Gestão de Riscos de TI - NBR 27005

Gesto de
NBR 27005
Riscos de TI
Edson Kowask Bezerra
A RNP Rede Nacional de Ensino e Pesquisa qualificada como uma Organizao Social (OS), sendo ligada ao Ministrio da Cincia, Tecnologia e Inovao (MCTI) e responsvel pelo Programa Interministerial RNP, que conta com a participao dos ministrios da Educao (MEC), da Sade (MS) e da Cultura (MinC). Pioneira no acesso Internet no Brasil, a RNP planeja e mantm a rede Ip, a rede ptica nacional acadmica de alto desempenho. Com Pontos de Presena nas 27 unidades da federao, a rede tem mais de 800 instituies conectadas. So aproximadamente 3,5 milhes de usurios usufruindo de uma infraestrutura de redes avanadas para comunicao, computao e experimentao, que contribui para a integrao entre o sistema de Cincia e Tecnologia, Educao Superior, Sade e Cultura.
Ministrio da Cultura Ministrio da Sade Ministrio da Educao Ministrio da Cincia, Tecnologia e Inovao
Gesto de
Riscos de TI
NBR 27005
Gesto de
Riscos de TI
NBR 27005
Rio de Janeiro Escola Superior de Redes 2013
Copyright 2013 Rede Nacional de Ensino e Pesquisa RNP Rua Lauro Mller, 116 sala 1103 22290-906 Rio de Janeiro, RJ
Diretor Geral Nelson Simes Diretor de Servios e Solues Jos Luiz Ribeiro Filho
Escola Superior de Redes

Coordenao Luiz Coelho Edio Pedro Sangirardi Coordenao Acadmica de Segurana e Governana de TI Edson Kowask Bezerra Equipe ESR (em ordem alfabtica) Celia Maciel, Cristiane Oliveira, Derlina Miranda, Elimria Barbosa, Evellyn Feitosa, Felipe Nascimento, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, Renato Duarte e Yve Abel Marcial. Capa, projeto visual e diagramao Tecnodesign Verso 2.0.1 Este material didtico foi elaborado com fins educacionais. Solicitamos que qualquer erro encontrado ou dvida com relao ao material ou seu uso seja enviado para a equipe de elaborao de contedo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e Pesquisa e os autores no assumem qualquer responsabilidade por eventuais danos ou perdas, a pessoas ou bens, originados do uso deste material. As marcas registradas mencionadas neste material pertencem aos respectivos titulares. Distribuio
Rua Lauro Mller, 116 sala 1103 22290-906 Rio de Janeiro, RJ http://esr.rnp.br info@esr.rnp.br
Dados Internacionais de Catalogao na Publicao (CIP) Bezerra, Edson Kowask B574g Gesto de riscos de TI: NBR 27005 / Edson Kowask Bezerra. Rio de Janeiro: RNP/ESR, 2013. 138 p. : il. ; 28 cm. Bibliografia: p.137. ISBN 978-85-63630-32-2 1. Tecnologia da informao - Tcnicas de segurana. 2. Redes de computadores Medidas de segurana. 3. Gesto de riscos de segurana da informao. I. Ttulo. CDD 005.8
Sumrio
A metodologia da ESRix Sobre o curso x A quem se destinax Convenes utilizadas neste livrox Permisses de usoxi Sobre o autorxii
1. Introduo Gesto de Riscos

Introduo1 Exerccio de nivelamento 1 Introduo gesto de riscos2 Conceitos fundamentais2 Exerccio de fixao 1 Conceitos fundamentais5 Princpios da Gesto de Riscos5 Normas de gesto de segurana e de riscos7 Norma ABNT NBR ISO/IEC 27005:20089 Viso geral da gesto de riscos10 Exerccio de fixao 2 Viso geral12 Exerccio de fixao 3 PDCA15 Fatores crticos para o sucesso15 reas de conhecimento necessrias16
iii
Roteiro de Atividades 119 Atividade 1.1 Conhecendo os conceitos19 Atividade 1.2 Conhecendo a norma19 Atividade 1.3 Identificando o processo20 Atividade 1.4 Fatores crticos20
2. Contexto da gesto de riscos

Introduo21 Exerccio de nivelamento 1 Contexto21 Processo de gesto de riscos de segurana da informao21 Contexto 22 Estabelecimento do contexto23 Contexto da norma ABNT NBR ISO/IEC 2700523 Definindo o contexto24 Itens para identificao24 Exerccio de fixao 1 Definindo o contexto25 Definindo escopo e limites26 Exerccio de fixao 2 Definindo o escopo e limites27 Critrios para avaliao de riscos28 Critrios de impacto28 Critrios para aceitao do risco 29 Exerccio de fixao 3 Definindo os critrios31 Organizao para a gesto de riscos32 Roteiro de Atividades 233 Anexo A Descrio da empresa36
3. Identificao de riscos
Introduo41 Exerccio de nivelamento 1 Identificao dos riscos41 Processo de anlise de riscos de segurana da informao41 Identificao de riscos42 Identificando os ativos43 Identificando os ativos primrios45
iv
Identificando os ativos de suporte e infraestrutura46 Exerccio de fixao 1 Identificando os ativos46 Identificando as ameaas47 Exerccio de fixao 2 Identificando as ameaas49 Identificando os controles existentes49 Roteiro de Atividades 353 Anexo B Infraestrutura55
4. Anlise de riscos: Vulnerabilidades e consequncias

Introduo 59 Exerccio de nivelamento 1 Vulnerabilidades e consequncias59 Processo de anlise de riscos de segurana da informao60 Identificando as vulnerabilidades60 Exerccio de fixao 1 Identificando vulnerabilidades63 Identificao das consequncias63 Exerccio de fixao 2 Identificando as consequncias65 Roteiro de Atividades 467 Anexo C Problemas relatados69
5. Anlise de Riscos: Avaliao das consequncias

Introduo83 Exerccio de nivelamento 1 Avaliao das consequncias83 Viso geral do processo de estimativa de risco83 Metodologias84 Metodologia de anlise qualitativa85 Metodologia de anlise quantitativa85 Exerccio de fixao 1 Metodologias86 Estimativa de riscos86 Avaliao das consequncias87 Roteiro de Atividades 589
6. Anlise de riscos: avaliao da probabilidade

Introduo91 Exerccio de nivelamento 1 Avaliao da probabilidade91 Viso geral do processo de avaliao de risco92 Avaliao da probabilidade de ocorrncia de incidentes92 Exerccio de fixao 1 Avaliao da probabilidade94 Determinao do nvel de risco94 Roteiro de Atividades 697
7. Avaliao de riscos
Introduo101 Exerccio de nivelamento 1 Avaliao de riscos101 Processo de avaliao de riscos de segurana da informao101 Avaliao de riscos de segurana da informao102 Exerccio de fixao 1 Avaliao de risco103 Roteiro de Atividades 7105
8. Tratamento e aceitao de riscos

Introduo107 Exerccio de nivelamento 1 Tratamento e aceitao dos riscos107 Viso geral do processo de tratamento do risco107 Tratamento do risco109 Riscos residuais111 Modificao do risco111 Reteno do risco113 Ao de evitar o risco113 Compartilhamento do risco113 Exerccio de fixao 1 Tratamento de risco114 Viso geral do processo de aceitao do risco114 Aceitando o risco115 Roteiro de Atividades 8117
vi
9. Comunicao e monitoramento dos riscos

Introduo121 Exerccio de nivelamento 1 Comunicao e consulta dos riscos121 Processo de comunicao e consulta do risco de segurana da informao122 Comunicao e consulta do risco de segurana da informao123 Exerccio de fixao 1 Comunicao e consulta dos riscos124 Roteiro de Atividades 9125
10. Monitoramento dos riscos

Introduo127 Exerccio de nivelamento 1 Monitoramento de riscos127 Processo de monitoramento e anlise crtica de riscos de segurana da informao127 Monitoramento e anlise crtica dos fatores de risco129 Exerccio de fixao 1 Monitoramento e anlise crtica dos riscos130 Monitoramento, anlise crtica e melhoria do processo de gesto de riscos130 Roteiro de Atividades 10133 Concluso135
Bibliografia 137
vii
viii

