Académique Documents
Professionnel Documents
Culture Documents
Gesto de
e coordenador de cursos de ps-graduao na rea de Sade (MS) e da Cultura (MinC).
O livro de apoio ao curso apresenta os conceitos de
Riscos de TI
Possui a certificao CRISC da ISACA, alm de diversas Define conceitos e trabalha a contextualizao do am-
rede Ip, a rede ptica nacional
outras em segurana e governana.
biente, identificao e levantamento dos riscos atravs
acadmica de alto desempenho.
do conhecimento das ameaas, ativos, vulnerabilidades,
Com Pontos de Presena nas
probabilidade de ocorrncia e impactos. So realizados
27 unidades da federao, a rede
a estimativa e o clculo de risco e definido o tratamento
mais adequado. Todo o trabalho baseado em um es-
NBR 27005 tem mais de 800 instituies
conectadas. So aproximadamente
tudo de caso, visando consolidar o conhecimento terico.
3,5 milhes de usurios usufruindo
Este livro inclui os roteiros das atividades prticas e o con-
de uma infraestrutura de redes
tedo dos slides apresentados em sala de aula, apoiando
avanadas para comunicao,
profissionais na disseminao deste conhecimento em
computao e experimentao,
suas organizaes ou localidades de origem.
Edson Kowask Bezerra que contribui para a integrao
entre o sistema de Cincia e
Tecnologia, Educao Superior,
Sade e Cultura.
Ministrio da
Cultura
Ministrio da
Sade
Ministrio da
Educao
ISBN 978-85-63630-06-3
Ministrio da
Cincia, Tecnologia
e Inovao
9 788563 630063
A RNP Rede Nacional de Ensino
e Pesquisa qualificada como
uma Organizao Social (OS),
sendo ligada ao Ministrio da
Cincia, Tecnologia e Inovao
(MCTI) e responsvel pelo
Programa Interministerial RNP,
que conta com a participao dos
ministrios da Educao (MEC), da
Sade (MS) e da Cultura (MinC).
Pioneira no acesso Internet no
Brasil, a RNP planeja e mantm a
rede Ip, a rede ptica nacional
acadmica de alto desempenho.
Com Pontos de Presena nas
27 unidades da federao, a rede
tem mais de 800 instituies
conectadas. So aproximadamente
3,5 milhes de usurios usufruindo
de uma infraestrutura de redes
avanadas para comunicao,
computao e experimentao,
que contribui para a integrao
entre o sistema de Cincia e
Tecnologia, Educao Superior,
Sade e Cultura.
Ministrio da
Cultura
Ministrio da
Sade
Ministrio da
Educao
Ministrio da
Cincia, Tecnologia
e Inovao
Gesto de
Riscos de TI
NBR 27005
Rio de Janeiro
Escola Superior de Redes
2013
Copyright 2013 Rede Nacional de Ensino e Pesquisa RNP
Rua Lauro Mller, 116 sala 1103
22290-906 Rio de Janeiro, RJ
Diretor Geral
Nelson Simes
Edio
Pedro Sangirardi
Verso
2.0.1
Este material didtico foi elaborado com fins educacionais. Solicitamos que qualquer erro encon-
trado ou dvida com relao ao material ou seu uso seja enviado para a equipe de elaborao de
contedo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e
Pesquisa e os autores no assumem qualquer responsabilidade por eventuais danos ou perdas, a
pessoas ou bens, originados do uso deste material.
As marcas registradas mencionadas neste material pertencem aos respectivos titulares.
Distribuio
Escola Superior de Redes
Rua Lauro Mller, 116 sala 1103
22290-906 Rio de Janeiro, RJ
http://esr.rnp.br
info@esr.rnp.br
Bibliografia: p.137.
ISBN 978-85-63630-32-2
CDD 005.8
Sumrio
A metodologia da ESRix
Sobre o curso x
A quem se destinax
Permisses de usoxi
Sobre o autorxii
Conceitos fundamentais2
iii
Roteiro de Atividades 119
Contexto 22
Estabelecimento do contexto23
Definindo o contexto24
Critrios de impacto28
3. Identificao de riscos
Introduo41
Identificao de riscos42
Identificando os ativos43
iv
Identificando os ativos de suporte e infraestrutura46
Identificando as ameaas47
Anexo B Infraestrutura55
Identificando as vulnerabilidades60
Metodologias84
Estimativa de riscos86
v
6. Anlise de riscos: avaliao da probabilidade
Introduo91
7. Avaliao de riscos
Introduo101
Tratamento do risco109
Riscos residuais111
Modificao do risco111
Reteno do risco113
Ao de evitar o risco113
Compartilhamento do risco113
Aceitando o risco115
vi
9. Comunicao e monitoramento dos riscos
Introduo121
Concluso135
Bibliografia 137
vii
viii
Escola Superior de Redes
A Escola Superior de Redes (ESR) a unidade da Rede Nacional de Ensino e Pesquisa (RNP)
responsvel pela disseminao do conhecimento em Tecnologias da Informao e Comunica-
o (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competncias
em TIC para o corpo tcnico-administrativo das universidades federais, escolas tcnicas e
unidades federais de pesquisa. Sua misso fundamental realizar a capacitao tcnica do
corpo funcional das organizaes usurias da RNP, para o exerccio de competncias aplic-
veis ao uso eficaz e eficiente das TIC.
A ESR oferece dezenas de cursos distribudos nas reas temticas: Administrao e Projeto
de Redes, Administrao de Sistemas, Segurana, Mdias de Suporte Colaborao Digital e
Governana de TI.
A metodologia da ESR
A filosofia pedaggica e a metodologia que orientam os cursos da ESR so baseadas na
aprendizagem como construo do conhecimento por meio da resoluo de problemas tpi-
cos da realidade do profissional em formao. Os resultados obtidos nos cursos de natureza
terico-prtica so otimizados, pois o instrutor, auxiliado pelo material didtico, atua no
apenas como expositor de conceitos e informaes, mas principalmente como orientador do
aluno na execuo de atividades contextualizadas nas situaes do cotidiano profissional.
Dessa forma, o instrutor tem participao ativa e dialgica como orientador do aluno para as
atividades em laboratrio. At mesmo a apresentao da teoria no incio da sesso de apren-
dizagem no considerada uma simples exposio de conceitos e informaes. O instrutor
busca incentivar a participao dos alunos continuamente.
ix
As sesses de aprendizagem onde se do a apresentao dos contedos e a realizao das
atividades prticas tm formato presencial e essencialmente prtico, utilizando tcnicas de
estudo dirigido individual, trabalho em equipe e prticas orientadas para o contexto de atua-
o do futuro especialista que se pretende formar.
Sobre o curso
O curso apresenta os conceitos de gesto de riscos a partir da norma NBR ISO 27005.
Define conceitos e trabalha a contextualizao do ambiente, identificao e levantamento
dos riscos atravs do conhecimento das ameaas, ativos, vulnerabilidades, probabilidade
de ocorrncia e impactos. So realizados a estimativa e o clculo de risco e definido o
tratamento mais adequado. Todo o trabalho baseado em um estudo de caso, visando
consolidar o conhecimento terico. Ao final do curso o participante estar apto a realizar
uma anlise de risco qualitativa no ambiente da sua organizao.
A quem se destina
Curso direcionado a gestores, tcnicos e profissionais de informtica ou reas afins, que
esto em busca do desenvolvimento de competncias na realizao de gesto e anlise
de riscos no ambiente de tecnologias da informao e comunicao (TIC). Profissionais de
outras reas podem participar desde que possuam conhecimentos de TIC, segurana da
informao e normas ISO 27001 e 27002.
Itlico
Indica nomes de arquivos e referncias bibliogrficas relacionadas ao longo do texto.
x
Largura constante
Indica comandos e suas opes, variveis e atributos, contedo de arquivos e resultado da sada
de comandos. Comandos que sero digitados pelo usurio so grifados em negrito e possuem
o prefixo do ambiente em uso (no Linux normalmente # ou $, enquanto no Windows C:\).
Contedo de slide
Indica o contedo dos slides referentes ao curso apresentados em sala de aula.
Smbolo
Indica referncia complementar disponvel em site ou pgina na internet.
Smbolo
Indica um documento como referncia complementar.
Smbolo
Indica um vdeo como referncia complementar.
Smbolo
Indica um arquivo de adio como referncia complementar.
Smbolo
Indica um aviso ou precauo a ser considerada.
Smbolo
Indica questionamentos que estimulam a reflexo ou apresenta contedo de apoio ao
entendimento do tema em questo.
Smbolo
Indica notas e informaes complementares como dicas, sugestes de leitura adicional ou
mesmo uma observao.
Permisses de uso
Todos os direitos reservados RNP.
Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra.
Exemplo de citao: BEZERRA, E. K. Gesto de Riscos de TI NBR 27005. Rio de Janeiro: Escola
Superior de Redes, RNP, 2013.
Comentrios e perguntas
Para enviar comentrios e perguntas sobre esta publicao:
Escola Superior de Redes RNP
Endereo: Av. Lauro Mller 116 sala 1103 Botafogo
Rio de Janeiro RJ 22290-906
E-mail: info@esr.rnp.br
xi
Sobre o autor
Edson Kowask Bezerra profissional da rea de segurana da informao e governana
h mais de quinze anos, atuando como auditor lder, pesquisador, gerente de projeto e
gerente tcnico, em inmeros projetos de gesto de riscos, gesto de segurana da infor-
mao, continuidade de negcios, PCI, auditoria e recuperao de desastres em empresas
de grande porte do setor de telecomunicaes, financeiro, energia, indstria e governo.
Com vasta experincia nos temas de segurana e governana, tem atuado tambm como
palestrante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados
em segurana e governana. professor e coordenador de cursos de ps-graduao na rea
de segurana da informao, gesto integrada, inovao e tecnologias web. Hoje atua como
Coordenador Acadmico de Segurana e Governana de TI da Escola Superior de Redes. Pos-
sui a certificao CRISC da ISACA, alm de diversas outras em segurana e governana.
xii
1
Introduo Gesto de Riscos
Conceituar e compreender ameaas, vulnerabilidades, probabilidade e riscos;
objetivos
conceitos
Ameaas, vulnerabilidades, probabilidade, riscos, segurana da informao e gesto
de riscos.
Introduo
11 A ao e interao dos objetivos com as incertezas originam o risco, que se apresenta q
no dia a dia de toda e qualquer atividade.
11 Muitas vezes, o risco no se apresenta visvel, sendo necessrias aes para identific-lo.
11 Outras vezes, o risco fruto de aes repentinas que fogem ao controle humano,
como em eventos de causas naturais.
Nas fases do ciclo de vida de qualquer atividade humana planejada, convivemos com duas cer-
tezas bsicas: daquilo que deve acontecer (os objetivos) e o que pode acontecer (as incertezas).
Diariamente vemos manchetes em publicaes das mais diversas reas que destacam, com
nfase, os problemas relacionados aos riscos tecnolgicos de segurana da informao: roubos
de mdias de backup e de notebooks, vazamento de nmeros de cartes de crdito, manuseio
imprprio de registros eletrnicos, roubo de identidade e quebra de propriedade intelectual.
1
Exerccio de nivelamento 1 e
Introduo gesto de riscos
Como voc avalia na sua organizao o processo de gesto de riscos?
Conceitos fundamentais
11 Norma ISO Guide 73:2009 Gesto de riscos Vocabulrio q
22 Recomendaes para uso em normas.
11 Esta terminologia deve ser combinada com os termos apresentados nas normas:
22 Segurana da Informao.
22 Ameaa.
22 Vulnerabilidade.
22 Risco.
22 Identificao de riscos.
22 Impacto.
22 Estimativa de riscos.
22 Modificao do risco.
22 Comunicao do risco.
22 Ao de evitar o risco.
22 Reteno do risco.
22 Compartilhamento do risco.
2
objetivos do negcio, mitigando os riscos e garantindo os preceitos de segurana da organi-
zao: Confidencialidade, Integridade, Disponibilidade e Autenticidade (CIDA).
22 Ameaas intencionais.
22 Ameaas da ao da natureza.
22 Ameaas no intencionais.
So exemplos de ameaas:
11 Erros humanos;
11 Falhas de hardware;
11 Falhas de software;
11 Aes da natureza;
11 Terrorismo;
Vulnerabilidade qualquer fraqueza que possa ser explorada para comprometer a segu-
rana de sistemas ou informaes. Fragilidade de um ativo ou grupo de ativos que pode ser
explorada por uma ou mais ameaas.
Para pensar
Vulnerabilidade Ameaa
Sistema aplicativo aceita qualquer valor nos seus campos Falha de software
Tabela 1.1 Inundao da sala em virtude das fortes chuvas Aes da natureza
Exemplos de
vulnerabilidades Exploso provocada intencionalmente no terminal de nibus Terrorismo
e ameaas.
Mquina ATM virada e pichada Vandalismo
3
Os conceitos a seguir dizem respeito s atividades aps a identificao dos riscos e relacio-
nadas ao seu tratamento.
11 Impacto: mudana adversa no nvel obtido dos objetivos de negcios. Consequncia ava-
liada dos resultados com a ocorrncia de um evento em particular, em que determinada
vulnerabilidade foi explorada, uma ameaa ocorreu e o risco se concretizou. Qual foi o
impacto deste evento nos negcios? Quanto se perdeu? A organizao ser responsabili-
zada? Haver multas? Aes legais sero impetradas? Haver danos de imagem?
1. Em uma faculdade, um usurio com acesso s informaes dos alunos deixou sua senha
escrita num papel aps renov-la. O que pode ocorrer? Qual o impacto?
4
Exerccio de fixao 1 e
Conceitos fundamentais
Durante uma apresentao sobre os conceitos de gesto de riscos para a alta direo da sua
organizao, voc foi questionado sobre duas possveis ameaas existentes e seus riscos.
Como voc responderia?
Em funo da sua resposta para a alta direo, lhe pediram para explicar os possveis
impactos relacionados a estes riscos. Como voc responderia?
Para a gesto de riscos ser eficaz, convm que uma organizao, em todos os nveis, atenda
aos princpios descritos a seguir.
A gesto de riscos contribui para a realizao demonstrvel dos objetivos e para a melhoria
do desempenho, referente segurana e sade das pessoas, conformidade legal e regula-
tria, aceitao pblica, proteo do meio ambiente, qualidade do produto, ao geren-
ciamento de projetos, eficincia nas operaes, governana e reputao.
5
b. A gesto de riscos parte integrante de todos os processos organizacionais.
Uma abordagem sistemtica, oportuna e estruturada para a gesto de riscos contribui para
a eficincia e para os resultados consistentes, comparveis e confiveis.
A gesto de riscos est alinhada com o contexto interno e externo da organizao e com o
perfil do risco.
6
k. A gesto de riscos facilita a melhoria contnua da organizao.
Estes princpios da gesto dos riscos devem ser os norteadores desta nobre ativi-
dade no dia a dia das organizaes.
l
riscos estruturada, com a padronizao de processos e requisitos de gesto de riscos.
