utilizados como subsdios para o monitoramento, anlise
crtica e melhoria do processo de gesto de riscos, para toda a organizao.

O monitoramento permite que a organizao verifique se todos os recursos necessrios


gesto e tratamento do risco esto disponveis, e tambm a verificao da necessidade de
mudanas nos critrios, na metodologia ou nas ferramentas utilizadas.

Entrada Ao Sada

Figura 10.3 Monitoramento,


Atividade de Anlise crtica Garantia permanente do
monitoramento, TODAS as informaes e Melhoria processo de gesto de
anlise crtica sobre os riscos obtidas do processo riscos para os objetivos
e melhoria do nas atividades de negcios ou atualizao
(12.2 da ABNT NBR
processo de gesto do processo
ISO/IEC 27005)
de riscos.

Leitura complementar
11 Sesso 12.1 da norma ABNT NBR ISO/IEC 27005.

11 Sesso 12.2 da norma ABNT NBR ISO/IEC 27005. Captulo 10 - Monitoramento dos riscos

131
Gesto de Riscos de TI NBR 27005

132
Roteiro de Atividades 10
Viso geral da atividade
Nesta atividade, sero realizadas as atividades necessrias para a Anlise de risco
monitoramento dos riscos.

A figura a seguir apresenta graficamente a localizao destas atividades no processo de


gesto de riscos:

DEFINIO DO CONTEXTO

PROCESSO DE AVALIAO DE RISCOS

MONITORAMENTO E ANLISE CRTICA DE RISCOS


IDENTIFICAO DE RISCOS
COMUNICAO E CONSULTA DO RISCO

ANLISE DE RISCOS

AVALIAO DE RISCOS

PONTO DE DECISO 1 No
Avaliao satisfatria
Sim

TRATAMENTO DO RISCO

PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim

Figura 10.4
ACEITAO DO RISCO
Atividades do
processo de gesto
de riscos. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES

A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
Captulo 10 - Roteiro de Atividades

27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.

Para esta atividade o aluno deve se valer das observaes da empresa KWX.

A sequncia das atividades ser:

1. Leitura da Seo 12 da ABNT NBR ISO/IEC 27005;

2. Explicao e demonstrao da planilha de anlise de risco pelo instrutor;

3. Execuo das atividades da planilha;

133
Na guia Sesso 10 da Planilha encontram-se duas guias: q
1) a guia Monitoramento dos Riscos

2) a guia Monitoramento_Melhoria_Processo

a. Exerccio da guia Monitoramento dos Riscos Monitoramento e anlise crtica dos riscos
de segurana da informao.

Neste exerccio, a equipe de anlise realizar as atividades necessrias para o monitora-


mento e anlise crtica dos riscos. Estas atividades na realidade so desenvolvidas desde a
primeira atividade do processo de gesto de riscos.

Esta atividade visa fazer o monitoramento e a anlise crtica dos riscos encontrados.
A equipe est encontrando os riscos? Est deixando de observar alguma coisa?

Para o exerccio, a equipe de anlise de risco responder a uma sequncia de perguntas que
visam mostrar um processo lgico de monitoramento e anlise crtica de riscos durante toda
a gesto de riscos, para permitir um perfeito entendimento desta importante atividade da
organizao. O monitoramento e a anlise crtica de riscos permitiro orientar e aperfeioar
a execuo dos trabalhos da equipe de anlise da gesto de riscos.

A planilha permite a edio apenas das clulas azuis.

S passe para a guia seguinte aps concluir.

b. Exerccio da guia Monitoramento_Melhoria_Processo Monitoramento, anlise crtica e


melhoria do processo de gesto dos riscos.

Neste exerccio, a equipe de anlise realizar juntamente com a organizao as atividades


necessrias para o monitoramento, anlise crtica e melhoria do processo de gesto dos
riscos. Estas atividades so desenvolvidas com o objetivo de identificar se a gesto dos
riscos est sendo eficiente, eficaz e atendendo aos requisitos dos negcios.

Esta atividade visa fazer o monitoramento do processo de gesto dos riscos e a anlise
crtica para a melhoria contnua da gesto dos riscos. O processo de gesto dos riscos est
funcionando? O que necessrio melhorar no processo de gesto dos riscos?

Para o exerccio, a equipe de anlise de risco responder a uma sequncia de perguntas que
visam mostrar um processo lgico do monitoramento, anlise crtica e melhoria do processo
da gesto dos riscos na organizao, visando o aperfeioamento contnuo do processo e das
atividades que o compem.