A Escola Superior de Redes (ESR) a unidade da Rede Nacional de Ensino e Pesquisa (RNP) responsvel pela disseminao do conhecimento em Tecnologias da Informao e Comunicao (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competncias em TIC para o corpo tcnico-administrativo das universidades federais, escolas tcnicas e unidades federais de pesquisa. Sua misso fundamental realizar a capacitao tcnica do corpo funcional das organizaes usurias da RNP, para o exerccio de competncias aplicveis ao uso eficaz e eficiente das TIC. A ESR oferece dezenas de cursos distribudos nas reas temticas: Administrao e Projeto de Redes, Administrao de Sistemas, Segurana, Mdias de Suporte Colaborao Digital e Governana de TI. A ESR tambm participa de diversos projetos de interesse pblico, como a elaborao e execuo de planos de capacitao para formao de multiplicadores para projetos educacionais como: formao no uso da conferncia web para a Universidade Aberta do Brasil (UAB), formao do suporte tcnico de laboratrios do Proinfo e criao de um conjunto de cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).
A metodologia da ESR
A filosofia pedaggica e a metodologia que orientam os cursos da ESR so baseadas na aprendizagem como construo do conhecimento por meio da resoluo de problemas tpicos da realidade do profissional em formao. Os resultados obtidos nos cursos de natureza terico-prtica so otimizados, pois o instrutor, auxiliado pelo material didtico, atua no apenas como expositor de conceitos e informaes, mas principalmente como orientador do aluno na execuo de atividades contextualizadas nas situaes do cotidiano profissional. A aprendizagem entendida como a resposta do aluno ao desafio de situaes-problema semelhantes s encontradas na prtica profissional, que so superadas por meio de anlise, sntese, julgamento, pensamento crtico e construo de hipteses para a resoluo do pro blema, em abordagem orientada ao desenvolvimento de competncias. Dessa forma, o instrutor tem participao ativa e dialgica como orientador do aluno para as atividades em laboratrio. At mesmo a apresentao da teoria no incio da sesso de aprendizagem no considerada uma simples exposio de conceitos e informaes. O instrutor busca incentivar a participao dos alunos continuamente.
ix
As sesses de aprendizagem onde se do a apresentao dos contedos e a realizao das atividades prticas tm formato presencial e essencialmente prtico, utilizando tcnicas de estudo dirigido individual, trabalho em equipe e prticas orientadas para o contexto de atuao do futuro especialista que se pretende formar. As sesses de aprendizagem desenvolvem-se em trs etapas, com predominncia de tempo para as atividades prticas, conforme descrio a seguir: Primeira etapa: apresentao da teoria e esclarecimento de dvidas (de 60 a 90 minutos). O instrutor apresenta, de maneira sinttica, os conceitos tericos correspondentes ao tema da sesso de aprendizagem, com auxlio de slides em formato PowerPoint. O instrutor levanta questes sobre o contedo dos slides em vez de apenas apresent-los, convidando a turma reflexo e participao. Isso evita que as apresentaes sejam montonas e que o aluno se coloque em posio de passividade, o que reduziria a aprendizagem. Segunda etapa: atividades prticas de aprendizagem (de 120 a 150 minutos). Esta etapa a essncia dos cursos da ESR. A maioria das atividades dos cursos assncrona e realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dvidas e oferecer explicaes complementares. Terceira etapa: discusso das atividades realizadas (30 minutos). O instrutor comenta cada atividade, apresentando uma das solues possveis para resolv-la, devendo ater-se quelas que geram maior dificuldade e polmica. Os alunos so convidados a comentar as solues encontradas e o instrutor retoma tpicos que tenham gerado dvidas, estimulando a participao dos alunos. O instrutor sempre estimula os alunos a encontrarem solues alternativas s sugeridas por ele e pelos colegas e, caso existam, a coment-las.
Sobre o curso
O curso apresenta os conceitos de gesto de riscos a partir da norma NBR ISO 27005. Define conceitos e trabalha a contextualizao do ambiente, identificao e levantamento dos riscos atravs do conhecimento das ameaas, ativos, vulnerabilidades, probabilidade de ocorrncia e impactos. So realizados a estimativa e o clculo de risco e definido o tratamento mais adequado. Todo o trabalho baseado em um estudo de caso, visando consolidar o conhecimento terico. Ao final do curso o participante estar apto a realizar uma anlise de risco qualitativa no ambiente da sua organizao.
A quem se destina
Curso direcionado a gestores, tcnicos e profissionais de informtica ou reas afins, que esto em busca do desenvolvimento de competncias na realizao de gesto e anlise de riscos no ambiente de tecnologias da informao e comunicao (TIC). Profissionais de outras reas podem participar desde que possuam conhecimentos de TIC, segurana da informao e normas ISO 27001 e 27002.
Convenes utilizadas neste livro

As seguintes convenes tipogrficas so usadas neste livro: Itlico Indica nomes de arquivos e referncias bibliogrficas relacionadas ao longo do texto.
Largura constante
Indica comandos e suas opes, variveis e atributos, contedo de arquivos e resultado da sada de comandos. Comandos que sero digitados pelo usurio so grifados em negrito e possuem o prefixo do ambiente em uso (no Linux normalmente # ou $, enquanto no Windows C:\).
Contedo de slide
Indica o contedo dos slides referentes ao curso apresentados em sala de aula.
Smbolo
Indica referncia complementar disponvel em site ou pgina na internet.
Smbolo
Indica um documento como referncia complementar.
Smbolo
Indica um vdeo como referncia complementar.
Smbolo
Indica um arquivo de adio como referncia complementar.
Smbolo
Indica um aviso ou precauo a ser considerada.
Smbolo
Indica questionamentos que estimulam a reflexo ou apresenta contedo de apoio ao entendimento do tema em questo.
Smbolo
Indica notas e informaes complementares como dicas, sugestes de leitura adicional ou mesmo uma observao.
Permisses de uso
Todos os direitos reservados RNP. Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. Exemplo de citao: BEZERRA, E. K. Gesto de Riscos de TI NBR 27005. Rio de Janeiro: Escola Superior de Redes, RNP, 2013.
Comentrios e perguntas
Para enviar comentrios e perguntas sobre esta publicao: Escola Superior de Redes RNP Endereo: Av. Lauro Mller 116 sala 1103 Botafogo Rio de Janeiro RJ 22290-906 E-mail: info@esr.rnp.br
xi
Sobre o autor
Edson Kowask Bezerra profissional da rea de segurana da informao e governana h mais de quinze anos, atuando como auditor lder, pesquisador, gerente de projeto e gerente tcnico, em inmeros projetos de gesto de riscos, gesto de segurana da informao, continuidade de negcios, PCI, auditoria e recuperao de desastres em empresas de grande porte do setor de telecomunicaes, financeiro, energia, indstria e governo. Com vasta experincia nos temas de segurana e governana, tem atuado tambm como palestrante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em segurana e governana. professor e coordenador de cursos de ps-graduao na rea de segurana da informao, gesto integrada, inovao e tecnologias web. Hoje atua como Coordenador Acadmico de Segurana e Governana de TI da Escola Superior de Redes. Possui a certificao CRISC da ISACA, alm de diversas outras em segurana e governana.
xii
1
Introduo Gesto de Riscos
objetivos
Conceituar e compreender ameaas, vulnerabilidades, probabilidade e riscos; conhecer e utilizar a norma de gesto de riscos; identificar as atividades do processo de gesto de riscos e os fatores crticos para o sucesso; identificar e definir as reas necessrias para a gesto de riscos.
conceitos
Ameaas, vulnerabilidades, probabilidade, riscos, segurana da informao e gesto de riscos.
Introduo
11 A ao e interao dos objetivos com as incertezas originam o risco, que se apresenta no dia a dia de toda e qualquer atividade. 11 Muitas vezes, o risco no se apresenta visvel, sendo necessrias aes para identific-lo. 11 Outras vezes, o risco fruto de aes repentinas que fogem ao controle humano, como em eventos de causas naturais.
Nas fases do ciclo de vida de qualquer atividade humana planejada, convivemos com duas certezas bsicas: daquilo que deve acontecer (os objetivos) e o que pode acontecer (as incertezas). A ao e interao dos objetivos com as incertezas do origem ao risco, que se apresenta no dia a dia de toda e qualquer atividade desenvolvida. Muitas vezes, o risco no se apresenta visvel, sendo necessrias aes para identific-lo; em outras situaes o risco proveniente de aes repentinas que fogem ao controle do ser humano, como no caso de eventos de
Captulo 1 - Introduo Gesto de Riscos
causas naturais. Diariamente vemos manchetes em publicaes das mais diversas reas que destacam, com nfase, os problemas relacionados aos riscos tecnolgicos de segurana da informao: roubos de mdias de backup e de notebooks, vazamento de nmeros de cartes de crdito, manuseio imprprio de registros eletrnicos, roubo de identidade e quebra de propriedade intelectual. Este captulo abordar os conceitos fundamentais para a Gesto de Riscos e apresentar a norma ABNT NBR ISO/IEC 27005:2008 - Tecnologia da Informao Tcnicas de segurana Gesto de riscos de segurana da informao.
Exerccio de nivelamento 1 e Introduo gesto de riscos