Saiba mais Em 1995, a comisso de padronizao da Austrlia e Nova Zelndia lanou a primeira
norma tratando do tema: AS/NZS 4360 Gesto de Risco. Genrica, a norma estabelece um
As normas descritas
acima so apresentadas processo de gesto de riscos amplamente aceito, tendo sido atualizada em 1999 (AS/NZS
no curso Gesto de Segu- 4360:1999). Em 1996, a International Organization for Standardization (ISO) criou um grupo
rana da Informao
de trabalho baseado na AS/NZS 4360 para criar um projeto de gesto de risco, que passou
NBR 27001 e 27002,
oferecido pela Escola por diversos problemas e s foi concludo em 2009.
Superior de Redes.
ABNT NBR ISO 31000:2009 Gesto de Riscos Princpios e diretrizes: q
Captulo 1 - Introduo Gesto de Riscos
11 Norma que fornece os princpios e diretrizes genricas para qualquer indstria ou setor.
7
ISO/IEC 31010:2009 Gesto de riscos Tcnicas de avaliao de riscos: q
11 Norma que deve ser trabalhada em apoio norma ABNT NBR ISO 31000:2009 Gesto
de Riscos Princpios e diretrizes.
Em 2009 lanada pela ISO e imediatamente pela Associao Brasileira de Normas Tc-
nicas (ABNT) a norma ABNT NBR ISO 31000:2009 Gesto de Riscos Princpios e diretrizes.
Esta norma fornece os princpios e diretrizes genricas para qualquer indstria ou setor.
No mesmo ano foi lanada a norma ABNT ISO GUIDE 73:2009 Gesto de Riscos Vocabu-
lrio. Ela apresenta as definies de termos genricos relativos gesto de riscos. Quando
se pretende fazer referncia a um conceito de gesto de riscos, deve ser utilizada a defi-
nio da norma ABNT ISO GUIDE 73:2009 Gesto de Riscos Vocabulrio. Segundo a ABNT:
Este guia fornece as definies de termos genricos relativos gesto de riscos. Destina-se
a incentivar uma compreenso mtua e consistente, uma abordagem coerente na descrio
das atividades relativas gesto de riscos e a utilizao de terminologia uniforme de gesto
de riscos em processos e estruturas para gerenciar riscos.
Em 2012, foi lanada em portugus a norma ABNT NBR ISO/IEC 31010:2012 Gesto de riscos
Tcnicas para o processo de avaliao de riscos deve ser trabalhada em apoio norma
ABNT NBR ISO 31000:2009 Gesto de Riscos Princpios e diretrizes. A norma descreve as
diversas tcnicas e ferramentas de anlise de risco, fornecendo orientaes sobre a seleo
e aplicao de tcnicas sistemticas para o processo de avaliao de riscos.
Este grupo de normas da srie 31000 visa atender a qualquer tipo de ambiente de uma
organizao. Proporcionam, portanto, uma concepo ampla e genrica da gesto de riscos,
sendo aplicadas para avaliar e tratar qualquer tipo de risco corporativo. Durante o desen-
volvimento destas normas, foi publicada em 2008, pelo grupo de trabalho especfico de
tecnologia da informao, a norma ABNT NBR ISO/IEC 27005: 2008 Tecnologia da Infor-
mao Tcnicas de Segurana Gesto de riscos de segurana da informao. Esta norma
foi desenvolvida com base nos estudos da ISO 31000:2009, e portanto atende aos seus
requisitos e ao seu processo de gesto de risco. A ISO/IEC 27005 faz parte do conjunto de
normas da srie de 27000, sobre o Sistema de Gesto de Segurana da Informao (SGSI),
onde so includas ainda as normas ISO/IEC 27001 e ISO/IEC 27002. Esta norma apresenta as
melhores prticas e possibilita o aprofundamento em aspectos exclusivos da segurana da
informao, enquanto a ISO 31000 mais genrica e contempla todos os setores.
O enfoque deste curso est na norma ABNT NBR ISO/IEC 27005: 2008 Tecnologia
da Informao Tcnicas de Segurana Gesto de riscos de segurana da infor-
mao. Os conceitos, processos e atividades apresentados se adequam ao que
Gesto de Riscos de TI NBR 27005
prope a norma ABNT NBR ISO 31000:2009 Gesto de Riscos Princpios e dire-
trizes, podendo ser aplicados em qualquer outra rea que no a de TI.
8
O quadro abaixo apresenta um resumo comparativo entre estas normas:
27001 Tecnologia da infor- Especifica os requisitos para estabelecer, Trata mais especifica-
mao Tcnicas de implementar, operar, monitorar, analisar criti- mente de diretrizes
segurana Sistemas camente, manter e melhorar um SGSI docu- e princpios para um
de gesto de segu- mentado no contexto dos riscos de negcio sistema de gesto de
rana da informao globais da organizao. Especifica requisitos segurana da infor-
Requisitos para a implementao de controles de segu- mao.
rana personalizados para as necessidades
individuais de organizaes ou de suas partes.
Cobre todos os tipos de organizao (empre-
endimentos comerciais, agncias governamen-
tais, organizaes sem fins lucrativos, entre
diversas outras).
27002 Tecnologia da infor- Estabelece diretrizes e princpios gerais para Voltada para controles
mao Tcnicas de iniciar, implementar, manter e melhorar a de segurana.
segurana Cdigo de gesto de segurana da informao. Os obje-
prtica para a gesto tivos definidos nesta norma estabelecem dire-
de segurana da infor- trizes gerais para as metas e melhores prticas
mao para a gesto da segurana da informao.
27005 Tecnologia da infor- Apresenta um sistema de gesto de riscos de Esclarece como geren-
mao Tcnicas de segurana da informao com foco em tecno- ciar riscos de segu-
segurana Gesto logia da informao. rana da informao.
de riscos de segu-
rana da informao
Tabela 1.2
Resumo Norma ABNT NBR ISO/IEC 27005:2008
comparativo entre
as normas. ABNT NBR ISO/IEC 27005:2008 Tecnologia da Informao Tcnicas de Segurana q
Gesto de riscos de segurana da informao
9
Esta norma descreve todo o processo necessrio para a gesto de riscos de segurana da
informao e as atividades necessrias para a perfeita execuo da gesto. Apresenta pr-
ticas para gesto de riscos da segurana da informao. As tcnicas nela descritas seguem
o conceito, os modelos e os processos globais especificados na norma ABNT NBR ISO/IEC
27001, alm de apresentar a metodologia de avaliao e tratamento dos riscos requeridos
pela mesma norma.
11 Sada: apresenta os resultados que devem ser alcanados e que vo servir para gerar evidncias.
Este curso utiliza o processo de gesto de riscos normatizado contido na norma ABNT NBR
ISO/IEC 27005.
11 Risco aceitvel o grau de risco que a organizao est disposta a aceitar para con-
cretizar os seus objetivos.
22 Contnua.
22 Repetitiva.
10
Definio do contexto;
11 Anlise/Avaliao de riscos;
11 Tratamento do risco;
11 Aceitao do risco;
11 Comunicao do risco;
11Definio do contexto
11Anlise/Avaliao de riscos
PLANEJAR
11Definio do plano de tratamento do risco
11Aceitao do risco
Em seu livro Desafio aos deuses: a fascinante histria do risco, Peter Bernstein nos pre-
l senteia com uma detalhada anlise histrica da evoluo do controle e previso dos riscos
Saiba mais pela humanidade, desde a Grcia antiga. Segundo o autor, somos possuidores de elevado
potencial tcnico para a preveno das perdas e ganhos, mesmo que o comportamento dos
Dica de leitura:
BERNSTEIN, Peter. agentes seja imprevisvel. Nas suas palavras: ... acontea o que acontecer e apesar de todos
Desafio aos deuses: a fas- os nossos esforos, os seres humanos no possuem o conhecimento completo sobre as leis
cinante histria do risco.
que definem a ordem do mundo objetivamente existente. Portanto, o autor nos desquali-
Editora Campus, 1997.
fica como previsores perfeitos do futuro.
Bernstein diz ainda que Quando investidores compram aes, cirurgies realizam opera-
es, engenheiros projetam pontes, empresrios abrem seus negcios e polticos concorrem
a cargos eletivos, o risco um parceiro inevitvel. Contudo, suas aes revelam que o risco
no precisa ser to temido: administrar o risco sinnimo de desafio e oportunidade.
O risco faz parte de nosso cotidiano, de modo que precisamos conhec-lo para poder trat-
-lo e dele extrair novas oportunidades.
dade para que esta alcance seus objetivos. A integrao do ambiente tecnolgico, caracte-
rizado pela complexidade e interdependncia, produz contextos muitas vezes hostis que
propiciam ataques cada vez mais frequentes segurana da informao, exigindo respostas
cada vez mais rpidas das organizaes. A este quadro vm somar-se novas obrigaes
legais, de proteo de privacidade e governana corporativa, gerando a necessidade das
organizaes gerenciarem mais efetivamente sua infraestrutura de tecnologia.
Para enfrentar estas novas ameaas e demandas as organizaes devem desenvolver uma
atitude proativa, antecipando-se em conhecer suas fraquezas e vulnerabilidades. Isto pode
ser obtido atravs da adoo de um processo formal de gerenciamento de riscos de segu-
rana da informao, que permita organizao estabelecer um nvel aceitvel de risco.
11
Para isso necessria uma abordagem sistemtica de gesto de riscos, que ir variar de
acordo com o negcio de cada organizao, assim como o nvel de risco aceitvel estabele-
cido pela direo de cada organizao.
Risco aceitvel o grau de risco que a organizao est disposta a aceitar para a
concretizao dos seus objetivos estratgicos.
Exerccio de fixao 2 e
Viso geral
Na sua organizao, qual seria o risco aceitvel na realizao das suas atividades? Explique.
11 Contnua;
11 Repetitiva;
12
A Figura 1.1 apresenta uma viso do processo de gesto de riscos de segurana da infor-
mao segundo a norma ABNT NBR ISO/IEC 27005.
DEFINIO DO CONTEXTO
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim
Figura 1.1
Processo de
ACEITAO DO RISCO
gesto de riscos
de segurana da
informao. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
11 Definio do contexto;
11 Anlise/Avaliao de riscos;
11 Tratamento do risco;
11 Aceitao do risco;
11 Comunicao do risco;
Captulo 1 - Introduo Gesto de Riscos
Como pode ser visto na Figura 1.1, o ciclo de vida da gesto de riscos de segurana da infor-
mao iterativo, onde a gesto se desenvolve de maneira incremental, atravs de uma
sucesso de iteraes, e cada iterao libera uma entrega (sada) para a seguinte, minimi-
zando tempo e esforo.
Definio do contexto
Dentro do processo, a definio do contexto responsvel pela definio do ambiente,
escopo, critrios de avaliao, entre outras definies.
13
Esta etapa essencial para a equipe que realiza a gesto de risco conhecer todas as infor-
maes sobre a organizao.
Anlise/Avaliao de riscos
A prxima iterao de anlise e avaliao de risco, que permitir a identificao dos riscos
e a determinao das aes necessrias para reduzir o risco a um nvel aceitvel.
Tratamento do risco
A partir dos resultados obtidos na anlise e avaliao do risco so definidos os controles
necessrios para o tratamento do risco. A norma ABNT NBR ISO/IEC 27001 especifica os
controles que devero ser implementados.
Aceitao do risco
Assegura os riscos aceitos pela organizao, ou seja, os riscos que por algum motivo no
sero tratados ou sero tratados parcialmente. So os chamados riscos residuais, cujo
enquadramento nesta categoria dever ser justificado.
Comunicao do risco
Nesta etapa feita a comunicao do risco e da forma como ser tratado, para todas as
reas operacionais e seus gestores.
A norma ABNT NBR ISO/IEC 27001 especifica que os controles implementados no escopo,
limites e contexto do Sistema de Gesto de Segurana da Informao (SGSI) devem estar
baseados no risco. Este requisito deve ser atendido atravs da aplicao do processo de
gesto de riscos de segurana da informao.
Definio do contexto
Anlise/Avaliao de riscos
PLANEJAR
Definio do plano de tratamento do risco
Aceitao do risco
14
Processo do SGSI Processo de gesto de riscos de segurana da informao
PLA
NE
I R J AR
AG
Manuteno Denio
e melhoria do contexto
do processo
PL A
AR
NE J A
VERI FIC
Monitoramento Anlise/Avaliao
R
e anlise de riscos
crtica
Implementar Denio
o plano de do plano de
tratamento tratamento
LA P
N
R
Aceitao
EJ
TA
AR
do risco
U
EC
Figura 1.2 EX
Processo de gesto
de riscos e o P L ANE JAR
modelo PDCA.
Exerccio de fixao 3 e
PDCA
Explique como a fase planejar (PDCA) do processo do SGSI executado no processo de
gesto de riscos de segurana da informao.
11 Comunicao e treinamento.
11 Definio de objetivos.
15
A gesto de riscos de segurana da informao implementada pelas organizaes na
busca por vantagens competitivas para os negcios. fundamental demonstrar, para as
partes interessadas, uma postura de segurana na gesto dos riscos relacionados pro-
teo dos ativos e informaes.
Os fatores crticos para o sucesso esto relacionados aos benefcios que devem ser alcan-
ados pelas organizaes, a depender da natureza de cada organizao. Para atingir tais
benefcios preciso realizar as etapas que envolvem os fatores crticos para o sucesso.
Como exemplos destes fatores podemos mencionar os listados a seguir.
Comunicao e treinamento
Todo o processo precisa ser comunicado a todas as partes envolvidas antes do seu incio,
durante o seu desenvolvimento e aps sua concluso, com a apresentao dos resultados
alcanados e metas atingidas. Em um processo de gesto de riscos todos os participantes
devem ser envolvidos, e para isso necessria a realizao de campanhas de conscienti-
zao e treinamentos.
Definio de objetivos
O estabelecimento de objetivos contribui decisivamente com o alcance das metas da gesto
de riscos.
11 Tcnico.
11 Negcios.
Gesto de Riscos de TI NBR 27005
11 Legislao.
11 Processos.
16
11 Tcnico: contribui no atendimento das demandas das diversas reas tcnicas da organi-
zao, incluindo as reas de hardware, software, sistemas operacionais, infraestrutura e
aplicaes web, entre outras.
11 Processos: permite a compreenso dos processos e atravs de sua anlise identifica pos-
sveis ameaas e vulnerabilidades, contribuindo com a elaborao de planos de gesto e
tratamento de riscos.
Leitura complementar
11 Sesses 4, 5 e 6 da norma ABNT NBR ISO/IEC 27005.
11 AS/NZS 4360:
http://www.standards.org.au/
17
18
Gesto de Riscos de TI NBR 27005
Roteiro de Atividades 1
Atividade 1.1 Conhecendo os conceitos
Para cada conceito a seguir, explique e apresente um exemplo baseado na organizao em
que voc trabalha. Justifique sua resposta:
Riscos de segurana
da informao
Identificao de riscos
Impacto
Compartilhamento do
risco
Evitar o risco
Comunicao do risco
Estimativa do risco
Tratamento do risco
Aceitao do risco
19
Atividade 1.3 Identificando o processo
Descreva a sequncia das etapas do processo de gesto de riscos.
Em sua opinio qual a importncia de entendermos a gesto de risco para o exerccio das
nossas atividades cotidianas?
20
2
Contexto da gesto de riscos
objetivos
conceitos
Contexto, escopo, limites e critrios.