A planilha permite a edio apenas das clulas azuis.

4. Verificao e correo pelo instrutor.

Ao concluir o Roteiro de Atividades 10, a equipe de anlise ter concludo todo um ciclo da
Gesto de Riscos de TI NBR 27005

gesto dos riscos. Os prximos passos sero:

11 A confeco de um relatrio contendo os resultados (ativos, ameaas, vulnerabilidades,


consequncias, impactos e riscos priorizados);

11 Confeco de um plano de tratamento contendo os controles que devem ser implemen-


tados para a mitigao dos riscos.

Observe a guia Grficos_Exemplos na qual constam alguns exemplos de grficos que


podem ser realizados para ilustrar a apresentao dos resultados e servirem de compa-
rao com outras anlises de risco realizadas.

134
importante que todo o trabalho seja feito baseado nas normas de segurana da infor-
mao que formam a base da gesto da segurana da informao.

O que foi aprendido


11 Conceito de monitoramento, anlise crtica e melhoria do processo. q
11 Razes para a realizao do monitoramento.

11 Atividades para realizao do monitoramento.

11 Razes para executar a anlise crtica e a melhoria contnua.

Concluso
Viso geral da gesto de riscos
Neste curso foram vistos todos os aspectos da gesto dos riscos, de acordo com a NBR ISO/
IEC 27005. A figura a seguir apresenta graficamente a localizao destas atividades no pro-
cesso de gesto de riscos.

DEFINIO DO CONTEXTO

PROCESSO DE AVALIAO DE RISCOS

MONITORAMENTO E ANLISE CRTICA DE RISCOS


IDENTIFICAO DE RISCOS
COMUNICAO E CONSULTA DO RISCO

ANLISE DE RISCOS

AVALIAO DE RISCOS

PONTO DE DECISO 1 No
Avaliao satisfatria
Sim

TRATAMENTO DO RISCO

PONTO DE DECISO 2 No
Tratamento satisfatrio
Captulo 10 - Roteiro de Atividades

Sim

Figura 10.5
ACEITAO DO RISCO
Atividades no
processo de gesto
de riscos. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES

Os objetivos de proporcionar conhecimento sobre a gesto dos riscos e fornecer um ferra-


mental para a realizao da gesto de riscos foram detalhados e praticados em cada sesso
de aprendizagem deste curso. importante saber que ao realizar um primeiro ciclo de
gesto de riscos, este processo passa a ser cclico e contnuo.

135
A gesto de riscos um processo que sempre ir trazer benefcios para a organizao.
A melhoria das condies de segurana da informao passa obrigatoriamente pelo conheci-
mento das fraquezas e vulnerabilidades que podem ser exploradas para que as ameaas se
concretizem. E, indiscutivelmente, a melhor forma de fazer isso atravs da gesto de riscos.
Gesto de Riscos de TI NBR 27005

136
Bibliografia
11 AS/NZS 4360 Gesto de riscos Princpios e diretrizes.

11 BERNSTEIN, Peter L. Desafio aos deuses: a fascinante histria do risco.


23 ed., Editora Campus, 1997.

11 CERIAS The Center for Education and Research in Information Assurance and
Security: http://www.cerias.purdue.edu/ (acesso em julho de 2013).

11 Cert.br Centro de Estudos, Resposta e Tratamento de Incidentes de


Segurana no Brasil: http://www.cert.br/links/ (acesso em julho de 2013).

11 DE CICCO, Francesco; FANTAZZINI, Mario Luiz. Tecnologias consagradas


de gesto de riscos. So Paulo: Risk Tecnologia Editora, 2003.

11 Enterprise Risk Management: Past, Present and Future: http://www.casact.


org/education/erm/2004/handouts/kloman.pdf (acesso em julho de 2013).

11 Interdisciplinary Risk Management:,


http://www.riskinfo.com/rmr/rmrjun05.htm (acesso em julho de 2013).

11 Marcos Smola website Gesto de Riscos da Informao:


http://www.semola.com.br/conceitos.html (acesso em julho de 2013).

11 NBR Guia 73 Gesto de riscos Vocabulrio

11 NBR ISO/IEC 27001 Tecnologia da informao Tcnicas de segurana


Sistemas de gesto de segurana da informao Requisitos.

11 NBR ISO/IEC 27002 Tecnologia da informao Tcnicas de segurana


Cdigo de prtica para a gesto da segurana da informao.

11 NBR ISO/IEC 27005 Tecnologia da informao Tcnicas de segurana


Gesto de riscos de segurana da informao.