Como voc avalia na sua organizao o processo de gesto de riscos?
Existem riscos para os trabalhos e atividades da sua organizao?
Conceitos fundamentais
11 Norma ISO Guide 73:2009 Gesto de riscos Vocabulrio 22 Recomendaes para uso em normas. 22 Apresenta as principais terminologias para uso nas atividades de gesto de riscos. 11 Esta terminologia deve ser combinada com os termos apresentados nas normas: 22 ABNT NBR ISO/IEC 27001. 22 ABNT ISO/IEC 27002. 11 Termos apresentados nas normas: 22 Segurana da Informao. 22 Ameaa. 22 Vulnerabilidade. 22 Risco. 22 Riscos de segurana da informao. 22 Identificao de riscos. 22 Impacto. 22 Estimativa de riscos. 22 Modificao do risco. 22 Comunicao do risco. 22 Ao de evitar o risco. 22 Reteno do risco. 22 Compartilhamento do risco.
Gesto de Riscos de TI NBR 27005
importante ter sempre em mente os seguintes conceitos: Segurana da Informao a proteo da informao de vrios tipos de ameaas, visando garantir a continuidade do negcio, minimizar os riscos que possam compromet-lo, maximizar o retorno sobre os investimentos e as oportunidades de negcio. A segurana da informao obtida como resultado da implementao de um conjunto de controles, compreendendo polticas, processos, procedimentos, estruturas organizacionais e funes de hardware e software. A segurana da informao obtida com a implementao de controles que devero ser monitorados, analisados e continuamente melhorados, com o intuito de atender aos
objetivos do negcio, mitigando os riscos e garantindo os preceitos de segurana da organi zao: Confidencialidade, Integridade, Disponibilidade e Autenticidade (CIDA). 11 Ameaa todo e qualquer evento que possa explorar vulnerabilidades. 11 Causa potencial de um incidente indesejado, que pode resultar em dano para os sistemas, pessoas ou a prpria organizao. 11 As ameaas podem ser classificadas em: 22 Ameaas intencionais. 22 Ameaas da ao da natureza. 22 Ameaas no intencionais. So exemplos de ameaas: 11 Erros humanos; 11 Falhas de hardware; 11 Falhas de software; 11 Aes da natureza; 11 Terrorismo; 11 Vandalismo, entre outras. Vulnerabilidade qualquer fraqueza que possa ser explorada para comprometer a segurana de sistemas ou informaes. Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas.
Para pensar
Ameaa versus Vulnerabilidade Entende-se que a ameaa o evento ou incidente, enquanto a vulnerabilidade a fragilidade que ser explorada para que a ameaa se torne concreta. Ameaas podem assumir diversas formas, como furto de equipamentos, mdia e documentos, escuta no autorizada, incndio, inundao e radiao eletromagntica, at fenmenos climticos e ssmicos. Por exemplo, um computador cuja senha seja do conhecimento de todos, sofre ameaas como roubo, destruio ou alterao de informaes; a vulnerabilidade que permite que estas ameaas se concretizem justamente a senha ser conhecida e compartilhada por todos.
Vulnerabilidade Falta de treinamento de funcionrios Interrupo no servidor por queima da fonte Sistema aplicativo aceita qualquer valor nos seus campos
Tabela 1.1 Exemplos de vulnerabilidades e ameaas.
Ameaa Erros humanos Falha de hardware Falha de software Aes da natureza Terrorismo Vandalismo
Inundao da sala em virtude das fortes chuvas Exploso provocada intencionalmente no terminal de nibus Mquina ATM virada e pichada
Os conceitos a seguir dizem respeito s atividades aps a identificao dos riscos e relacio nadas ao seu tratamento. 11 Risco: combinao da probabilidade (chance da ameaa se concretizar) de um evento indesejado ocorrer e de suas consequncias para a organizao. a incerteza resultante da combinao da probabilidade de ocorrncia de um evento e suas consequncias. A pergunta Qual o risco? levanta dvidas a respeito da ocorrncia de algo incerto ou inesperado. Em segurana da informao, esta incerteza reside nos aspectos tecnolgicos envolvidos, nos processos executados e, principalmente, nas pessoas que em algum momento interagem com a tecnologia e se envolvem com os processos. 11 Riscos de segurana da informao: possibilidade de uma determinada ameaa explorar vulnerabilidades de um ativo ou de um conjunto de ativos, assim prejudicando a organizao. 11 Identificao de riscos: processo para localizar, listar e caracterizar elementos de risco. Por menor que seja a probabilidade de ocorrncia de um risco, pode ser que determinada incerteza ocorra e explore uma vulnerabilidade, concretizando uma ameaa. Para se preparar para isso necessrio conhecer os riscos de todo o ambiente, atravs da realizao de um processo formalizado de identificao de riscos. 11 Impacto: mudana adversa no nvel obtido dos objetivos de negcios. Consequncia ava liada dos resultados com a ocorrncia de um evento em particular, em que determinada vulnerabilidade foi explorada, uma ameaa ocorreu e o risco se concretizou. Qual foi o impacto deste evento nos negcios? Quanto se perdeu? A organizao ser responsabili zada? Haver multas? Aes legais sero impetradas? Haver danos de imagem? Imagine as seguintes situaes hipotticas: 1. Em uma faculdade, um usurio com acesso s informaes dos alunos deixou sua senha escrita num papel aps renov-la. O que pode ocorrer? Qual o impacto? 2. Em plena preparao para o vestibular de uma determinada instituio, as provas vazaram. Qual o impacto se este vazamento ocorreu seis meses antes da realizao do vestibular? E se ocorreu nas 48 horas que antecedem a realizao do vestibular? Exemplos de impactos: perdas financeiras, paralisao de servios essenciais, perda de confiana dos clientes, pane no fornecimento de energia e falhas de telecomunicaes, entre tantos outros. 11 Estimativa de riscos: processo utilizado para atribuir valores probabilidade e consequncias de um risco. A estimativa de riscos permite quantificar ou descrever de forma qualitativa um risco, permitindo s organizaes priorizar os riscos de acordo com os critrios estabelecidos. 11 Aes de modificao do risco: aes tomadas para reduzir a probabilidade, as consequncias negativas, ou ambas, associadas a um risco.
11 Comunicao do risco: troca ou compartilhamento de informaes sobre o risco entre o tomador de deciso e outras partes interessadas. 11 Ao de evitar o risco: deciso de no se envolver ou agir de forma a mitigar uma situao de risco. 11 Reteno do risco: aceitao do nus da perda ou do benefcio do ganho associado a um determinado risco. 11 Compartilhamento do risco: compartilhamento com outra entidade do nus da perda ou do benefcio do ganho associado a um risco.
Exerccio de fixao 1 e Conceitos fundamentais

Durante uma apresentao sobre os conceitos de gesto de riscos para a alta direo da sua organizao, voc foi questionado sobre duas possveis ameaas existentes e seus riscos. Como voc responderia?
Em funo da sua resposta para a alta direo, lhe pediram para explicar os possveis impactos relacionados a estes riscos. Como voc responderia?
Princpios da Gesto de Riscos

Princpios da gesto de riscos: 11 A gesto de riscos cria e protege valor. 11 A gesto de riscos parte integrante de todos os processos organizacionais. 11 A gesto de riscos parte da tomada de decises. 11 A gesto de riscos aborda explicitamente a incerteza. 11 A gesto de riscos sistemtica, estruturada e oportuna. 11 A gesto de riscos baseia-se nas melhores informaes disponveis. 11 A gesto de riscos feita sob medida. 11 A gesto de riscos considera fatores humanos e culturais. 11 A gesto de riscos transparente e inclusiva. 11 A gesto de riscos dinmica, iterativa e capaz de reagir a mudanas. 11 A gesto de riscos facilita a melhoria contnua da organizao.
Para a gesto de riscos ser eficaz, convm que uma organizao, em todos os nveis, atenda aos princpios descritos a seguir. a. A gesto de riscos cria e protege valor. A gesto de riscos contribui para a realizao demonstrvel dos objetivos e para a melhoria do desempenho, referente segurana e sade das pessoas, conformidade legal e regulatria, aceitao pblica, proteo do meio ambiente, qualidade do produto, ao geren ciamento de projetos, eficincia nas operaes, governana e reputao.
b. A gesto de riscos parte integrante de todos os processos organizacionais. A gesto de riscos no uma atividade autnoma separada das principais atividades e processos da organizao. A gesto de riscos faz parte das responsabilidades da administrao e parte integrante de todos os processos organizacionais, incluindo o planejamento estratgico e todos os processos de gesto de projetos e gesto de mudanas. c. A gesto de riscos parte da tomada de decises. A gesto de riscos auxilia os tomadores de deciso a fazer escolhas conscientes, priorizar aes e distinguir entre formas alternativas de ao. d. A gesto de riscos aborda explicitamente a incerteza. A gesto de riscos explicitamente leva em considerao a incerteza, a natureza dessa incerteza, e como ela pode ser tratada. e. A gesto de riscos sistemtica, estruturada e oportuna. Uma abordagem sistemtica, oportuna e estruturada para a gesto de riscos contribui para a eficincia e para os resultados consistentes, comparveis e confiveis. f. A gesto de riscos baseia-se nas melhores informaes disponveis. As entradas para o processo de gerenciar riscos so baseadas em fontes de informao, tais como dados histricos, experincias, retroalimentao das partes interessadas, observaes, previses e opinies de especialistas. Entretanto, convm que os tomadores de deciso se informem e levem em considerao quaisquer limitaes dos dados ou modelagem utilizados, ou a possibilidade de divergncias entre especialistas. g. A gesto de riscos feita sob medida. A gesto de riscos est alinhada com o contexto interno e externo da organizao e com o perfil do risco. h. A gesto de riscos considera fatores humanos e culturais. A gesto de riscos reconhece as capacidades, percepes e intenes do pessoal interno e externo, que podem facilitar ou dificultar a realizao dos objetivos da organizao. i. A gesto de riscos transparente e inclusiva. O envolvimento apropriado e oportuno de partes interessadas e, em particular, dos tomadores de deciso em todos os nveis da organizao assegura que a gesto de riscos permanea pertinente e atualizada. O envolvimento tambm permite que as partes interessadas sejam devidamente representadas e tenham suas opinies levadas em considerao na determinao dos critrios de risco.
j. A gesto de riscos dinmica, iterativa e capaz de reagir a mudanas. A gesto de riscos continuamente percebe e reage s mudanas. medida que acontecem eventos externos e internos, o contexto e o conhecimento modificam-se, o monitoramento e a anlise crtica de riscos so realizados, novos riscos surgem, alguns se modificam e outros desaparecem.
k. A gesto de riscos facilita a melhoria contnua da organizao. Convm que as organizaes desenvolvam e implementem estratgias para melhorar a sua maturidade na gesto de riscos, juntamente com todos os demais aspectos da sua organizao.
Estes princpios da gesto dos riscos devem ser os norteadores desta nobre atividade no dia a dia das organizaes.
Normas de gesto de segurana e de riscos