Introduo
Ao iniciar qualquer tipo de trabalho, a primeira atividade a ser feita conhecer o ambiente em
que o trabalho ser desenvolvido, as pessoas que de alguma forma iro interagir, o que ser
desenvolvido; em resumo, conhecer o terreno para saber conduzir o andamento dos trabalhos.
Nas atividades que envolvem gesto de riscos de segurana da informao a definio do con-
texto a parte inicial e tem como objetivo permitir o conhecimento do ambiente da organizao.
Exerccio de nivelamento 1 e
Contexto
No seu entendimento qual o contexto atual da sua organizao?
Na sesso anterior foi apresentada a viso geral do processo de gesto de riscos. neces-
srio que o conhecimento da sequncia das fases do processo faa parte do dia a dia dos
profissionais envolvidos com a gesto de riscos.
21
DEFINIO DO CONTEXTO
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim
ACEITAO DO RISCO
Figura 2.1
Definio do
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES contexto.
Para realizar esta atividade, os profissionais devero ter acesso a toda documentao sobre a
organizao, permitindo assim o amplo conhecimento sobre as especificidades da organizao.
Contexto
necessrio entender o significado conceitual de contexto e sua aplicao na gesto de
riscos. Ao buscar o seu significado nos dicionrios, encontra-se, entre outras definies,
que contexto um substantivo masculino que significa inter-relao de circunstncias que
acompanham um fato ou uma situao.
22
Segundo a norma ABNT NBR ISO 31000:2009 o contexto pode ser analisado sob dois aspectos:
Estabelecimento do contexto
De acordo com a norma ABNT NBR ISO/IEC 31000, no momento em que a organizao q
estabelece seu contexto ela:
De acordo com a norma ABNT NBR ISO/IEC 31000, no momento que a organizao estabe-
lece seu contexto ela articula seus objetivos, definindo parmetros internos e externos que
devem ser levados em considerao para gerenciar o risco, e define o escopo e os critrios
de risco para todo o processo de gesto de riscos.
11 Apresentaes da organizao.
11 Entrevistas.
11 Questionrios:
11 Anexo A Informativo.
A seo 7 da norma ABNT NBR ISO/IEC 27005 trata das atividades que devem ser desen-
volvidas durante a fase de contexto da gesto de riscos. Essas atividades devem ser
desenvolvidas pela equipe responsvel pela gesto de riscos, sendo realizadas por meio de
Captulo 2 - Contexto da gesto de riscos
11 Apresentaes da organizao;
11 Questionrios.
23
11 Seo 7.3 Escopo e limites: importncia da definio do escopo e os limites da gesto
de riscos;
Definindo o contexto
11 Suporte a SGSI. q
11 Conformidade legal.
11 Suporte a SGSI: a organizao optou por implementar um SGSI e para isso deve realizar
a gesto de risco de segurana da informao como requisito obrigatrio.
11 Plano de resposta a incidentes: para que a organizao possa ter seu plano de res-
postas a incidentes necessrio o conhecimento de seus riscos e vulnerabilidades.
Propsito principal da
Qual a finalidade da empresa? Quais seus objetivos?
organizao
A misso Qual a sua misso? Para que ela existe? O que ela se prope a fazer? Para quem?
24
Itens para identificao Exemplo de questionamentos
A viso de futuro Qual sua viso de futuro? O que se espera dela no tempo?
Os produtos Quais so os seus produtos? Qual o principal produto de alavancagem dos negcios?
Exerccio de fixao 1 e
Definindo o contexto
Qual a finalidade da sua organizao? Explique.
Qual deve ser um dos propsitos que devem levar a gesto de riscos de segurana da infor-
Captulo 2 - Contexto da gesto de riscos
25
Definindo escopo e limites
11 Escopo descrio dos limites do projeto, sua abrangncia, seus resultados e q
entregas. a finalidade da gesto de riscos.
22 Processos de negcios.
22 Ativos.
22 Expectativas.
22 Restries.
11 Algumas destas restries podem causar impactos no escopo e a equipe tem que
estar preparada para identific-las e determinar a influncia que tero no escopo.
Exemplos de restries:
22 Restries tcnicas.
22 Restries financeiras.
22 Restries ambientais.
22 Restries organizacionais.
11 O anexo A da norma ABNT NBR ISO/IEC 27005 apresenta e detalha estas restries.
22 A infraestrutura de TI.
22 Um processo de negcio.
22 O departamento de TI.
22 Uma filial.
22 O datacenter da organizao.
22 O servio de callcenter.
Gesto de Riscos de TI NBR 27005
22 A intranet da organizao.
26
importante que a organizao defina o escopo e os limites da gesto de riscos de segurana
da informao. Mas o que escopo?
Escopo a maneira como so descritos os limites do projeto, sua abrangncia, seus resul-
tados e suas entregas. a finalidade, o alvo, o intento ou propsito da gesto de riscos. Se
o escopo for nebuloso, ou deixar margem para interpretao, ser difcil para a equipe de
gesto de riscos identificar os limites do seu trabalho. Portanto, o escopo deve ser claro,
bem definido e entendido pela equipe de trabalho e pela organizao. Desta forma, com
o escopo e os limites identificados, a equipe de anlise e a organizao estaro aptos a
levantar os ativos, pessoas, processos e instalaes que sero envolvidas na atividade de
anlise e avaliao dos riscos.
Ao definir o escopo, a organizao dever levar em conta os objetivos que devem ser alcanados
com a anlise/avaliao (propsitos). Para isso devem ser considerados:
11 Processos de negcios;
11 Ativos;
11 Expectativas;
11 Restries.
11 Restries tcnicas;
11 Restries financeiras;
11 Restries ambientais;
11 Restries organizacionais.
Existem muitas outras restries, que iro variar em funo do tipo ou do negcio da orga-
nizao, assim como tambm ir variar a influncia destas restries na gesto de riscos.
O anexo A da norma ABNT NBR ISO/IEC 27005 apresenta e detalha estas restries, sendo
uma leitura obrigatria para um melhor entendimento. Estes so apenas alguns exemplos
bem objetivos. preciso avaliar a complexidade do escopo e fazer um detalhamento dos
seus objetivos, para que no haja dvida a respeito da sua amplitude.
Captulo 2 - Contexto da gesto de riscos
Exerccio de fixao 2 e
Definindo o escopo e limites
Quais propsitos devem ser considerados na sua organizao para definio do escopo?
Justifique.
27
Cite uma restrio tcnica e uma restrio organizacional possvel de existir na sua
organizao? Justifique.
A palavra critrio, do grego kritrion pelo latim critrio, significa estabelecer um padro que
serve de base para que coisas e pessoas possam ser comparadas e julgadas.
Os critrios tambm sero utilizados para definir as prioridades para o tratamento dos riscos.
Exemplo:
Em um ambiente que possui uma sala usada como depsito de papel e com um precrio
sistema de preveno e combate a incndios, o risco de um incndio pode ser ALTO.
4. Fazer uma descrio detalhada de cada nvel. Colocar o mximo de informaes do que
abrange aquele nvel a fim de permitir que qualquer outra pessoa possa entender cada
nvel do critrio e aplica-lo de forma igualitria e uniforme.
Gesto de Riscos de TI NBR 27005
Critrios de impacto
Impacto a mudana adversa no nvel obtido nos objetivos de negcios. Os critrios de
impacto servem para mensurar o montante dos danos ou custos organizao causados
pela ocorrncia de um evento de segurana da informao. Geralmente esto relacionados
a perdas financeiras. Devem considerar, entre outros:
11 O descumprimento de prazos;
28
11 Violaes de requisitos legais e regulatrios;
11 Severidade e criticidade;
Exemplo
Se na ocorrncia de um incndio os prejuzos foram apenas locais, restritos a uma sala, o
impacto pode ser classificado como BAIXO. Na situao do incndio ter se alastrado, e no
ter sido possvel control-lo, de modo a ter destrudo diversas salas, equipamentos e docu-
mentos importantes, o impacto pode ser classificado como ELEVADO.
11 Finanas;
11 Aspectos sociais;
11 Repercusso na imagem;
11 Aspectos operacionais;
11 Negcios;
11 Tecnologias.
Exemplo:
A empresa definiu que todo risco MUITO BAIXO que possuir IMPACTO BAIXSSIMO ou que
possa causar perdas financeiras abaixo de R$ 10 mil ser classificado como RISCO ACEITVEL
e no ser tratado com prioridade.
Exemplos de critrios:
Nvel Definio
Valor Definio
29
Valor Definio
Outro ponto importante a definio dos critrios (7.2 Critrios bsicos). Os critrios fazem
parte do mtodo com o qual ser feita a gesto de riscos. Em outras palavras, os critrios so a
forma e o valor (pesos) com que sero valorados os riscos e os impactos. Para identificar o maior
ou menor risco, e o mais alto ou mais baixo impacto, preciso definir os critrios. Critrio um
padro que serve de base para que coisas e pessoas possam ser comparadas e julgadas.
11 As fontes de dados;
Os critrios a serem adotados devem ser determinados em comum acordo entre a equipe
de gesto de riscos e a organizao. Caso a organizao j possua critrios para outros sis-
temas de gesto, estes podero ser adaptados a depender da demanda, facilitando o enten-
dimento dos critrios de gesto de riscos por parte da organizao, pois sero semelhantes
aos j utilizados por outros sistemas de gesto implementados.
30
Nvel de risco Valor Descrio
Tabela 2.5 Cabe ressaltar que estes exemplos provavelmente no se aplicam a qualquer tipo de
Exemplos de organizao, mas quelas para as quais foram desenvolvidos. Entretanto, fornecem uma
critrios de
impacto. ideia sobre a criao de critrios aplicados s atividades de gesto de riscos. No decorrer
deste curso sero desenvolvidos critrios durante a realizao das atividades.
Exerccio de fixao 3 e
Definindo os critrios
Que critrios j existem atualmente na sua organizao? Justifique.
31
Organizao para a gesto de riscos
11 A definio dos papis e responsabilidades importante para o sucesso do processo q
de gesto de riscos.
22 As partes interessadas.
11 Todas estas atividades devem gerar evidncias para a aplicao dos processos de
gesto de riscos.
Deve ficar claro para todos os envolvidos que o conjunto destas atividades deve gerar
evidncias que auxiliem para uma aplicao adequada dos processos de gesto de riscos.
Sendo assim, importante que todas as informaes e dados sejam documentados para o
caso de uma futura auditoria.
Leitura complementar
11 Sesso 7 da norma ABNT NBR ISO/IEC 27005.
32
Roteiro de Atividades 2
Viso geral da atividade
Sero realizadas as atividades necessrias para a Definio do contexto. A figura a seguir
apresenta graficamente a localizao destas atividades no processo de gesto de riscos.
DEFINIO DO CONTEXTO
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim
Figura 2.2
ACEITAO DO RISCO
Atividades para
a Definio do
contexto. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.
Para esta atividade, o aluno deve se valer do Anexo A (Descrio da Empresa), que permitir
Captulo 2 - Roteiro de Atividades
a criao de uma empresa fictcia ou ainda auxiliar em algumas observaes sobre sua orga-
nizao. A planilha desta atividade composta de perguntas bsicas para o entendimento
do contexto organizacional.
33
4. Execuo das atividades da planilha:
Devem ser respondidas as perguntas que permitiro que a equipe de anlise de risco identi-
fique e compreenda o contexto do ambiente onde ser desenvolvida a anlise.
Para cada tpico devero ser colocadas direita as observaes ou justificativas correspondentes.
Nesta guia sero inseridas as restries aplicveis organizao, de acordo com o Anexo A
da ABNT NBR ISO/IEC 27005.
A coluna Restries apresenta uma lista baseada na norma, cabendo ao aluno escolher as
que se aplicam e escrever a justificativa.
Figura 2.3
Anlise das
restries.
Existem restries que afetam a organizao e restries que afetam o escopo da gesto de riscos.
Esta guia apresenta exerccios para que a equipe de anlise tenha um perfeito entendi-
mento do escopo e seus limites. Para cada tpico devero ser colocadas direita as observa-
es correspondentes.
Esta guia apresenta um exerccio para permitir a definio dos critrios que sero traba-
lhados durante toda a anlise de risco.
Aqui a equipe de anlise de risco da organizao onde realizado o trabalho, definir os cri-
trios que conduziro os trabalhos durante todo o processo. importante que estes critrios
sejam factveis e vlidos para o ambiente do escopo da gesto de riscos e para a organizao.
34
Critrios a serem definidos:
11 Impacto ndice para mensurar o montante dos danos ou custos organizao causados
pela ocorrncia de um evento de segurana da informao;
11 Critrio de risco define o nvel ou sua escala de aceitao dos riscos e depende das
polticas, metas e objetivos da organizao.
IMPACTO
Nvel Descrio
Cada critrio composto por nvel e descrio. Para cada um deles a equipe de anlise
dever definir seus critrios.
Para a atividade, as descries que possuem a palavra DEFINA devero ser comple-
tadas pela equipe e alguns nveis podero ser alterados. Os critrios definiro as
demais atividades no decorrer do curso.
35
Anexo A Descrio da empresa
A empresa
Com sede na cidade de Braslia, um escritrio comercial situado em Campinas e outro
escritrio no Rio de Janeiro, a KWX Indstria Grfica e Servios LTDA atua no mercado desde
1998. Atualmente conta com aproximadamente 230 funcionrios. Possui equipamentos de
alta tecnologia e o objetivo de produzir e distribuir produtos e servios com padro de quali-
dade internacional, atendendo ao mercado de empresas do setor educacional.
A empresa detm uma pequena fatia do mercado nacional, com um faturamento mdio de R$
45 milhes anuais. Tendo como meta dobrar sua participao de mercado em trs anos,
a KWX planeja a reestruturao de seus processos internos e tambm a reformulao de sua
cultura, visando a Segurana da Informao e a preparao para a certificao ISO 27001.
Atualmente possui a certificao ISO 9001, obtida h dois anos.
Viso
A alta administrao visa aperfeioar a maneira de trabalhar, reduzindo custos e procu-
rando preservar e investir em seu ativo intelectual e parque tecnolgico, trabalhando em
busca da melhoria contnua e da excelncia operacional, para se firmar cada vez mais como
uma marca de sucesso.
A KWX tem como viso ser uma marca de expresso nacional, conquistando o pblico
atravs de produtos inovadores, relaes ticas com parceiros e a comunidade, e a prtica
constante de responsabilidade social, tendo como prioridade a preservao ecolgica.
Apesar de tudo isso, a KWX tambm aposta no fator humano e na satisfao dos seus funcio-
nrios e colaboradores. A satisfao pessoal algo que buscamos oferecer aos nossos funcio-
nrios. Queremos que eles sejam mais que simples trabalhadores, mas que venham para a
KWX com satisfao e orgulho de serem parte desta empresa, afirma o diretor presidente.
Estrutura organizacional
Diretor Presidente
Diretor Administrativo/
Diretor Operacional Diretor Comercial
Financeiro
Coordenao
Gerente de Produo Gerente Financeiro
Atendimento
Gesto de Riscos de TI NBR 27005
ao Cliente
Gerente Compras/
Gerente de Logstica Coordenao de
Materiais
Plaejamento
de Produo
Gerente de Manuteno Gerente de Manuteno
Gerente de Marketing
Gerente de Segurana, Gerente de Tecnologia
Sade e Meio Ambiente de Informao
Gerente de Coordenao
Infraestrutura Segurana de Figura 2.4
Corporativa Informao Organograma
da KWX.