11 NBR ISO/IEC 31000 Gesto de riscos Princpios e diretrizes.

11 PELTIER, Thomas R. Information Security Risk Analysis. CRC Press, 2005.

11 SANS The Cyber Security Risks:


http://www.sans.org/top-cyber-security-risks/?ref=top20 (acesso em
julho de 2013).

11 Security Focus Vulnerabilities: http://www.securityfocus.com/


(acesso em julho de 2013).

11 WESTERMAN, George; HUNTER, Richard. O risco de TI. Harvard Business


Bibliografia

School Press, 2008.

137
Gesto de Riscos de TI NBR 27005

138
Edson Kowask Bezerra profissional
da rea de segurana da informao e
governana h mais de quinze anos,
atuando como auditor lder, pesquisa-
dor, gerente de projeto e gerente tc-
nico, em inmeros projetos de gesto
de riscos, gesto de segurana da
informao, continuidade de negcios, PCI, auditoria e recu-
perao de desastres em empresas de grande porte do
setor de telecomunicaes, financeiro, energia, indstria e
governo. Com vasta experincia nos temas de segurana e
governana, tem atuado tambm como palestrante nos
principais eventos do Brasil e ainda como instrutor de trei-
namentos focados em segurana e governana. professor
e coordenador de cursos de ps-graduao na rea de
segurana da informao, gesto integrada, inovao e tec-
nologias web. Hoje atua como Coordenador Acadmico de
Segurana e Governana de TI da Escola Superior de Redes.
Possui a certificao CRISC da ISACA, alm de diversas
outras em segurana e governana.
Edson Kowask Bezerra profissional A RNP Rede Nacional de Ensino
da rea de segurana da informao e
governana h mais de quinze anos,
e Pesquisa qualificada como
atuando como auditor lder, pesquisa- uma Organizao Social (OS),
dor, gerente de projeto e gerente tc-
nico, em inmeros projetos de gesto sendo ligada ao Ministrio da
de riscos, gesto de segurana da Cincia, Tecnologia e Inovao
informao, continuidade de negcios, PCI, auditoria e recu-
perao de desastres em empresas de grande porte do (MCTI) e responsvel pelo
setor de telecomunicaes, financeiro, energia, indstria e Programa Interministerial RNP,
governo. Com vasta experincia nos temas de segurana e
governana, tem atuado tambm como palestrante nos que conta com a participao dos
principais eventos do Brasil e ainda como instrutor de trei- ministrios da Educao (MEC), da
namentos focados em segurana e governana. professor

Gesto de
e coordenador de cursos de ps-graduao na rea de Sade (MS) e da Cultura (MinC).
O livro de apoio ao curso apresenta os conceitos de

LIVRO DE APOIO AO CURSO


segurana da informao, gesto integrada, inovao e tec- Pioneira no acesso Internet no
nologias web. Hoje atua como Coordenador Acadmico de gesto de riscos a partir da norma NBR ISO 27005.
Brasil, a RNP planeja e mantm a

Gesto de Riscos de TI NBR 27005


Segurana e Governana de TI da Escola Superior de Redes.

Riscos de TI
Possui a certificao CRISC da ISACA, alm de diversas Define conceitos e trabalha a contextualizao do am-
rede Ip, a rede ptica nacional
outras em segurana e governana.
biente, identificao e levantamento dos riscos atravs
acadmica de alto desempenho.
do conhecimento das ameaas, ativos, vulnerabilidades,
Com Pontos de Presena nas
probabilidade de ocorrncia e impactos. So realizados
27 unidades da federao, a rede
a estimativa e o clculo de risco e definido o tratamento
mais adequado. Todo o trabalho baseado em um es-
NBR 27005 tem mais de 800 instituies
conectadas. So aproximadamente
tudo de caso, visando consolidar o conhecimento terico.
3,5 milhes de usurios usufruindo
Este livro inclui os roteiros das atividades prticas e o con-
de uma infraestrutura de redes
tedo dos slides apresentados em sala de aula, apoiando
avanadas para comunicao,
profissionais na disseminao deste conhecimento em
computao e experimentao,
suas organizaes ou localidades de origem.
Edson Kowask Bezerra que contribui para a integrao
entre o sistema de Cincia e
Tecnologia, Educao Superior,
Sade e Cultura.

Ministrio da
Cultura

Ministrio da
Sade

Ministrio da
Educao

ISBN 9 7 8 - 8 5 - 6 3 6 3 0 - 3 2 - 2
Ministrio da
Cincia, Tecnologia
e Inovao

9 788563 630322