11 Norma ABNT NBR ISO/IEC 27001:2006 11 Norma ABNT NBR ISO/IEC 27002:2005 A rea de segurana da informao possui um conjunto de normas para serem utilizadas
nas mais diversas organizaes, a fim de permitir uma padronizao dos requisitos e proce dimentos para a implementao de um SGSI.
ABNT Fundada em 1940, a Associao Brasileira de Normas Tcnicas o rgo responsvel pela normalizao tcnica no pas, fornecendo a base necessria ao desenvolvimento tecnolgico brasileiro. uma entidade privada, sem fins lucrativos.
Norma ABNT NBR ISO/IEC 27001:2006 22 Tecnologia da Informao Tcnicas de segurana Sistemas de gesto de segurana da informao Requisitos 22 Apresenta e descreve os requisitos que devem ser implementados no estabelecimento de um Sistema de Gesto de Segurana da Informao (SGSI). 11 Norma ABNT NBR ISO/IEC 27002:2005 22 Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto de segurana da informao 22 Apresenta as melhores prticas para uma gesto adequada da segurana da informao. Podendo ser aplicadas a qualquer ambiente de uma organizao (particularmente ao ambiente
Saiba mais
de TI), estas normas destacam a necessidade das organizaes de possurem uma gesto de riscos estruturada, com a padronizao de processos e requisitos de gesto de riscos. Em 1995, a comisso de padronizao da Austrlia e Nova Zelndia lanou a primeira norma tratando do tema: AS/NZS 4360 Gesto de Risco. Genrica, a norma estabelece um processo de gesto de riscos amplamente aceito, tendo sido atualizada em 1999 (AS/NZS 4360:1999). Em 1996, a International Organization for Standardization (ISO) criou um grupo de trabalho baseado na AS/NZS 4360 para criar um projeto de gesto de risco, que passou por diversos problemas e s foi concludo em 2009. ABNT NBR ISO 31000:2009 Gesto de Riscos Princpios e diretrizes: 11 Norma que fornece os princpios e diretrizes genricas para qualquer indstria ou setor. 11 Criada para ser aplicada a qualquer ambiente ou organizao. ABNT ISO GUIDE 73:2009 Gesto de Riscos Vocabulrio: 11 Norma que apresenta as definies de termos genricos relativos gesto de riscos. 11 Referncia de conceitos ligados gesto de risco.
As normas descritas acima so apresentadas no curso Gesto de Segurana da Informao NBR 27001 e 27002, oferecido pela Escola Superior de Redes.
ISO/IEC 31010:2009 Gesto de riscos Tcnicas de avaliao de riscos: 11 Norma que deve ser trabalhada em apoio norma ABNT NBR ISO 31000:2009 Gesto de Riscos Princpios e diretrizes. 11 Descreve as diversas tcnicas e ferramentas de anlise de risco, e no foi ainda traduzida pela ABNT. Em 2009 lanada pela ISO e imediatamente pela Associao Brasileira de Normas Tc-
nicas (ABNT) a norma ABNT NBR ISO 31000:2009 Gesto de Riscos Princpios e diretrizes. Esta norma fornece os princpios e diretrizes genricas para qualquer indstria ou setor. No mesmo ano foi lanada a norma ABNT ISO GUIDE 73:2009 Gesto de Riscos Vocabu lrio. Ela apresenta as definies de termos genricos relativos gesto de riscos. Quando se pretende fazer referncia a um conceito de gesto de riscos, deve ser utilizada a defi nio da norma ABNT ISO GUIDE 73:2009 Gesto de Riscos Vocabulrio. Segundo a ABNT: Este guia fornece as definies de termos genricos relativos gesto de riscos. Destina-se a incentivar uma compreenso mtua e consistente, uma abordagem coerente na descrio das atividades relativas gesto de riscos e a utilizao de terminologia uniforme de gesto de riscos em processos e estruturas para gerenciar riscos. Em 2012, foi lanada em portugus a norma ABNT NBR ISO/IEC 31010:2012 Gesto de riscos Tcnicas para o processo de avaliao de riscos deve ser trabalhada em apoio norma ABNT NBR ISO 31000:2009 Gesto de Riscos Princpios e diretrizes. A norma descreve as diversas tcnicas e ferramentas de anlise de risco, fornecendo orientaes sobre a seleo e aplicao de tcnicas sistemticas para o processo de avaliao de riscos. Este grupo de normas da srie 31000 visa atender a qualquer tipo de ambiente de uma organizao. Proporcionam, portanto, uma concepo ampla e genrica da gesto de riscos, sendo aplicadas para avaliar e tratar qualquer tipo de risco corporativo. Durante o desenvolvimento destas normas, foi publicada em 2008, pelo grupo de trabalho especfico de tecnologia da informao, a norma ABNT NBR ISO/IEC 27005: 2008 Tecnologia da Informao Tcnicas de Segurana Gesto de riscos de segurana da informao. Esta norma foi desenvolvida com base nos estudos da ISO 31000:2009, e portanto atende aos seus requisitos e ao seu processo de gesto de risco. A ISO/IEC 27005 faz parte do conjunto de normas da srie de 27000, sobre o Sistema de Gesto de Segurana da Informao (SGSI), onde so includas ainda as normas ISO/IEC 27001 e ISO/IEC 27002. Esta norma apresenta as melhores prticas e possibilita o aprofundamento em aspectos exclusivos da segurana da informao, enquanto a ISO 31000 mais genrica e contempla todos os setores.
O enfoque deste curso est na norma ABNT NBR ISO/IEC 27005: 2008 Tecnologia da Informao Tcnicas de Segurana Gesto de riscos de segurana da infor Gesto de Riscos de TI NBR 27005
mao. Os conceitos, processos e atividades apresentados se adequam ao que prope a norma ABNT NBR ISO 31000:2009 Gesto de Riscos Princpios e diretrizes, podendo ser aplicados em qualquer outra rea que no a de TI.
O quadro abaixo apresenta um resumo comparativo entre estas normas: Norma 27001 Ttulo Tecnologia da informao Tcnicas de segurana Sistemas de gesto de segurana da informao Requisitos Objetivo Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado no contexto dos riscos de negcio globais da organizao. Especifica requisitos para a implementao de controles de segurana personalizados para as necessidades individuais de organizaes ou de suas partes. Cobre todos os tipos de organizao (empreendimentos comerciais, agncias governamen tais, organizaes sem fins lucrativos, entre diversas outras). Estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao. Os objetivos definidos nesta norma estabelecem diretrizes gerais para as metas e melhores prticas para a gesto da segurana da informao. Apresenta um sistema de gesto de riscos de segurana da informao com foco em tecnologia da informao. Observao Trata mais especificamente de diretrizes e princpios para um sistema de gesto de segurana da informao.
27002
Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto de segurana da informao Tecnologia da informao Tcnicas de segurana Gesto de riscos de segurana da informao Gesto de riscos Princpios e diretrizes
Voltada para controles de segurana.
27005
Esclarece como gerenciar riscos de segurana da informao.
31000
Norma que apresenta princpios e diretrizes bsicas para a gesto de riscos em geral em qualquer tipo de ambiente.
Editada em 2009,deste ano em diante as demais normas de gesto de riscos devem estar alinhadas a ela. Editada em 2012.
31010
Gesto de riscos Tcnicas para o processo de avaliao de riscos Gesto de risos Vocabulrio
Descreve as diversas tcnicas e ferramentas de anlise de riscos.
GUIDE 73
Apresenta as definies de termos genricos relativos gesto de riscos.
Editada em 2009.
Tabela 1.2 Resumo comparativo entre as normas.
Norma ABNT NBR ISO/IEC 27005:2008