36
Diretoria Operacional
Pesquisa e Desenvolvimento
A KWX est sempre em busca de novas tendncias e tecnologias para ser uma referncia no
mercado nacional de cursos apostilados. A elaborao de novos cursos e produtos, alinhada
s tendncias de mercado e a concorrncia, so de vital importncia para o sucesso da
empresa. neste departamento que novas ideias, materiais e produtos so concebidos,
alm de melhorias no processo de fabricao de produtos existentes. Todas as anlises de
novos cursos e apostilas so feitas neste departamento, que o principal capital intelectual
da empresa, por isso devendo ser protegido de todas as formas.
Produo
O planejamento de produo realizado com base nas informaes recebidas pela rea de
atendimento ao cliente, e tambm no histrico de produo dos ltimos dois anos. Para o bom
funcionamento do planejamento, necessria uma grande interao com as reas de atendi-
mento ao cliente, compras, vendas, controle de materiais (almoxarifado) e principalmente com
as reas de cho de fbrica. A rea de planejamento gera uma programao de produo para
os prximos 5 dias, embora essa programao seja revisada e atualizada diariamente.
Almoxarifado
Logstica
Manuteno
svel pelas normas de meio ambiente, pelo relacionamento com rgos ambientais, pela
aplicao de ferramentas e procedimentos de segurana, realizao de mapa de riscos das
reas da empresa, e ainda pela definio e aprovao dos EPIs utilizados pelos funcionrios.
37
Esta rea tambm responsvel pela definio dos treinamentos e da conscientizao dos
funcionrios sobre a importncia de se trabalhar com segurana. , ainda, de responsabili-
dade desta rea a investigao de acidentes e incidentes ocorridos na empresa, e tambm
por tomar aes corretivas para evitar uma nova ocorrncia. Esta uma rea de vital
importncia para a KWX, uma vez que a conformidade com as leis e a proteo ambiental
so prioridades para a organizao. Fortes investimentos foram feitos nesta rea, ajudando
a tornar a KWX uma referncia no aspecto socioambiental.
Diretoria Administrativo-Financeira
Recursos Humanos
Finanas
Departamento que engloba a parte financeira: tesouraria, rea fiscal, custos, contas a pagar
e a receber, controladoria e ativo fixo. Por se tratar de uma rea de grande sensibilidade
e importncia, a rea financeira suportada por uma srie de sistemas e aplicaes que
garantem o bom funcionamento da empresa e a confiabilidade nos nmeros e planos de
conta apresentados.
Compras e Materiais
Este setor tem a responsabilidade por todo o processo de compras, desde a negociao com
os fornecedores at a compra final dos produtos. Informam preos mdios de mercado a
funcionrios especficos, para que possam fazer uma requisio de compras. Funcionrios
que no sejam da rea de compras no podem ter contato com fornecedores. Os contratos
tambm so negociados pela rea de compras.
Diretoria Comercial
Vendas
rea responsvel por planejar o volume de vendas a realizar no ms, atravs de dados
recebidos do pessoal de planejamento de produo, e tambm encarregada de estimar os
pedidos dos clientes. A rea de vendas responsvel por todo o processo de vendas dos
produtos da empresa, e tambm pelo relacionamento com os clientes, que so as institui-
es de ensino que comercializam a linha KWX. Esta rea tambm fornece o suporte tcnico
aos consumidores finais, alm de informaes para a manuteno do website da empresa.
Marketing
Gesto de Riscos de TI NBR 27005
38
Infraestrutura
Figura 2.5
Planta atual da KWX
fbrica.
39
Figura 2.6
Planta atual da
KWX escritrio
comercial.
11 Definio do escopo.
40
3
Identificao de riscos
objetivos
conceitos
Anlise e identificao de riscos, ameaas e controles.
Introduo
Aps as fases de identificao do contexto e definio do escopo, a prxima fase a de
anlise/avaliao de riscos, composta por duas grandes etapas de trabalho:
11 Anlise de riscos;
11 Avaliao de riscos.
Exerccio de nivelamento 1 e
Identificao dos riscos
No seu entendimento o que identificao dos riscos?
41
Aps a identificao do contexto e a definio do escopo, com o perfeito entendimento de
todo ambiente, iniciado o processo de anlise/avaliao de riscos de segurana da infor-
mao. Veja em destaque na figura a seguir as atividades no processo de gesto de riscos.
DEFINIO DO CONTEXTO
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim
Figura 3.1
ACEITAO DO RISCO Posio da fase de
anlise de riscos no
processo de gesto
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES de riscos.
Identificao de riscos
11 Realizada para que se possa conhecer e determinar os possveis eventos com poten- q
cial de causar perdas, e fazer o levantamento de como isso pode acontecer.
importante que qualquer organizao identifique as suas fontes de risco, suas causas e
consequncias. A finalidade gerar uma lista abrangente de riscos baseada em eventos que
possuam capacidade de criar, aumentar, evitar, reduzir, acelerar ou atrasar a conquista dos
seus objetivos.
42
PROCESSO DE AVALIAO DE RISCOS
IDENTIFICAO DE RISCOS
ANLISE DE RISCOS
Figura 3.2
Identificao de AVALIAO DE RISCOS
riscos na fase de
anlise de riscos.
Identicao de Riscos
Identicao
dos ativos
Identicao
das ameaas
Identicao dos
controles existentes
Identicao das
vulnerabilidades
Identicao das
consequncias
Figura 3.3
Atividades de
identificao de
Avaliao de Riscos
riscos.
Identificando os ativos
11 Ativo qualquer elemento com valor para a organizao que necessite de proteo. q
22 Entrada: resultados da etapa de definio do escopo.
11 Identificao de ativos:
22 Ativos primrios.
43
Identicao de Riscos
Identicao
dos ativos
Identicao
das ameaas
Identicao dos
controles existentes
Identicao das
vulnerabilidades
Identicao das
consequncias
Figura 3.4
Avaliao de Riscos Identificao
dos ativos.
De posse das informaes levantadas durante a fase de definio de contexto, como escopo,
lista de componentes e responsveis, entre outras, inicia-se a identificao dos ativos.
Ativo qualquer elemento de valor para a organizao, isto , qualquer item tangvel
(como hardware) ou intangvel (por exemplo, propriedade intelectual), recurso ou
habilidade que tenha valor ou seja crtico para a existncia da organizao, e que por
consequncia necessite de proteo.
11 Sada: lista dos ativos considerados sensveis para a organizao e tambm uma lista dos
negcios relacionados a estes ativos.
Entrada Ao Sada
Gesto de Riscos de TI NBR 27005
Escopo
Lista de Componentes Identicao
Responsveis dos ativos Lista de Ativos
Localidade
(8.2.2 da ABNT NBR Lista de negcios
Funo
ISO/IEC 27005)
Estrutura Organizacional Figura 3.5
Misso, Objetivos Identificao
dos ativos.
44
A primeira informao sobre cada ativo quem o seu responsvel?. Este profissional tem
responsabilidade sobre a produo, desenvolvimento, manuteno, utilizao e segurana
do ativo; possui a maioria das informaes sobre o ativo e frequentemente ser a pessoa
mais adequada para determinar o valor do ativo.
11 Ativos primrios;
22 Processos ou subprocessos.
22 Atividades de negcio.
e informaes sensveis.
45
Identificando os ativos de suporte e infraestrutura
11 Os ativos de suporte e infraestrutura so compostos por: q
22 Elementos fsicos (hardware) que suportam os processos
22 Aplicaes de negcios
22 Recursos humanos
22 Instalaes fsicas
22 Estrutura organizacional
O anexo B da norma ABNT NBR ISO/IEC 27005 em seu item B.1.2 apresenta em deta-
lhes exemplos de ativos de suporte e infraestrutura.
Para a atividade de identificao dos ativos, a equipe de anlise ter como sada uma lista
dos ativos considerados sensveis para a organizao e tambm uma lista dos negcios
relacionados a estes ativos.
Exerccio de fixao 1 e
Identificando os ativos
Cite dois ativos primrios da sua organizao e justifique.
46
Identificando as ameaas
11 Ameaa qualquer evento que explore vulnerabilidades, com potencial de causar inci- q
dentes indesejados, que podem resultar em dano para um sistema ou organizao.
22 O agente da ameaa uma entidade com potencial para criar uma ameaa, explo-
rando ou evidenciando alguma vulnerabilidade.
22 Nesses casos, a equipe de anlise deve considerar que as ameaas podem afetar
cada ativo de maneira diferente.
Identicao de Riscos
Identicao
dos ativos
Identicao
das ameaas
Identicao dos
controles existentes
Identicao das
vulnerabilidades
Captulo 3 - Identificao de riscos
Como foi visto, ameaa qualquer evento que explore vulnerabilidades, com potencial de
causar um incidente indesejado, que pode resultar em dano para um sistema ou organi-
zao. Na atividade de Identificao das Ameaas sero realizadas aes para levantar e
identificar, dentro do escopo estabelecido, as ameaas existentes na organizao.
47
Desta atividade de identificao das ameaas, a equipe de anlise ter como:
11 Ao: identificao das ameaas e suas fontes. A fonte da ameaa est relacionada ao seu
agente, entidade que pode provocar uma ameaa explorando ou evidenciando alguma
vulnerabilidade. Um dos principais e mais perigosos agentes da ameaa o ser humano.
11 Sada: uma lista de ameaas com a identificao do tipo e da fonte das ameaas.
Entrada Ao Sada
Informaes Identicao
Anlise crtica de incidentes das ameaas Lista de Ameaas
Tipo e fonte Figura 3.7
Informao dos Responsveis (8.2.3 da ABNT NBR das ameaas
Catlogo de ameaas ISO/IEC 27005) Identificao das
ameaas.
comum algumas ameaas afetarem mais de um ativo. Nesses casos a equipe deve ter a
viso de que estas ameaas podem atuar de forma diferente em cada ativo, afetando-os de
maneira diferente.
48
Exerccio de fixao 2 e
Identificando as ameaas
Utilizando a norma, cite trs ameaas existentes na sua organizao e justifique sua resposta.
49
Identicao de Riscos
Identicao
dos ativos
Identicao
das ameaas
Identicao dos
controles existentes
Figura 3.8
Identicao das Fase de
vulnerabilidades identificao
dos controles
existentes no
Identicao das processo de
consequncias identificao de
riscos.
Entrada Ao Sada
tratando efetivamente o risco. Uma forma de realizar esta atividade analisando relatrios
de auditorias no SGSI, os relatrios de anlise crtica pela direo e os indicadores de efi-
ccia dos controles. Caso estas informaes no estejam disponveis, altamente recomen-
dada a realizao de:
50
11 Questionrios e checklists;
Uma observao importante sobre a eficcia e eficincia dos controles existentes e plane-
jados. Um controle pode no atender plenamente e falhar no tratamento do risco. Assim con-
troles complementares podem ser necessrios para o tratamento efetivo do risco. Outro ponto
sobre controles ineficazes ou insuficientes. Nestes casos pode ser necessrio que o controle
seja removido e substitudo por outro. Estes pontos devem constar na anlise dos controles
existentes, realizada pela equipe de anlise. Controles planejados devem ser avaliados se real-
mente sero capazes de sanar os riscos a que se referem quando forem implementados.
Leitura complementar
11 Sesso 8.1, 8.2.1, 8.2.2 e 8.2.3 da norma ABNT NBR ISO/IEC 27005.
51
52
Gesto de Riscos de TI NBR 27005
Roteiro de Atividades 3
Viso geral da atividade
Aps identificar o ambiente, delimitar o escopo e definir os critrios, a equipe de anlise de
risco j est em condies de iniciar a etapa de identificao dos riscos, executando as ativi-
dades necessrias Identificao de riscos: ameaas, ativos e controles existentes.
DEFINIO DO CONTEXTO
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim
Figura 3.10
ACEITAO DO RISCO
Atividades do
processo de gesto
de riscos. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
Captulo 3 - Roteiro de Atividades
A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.
Para esta atividade o aluno deve se valer do Anexo B (Infraestrutura), que permitir o levan-
tamento dos equipamentos, processos, pessoas e tecnologias da empresa KWX.
1. Leitura das sees 8.1, 8.2 e ainda B.1 do Anexo A da ABNT NBR ISO/IEC 27005;
53
3. Explicao e demonstrao da planilha de anlise de riscos pelo instrutor;
2) a guia Ameaas
Neste exerccio a equipe de anlise listar todos os ativos da organizao que estejam
dentro do escopo da anlise de riscos, dividindo-os em dois grupos: Ativos Primrios e
Ativos de Suporte e Infraestrutura. Cada ativo listado dever ser justificado.
Para a realizao do exerccio, devero ser listadas apenas duas ameaas para cada ativo,
mas lembre-se de que em uma atividade prtica real todas as ameaas devero ser listadas.
Como meio auxiliar para isso, ser utilizado o Anexo C (Exemplos de ameaas comuns) da
norma ABNT NBR ISO/IEC 27005.
Neste exerccio devero ser apresentados dois controles para cada ameaa identificada,
CASO EXISTAM. Para cada ativo devem ser identificados pelo menos quatro controles. Na
realidade este nmero pode ser varivel para cada ativo. Estes controles no precisam
Gesto de Riscos de TI NBR 27005
As respostas das guias anteriores so copiadas para esta guia. Para cada tpico devero ser colo-
cadas direita as justificativas correspondentes. S passe para a guia seguinte aps concluir.
54
Anexo B Infraestrutura
Infraestrutura fsica
A segurana fsica mantida por uma equipe formada por profissionais relacionados
Segurana Patrimonial.
11 No h sala cofre;
Infraestrutura tecnolgica
A rea de TI encontra-se atualmente subordinada ao diretor administrativo-financeiro. tambm
a responsvel pela recm-criada rea de Segurana da Informao. Aloca dois profissionais
em funes multitarefa, que se revezam nas tarefas do dia a dia, como por exemplo help desk,
administrao da rede, criao e excluso de contas de usurio, entre outras.
Ativos de tecnologia
A estrutura suportada pela rea de TI da KWX atualmente composta por:
11 25 impressoras;
11 Redes Windows;
11 Redes Linux;
11 6 servidores de arquivos;
11 6 servidores de backup;
11 1 servidor DNS;
11 5 firewalls;
11 1 PABX contendo ramais analgicos e digitais (total de 1200 ramais, sendo 300 com identi-
ficador de chamadas para a fbrica);
11 1 PABX contendo ramais digitais (total de 400 ramais, todos com identificador de cha-
madas para o escritrio);
55
11 Servidor ADM/Intranet (Windows 2000 Server/IIS);
11 3 roteador (Cisco);
11 Site e-commerce da KWX: site institucional e de comrcio eletrnico B2B para relaciona-
mento com clientes e fornecedores;
11 Intranet: local onde esto contidas as notcias internas da KWX, sua viso e misso, bem
como todas as polticas, procedimentos e regras da empresa;
11 Sistemas de produo: aplicaes especficas de cada uma das reas produtivas que
trabalham de maneira integrada entre si, suportando, assim, os processos de produo
e planejamento da KWX;
11 Sistemas de catracas/acessos: controles dos acessos, bases de dados e logs das catracas,
data center e sala cofre;
11 Sistema de CFTV.
56
Buscando maior competitividade, credibilidade e segurana, a KWX contratou uma equipe
de consultores de segurana de informao. Essa ao foi tomada com base em uma pes-
quisa feita por uma consultoria de mercado realizada junto a outras empresas do mesmo
segmento, motivada pelo objetivo de internacionalizao da marca no futuro. Foi definido,
na contratao, um trabalho de levantamento da atual situao da empresa em termos de
segurana da informao, entendimento dos processos, anlise dos riscos, propostas de
melhorias, tudo isso dentro de um escopo definido com a alta gerncia.
57
58
Gesto de Riscos de TI NBR 27005
4
Anlise de riscos: Vulnerabilidades
e consequncias
objetivos
conceitos
Vulnerabilidades e suas consequncias.
Introduo
11 A anlise de risco um processo formal de identificao de ameaas e vulnerabilidades. q
11 A partir da identificao do risco planejado o tratamento necessrio.
Exerccio de nivelamento 1 e
Vulnerabilidades e consequncias
No seu entendimento, o que so vulnerabilidades e consequncias?
59
Processo de anlise de riscos de segurana da informao
Esta etapa de identificao do risco possui cinco atividades, conforme a figura abaixo:
Identicao de Riscos
Identicao
dos ativos
Identicao
das ameaas
Identicao dos
controles existentes
Identicao das
vulnerabilidades
Identicao das
consequncias
Figura 4.1
Identificao das
vulnerabilidades e
Avaliao de Riscos
consequncias.
Cada atividade deve ser executada na sequncia. Estas atividades permitiro, ao final da
etapa, que os riscos tenham sido identificados.
Identificando as vulnerabilidades
11 A atividade de identificao das vulnerabilidades tem por objetivo criar uma lista com q
as vulnerabilidades associadas aos ativos, ameaas e controles.
22 Organizao.
22 Processos e procedimentos.
60
22 Configurao dos sistemas de informao (incluindo os sistemas operacionais q
e aplicativos).
11 Mtodos proativos:
22 Teste de invaso.
Identicao de Riscos
Identicao
dos ativos
Identicao
das ameaas
Identicao dos
controles existentes
Identicao das
vulnerabilidades
11 Ao: atividade de identificao das vulnerabilidades que possam ser exploradas por
ameaas com a possibilidade de comprometer os ativos.
11 Sada: lista de cenrios de incidentes com suas consequncias associadas aos ativos e
processos do negcio.
61
Entrada Ao Sada
Lista de vulnerabilidades
associadas aos ativos, s
Identicao das ameaas e aos controles
Lista de ameaas
Vulnerabilidades
Lista de ativos
(8.2.5 da ABNT NBR Lista de vulnerabilidades
Lista de controles existentes ISO/IEC 27005) que no se referem a
Figura 4.3
nenhuma ameaa
Identificao das
identicada
vulnerabilidades.
Na segunda, de fora para dentro, os sistemas tentaro ser comprometidos de fora. O que
pode ser acessado externamente que possa comprometer os ativos e informaes da orga-
nizao? O que pode ser explorado para conferir privilgios no permitidos? Esta a viso
de um atacante que tenta invadir o sistema: endereos IP publicamente roteveis, sistemas
na DMZ (DeMilitarized Zone zona desmilitarizada), interfaces externas do firewall etc. H
diferenas notveis entre estes dois tipos de avaliao de vulnerabilidades.
Uma boa prtica para esta atividade a equipe de anlise percorrer todas as dependncias
abrangidas pelo escopo e realizar as entrevistas no prprio ambiente de trabalho dos entre-
vistados, facilitando a formulao de questionamentos a partir das observaes no ambiente.
uma forma de observar vulnerabilidades e a partir delas identificar outras. Outra prtica que
pode ser empregada a identificao de vulnerabilidades atravs do uso de mtodos proa-
tivos de testes, apesar do custo mais elevado. Entre os mtodos podem ser citados:
O anexo D da norma
es sero utilizados para a realizao dos testes. A avaliao verifica vulnerabilidades ABNT NBR ISO/IEC
potenciais e os testes de segurana tentam explor-las. 27005 apresenta uma
lista com diversos
11 Teste de invaso: tem como objetivo a verificao da resistncia do ativo em relao aos exemplos de vulnerabi-
lidades, suas ameaas
mtodos de ataque conhecidos.
relacionadas e mtodos
11 Anlise crtica de cdigo: identificao de vulnerabilidades em cdigos-fonte. para avaliao de
vulnerabilidades
Em resumo, os resultados destes tipos de testes de segurana ajudam na identificao das tcnicas.
vulnerabilidades de um sistema.
62
Exerccio de fixao 1 e
Identificando vulnerabilidades
Cite trs vulnerabilidades, sob a viso interna, da sua organizao? Justifique.
Cite trs vulnerabilidades, sob a viso de fora para dentro, da sua organizao? Justifique.
22 Prejuzo financeiro.
11 Um cenrio nada mais do que a descrio de uma ameaa explorando uma ou mais
vulnerabilidades em um incidente de segurana da informao.
22 Oportunidade perdida.
22 Imagem e reputao.
63
Identicao de Riscos
Identicao
dos ativos
Identicao
das ameaas
Identicao dos
controles existentes
Identicao das
vulnerabilidades
11 Prejuzo financeiro;
11 Perda de competitividade,
Entrada Ao Sada
Lista de vulnerabilidades
associadas aos ativos, s
Identicao das Lista de cenrios de
ameaas e aos controles
consequncias incidentes e suas
Gesto de Riscos de TI NBR 27005
consequncias
Lista de vulnerabilidades (8.2.6 da ABNT NBR associadas aos ativos e
que no se referem a ISO/IEC 27005) processos do negcio Figura 4.5
nenhuma ameaa
identicada Identificao das
consequncias.
Esta atividade visa identificar as consequncias ou prejuzos para a organizao que podem
decorrer de um cenrio de incidentes, fruto das vulnerabilidades identificadas. A configurao
de um cenrio de incidentes considerada uma falha de segurana.
64
Um cenrio nada mais do que a descrio de uma ameaa que explora uma ou mais vulnera-
bilidades em um incidente de segurana da informao, podendo afetar um ou mais ativos ou
apenas parte de um ativo, de acordo com os critrios estabelecidos na Definio do Contexto.
11 Oportunidade perdida;
11 Sade e segurana;
11 Imagem e reputao.
Exerccio de fixao 2 e
Identificando as consequncias
Apresente uma consequncia para trs vulnerabilidades respondidas nos exerccios de
fixao 1? Justifique.
Leitura complementar
11 Sesso 8.2.5 e 8.2.6 da ABNT NBR ISO/IEC 27005.
11 SANS The Top Cyber Security Risks Twenty Critical Security Controls for Effective Cyber
Defense: http://www.sans.org/
65
66
Gesto de Riscos de TI NBR 27005
Roteiro de Atividades 4
Viso geral da atividade
Com os ativos, ameaas e controles j levantados e identificados pela equipe de anlise, os
prximos passos so a identificao das vulnerabilidades e as consequncias caso essas
vulnerabilidades sejam exploradas pelos agentes para concretizao das ameaas. Agora
sero realizadas as atividades necessrias para a Anlise de riscos identificao de riscos:
vulnerabilidades e consequncias.
DEFINIO DO CONTEXTO
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim
Figura 4.6
Atividades no
ACEITAO DO RISCO
Captulo 4 - Roteiro de Atividades
processo de gesto
de riscos. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.
Para esta atividade o aluno deve se valer do Anexo C (Problemas relatados e observados)
que permitir o levantamento dos problemas da empresa KWX.
67
A sequncia das atividades ser:
1. Leitura das Sees 8.2.1.5, 8.2.1.6 e do Anexo D da ABNT NBR ISO/IEC 27005;
Para o exerccio prtico, para cada ativo devem ser identificadas at oito vulnerabilidades,
quatro para cada ameaa identificada. Na realidade este nmero varivel para cada ativo
e para cada ameaa.
Nesta atividade a equipe de anlise vai identificar as consequncias para cada vulnerabili-
dade caso ela ocorra. Essas consequncias podem variar para cada tipo de ativo e cada tipo
de ameaa. Para cada consequncia deve ser apresentada a evidncia ( Justificativa).
68
Esta lista apenas para a realizao exerccio. Normalmente estas consequncias so espe-
cficas para cada tipo de organizao. Assim como a quantidade de consequncias para cada
vulnerabilidade tambm um nmero varivel.
Ao concluir o Roteiro de Atividades 4, a equipe de anlise ter uma listagem dos ativos,
ameaas que afetam ou podem vir a afetar cada ativo, os controles existentes ou com pre-
viso de implementao, as vulnerabilidades de cada ativo e as consequncias caso estas
vulnerabilidades sejam exploradas pelos agentes da ameaa.
A conexo entre duas reas da mesma empresa apresenta instabilidade. Os tcnicos j utili-
zaram todas as ferramentas tecnolgicas disponveis, porm no identificaram o motivo da
instabilidade na linha de produo, que no consegue salvar as informaes na base de dados.
69
Vista da parte lateral da sede em Campinas (SP).
70
A equipe responsvel pela rea de TI da organizao tem sido surpreendida com a falta de
link com a internet. Eles esto buscando o que pode estar ocorrendo uma vez que os fios
que entram no prdio por parte da operadora esto cortados e parte desses fios foi roubada
(fonte: http://brazil.indymedia.org/content/2007/02/373244.shtml).
71
J aconteceu do filho do dono da empresa entrar na sala de equipamentos da organizao e
colocar seu pendrive no servidor de banco de dados. Houve uma parada no servio e toda
a linha de produo teve suas atividades interrompidas por duas horas. A equipe tcnica
ainda est pesquisando por que o problema pode ter acontecido e o que pode ser feito para
impedir que se repita.
72
Aps interrupo na sala de conferncia da organizao durante reunio entre a diretoria e
a presidncia, os tcnicos de TI (terceirizados) foram acionados para identificar o que tinha
ocorrido. Os tcnicos levaram 5 horas para responder diretoria. Por este motivo tiveram
o seu contrato finalizado. E a organizao optou pela contratao de outra empresa para o
fornecimento do suporte de TI.
73
A situao dos equipamentos de energia e telefonia tem se mostrado sem cuidado e os
equipamentos so constantemente encontrados abertos. No existe qualquer controle de
acesso aos equipamentos.
Certa vez, ao chegarem para trabalhar, os funcionrios foram surpreendidos pela queda de
Gesto de Riscos de TI NBR 27005
parte do teto por causa das fortes chuvas que ocorreram. A equipe tcnica de redes teve
srios problemas para resolver a conexo dos equipamentos de toda a empresa para que os
mesmos pudessem trabalhar em rede e dar suporte ao restante da organizao.
74
No passado, parte da empresa teve sua estrutura abalada por fortes ventos e chuvas.
A equipe de suporte do provedor de internet da localidade teve sua rede isolada da internet
por todo o perodo em que ocorreram as chuvas na regio.
Tem havido instabilidade na conexo de rede do prdio entre os equipamentos dos dife-
rentes departamentos da empresa e a sala de servidores, ocasionando parada ao longo do
dia nos servios e a insatisfao dos usurios com a rede. O que pode estar gerando esta
instabilidade est sendo avaliado pelos tcnicos responsveis de TI.
Captulo 4 - Roteiro de Atividades
75
Foi verificado pela equipe de TI que existem pessoas utilizando os equipamentos da orga-
nizao para jogos eletrnicos durante o expediente, o que vai contra a poltica organiza-
cional. O administrador de sistemas da organizao utiliza o seu perfil para habilitar jogos
durante o perodo de trabalho e passa parte do dia jo-gando. O responsvel de TI est
buscando uma forma de educar o administrador para que evite esta prtica durante o seu
perodo de trabalho
Gesto de Riscos de TI NBR 27005
76
Viso do cabeamento na parte traseira dos equipamentos do datacenter.
77
comum encontrar funcionrios utilizando suas tabuletas para acessar jogos durante o
expediente via rede sem fio da organizao.
78
Tem sido encontrado um grande nmero de funcionrios utilizando tabuletas e
smartphones para acessar a rede sem fio da empresa.
79
Foi encontrada uma visitante fotografando a tela de um computador com seu celular.
80
Infiltrao na sala de servidores no Rio de Janeiro (fonte: http://estadodeminas.lugarcerto.
com.br/app/noticia/noticias/2008/12/06/interna_noticias,28526/sinais-de-infiltracao.shtml).
81
82
Gesto de Riscos de TI NBR 27005
5
Anlise de Riscos:
Avaliao das consequncias
objetivos
conceitos
Estimativa de riscos, metodologias de estimativa qualitativa e quantitativa, avaliao
das consequncias.
Introduo
Aps a realizao do processo de identificao de riscos, necessrio um processo de atribuir
valores para os ativos, ameaas, vulnerabilidades e consequncias. Isso possibilita colocar os
riscos em ordem de prioridade, para trat-los de acordo com sua urgncia ou criticidade. Estes
valores seguem os mesmos critrios definidos na fase de definio do contexto.
Exerccio de nivelamento 1 e
Avaliao das consequncias
No seu entendimento o que avaliao das consequncias?
11 Desenvolvida de acordo com os dados identificados nas atividades das etapas anteriores.
83
11 Estimativa de valores para cada um dos itens identificados para que seja possvel q
uma ordenao do nvel de criticidade, do risco e o tratamento posterior para a
mitigao dos riscos.
A anlise de riscos pode ser realizada com diferentes graus de detalhes, dependendo do
risco, do objetivo da anlise, e das informaes, dados e recursos disponveis. Os fatores
que afetam a probabilidade e consequncias devem ser identificados. Esta anlise pode ser
qualitativa, quantitativa ou a combinao das duas, dependendo das circunstncias.
A estimativa de riscos realizada de acordo com os critrios de risco definidos pela equipe
de anlise durante o incio dos trabalhos. importante considerar a interdependncia dos
diferentes riscos e suas fontes.
DEFINIO DO CONTEXTO
IDENTIFICAO DE RISCOS
COMUNICAO E CONSULTA DO RISCO
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim
ACEITAO DO RISCO
Gesto de Riscos de TI NBR 27005
Figura 5.1
Etapa de estimativa
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES de riscos.
Metodologias
Duas metodologias podem ser usadas para a anlise dos riscos: q
11 Anlise qualitativa de riscos.
84
Metodologia de anlise qualitativa
11 Estimativa atravs de atributos qualificadores e descritivos que avaliam a intensidade q
das consequncias e a probabilidade de ocorrncia do risco.
Esta estimativa considerada muito subjetiva, sendo ideal para uma verificao inicial dos
riscos, quando no esto disponveis dados numricos em quantidade suficiente.
Para Probabilidade:
Os critrios citados acima so apenas exemplos para uso didtico. O desenvolvi- Captulo 5 - Anlise de Riscos: Avaliao das consequncias
mento destes critrios deve levar em conta o tipo de organizao, suas informaes
e dados existentes. As escalas devem ser construdas e adaptadas para as diferentes
organizaes e riscos a elas associados.