ABNT NBR ISO/IEC 27005:2008 Tecnologia da Informao Tcnicas de Segurana Gesto de riscos de segurana da informao 11 Apresenta as diretrizes para o gerenciamento dos riscos de segurana da informao. 11 Emprega os conceitos da norma ABNT NBR ISO 27001:2005. A norma ABNT NBR ISO/IEC 27005:2008 Tecnologia da Informao Tcnicas de Segurana Gesto de riscos de segurana da informao foi publicada em julho de 2008 e apresenta as diretrizes para o gerenciamento dos riscos de segurana da informao.
q
Emprega os conceitos da norma ABNT NBR ISO 27001:2005, que especifica os requisitos de sistemas de gesto da segurana da informao.
Esta norma descreve todo o processo necessrio para a gesto de riscos de segurana da informao e as atividades necessrias para a perfeita execuo da gesto. Apresenta prticas para gesto de riscos da segurana da informao. As tcnicas nela descritas seguem o conceito, os modelos e os processos globais especificados na norma ABNT NBR ISO/IEC 27001, alm de apresentar a metodologia de avaliao e tratamento dos riscos requeridos pela mesma norma. Partindo do princpio de que a gesto de riscos um processo cclico e contnuo, a norma est dividida em sesses e anexos. As sesses contm as informaes do processo e das atividades necessrias para a sua execuo. Existem 12 sesses ao todo: as sesses de 1 a 4 tratam das referncias e da estrutura da norma, e as sesses 5 e 6 apresentam a viso geral do processo de gesto de riscos. As sesses a partir da 7 tratam especificamente do processo de gesto de riscos. Os seis anexos so identificados de A a F e trazem informaes adicionais e exemplos. Nas sesses de 7 a 12 as atividades de gesto so apresentadas de acordo com a seguinte estrutura: 11 Entrada: refere-se aos insumos e premissas necessrias para a realizao da atividade. 11 Ao: descrio da atividade, sempre acompanhada do convm. 11 Diretrizes para implementao: diretrizes necessrias para a realizao da ao, isto , o detalhamento de como a ao pode ser realizada. Estas diretrizes devem ser adaptadas a cada tipo de organizao. Tambm esto acompanhadas do convm. 11 Sada: apresenta os resultados que devem ser alcanados e que vo servir para gerar evidncias. Este curso utiliza o processo de gesto de riscos normatizado contido na norma ABNT NBR ISO/IEC 27005.
Viso geral da gesto de riscos

11 necessria uma abordagem sistemtica de gesto de riscos que varia de organizao para organizao assim como o nvel de risco aceitvel de cada uma. 11 Risco aceitvel o grau de risco que a organizao est disposta a aceitar para concretizar os seus objetivos. 11 Necessidade de aumentar a capacidade de gerir o risco e otimizar o retorno. 11 A abordagem de gesto de riscos de segurana da informao deve ser: 22 Contnua. 22 Realizada no tempo apropriado. 22 Repetitiva. 22 Prpria ao ambiente da organizao.
22 Ajustada ao processo de gesto de riscos corporativos. 22 Alinhada com os requisitos de negcios. 22 Apoiada pela alta direo. Gesto de riscos so atividades formalizadas e coordenadas para controlar e dirigir um conjunto de instalaes e pessoas com relaes e responsabilidades, entre si e externamente, no que se refere a riscos nos negcios sob a tica da segurana da informao.
10
Definio do contexto; 11 Anlise/Avaliao de riscos; 11 Tratamento do risco; 11 Aceitao do risco; 11 Comunicao do risco; 11 Monitoramento e anlise crtica; 11 Ciclo de melhoria contnua PDCA. A Tabela 1.3 mostra as principais atividades de gesto de riscos da segurana da informao. Processo do SGSI Processo de gesto de riscos de segurana da informao 11Definio do contexto PLANEJAR 11Anlise/Avaliao de riscos 11Aceitao do risco
Tabela 1.3 Principais atividades de gesto de riscos da segurana da informao.
11Definio do plano de tratamento do risco
EXECUTAR VERIFICAR AGIR
Implementao do plano de tratamento do risco Monitoramento contnuo e anlise crtica de riscos Manuteno e melhoria do processo de gesto de riscos de segurana da informao
Saiba mais
l senteia com uma detalhada anlise histrica da evoluo do controle e previso dos riscos
pela humanidade, desde a Grcia antiga. Segundo o autor, somos possuidores de elevado potencial tcnico para a preveno das perdas e ganhos, mesmo que o comportamento dos agentes seja imprevisvel. Nas suas palavras: ... acontea o que acontecer e apesar de todos os nossos esforos, os seres humanos no possuem o conhecimento completo sobre as leis que definem a ordem do mundo objetivamente existente. Portanto, o autor nos desquali fica como previsores perfeitos do futuro. Bernstein diz ainda que Quando investidores compram aes, cirurgies realizam operaes, engenheiros projetam pontes, empresrios abrem seus negcios e polticos concorrem a cargos eletivos, o risco um parceiro inevitvel. Contudo, suas aes revelam que o risco no precisa ser to temido: administrar o risco sinnimo de desafio e oportunidade. O risco faz parte de nosso cotidiano, de modo que precisamos conhec-lo para poder trat -lo e dele extrair novas oportunidades.
Em seu livro Desafio aos deuses: a fascinante histria do risco, Peter Bernstein nos pre -
Dica de leitura: BERNSTEIN, Peter. Desafio aos deuses: a fascinante histria do risco. Editora Campus, 1997.
inquestionvel a importncia do papel que a tecnologia da informao exerce na socie dade para que esta alcance seus objetivos. A integrao do ambiente tecnolgico, caracte rizado pela complexidade e interdependncia, produz contextos muitas vezes hostis que propiciam ataques cada vez mais frequentes segurana da informao, exigindo respostas cada vez mais rpidas das organizaes. A este quadro vm somar-se novas obrigaes legais, de proteo de privacidade e governana corporativa, gerando a necessidade das organizaes gerenciarem mais efetivamente sua infraestrutura de tecnologia. Para enfrentar estas novas ameaas e demandas as organizaes devem desenvolver uma atitude proativa, antecipando-se em conhecer suas fraquezas e vulnerabilidades. Isto pode ser obtido atravs da adoo de um processo formal de gerenciamento de riscos de segurana da informao, que permita organizao estabelecer um nvel aceitvel de risco.
11
Para isso necessria uma abordagem sistemtica de gesto de riscos, que ir variar de acordo com o negcio de cada organizao, assim como o nvel de risco aceitvel estabele cido pela direo de cada organizao. Risco aceitvel o grau de risco que a organizao est disposta a aceitar para a concretizao dos seus objetivos estratgicos.
Exerccio de fixao 2 e Viso geral

Na sua organizao, qual seria o risco aceitvel na realizao das suas atividades? Explique.
Aumentar a capacidade de gerir o risco e otimizar o retorno so aes integrantes de uma abordagem sistmica, que proporciona um processo formal para a melhoria da capacidade de identificao e avaliao dos riscos. Esta abordagem deve estar de acordo com os obje tivos da organizao, atendendo s suas necessidades especficas de acordo com os requi sitos de segurana da informao. Para isso, a abordagem de gesto de riscos de segurana da informao deve ser: 11 Contnua; 11 Realizada no tempo apropriado; 11 Repetitiva; 11 De acordo com o ambiente da organizao; 11 Ajustada ao processo de gesto de riscos corporativos; 11 Alinhada com os requisitos de negcios; 11 Apoiada pela alta direo. Partindo do conceito amplo de que o processo de gesto composto de atividades coordenadas e formalizadas para controlar e dirigir uma organizao formada por suas instalaes e pessoal, com relaes e responsabilidades entre si e com agentes externos , pode-se inferir que a gesto de riscos composta de atividades formalizadas e coordenadas para controlar e dirigir um conjunto de instalaes e pessoas com relaes e responsabilidades, entre si e com o ambiente externo, no que se refere a riscos nos negcios sob a tica da segurana da informao.
12
A Figura 1.1 apresenta uma viso do processo de gesto de riscos de segurana da informao segundo a norma ABNT NBR ISO/IEC 27005.
DEFINIO DO CONTEXTO PROCESSO DE AVALIAO DE RISCOS COMUNICAO E CONSULTA DO RISCO IDENTIFICAO DE RISCOS MONITORAMENTO E ANLISE CRTICA DE RISCOS
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 Avaliao satisfatria Sim
No
TRATAMENTO DO RISCO PONTO DE DECISO 2 Tratamento satisfatrio