11 Estimativa que utiliza dados histricos, exatos e auditveis, sem os quais torna-se falsa.
85
dos ativos priorizados, assim como dos impactos. Por exemplo, estima-se o valor real de cada
ativo em termos do custo de sua substituio, ou do custo associado perda de produti-
vidade, e outros valores de acordo com o tipo da organizao. Esta mesma maneira para
calcular pode ser empregada para o levantamento estimado do custo dos controles e outros
valores identificados na etapa anterior. A anlise quantitativa deve utilizar dados histricos e
dados exatos e auditveis. Caso no existam tais dados, este tipo de estimativa torna-se falsa.
Para Probabilidade:
11 50 %;
11 0,2;
11 0,75
l
11 Valor da manuteno do ativo;
Estimativa de riscos
11 Realizada aps a etapa de identificao de riscos. q
11 Composta por trs atividades:
86
A etapa de estimativa de riscos realizada logo aps a identificao de riscos, quando j se
possui levantado e identificado, dentro do escopo acordado, os ativos, as ameaas, as vulne-
rabilidades e suas consequncias.
Avaliao das
consequncias
Avaliao da
probabilidade
Determinao do
Nvel de Risco
Figura 5.2
Atividades da
estimativa de
Avaliao de Riscos
riscos.
Anlise de Riscos
Avaliao das
consequncias
Avaliao da
probabilidade
87
A atividade de avaliao das consequncias tem como objetivo avaliar os impactos sobre os
negcios da organizao, levando em conta as consequncias de uma violao da segurana
da informao, como, por exemplo: perda ou degradao da disponibilidade dos ativos,
perda da confidencialidade ou perda da integridade. Para esta avaliao, a equipe de anlise
levar em conta os critrios e fatores definidos e adotar uma das metodologias de estima-
tiva: qualitativa ou quantitativa.
Entrada Ao Sada
Uma das primeiras aes a ordenao dos ativos de acordo com a sua criticidade e impor-
tncia para a realizao dos objetivos de negcio da organizao. possvel realizar isto de
duas formas:
11 Atravs das consequncias ao negcio: o valor determinado pelo impacto das conse-
quncias nos negcios. Normalmente este valor mais significativo que somente o valor
do ativo. Prosseguindo no exemplo do servidor de e-mail queimado do item anterior,
identificamos que a empresa trabalha com vendas de material esportivo artesanal, e que
suas vendas so realizadas via e-mail, inclusive o processo de pagamento. O servidor
levou cinco dias para ser reposto e configurado, e o proprietrio estima que deixou de
vender aproximadamente R$ 20 mil por cada dia parado. Na metodologia qualitativa o
valor ELEVADO e na metodologia quantitativa o valor de R$ 100 mil (5 dias parado x
R$ 20 mil por dia).
A valorao dos ativos e sua classificao pela criticidade so importantes para a determi-
nao do impacto de um cenrio de incidente, pois o incidente pode ainda afetar mais de
Gesto de Riscos de TI NBR 27005
Leitura complementar
11 Sesso 8.3.2 da norma ABNT NBR ISO/IEC 27005.
88
Roteiro de Atividades 5
Viso geral da atividade
Aps a equipe ter as listagens de ativos, ameaas, vulnerabilidades e consequncias, tem
incio o trabalho de estimativa dos riscos. Aqui a equipe avalia a relevncia dos ativos e a
severidade das consequncias, com as atividades necessrias para a Anlise de risco
estimativa de riscos.
DEFINIO DO CONTEXTO
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim
Figura 5.5
ACEITAO DO RISCO
Atividades do
processo de gesto
de riscos. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
Captulo 5 - Roteiro de Atividades
A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.
Para esta atividade o aluno deve se valer das observaes sobre a empresa KWX.
89
3. Execuo das atividades da planilha;
a. Exerccio da guia Aval. Qual. dos Ativos Avaliao da relevncia dos ativos
Neste exerccio a equipe de anlise identificar a relevncia de cada ativo para os negcios da
organizao. Para cada relevncia de cada ativo deve ser apresentada a evidncia (Justificativa).
Para o exerccio, os critrios sero escolhidos de uma lista que apresentar os critrios
anteriormente definidos. A planilha permite a edio apenas das clulas de relevncia
e da justificativa.
A resposta ser dada por um dos nveis do critrio Severidade das Consequncias definido
no Roteiro de Atividades 2 na guia de Critrios.
Para cada consequncia a equipe de anlise definir a severidade das consequncias sobre
aquele ativo. Para cada severidade de cada consequncia deve ser apresentada a evidncia
( Justificativa).
Para o exerccio, os critrios sero escolhidos de uma lista que apresentar os critrios
anteriormente definidos.
90
6
Anlise de riscos:
avaliao da probabilidade
objetivos
conceitos
Probabilidade, avaliao da probabilidade e nvel de risco.
Introduo
Nesta etapa da anlise de risco, que faz parte do processo de anlise de risco, so tratadas
as atividades de identificao das probabilidades de ocorrncia e a determinao do nvel de
risco. Estas duas atividades iro compor a concluso do processo de anlise de risco.
Exerccio de nivelamento 1 e
Avaliao da probabilidade
O que probabilidade em um processo de gesto de riscos?
91
Viso geral do processo de avaliao de risco
Conforme foi visto, o processo de avaliao de risco composto por trs atividades bsicas.
Nesta sesso sero abordadas duas, como mostra a figura abaixo:
Anlise de Riscos
PROCESSO DE AVALIAO DE RISCOS
Avaliao das
IDENTIFICAO DE RISCOS consequncias
Avaliao da
ANLISE DE RISCOS
probabilidade
AVALIAO DE RISCOS
Determinao
do Nvel de Risco Figura 6.1
Estimativa e
avaliao de riscos.
11 Metodologias de anlise:
22 Qualitativa
22 Quantitativa
Anlise de Riscos
Avaliao das
consequncias
Avaliao da
probabilidade
Gesto de Riscos de TI NBR 27005
92
Na atividade de avaliao da probabilidade de incidentes:
Entrada Ao Sada
11 Histrico: consta que h cerca de trs anos ocorreu uma indisponibilidade do servidor
por falha de hardware.
11 Frequncia: tem havido falhas de software e travamento do servidor de e-mail, que logo
depois volta a funcionar. Isto j ocorreu umas cinco vezes nos ltimos dois meses.
11 Facilidade: o servidor de e-mail tem ficado na sala do almoxarifado. Assim fica mais fcil
despachar os pedidos. O pessoal acessa diretamente o servidor de e-mail. No se trata
de um ambiente fechado, pois cerca de nove pessoas trabalham ali.
22 Fatores facilitadores, que permitem que um erro humano acidental (como manuseio
por pessoas tecnicamente despreparadas) acarrete em mau funcionamento
(por exemplo, rede eltrica instvel).
As vulnerabilidades devem ser analisadas tanto individualmente quanto em conjunto, assim como
os controles existentes e a eficincia e eficcia com que esto reduzindo as vulnerabilidades.
93
Assim, ao analisar um determinado ativo de acordo com os fatores mencionados, a equipe
de anlise pode ter o seguinte resultado, baseado em duas metodologias de estimativa:
Exerccio de fixao 1 e
Avaliao da probabilidade
Como voc avaliar a probabilidade na sua organizao? Explique.
Avaliao das
consequncias
Avaliao da
probabilidade
Determinao
do Nvel de Risco Figura 6.4
Determinao do
nvel do risco.
A determinao do nvel de risco uma atividade na qual a equipe de anlise vai mensurar o
nvel de risco com o uso dos resultados obtidos nas etapas anteriores. Nesta atividade sero
dados valores para a probabilidade e consequncias do risco.
94
Entrada Ao Sada
Esta atividade o incio da construo da tabela para analisar os riscos. O item E.2 do
anexo E da norma ABNT NBR ISO/IEC 27005 detalha os mtodos existentes para esta esti-
mativa. A escolha do mtodo ideal fruto do tipo da organizao e de sua estrutura para a
gesto dos riscos.
A equipe de anlise deve escolher o mtodo que melhor atenda s necessidades de negcio
da organizao e que seja facilmente entendido pelos seus integrantes.
Para pensar
Leia atentamente o Anexo E. Aps a leitura, escolha o mtodo que voc considera
que melhor se adaptaria sua organizao. Aps a escolha comece a trabalhar com
este modelo.
Leitura complementar
11 Sesso 8.3.3 da norma ABNT NBR ISO/IEC 27005.
95
96
Gesto de Riscos de TI NBR 27005
Roteiro de Atividades 6
Viso geral da atividade
Neste roteiro, sero realizadas as atividades necessrias para a Anlise de risco
probabilidade e estimativa de riscos.
DEFINIO DO CONTEXTO
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim
Figura 6.6
Atividades no ACEITAO DO RISCO
processo de gesto
de riscos. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
Captulo 6 - Roteiro de Atividades
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.
Para esta atividade o aluno deve se valer das observaes da empresa KWX.
1. Leitura das Sees 8.3.2, 8.3.3 e 8.3.4 da ABNT NBR ISO/IEC 27005;
97
Na guia Sesso 6 da planilha encontram-se trs guias: q
1) a guia Aval. Qualitativa Probabilidade
2) a guia Estimativa
Com uma viso mais ampla das vulnerabilidades e consequncias, a equipe definir a
probabilidade de ocorrncia destes eventos. Os critrios de probabilidades foram definidos
durante o Roteiro de Atividades 2 e sero agora aplicados.
Para cada vulnerabilidade a equipe analisar e definir sua probabilidade. Para cada proba-
bilidade de cada vulnerabilidade dos ativos deve ser apresentada a evidncia (Justificativa).
Para o exerccio, os critrios de probabilidade sero escolhidos de uma lista que apresentar
os critrios anteriormente definidos.
Neste exerccio a equipe de anlise j conhecer todo o ambiente, seus ativos, vulnerabilidades
e probabilidade de ocorrncia, e assim definir os pesos para a definio e clculo do risco.
A insero de pesos em cada critrio visa facilitar o clculo dos riscos e assim permitir que
sejam ordenados por criticidade.
Os critrios foram definidos no Roteiro de Atividades 2. Agora ser feita apenas a insero
dos pesos em cada critrio. Note que nesta atividade no ser feita nenhuma alterao nos
critrios anteriormente definidos. Caso se identifique a necessidade de alterar os critrios
durante o processo de gesto de risco, ser necessrio voltar para a atividade de critrios e
refaz-la, revisando todo o trabalho a partir da.
11 1, 2, 3, 4 e 5;
11 1, 3, 5,7 e 9;
Gesto de Riscos de TI NBR 27005
11 1, 2, 3, 6 e 10;
11 1, 2, 4, 6 e 8.
Estes pesos podem ser alterados para que possam representar a realidade da organizao.
A equipe define estes pesos pela sua experincia com a organizao. Cada valor de peso
deve ter uma justificativa para o seu valor.
Ao lado dos critrios de risco, aparece a pontuao de cada critrio, calculada automatica-
mente a partir dos pesos dados pela equipe, alm da priorizao de tratamento dos riscos
aceita pela equipe.
98
A planilha permite a edio apenas das clulas de peso e de aceitao.
Nesta atividade a equipe de anlise analisar o resultado das estimativas para identificar se
ela est realmente atendendo as necessidades do negcio da organizao. A equipe deve
analisar detalhadamente os resultados.
Para o exerccio, analise cada resultado e apresente sua justificativa informando se atendem
ou no aos requisitos da organizao. Para facilitar o entendimento, volte para a atividade
anterior e altere os pesos, verificando o que acontece com os resultados.
Na sua viso de analista de riscos, qual resultado atende melhor aos requisitos de negcios?
Ao concluir o Roteiro de Atividades 6, a equipe de anlise ter uma viso ampla dos resul-
tados da anlise de risco, podendo identificar o impacto de cada consequncia caso as
vulnerabilidades sejam exploradas pelo agente da ameaa.
99
Gesto de Riscos de TI NBR 27005
100
7
Avaliao de riscos
objetivos
conceitos
Avaliao de risco.
Introduo
Com os resultados obtidos nas fases anteriores, a equipe de anlise j possui dados sufi-
cientes para iniciar a fase de avaliao de riscos, fase responsvel por ordenar os riscos por
prioridade, de acordo com os critrios de avaliao de riscos definidos.
Este captulo deve ser realizado com consulta norma ABNT NBR ISO/IEC 27005.
Exerccio de nivelamento 1 e
Avaliao de riscos
Quais as informaes voc j possui para iniciar a avaliao de riscos? Explique.
na fase anterior com os critrios de avaliao e aceitao de riscos. Estes critrios so definidos
durante a definio do contexto e devero estar alinhados aos objetivos da organizao.
11 Entrada: lista de riscos com os nveis de valores e critrios para avaliao de riscos.
11 Sada: lista de riscos ordenados por prioridade, segundo os critrios de avaliao de riscos.
101
DEFINIO DO CONTEXTO
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim
ACEITAO DO RISCO
Figura 7.1
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES Avaliao de riscos.
22 A organizao dever tomar as decises desta fase com base no nvel de risco aceitvel.
33 Confidencialidade.
33 Integridade.
33 Disponibilidade.
33 Autenticidade.
Gesto de Riscos de TI NBR 27005
33 Atividade a ser concluda em conjunto com a organizao, pois somente ela tem
a viso completa dos objetivos estratgicos de seu negcio.
102
Nesta fase as equipes de anlise juntamente com a organizao devem comparar os riscos
estimados (mtodos no Anexo E da norma) com os critrios de avaliao definidos durante
a fase de contexto. A organizao dever tomar as decises desta fase com base no nvel
de risco aceitvel. Porm, fatores como consequncias, probabilidade e confiana tambm
devero ser considerados para melhor orientar as tomadas de deciso.
Exerccio de fixao 1 e
Avaliao de risco
Explique a importncia das propriedades da segurana da informao para a sua organizao?
Entrada Ao Sada
Avaliao de
Uma lista de riscos com Lista de riscos ordenados
Riscos
nveis de valores e critrios por prioridade segundo
Figura 7.2 para avaliao de riscos (8.4 da ABNT NBR os critrios de avaliao
Fase de avaliao ISO/IEC 27005)
de riscos.
Leitura complementar
Captulo 7 - Avaliao de riscos
103
Gesto de Riscos de TI NBR 27005
104
Roteiro de Atividades 7
Viso geral da atividade
Nesta atividade, sero realizadas as atividades necessrias para a Anlise de riscos
avaliao de riscos numa avaliao qualitativa.
DEFINIO DO CONTEXTO
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim
Figura 7.3
ACEITAO DO RISCO
Atividades no
processo de gesto
de riscos. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
Captulo 7 - Roteiro de Atividades
A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.
Para esta atividade o aluno deve se valer das observaes da empresa KWX.
105
Na guia Sesso 7 da Planilha encontram-se duas guias: q
1) a guia Calcular o Risco
Para facilitar a compreenso, volte para as atividades dos Roteiros 5 e 6 e altere suas res-
postas, observando o que acontece com os resultados neste Roteiro 7.
Aps a equipe de anlise ter calculado o risco e com o conhecimento de todo o ambiente
e de seus problemas, ela dever fazer uma avaliao dos riscos e de seus resultados,
definindo a prioridade de mitigao destes riscos.