Figura 1.1 Processo de gesto de riscos de segurana da informao.
No
Sim ACEITAO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAES O processo tem seis grandes grupos de atividades: 11 Definio do contexto; 11 Anlise/Avaliao de riscos; 11 Tratamento do risco; 11 Aceitao do risco;
11 Comunicao do risco; 11 Monitoramento e anlise crtica. Como pode ser visto na Figura 1.1, o ciclo de vida da gesto de riscos de segurana da informao iterativo, onde a gesto se desenvolve de maneira incremental, atravs de uma sucesso de iteraes, e cada iterao libera uma entrega (sada) para a seguinte, minimizando tempo e esforo.
Definio do contexto
Dentro do processo, a definio do contexto responsvel pela definio do ambiente, escopo, critrios de avaliao, entre outras definies.
13
Esta etapa essencial para a equipe que realiza a gesto de risco conhecer todas as informaes sobre a organizao.
Anlise/Avaliao de riscos
A prxima iterao de anlise e avaliao de risco, que permitir a identificao dos riscos e a determinao das aes necessrias para reduzir o risco a um nvel aceitvel.
Tratamento do risco
A partir dos resultados obtidos na anlise e avaliao do risco so definidos os controles necessrios para o tratamento do risco. A norma ABNT NBR ISO/IEC 27001 especifica os controles que devero ser implementados.
Aceitao do risco
Assegura os riscos aceitos pela organizao, ou seja, os riscos que por algum motivo no sero tratados ou sero tratados parcialmente. So os chamados riscos residuais, cujo enquadramento nesta categoria dever ser justificado.
Comunicao do risco
Nesta etapa feita a comunicao do risco e da forma como ser tratado, para todas as reas operacionais e seus gestores.
Monitoramento e anlise crtica

So as atividades de acompanhamento dos resultados, implementao dos controles e de anlise crtica para a melhoria contnua do processo de gesto de riscos. Todas estas etapas sero detalhadas nas prximas sesses. A norma ABNT NBR ISO/IEC 27001 especifica que os controles implementados no escopo, limites e contexto do Sistema de Gesto de Segurana da Informao (SGSI) devem estar baseados no risco. Este requisito deve ser atendido atravs da aplicao do processo de gesto de riscos de segurana da informao. No ambiente de um SGSI, a definio do contexto, a anlise e avaliao de riscos, o desen volvimento do plano de tratamento do risco e a aceitao do risco fazem parte da fase Planejar do ciclo de melhoria contnua PDCA. J a fase Executar do SGSI a implementao de controles para conduzir os riscos ao nvel aceitvel pela organizao. A fase Verificar do SGSI, por sua vez, inclui as aes de reviso. Finalmente, a fase Agir compreende as aes necessrias para execuo, incluindo a reaplicao do processo de gesto de riscos de segurana da informao. Podemos resumir da seguinte forma as principais atividades de Gesto de riscos de segu Gesto de Riscos de TI NBR 27005
rana da informao: Processo do SGSI Processo de gesto de riscos de segurana da informao Definio do contexto PLANEJAR Anlise/Avaliao de riscos Definio do plano de tratamento do risco Aceitao do risco EXECUTAR Implementao do plano de tratamento do risco
14
Processo do SGSI VERIFICAR AGIR
Processo de gesto de riscos de segurana da informao Monitoramento contnuo e anlise crtica de riscos Manuteno e melhoria o processo de Gesto de Riscos de Segurana da Informao
R GI
PLA
NE
J AR
Manuteno e melhoria do processo

AR
Denio do contexto
PL A
NE J A
VERI FIC
Monitoramento e anlise crtica
Anlise/Avaliao de riscos
Implementar o plano de tratamento

R
Denio do plano de tratamento Aceitao do risco
LA N
EJ
TA
AR
Exerccio de fixao 3 e PDCA

Explique como a fase planejar (PDCA) do processo do SGSI executado no processo de gesto de riscos de segurana da informao.
Fatores crticos para o sucesso

11 Reduo das surpresas operacionais e prejuzos. 11 Identificao de oportunidades de crescimento e melhorias. 11 Racionalizao do capital estabelecendo uma ordem de prioridades de investimento. 11 Pr-atividade com o uso dos recursos computacionais nos negcios. 11 Envolvimento e participao da alta direo no processo. 11 Comunicao e treinamento. 11 Definio de objetivos. 11 Papis e responsabilidades definidos. 11 Integrao com as atividades de gesto de segurana da informao.
P L ANE JAR
EX
Figura 1.2 Processo de gesto de riscos e o modelo PDCA.
EC
15
A gesto de riscos de segurana da informao implementada pelas organizaes na busca por vantagens competitivas para os negcios. fundamental demonstrar, para as partes interessadas, uma postura de segurana na gesto dos riscos relacionados proteo dos ativos e informaes. Os fatores crticos para o sucesso esto relacionados aos benefcios que devem ser alcanados pelas organizaes, a depender da natureza de cada organizao. Para atingir tais benefcios preciso realizar as etapas que envolvem os fatores crticos para o sucesso. Como exemplos destes fatores podemos mencionar os listados a seguir.
Envolvimento e participao da alta direo no processo

essencial para o sucesso de qualquer projeto que a direo esteja envolvida e comprometida com o seu desenvolvimento e sucesso de acordo com os objetivos estratgicos definidos.
Comunicao e treinamento
Todo o processo precisa ser comunicado a todas as partes envolvidas antes do seu incio, durante o seu desenvolvimento e aps sua concluso, com a apresentao dos resultados alcanados e metas atingidas. Em um processo de gesto de riscos todos os participantes devem ser envolvidos, e para isso necessria a realizao de campanhas de conscientizao e treinamentos.
Definio de objetivos
O estabelecimento de objetivos contribui decisivamente com o alcance das metas da gesto de riscos.
Papis e responsabilidades definidas

Todos os integrantes das partes envolvidas devem conhecer as suas atribuies e responsabilidades durante todo o processo de gesto de riscos de segurana da informao.
Integrao com a gesto de segurana da informao

As atividades de gesto de riscos devem estar totalmente integradas s atividades do SGSI. No desenvolvimento deste curso sero explorados os fatores crticos de sucesso pertencentes a cada etapa da gesto de riscos de segurana da informao.
reas de conhecimento necessrias

Os profissionais envolvidos nas atividades de anlise de risco possuem um perfil com conhecimento em diversas reas: 11 Tcnico.
11 Negcios. 11 Legislao. 11 Processos. Para a melhor aplicao do processo de gesto de riscos, importante que os profissionais envolvidos possuam um perfil com conhecimento de reas diversas, permitindo a identifi cao das ameaas e vulnerabilidades em qualquer ambiente organizacional. Na equipe encarregada da realizao da anlise de risco preferencialmente devem ser encontrados os seguintes perfis:
16
11 Tcnico: contribui no atendimento das demandas das diversas reas tcnicas da organizao, incluindo as reas de hardware, software, sistemas operacionais, infraestrutura e aplicaes web, entre outras. 11 Negcios: auxilia a equipe no entendimento preciso dos negcios da organizao e seus mltiplos processos, alm de ter importncia no clculo dos impactos. 11 Legislao: perfil voltado ao entendimento dos aspectos legais e normativos com os quais a organizao analisada necessita se alinhar. 11 Processos: permite a compreenso dos processos e atravs de sua anlise identifica possveis ameaas e vulnerabilidades, contribuindo com a elaborao de planos de gesto e tratamento de riscos. Estes so alguns exemplos de perfis ou conhecimentos necessrios para a anlise de risco. O tipo da organizao e seus objetivos de negcios indicaro os perfis realmente importantes para compor a equipe de trabalho. No existe a necessidade de um profissional para cada perfil citado, pois os conhecimentos podem ser encontrados em um mesmo profissional. A quantidade de profissionais alocados ser determinada pelo escopo da anlise e prazo.
Leitura complementar
11 Sesses 4, 5 e 6 da norma ABNT NBR ISO/IEC 27005. 11 Item 4 da Norma Complementar Gesto de Riscos de Segurana da Informao e Comunicaes GRSIC, do DSIC/GSI/PR: http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf 11 Enterprise Risk Management: Past, Present and Future: http://www.casact.org/education/erm/2004/handouts/kloman.pdf 11 Interdisciplinary Risk Management: http://www.riskinfo.com/rmr/rmrjun05.htm 11 Quatro dicas para uma gesto de riscos eficiente: http://cio.uol.com.br/gestao/2009/07/03/quatro-dicas-para-a-boa-gestao-de-riscos/ 11 AS/NZS 4360: http://www.standards.org.au/ 11 Histria da AS/NZS 4360: http://www.riskinfo.com/rmr/rmrsept00.htm
17
18
Roteiro de Atividades 1
Atividade 1.1 Conhecendo os conceitos
Para cada conceito a seguir, explique e apresente um exemplo baseado na organizao em que voc trabalha. Justifique sua resposta: Conceito Riscos de segurana da informao Identificao de riscos Impacto Compartilhamento do risco Evitar o risco Comunicao do risco Estimativa do risco Tratamento do risco Aceitao do risco Definio Exemplo Justificativa
Atividade 1.2 Conhecendo a norma