Para fins de exerccio, a prioridade ser escolhida da lista definida na guia Estimativa
da Sesso 6. Para cada prioridade definida a equipe de anlise deve apresentar a
evidncia ( Justificativa).
A planilha permite a edio apenas das clulas de Avaliao de risco (prioridade) e da justificativa.
Ao concluir o Roteiro de Atividades 7, a equipe de anlise estar com uma listagem dos
ativos e riscos para cada vulnerabilidade. Esta listagem permite a definio dos maiores
riscos, colocando-os em ordem de prioridade e definindo os controles que devem ser
empregados para trat-los.
106
8
Tratamento e aceitao de riscos
objetivos
conceitos
Tratamento e aceitao de riscos, risco residual e risco aceitvel.
Introduo
O trabalho realizado pela equipe de anlise at este momento foi basicamente de coleta de
informaes, avaliao dos riscos e ordenao dos riscos por prioridade. Mas como tratar
estes riscos? Como selecionar os controles necessrios? Estas dvidas sero sanadas na fase
de tratamento do risco de segurana da informao.
Este captulo deve ser realizado com consulta norma NBR ISO/IEC 27005.
Exerccio de nivelamento 1 e
Tratamento e aceitao dos riscos
Como so executados o tratamento e a aceitao de riscos na sua organizao? Explique.
107
Caso esta avaliao seja considerada insatisfatria ou incompleta, a equipe retorna aos traba-
lhos a partir da definio do contexto, buscando solucionar as dvidas que porventura tenham
surgido, ou seja, refaz os trabalhos desde o incio, buscando um aprofundamento maior. Se a
avaliao for considerada satisfatria, a equipe prossegue em seus trabalhos e realiza a fase
seguinte, de tratamento do risco. A figura abaixo apresenta o posicionamento desta fase:
DEFINIO DO CONTEXTO
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim
ACEITAO DO RISCO
Figura 8.1
Tratamento
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES do risco.
11 Entrada: lista de riscos ordenados por prioridade, associados aos cenrios de incidentes.
11 Ao: identificao dos controles para reduzir, reter, evitar ou transferir os riscos e a
definio do plano de tratamento.
11 Sada: plano de tratamento dos riscos e dos riscos residuais. Este plano estar sujeito
aprovao dos gestores da organizao.
Gesto de Riscos de TI NBR 27005
Entrada Ao Sada
108
A figura a seguir apresenta as atividades do processo de tratamento do risco.
RESULTADOS
DA AVALIAO
DE RISCOS
AVALIAO
SATISFATRIA
Ponto de Deciso 1
Tratamento do risco
AO DE
MODIFICAO RETENO COMPARTILHAMENTO
EVITAR
DO RISCO DO RISCO DO RISCO
O RISCO
RISCOS RESIDUAIS
Figura 8.3
TRATAMENTO
Atividades
SATISFATRIO
do tratamento
do risco. Ponto de Deciso 2
Tratamento do risco
11 O tratamento de risco utilizado para responder aos riscos identificados. q
11 As escolhas e decises tomadas devem levar em conta:
22 A eficincia do tratamento.
22 Modificao do risco.
22 Reteno do risco.
22 Ao de evitar o risco .
22 Compartilhamento do risco.
109
11 Para a deciso de remoo de controles, imprescindvel que a equipe tenha noo q
da interdependncia dos ativos e seus controles, para que esta deciso no provoque
a reduo da segurana como um todo.
O tratamento de risco utilizado para responder aos riscos identificados. Existem diferentes
opes para tratar e responder ao risco. As escolhas e decises tomadas pela equipe de
anlise, em conjunto com a direo da organizao, devem levar em conta:
11 A eficincia do tratamento;
Aps esta anlise sobre os controles necessrios para o tratamento dos riscos, a equipe
deve selecionar a melhor opo para reduzir o risco a um nvel aceitvel ou ao mnimo
possvel. A fase de tratamento do risco possui quatro opes que no so mutuamente
exclusivas, ou seja, que podem ser combinadas entre si:
11 Modificao do risco;
11 Reteno do risco;
11 Ao de evitar o risco;
11 Compartilhamento do risco.
Estas opes so definidas pela equipe de anlise levando em conta tudo o que foi identi-
ficado no processo de anlise. Na definio dos controles necessrios, a equipe vai desen-
volvendo uma viso geral de todos os controles, tanto os identificados como necessrios
quanto os identificados como implementados. Desta maneira permite o levantamento dos
controles redundantes e desnecessrios, passveis de remoo.
Para a deciso de remoo de controles, imprescindvel que a equipe tenha uma noo
precisa da interdependncia dos ativos e dos seus controles, para que a deciso no pro-
voque a reduo da segurana como um todo. Durante esta fase, todas as restries levan-
tadas na definio do contexto devero ser levadas em considerao durante o processo de
tratamento do risco.
Gesto de Riscos de TI NBR 27005
Entretanto, pelo custo e pela demora de implementao dos controles para os riscos mais cr-
ticos, pode ser mais interessante comear pelos controles de custo mais baixo e mais rpidos
de serem implementados. Esta pode ser uma boa opo caso se queira apresentar resultados
rpidos para apoiar uma poltica de conscientizao e treinamento em segurana da infor-
mao. Lembre-se, entretanto, de que isto no significa esquecer os demais controles.
110
Uma forma de identificar os controles seguir a norma NBR ISO/IEC 27002.
A aprovao do plano de tratamento cabe aos gestores da organizao. Por isso extrema-
mente importante que o plano aborde os ndices de reduo do risco. A implementao de cada
controle permitir aos gestores uma deciso pautada em indicadores e metas bem definidas.
Riscos residuais
11 Riscos residuais so aqueles que restam aps a implantao de controles para evitar, q
transferir ou mitigar riscos.
11 Aps a implementao de um controle, pode ser que o risco no tenha sido total-
mente mitigado.
11 Caso o risco esteja acima do nvel de aceitao de riscos estabelecido pela organi-
zao, pode ser necessria nova iterao.
Uma vez que a equipe definiu o plano de tratamento, ela precisa determinar os riscos
residuais que restam aps a implementao de controles para evitar, transferir ou mitigar
riscos. Isto , aps a implementao de um determinado controle, possvel que ele no
seja suficiente para mitigar totalmente um risco. A diferena, isto , a possibilidade restante
de ocorrncia do risco, aps a implementao do controle para mitig-lo, caracteriza o risco
residual. Em outras palavras, so os riscos que restam aps a tomada de medidas para
evit-los, transferi-los ou mitig-los.
Modificao do risco
q
Captulo 8 - Tratamento e aceitao de riscos
11 Tipos de proteo:
22 Correo.
22 Eliminao.
22 Preveno.
22 Minimizao do impacto.
22 Dissuaso.
22 Deteco.
111
22 Recuperao. q
22 Monitoramento.
22 Conscientizao.
11 Deve-se evitar a escolha de controles de custos mais elevados que os custos do ativo
ou dos servios gerados com a sua implementao.
112
l A equipe dever ainda estar atenta falsa sensao de segurana. A implementao de
O anexo F da norma alguns controles pode dar a falsa sensao de segurana, pois, devido sua complexidade
ABNT NBR ISO/IEC ou falta de conhecimento do usurio, este pode achar alternativas para burlar os controles,
27005 apresenta em
detalhes as restries ludibriando os esforos dos administradores em proteger a segurana da informao. Nas
que afetam a reduo aes de reduo do risco tambm devem ser consideradas as restries existentes na orga-
do risco.
nizao, que afetaro a escolha e a implementao dos controles.
Reteno do risco
11 A reteno do risco significa correr o risco. q
11 A reteno do risco inclui ainda os riscos no identificados.
11 Deve ser feita de acordo com os critrios para aceitao de riscos estabelecidos
pela organizao.
11 Deve ser elaborado um registro dos riscos aceitos, com a justificativa da razo de
terem sido aceitos, e a relao dos responsveis pela aprovao da reteno do risco.
A reteno do risco a aceitao do risco de uma perda, ou seja, correr o risco, incluindo
ainda os riscos que no tenham sido identificados. Deve ser feita de acordo com os critrios
de aceitao de riscos definidos pela organizao, neste caso no sendo necessria a imple-
mentao de controles. uma deciso consciente da alta direo e deve bem embasada e
registrada. importante que seja criado um registro dos riscos aceitos, com a justificativa de
seu aceite e a relao dos responsveis pela sua aprovao.
Ao de evitar o risco
11 Eliminao da atividade ou processo gerador do risco atravs de mudanas na forma q
de sua ocorrncia.
11 Aps as mudanas necessrias dever ser feita uma nova iterao de anlise de riscos.
de produzir o risco. Outra forma de evitar o risco atravs da remoo da fonte de risco.
Algumas mudanas podero ser necessrias, aps as quais deve ser realizada nova iterao
de anlise de riscos.
Compartilhamento do risco
O compartilhamento do risco envolve a transferncia ou compartilhamento dos riscos com
uma entidade externa. Uma forma de compartilhamento do risco o uso de seguros que
cubram as consequncias da ocorrncia de um incidente de segurana da informao.
113
Exerccio de fixao 1 e
Tratamento de risco
Qual a forma de tratamento que voc utilizaria para tratar o risco roubo/extravio de
documentos classificados? Justifique.
Qual a forma de tratamento que voc utilizaria para tratar o risco falta constantes de
energia eltrica? Justifique.
Aps a definio do plano de tratamento e este ser julgado satisfatrio, tem incio a fase
de aceitao do risco. Esta fase trata do aceite formal do plano de tratamento pela direo
da organizao.
Gesto de Riscos de TI NBR 27005
114
A figura abaixo apresenta a fase de aceitao do risco.
DEFINIO DO CONTEXTO
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim
ACEITAO DO RISCO
Figura 8.4
Aceitao do risco. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
11 Sada: lista de riscos aceitos e uma justificativa para aqueles que no satisfizeram
os critrios definidos.
Aceitando o risco
Captulo 8 - Tratamento e aceitao de riscos
11 Deciso que cabe aos gestores da organizao, pois seus critrios so complexos
e envolvem as estratgias de negcio da organizao.
115
Nesta fase, a direo da organizao analisar criteriosamente o plano de tratamento de
riscos elaborado pela equipe, definindo em documento formal os riscos que sero aceitos.
A deciso cabe aos gestores da organizao, pois os critrios da deciso so complexos e
envolvem as estratgias de negcio da organizao. Este documento formal far parte da
chamada Declarao de Aplicabilidade, na qual a organizao apresenta os controles que
no so aplicveis e justifica porque eles no sero contemplados em Sistema de Gesto da
Segurana da Informao (SGSI), de acordo com a norma ABNT NBR ISO/IEC 27001.
Entrada Ao Sada
Leitura complementar
11 Sesso 9 da norma ABNT NBR ISO/IEC 27005.
116
Roteiro de Atividades 8
Viso geral da atividade
Nesta atividade, sero realizadas as atividades necessrias para a Anlise de Risco
tratamento e aceitao de riscos.
DEFINIO DO CONTEXTO
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim
Figura 8.6
ACEITAO DO RISCO
Atividades no
processo de gesto
de riscos. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
Captulo 8 - Roteiro de Atividades
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.
Para esta atividade o aluno deve se valer das observaes sobre a empresa KWX.
117
Na guia Sesso 8 da Planilha encontram-se quatro guias: q
1) a guia Tratamento
Neste exerccio a equipe de anlise definir a forma de tratamento que determinado risco
dever receber. Para isto a equipe de risco escolher uma dentre as formas de tratamento:
11 Modificao do risco;
11 Reteno do risco;
11 Ao de evitar o risco;
11 Compartilhamento do risco.
Para cada forma de tratamento dos riscos deve ser apresentada a evidncia (Justificativa).
Neste exerccio a equipe definir os controles que devem ser implementados para mitigar os
riscos encontrados. Com sua experincia e conhecimento do ambiente, a equipe selecionar
os melhores controles que realmente sero eficazes e eficientes no tratamento dos riscos.
Estes controles fazem parte do Plano de Tratamento dos Riscos, que um dos resultados de
uma anlise de riscos.
A pergunta chave aqui : Quais controles precisam ser aplicados sobre as vulnerabilidades
para mitigar os riscos provocados por elas?
Para o exerccio, devero ser identificados dois controles que permitam a mitigao dos riscos
no menor prazo possvel. Para fins de aprendizagem, recomenda-se iniciar com os controles
da NBR ISO/IEC 27002. Ao final da planilha, a guia Vulnerabilidades e Controles pode ser
usada para auxiliar na definio de alguns controles para certos tipos de vulnerabilidades.
A equipe de anlise neste exerccio dever analisar cada vulnerabilidade e seus riscos e
decidir os melhores controles, apresentando suas justificativas.
Neste exerccio a equipe de anlise identificar e definir os riscos residuais aps a aplicao
dos controles. Esta uma atividade vital, pois permitir que se verifique se os riscos real-
mente diminuram e chegaram at o nvel aceitvel pela organizao.
Alm de verificar os riscos residuais, a equipe dever, caso o risco ainda permanea acima
do nvel aceitvel, propor novos controles ou ainda controles compensatrios, de tal forma
que o nvel de risco seja reduzido o mximo possvel e o mais prximo do aceitvel.
Caso isso no seja possvel, um novo ciclo de anlise de risco dever ser executado.
118
A resposta ser dada por um dos nveis do critrio Severidade das Consequncias definido
na Sesso 2 na guia Critrios.
4. Nova severidade caso existam riscos residuais, a equipe dever analis-los e definir a
nova severidade, escolhendo da lista semelhante da Sesso 5. Ao escolher o item da lista,
automaticamente aparece o peso desta severidade na coluna ao lado;
5. Nova probabilidade depois de preenchida a coluna da nova severidade, dever ser preen-
chida a nova probabilidade, escolhendo da lista semelhante ao feito na Sesso 6. Ao escolher
da lista, automaticamente aparece o peso desta probabilidade na coluna ao lado.
Ao preencher estas colunas surgir o novo valor do risco residual. Caso ainda esteja acima
do nvel aceitvel aparecer uma mensagem de erro ao lado.
Esta aceitao um documento formal que informa que o risco ser aceito, uma justifica-
tiva para isso e o responsvel pela tomada da deciso. Normalmente, quem tem o poder
para tomar esta deciso faz parte da alta direo. Esta aceitao somente ser feita para os
riscos que ainda estejam acima do nvel aceitvel.
1. Deciso qual a deciso de aceitao do risco? A escolha deve ser feita a partir de uma
lista de opes;
119
Observe a figura no incio de cada Roteiro de Atividades e verifique a execuo de todas as
etapas do processo de gesto de riscos.
120
9
Comunicao e monitoramento
dos riscos
objetivos
conceitos
Comunicao.
Introduo
11 Existem duas fases que se desenvolvem simultaneamente com as demais fases: q
22 Comunicao do risco.
Durante todo o trabalho da equipe de anlise de riscos, existem duas fases que se desen-
volvem simultaneamente s demais fases: a comunicao do risco e o monitoramento e
anlise crtica de riscos.
Exerccio de nivelamento 1 e
Comunicao e consulta dos riscos
Existe algum processo de comunicao na sua organizao? Explique.
121
Processo de comunicao e consulta do risco de segurana
da informao
Comunicao do risco uma troca interativa de informaes, conhecimentos e percep- q
es sobre como os riscos devem ser gerenciados.