Descreva como est organizada a norma ABNT NBR ISO/IEC 27005, citando suas sesses.
Explique como esto estruturadas as atividades das sesses 7 a 12 da norma ABNT NBR ISO/IEC 27005.
Captulo 1 - Roteiro de Atividades
19
Atividade 1.3 Identificando o processo

Descreva a sequncia das etapas do processo de gesto de riscos.
Atividade 1.4 Fatores crticos

O que a gesto de riscos de segurana da informao e como ela se aplica na sua organizao?
Quais so os fatores crticos de sucesso? D exemplos baseados na sua organizao.
Em sua opinio qual a importncia de entendermos a gesto de risco para o exerccio das nossas atividades cotidianas?
O que foi aprendido

11 Conceito de gesto de risco. 11 Viso geral da gesto de risco. 11 Fatores crticos de sucesso.
20
2
Contexto da gesto de riscos
objetivos
Conceituar e definir o contexto do ambiente da gesto de riscos; identificar o escopo e as atividades de definio de critrios no processo de gesto de riscos.
conceitos
Contexto, escopo, limites e critrios.
Introduo
Ao iniciar qualquer tipo de trabalho, a primeira atividade a ser feita conhecer o ambiente em que o trabalho ser desenvolvido, as pessoas que de alguma forma iro interagir, o que ser desenvolvido; em resumo, conhecer o terreno para saber conduzir o andamento dos trabalhos. Nas atividades que envolvem gesto de riscos de segurana da informao a definio do contexto a parte inicial e tem como objetivo permitir o conhecimento do ambiente da organizao.
Exerccio de nivelamento 1 e Contexto

No seu entendimento qual o contexto atual da sua organizao?
Processo de gesto de riscos de segurana da informao

11 Conhecer a sequncia das fases da gesto de riscos. 11 Ter acesso a toda a documentao da organizao. Na sesso anterior foi apresentada a viso geral do processo de gesto de riscos. necessrio que o conhecimento da sequncia das fases do processo faa parte do dia a dia dos profissionais envolvidos com a gesto de riscos.
Captulo 2 - Contexto da gesto de riscos
21
ANLISE DE RISCOS
AVALIAO DE RISCOS
No
TRATAMENTO DO RISCO PONTO DE DECISO 2 Tratamento satisfatrio Sim ACEITAO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAES No
Figura 2.1 Definio do contexto.
Para realizar esta atividade, os profissionais devero ter acesso a toda documentao sobre a organizao, permitindo assim o amplo conhecimento sobre as especificidades da organizao.
Contexto
necessrio entender o significado conceitual de contexto e sua aplicao na gesto de riscos. Ao buscar o seu significado nos dicionrios, encontra-se, entre outras definies, que contexto um substantivo masculino que significa inter-relao de circunstncias que acompanham um fato ou uma situao. Assim, ao nos referirmos a contexto queremos na verdade tratar da totalidade de circunstncias que possibilitam, condicionam ou determinam a realizao de um texto, projeto, ativi Gesto de Riscos de TI NBR 27005
dade ou mesmo de um evento de segurana da informao. Em outras palavras, contexto o conjunto de circunstncias que se relacionam de alguma forma com um determinado acontecimento. a situao geral ou o ambiente a que est sendo referido um determinado assunto. Chamamos de contextualizao a atividade de mapear todo o ambiente que envolve o evento em anlise. No processo de gesto de riscos esta a primeira atividade a ser desempenhada.
22
Segundo a norma ABNT NBR ISO 31000:2009 o contexto pode ser analisado sob dois aspectos: 11 Contexto Externo: o ambiente externo no qual a organizao se situa e busca atingir seus objetivos (ambiente cultural, financeiro, regulatrios, tecnolgico, econmico, competitivo, entre outros). 11 Contexto Interno: o ambiente interno no qual a organizao busca atingir seus objetivos (governana, estrutura organizacional, polticas, objetivos, capacidades, sistemas de informao, cultura organizacional, normas, diretrizes, entre outras).
Estabelecimento do contexto
De acordo com a norma ABNT NBR ISO/IEC 31000, no momento em que a organizao estabelece seu contexto ela: 11 Articula seus objetivos. 11 Define parmetros internos e externos. 11 Define o escopo e os critrios de risco para todo o processo de gesto de riscos.
De acordo com a norma ABNT NBR ISO/IEC 31000, no momento que a organizao estabelece seu contexto ela articula seus objetivos, definindo parmetros internos e externos que devem ser levados em considerao para gerenciar o risco, e define o escopo e os critrios de risco para todo o processo de gesto de riscos.
Contexto da norma ABNT NBR ISO/IEC 27005

Seo 7 da ABNT NBR ISO/IEC 27005: trata as atividades desenvolvidas durante a fase de contexto da gesto de riscos. 11 Apresentaes da organizao. 11 Entrevistas. 11 Questionrios: 22 Seo 7.1 Consideraes iniciais. 22 Seo 7.2 Critrios bsicos. 22 Seo 7.3 Escopo e limites. 22 Seo 7.4 Organizao para gesto de riscos de segurana da informao. 11 Anexo A Informativo. A seo 7 da norma ABNT NBR ISO/IEC 27005 trata das atividades que devem ser desenvolvidas durante a fase de contexto da gesto de riscos. Essas atividades devem ser interaes com os profissionais da organizao avaliada atravs de: 11 Apresentaes da organizao; 11 Entrevistas com diretores, gerentes, tcnicos e usurios; 11 Questionrios. A seo 7 desta norma est organizada da seguinte forma: 11 Seo 7.1 Consideraes iniciais: finalidade de realizar a contextualizao; 11 Seo 7.2 Critrios bsicos: critrios de avaliao;
desenvolvidas pela equipe responsvel pela gesto de riscos, sendo realizadas por meio de
23
11 Seo 7.3 Escopo e limites: importncia da definio do escopo e os limites da gesto de riscos; 11 Seo 7.4 Organizao para gesto de riscos de segurana da informao: organizao e responsabilidades do processo de gesto de riscos; 11 Anexo A Informativo: detalhes para a definio do escopo e restries que podem impactar nos trabalhos.
Definindo o contexto
11 Suporte a SGSI. 11 Conformidade legal. 11 Plano de continuidade de negcios. 11 Plano de resposta a incidentes.
Ao iniciar o trabalho de gesto de riscos deve-se primeiramente fazer um levantamento de todas as informaes relevantes sobre o ambiente onde ser executada a anlise de riscos. Deve estar claro ainda o entendimento sobre as atividades da organizao e os propsitos que a levaram gesto de riscos de segurana da informao. So exemplos destes propsitos: 11 Suporte a SGSI: a organizao optou por implementar um SGSI e para isso deve realizar a gesto de risco de segurana da informao como requisito obrigatrio. 11 Conformidade legal: atendimento a uma determinao legal ou normatizadora. Ex: bancos, operadoras de carto de crdito. 11 Plano de Continuidade de Negcios: necessrio para a preparao do plano que visa estruturar o modo como a organizao enfrentar um evento catastrfico. Para que no ocorra um impacto significativo ao negcio necessria a realizao do processo de gesto de riscos. 11 Plano de resposta a incidentes: para que a organizao possa ter seu plano de respostas a incidentes necessrio o conhecimento de seus riscos e vulnerabilidades. De modo geral, o entendimento dos propsitos da implantao da gesto de riscos possibilita uma viso da importncia desta atividade para os negcios da organizao. Na norma ABNT NBR ISO/IEC 27005 o propsito faz parte das diretrizes para implementao da ativi dade de definio do contexto: vide 7.1 Consideraes gerais.
Itens para identificao