11 uma atividade crtica para o sucesso dos trabalhos, realizada entre a equipe envol-
vida e as partes interessadas nas decises do processo de anlise de riscos.
11 Fase que se desenvolve durante todo o processo de anlise de riscos, desde a pri-
meira atividade da equipe de anlise de riscos.
A comunicao e consulta do risco uma fase que se desenvolve durante todo o processo
de anlise de riscos, desde a primeira atividade da equipe de anlise de riscos. Trata-se de
uma troca interativa, documentada formalmente, contnua e intencional, de informa-
es, conhecimentos e percepes sobre como os riscos devem ser gerenciados.
A comunicao realizada entre a equipe envolvida e as partes interessadas nas decises
do processo de anlise de riscos, sendo uma atividade crtica para o sucesso dos trabalhos.
DEFINIO DO CONTEXTO
IDENTIFICAO DE RISCOS
COMUNICAO E CONSULTA DO RISCO
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
No
Gesto de Riscos de TI NBR 27005
PONTO DE DECISO 2
Tratamento satisfatrio
Figura 9.1
Sim Fase de
comunicao e
ACEITAO DO RISCO consulta do risco
no contexto do
processo de gesto
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES de riscos.
122
Na fase de comunicao e consulta do risco a equipe de anlise e a organizao tero como:
importante que a comunicao seja executada durante todo o processo de gesto de riscos
para manter as partes interessadas, internas e externas, de forma bidirecional, para que deci-
ses bem informadas possam ser tomadas sobre o nvel de risco e a necessidade de tratamento.
22 A estimativa de probabilidade
11 A equipe pode contar com um profissional da organizao como ponto focal, cabendo
a ele o acompanhamento dos trabalhos e as aes iniciais de comunicao.
11 Comunicar tambm dar um retorno (status) sobre a gesto dos riscos para a equipe,
para a direo da organizao e demais partes interessadas.
11 A estimativa de probabilidade;
123
Uma das formas de realizar esta comunicao integrando equipe um profissional da
organizao como ponto focal, cabendo a ele o acompanhamento dos trabalhos e as aes
iniciais de comunicao. Outra forma a equipe realizar regularmente (semanal, quinzenal,
dependendo do escopo da anlise) uma reunio de acompanhamento com os gestores da
organizao e apresentar os resultados at aquele momento.
Exerccio de fixao 1 e
Comunicao e consulta dos riscos
Durante o processo de anlise de risco, ao identificar uma vulnerabilidade grave e de alto
risco, qual ser a sua atitude com esta informao? Justifique.
Comunicar tambm dar um retorno (status) sobre a gesto dos riscos para a equipe, para
a direo da organizao e todas as partes interessadas. A criao de relatrios uma forma
de comunicao que permite que as informaes reunidas sejam divulgadas e usadas na
tomada de decises.
A seo 11 da norma ABNT NBR ISO/IEC 27005 apresenta outros detalhes da comunicao
do risco.
Entrada Ao Sada
Comunicao
TODAS as informaes do risco Entendimento contnuo
sobre os riscos obtidas (11 da ABNT NBR do precesso de gesto
nas atividades ISO/IEC 27005) de riscos Figura 9.2
Comunicao
do risco.
Leitura complementar
11 Sesso 11 da norma ABNT NBR ISO/IEC 27005.
124
Roteiro de Atividades 9
Viso geral da atividade
Nesta atividade, sero realizadas as atividades necessrias para a Anlise de risco
comunicao dos riscos.
DEFINIO DO CONTEXTO
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim
Figura 9.3
Atividades no ACEITAO DO RISCO
processo de gesto
de riscos. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
Captulo 9 - Roteiro de Atividades
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.
Para esta atividade o aluno deve se valer das observaes da empresa KWX.
125
Na guia Sesso 9 da planilha encontra-se um boto: q
1) Comunicao dos Riscos abre a guia Comunicao dos Riscos
Para fins de exerccio, a equipe de anlise de risco responder a uma sequncia de perguntas
que visam mostrar um encadeamento das comunicaes durante toda a gesto de riscos na
organizao, para assim permitir um perfeito entendimento desta importante atividade.
A comunicao permitir orientar e conscientizar sobre a importncia da gesto de riscos.
126
10
Monitoramento dos riscos
objetivos
conceitos
Monitoramento de riscos e anlise crtica.
Introduo
Paralelamente s etapas da anlise de risco ocorre tambm uma etapa importantssima
para a verificao e controle dos resultados do trabalho: a etapa do Monitoramento.
A execuo desta etapa durante toda a realizao do projeto permitir que a organizao e
a equipe acompanhem a eficincia dos resultados e a eficcia dos controles.
Exerccio de nivelamento 1 e
Monitoramento de riscos
Como realizado o monitoramento na sua organizao? Explique.
segurana da informao
11 Monitoramento a observao contnua e o registro regular das atividades q
e aes da gesto de riscos.
127
11 A anlise crtica uma avaliao geral e criteriosa sobre os resultados e aes da q
gesto de riscos com relao a requisitos pr-estabelecidos.
DEFINIO DO CONTEXTO
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim Figura 10.1
Fase de
ACEITAO DO RISCO monitoramento e
anlise crtica de
riscos no processo
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES da gesto de riscos.
O monitoramento pode ser definido como a observao contnua e o registro regular das
atividades e aes da gesto de riscos. um processo rotineiro de coleta de informaes da
gesto de riscos em todos os seus aspectos. Monitorar verificar e acompanhar o progresso
Gesto de Riscos de TI NBR 27005
das atividades da gesto de riscos, ou seja, uma observao sistemtica, regular e com pro-
psito de verificar o desenvolvimento da gesto de riscos.
A anlise crtica uma avaliao geral e criteriosa sobre os resultados e aes da gesto de
riscos com relao a requisitos pr-estabelecidos, com o objetivo de fazer o levantamento e
a identificao de problemas e pontos de melhoria, para com isso solucionar os problemas e
aprimorar continuamente o processo de gesto de riscos.
128
Esta fase ocorre simultaneamente s demais fase da gesto de riscos. Durante todo o
processo de gesto de riscos, a equipe de anlise estar tambm realizando atividades de
monitoramento e anlise crtica, a fim de fazer as correes necessrias o quanto antes.
11 A equipe deve estar atenta e preparada para lidar com o dinamismo dos riscos e ameaas.
11 A anlise crtica deve ser feita pela alta direo da organizao no nvel estratgico, para
verificar se a gesto de riscos est atendendo aos objetivos de negcio da organizao.
129
11 Sada: o alinhamento contnuo da gesto de riscos com os objetivos de negcios e com os
critrios de aceitao do risco.
O acompanhamento do dinamismo dos riscos e ameaas deve ser feito atravs do monito-
ramento dos ativos, vulnerabilidades, probabilidades, entre outros, para que seja possvel
a rpida identificao de qualquer mudana. Neste tipo de atividade, a contratao de
servios de terceiros para o monitoramento pode representar para a organizao um ganho
de eficincia no atendimento s novas ameaas que surgirem.
Entrada Ao Sada
Monitoramento e
anlise crtica dos Alinhamento contnuo da
TODAS as informaes
fatores de risco gesto de riscos com os Figura 10.2
sobre os riscos obtidas
objetivos de negcio e Atividade de
nas atividades (12.1 da ABNT NBR
com os critrios de risco monitoramento e
ISO/IEC 27005)
anlise crtica.
Exerccio de fixao 1 e
Monitoramento e anlise crtica dos riscos
O que monitoramento e anlise crtica dos riscos? Explique sua finalidade.
130
11 O monitoramento e anlise da organizao permitiro: q
22 A verificao da disponibilidade dos recursos necessrios gesto e tratamento
do risco.
Esta atividade tem por objetivo garantir que o processo de gesto de riscos esteja realmente
atendendo aos requisitos estratgicos do negcio da organizao.
Esta atividade permite que a organizao analise seu processo de gesto de riscos e a possi-
bilidade de execuo das melhorias necessrias ao processo. Nesta atividade, o trabalho
da equipe de anlise ter realizado a atividade anterior e ter passado os resultados para
a organizao, para que sejam utilizados como subsdios para o monitoramento, anlise
crtica e melhoria do processo de gesto de riscos, para toda a organizao.
Entrada Ao Sada
Leitura complementar
11 Sesso 12.1 da norma ABNT NBR ISO/IEC 27005.
11 Sesso 12.2 da norma ABNT NBR ISO/IEC 27005. Captulo 10 - Monitoramento dos riscos
131
Gesto de Riscos de TI NBR 27005
132
Roteiro de Atividades 10
Viso geral da atividade
Nesta atividade, sero realizadas as atividades necessrias para a Anlise de risco
monitoramento dos riscos.
DEFINIO DO CONTEXTO
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2 No
Tratamento satisfatrio
Sim
Figura 10.4
ACEITAO DO RISCO
Atividades do
processo de gesto
de riscos. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
Captulo 10 - Roteiro de Atividades
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.
Para esta atividade o aluno deve se valer das observaes da empresa KWX.
133
Na guia Sesso 10 da Planilha encontram-se duas guias: q
1) a guia Monitoramento dos Riscos
2) a guia Monitoramento_Melhoria_Processo
a. Exerccio da guia Monitoramento dos Riscos Monitoramento e anlise crtica dos riscos
de segurana da informao.
Esta atividade visa fazer o monitoramento e a anlise crtica dos riscos encontrados.
A equipe est encontrando os riscos? Est deixando de observar alguma coisa?
Para o exerccio, a equipe de anlise de risco responder a uma sequncia de perguntas que
visam mostrar um processo lgico de monitoramento e anlise crtica de riscos durante toda
a gesto de riscos, para permitir um perfeito entendimento desta importante atividade da
organizao. O monitoramento e a anlise crtica de riscos permitiro orientar e aperfeioar
a execuo dos trabalhos da equipe de anlise da gesto de riscos.
Esta atividade visa fazer o monitoramento do processo de gesto dos riscos e a anlise
crtica para a melhoria contnua da gesto dos riscos. O processo de gesto dos riscos est
funcionando? O que necessrio melhorar no processo de gesto dos riscos?
Para o exerccio, a equipe de anlise de risco responder a uma sequncia de perguntas que
visam mostrar um processo lgico do monitoramento, anlise crtica e melhoria do processo
da gesto dos riscos na organizao, visando o aperfeioamento contnuo do processo e das
atividades que o compem.
Ao concluir o Roteiro de Atividades 10, a equipe de anlise ter concludo todo um ciclo da
Gesto de Riscos de TI NBR 27005
134
importante que todo o trabalho seja feito baseado nas normas de segurana da infor-
mao que formam a base da gesto da segurana da informao.
Concluso
Viso geral da gesto de riscos
Neste curso foram vistos todos os aspectos da gesto dos riscos, de acordo com a NBR ISO/
IEC 27005. A figura a seguir apresenta graficamente a localizao destas atividades no pro-
cesso de gesto de riscos.
DEFINIO DO CONTEXTO
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2 No
Tratamento satisfatrio
Captulo 10 - Roteiro de Atividades
Sim
Figura 10.5
ACEITAO DO RISCO
Atividades no
processo de gesto
de riscos. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
135
A gesto de riscos um processo que sempre ir trazer benefcios para a organizao.
A melhoria das condies de segurana da informao passa obrigatoriamente pelo conheci-
mento das fraquezas e vulnerabilidades que podem ser exploradas para que as ameaas se
concretizem. E, indiscutivelmente, a melhor forma de fazer isso atravs da gesto de riscos.
Gesto de Riscos de TI NBR 27005
136
Bibliografia
11 AS/NZS 4360 Gesto de riscos Princpios e diretrizes.
11 CERIAS The Center for Education and Research in Information Assurance and
Security: http://www.cerias.purdue.edu/ (acesso em julho de 2013).
137
Gesto de Riscos de TI NBR 27005
138
Edson Kowask Bezerra profissional
da rea de segurana da informao e
governana h mais de quinze anos,
atuando como auditor lder, pesquisa-
dor, gerente de projeto e gerente tc-
nico, em inmeros projetos de gesto
de riscos, gesto de segurana da
informao, continuidade de negcios, PCI, auditoria e recu-
perao de desastres em empresas de grande porte do
setor de telecomunicaes, financeiro, energia, indstria e
governo. Com vasta experincia nos temas de segurana e
governana, tem atuado tambm como palestrante nos
principais eventos do Brasil e ainda como instrutor de trei-
namentos focados em segurana e governana. professor
e coordenador de cursos de ps-graduao na rea de
segurana da informao, gesto integrada, inovao e tec-
nologias web. Hoje atua como Coordenador Acadmico de
Segurana e Governana de TI da Escola Superior de Redes.
Possui a certificao CRISC da ISACA, alm de diversas
outras em segurana e governana.
Edson Kowask Bezerra profissional A RNP Rede Nacional de Ensino
da rea de segurana da informao e
governana h mais de quinze anos,
e Pesquisa qualificada como
atuando como auditor lder, pesquisa- uma Organizao Social (OS),
dor, gerente de projeto e gerente tc-
nico, em inmeros projetos de gesto sendo ligada ao Ministrio da
de riscos, gesto de segurana da Cincia, Tecnologia e Inovao
informao, continuidade de negcios, PCI, auditoria e recu-
perao de desastres em empresas de grande porte do (MCTI) e responsvel pelo
setor de telecomunicaes, financeiro, energia, indstria e Programa Interministerial RNP,
governo. Com vasta experincia nos temas de segurana e
governana, tem atuado tambm como palestrante nos que conta com a participao dos
principais eventos do Brasil e ainda como instrutor de trei- ministrios da Educao (MEC), da
namentos focados em segurana e governana. professor
Gesto de
e coordenador de cursos de ps-graduao na rea de Sade (MS) e da Cultura (MinC).
O livro de apoio ao curso apresenta os conceitos de
Riscos de TI
Possui a certificao CRISC da ISACA, alm de diversas Define conceitos e trabalha a contextualizao do am-
rede Ip, a rede ptica nacional
outras em segurana e governana.
biente, identificao e levantamento dos riscos atravs
acadmica de alto desempenho.
do conhecimento das ameaas, ativos, vulnerabilidades,
Com Pontos de Presena nas
probabilidade de ocorrncia e impactos. So realizados
27 unidades da federao, a rede
a estimativa e o clculo de risco e definido o tratamento
mais adequado. Todo o trabalho baseado em um es-
NBR 27005 tem mais de 800 instituies
conectadas. So aproximadamente
tudo de caso, visando consolidar o conhecimento terico.
3,5 milhes de usurios usufruindo
Este livro inclui os roteiros das atividades prticas e o con-
de uma infraestrutura de redes
tedo dos slides apresentados em sala de aula, apoiando
avanadas para comunicao,
profissionais na disseminao deste conhecimento em
computao e experimentao,
suas organizaes ou localidades de origem.
Edson Kowask Bezerra que contribui para a integrao
entre o sistema de Cincia e
Tecnologia, Educao Superior,
Sade e Cultura.
Ministrio da
Cultura
Ministrio da
Sade
Ministrio da
Educao
ISBN 9 7 8 - 8 5 - 6 3 6 3 0 - 3 2 - 2
Ministrio da
Cincia, Tecnologia
e Inovao
9 788563 630322