Ao analisar o ambiente da organizao, a equipe de analistas deve identificar os elementos que caracterizam a organizao e contribuem para o seu desenvolvimento. Na anlise da
organizao devem constar pelo menos os seguintes itens: Itens para identificao Propsito principal da organizao O negcio A misso Exemplo de questionamentos Qual a finalidade da empresa? Quais seus objetivos?
Tabela 2.1 Itens para anlise da organizao.
Qual o seu negcio? Qual a finalidade do que produzido / desenvolvido? Qual a sua misso? Para que ela existe? O que ela se prope a fazer? Para quem?
24
Itens para identificao A viso de futuro Os valores A estrutura organizacional O organograma As estratgias Os produtos
Exemplo de questionamentos Qual sua viso de futuro? O que se espera dela no tempo? Quais os seus valores? Como eles so evidenciados? Como ela est organizada e estruturada? E a segurana das informaes? E as responsabilidades pela segurana? Qual o seu organograma? Quem quem e em que setor trabalha? H rea de segurana da informao? Quais so as suas principais estratgias de negcios? E de segurana da informao? Quais so os seus produtos? Qual o principal produto de alavancagem dos negcios? Quem so seus parceiros? Como so escolhidos? Como contribuem? Como o relacionamento da segurana da informao com eles? Quais as obrigaes da segurana da informao? Quem so os terceiros? Como so escolhidos? Como contribuem? Como o rela cionamento da segurana da informao com eles? Como o contrato? Quais as obrigaes da segurana da informao? Como est dividida a organizao? Onde esto os servidores? H algum mecanismo de preveno de incndio? Como feita a proteo fsica? Como so os acessos? Como so contratados? H treinamento de segurana da informao? Como so contratados?
Os parceiros
Os terceiros
As instalaes Os funcionrios
Exerccio de fixao 1 e Definindo o contexto

Qual a finalidade da sua organizao? Explique.
mao na sua organizao? Justifique.
Qual deve ser um dos propsitos que devem levar a gesto de riscos de segurana da infor-
25
Definindo escopo e limites

11 Escopo descrio dos limites do projeto, sua abrangncia, seus resultados e entregas. a finalidade da gesto de riscos. 11 Devem ser considerados: 22 Os objetivos e polticas da organizao. 22 Estrutura e funes da organizao. 22 Processos de negcios. 22 Ativos. 22 Expectativas. 22 Restries. 11 As restries afetam a organizao e determinam o direcionamento da segurana da informao. 11 Algumas destas restries podem causar impactos no escopo e a equipe tem que estar preparada para identific-las e determinar a influncia que tero no escopo. Exemplos de restries: 22 Restries tcnicas. 22 Restries financeiras. 22 Restries ambientais. 22 Restries temporais (tempo um fator determinante). 22 Restries organizacionais. 11 O anexo A da norma ABNT NBR ISO/IEC 27005 apresenta e detalha estas restries. 11 Exemplos de escopo e limites: 22 Uma aplicao de TI. 22 A infraestrutura de TI. 22 Um processo de negcio. 22 O departamento de TI. 22 Uma filial. 22 O sistema de internet banking de uma instituio financeira. 22 O servio de e-mail da organizao. 22 O processo de controle de acesso fsico da organizao. 22 O datacenter da organizao. 22 A infraestrutura que atende aos servios ADSL de uma operadora.
22 O servio de callcenter. 22 O sistema logstico de distribuio de provas de concurso pblico nacional. 22 A intranet da organizao.
Para lidar com a complexidade da definio do escopo, recomendvel escrev-la por tpicos, tendo a certeza de que todos os pontos foram includos e que no existem dvidas, principalmente entre o entendimento da equipe de gesto de riscos e a organizao.
26
importante que a organizao defina o escopo e os limites da gesto de riscos de segurana da informao. Mas o que escopo? Escopo a maneira como so descritos os limites do projeto, sua abrangncia, seus resul tados e suas entregas. a finalidade, o alvo, o intento ou propsito da gesto de riscos. Se o escopo for nebuloso, ou deixar margem para interpretao, ser difcil para a equipe de gesto de riscos identificar os limites do seu trabalho. Portanto, o escopo deve ser claro, bem definido e entendido pela equipe de trabalho e pela organizao. Desta forma, com o escopo e os limites identificados, a equipe de anlise e a organizao estaro aptos a levantar os ativos, pessoas, processos e instalaes que sero envolvidas na atividade de anlise e avaliao dos riscos. Ao definir o escopo, a organizao dever levar em conta os objetivos que devem ser alcanados com a anlise/avaliao (propsitos). Para isso devem ser considerados: 11 Os objetivos e polticas da organizao; 11 Estrutura e funes da organizao; 11 Processos de negcios; 11 Ativos; 11 Expectativas; 11 Restries. importante considerar as restries que afetam a organizao e determinam o direcionamento da segurana da informao. Algumas destas restries podem causar impactos no escopo, de modo que a equipe precisa estar preparada para identific-las e determinar a influncia que tero no escopo. Alguns exemplos de restries: 11 Restries tcnicas; 11 Restries financeiras; 11 Restries ambientais; 11 Restries temporais (tempo um fator determinante); 11 Restries organizacionais. Existem muitas outras restries, que iro variar em funo do tipo ou do negcio da orga nizao, assim como tambm ir variar a influncia destas restries na gesto de riscos. O anexo A da norma ABNT NBR ISO/IEC 27005 apresenta e detalha estas restries, sendo uma leitura obrigatria para um melhor entendimento. Estes so apenas alguns exemplos bem objetivos. preciso avaliar a complexidade do escopo e fazer um detalhamento dos seus objetivos, para que no haja dvida a respeito da sua amplitude.
Exerccio de fixao 2 e Definindo o escopo e limites

Quais propsitos devem ser considerados na sua organizao para definio do escopo? Justifique.
27
Cite uma restrio tcnica e uma restrio organizacional possvel de existir na sua organizao? Justifique.
Critrios para avaliao de riscos

11 Os critrios fazem parte do mtodo da gesto de riscos. 11 Os critrios so a forma e o valor (pesos) com que os riscos e impactos sero valorados.
A palavra critrio, do grego kritrion pelo latim critrio, significa estabelecer um padro que serve de base para que coisas e pessoas possam ser comparadas e julgadas. Os critrios para avaliao de riscos servem para avaliar os riscos de segurana e devem considerar: 11 O valor estratgico do processo; 11 A criticidade dos ativos; 11 O histrico de ocorrncias de eventos de segurana; 11 O valor do ativo para o processo; 11 A probabilidade de ocorrncias e outros, de acordo com a organizao e escopo. Os critrios tambm sero utilizados para definir as prioridades para o tratamento dos riscos. Exemplo: Em um ambiente que possui uma sala usada como depsito de papel e com um precrio sistema de preveno e combate a incndios, o risco de um incndio pode ser ALTO. No desenvolvimento dos critrios importante que: 1. Definir a quantidade de nveis necessrios para o critrio; 2. Definir o nome do nvel; 3. Definir os valores de cada nvel; 4. Fazer uma descrio detalhada de cada nvel. Colocar o mximo de informaes do que abrange aquele nvel a fim de permitir que qualquer outra pessoa possa entender cada nvel do critrio e aplica-lo de forma igualitria e uniforme.
Critrios de impacto
Impacto a mudana adversa no nvel obtido nos objetivos de negcios. Os critrios de impacto servem para mensurar o montante dos danos ou custos organizao causados pela ocorrncia de um evento de segurana da informao. Geralmente esto relacionados a perdas financeiras. Devem considerar, entre outros: 11 O comprometimento das operaes; 11 O descumprimento de prazos; 11 Os danos de reputao e imagem;
28
11 Violaes de requisitos legais e regulatrios; 11 Severidade e criticidade; 11 O comprometimento da confidencialidade, integridade e disponibilidade; 11 Outros, de acordo com a organizao e escopo.
Exemplo
Se na ocorrncia de um incndio os prejuzos foram apenas locais, restritos a uma sala, o impacto pode ser classificado como BAIXO. Na situao do incndio ter se alastrado, e no ter sido possvel control-lo, de modo a ter destrudo diversas salas, equipamentos e documentos importantes, o impacto pode ser classificado como ELEVADO.
Critrios para aceitao do risco

Servem para a organizao definir o seu nvel ou a sua escala de aceitao dos riscos. Dependem das polticas, metas e objetivos da organizao, sendo definidos com a partici pao da alta direo da organizao. Devem considerar: 11 Aspectos legais e regulatrios; 11 Finanas; 11 Aspectos sociais; 11 Repercusso na imagem; 11 Aspectos operacionais; 11 Negcios; 11 Tecnologias. 11 Outros, de acordo com a organizao e planejamento futuro dos negcios. Exemplo: A empresa definiu que todo risco MUITO BAIXO que possuir IMPACTO BAIXSSIMO ou que possa causar perdas financeiras abaixo de R$ 10 mil ser classificado como RISCO ACEITVEL e no ser tratado com prioridade. Exemplos de critrios: Nvel Frequente Provvel Ocasional
Tabela 2.2 Exemplo de critrio de probabilidade.
Definio > 0,92 > 0,65 e < = 0,92

> 0,39 e < = 0,65 > 0,15 e < = 0,39 > = 0 e < =0,15
Remoto Improvvel
Valor 1
Tabela 2.3 Exemplo de critrio de abrangncia.
Definio Apenas na rede local. Restringe-se ao setor, departamento ou gerncia. Atinge parte do site onde est o ativo.
2 3
29
Valor 4 5
Definio As consequncias incidem sobre todo o site/filial onde est o ativo. O ativo tem consequncias sobre toda a organizao.
Nvel de risco Extremo Altssimo Alto Mdio Baixo Irrelevante
Valor 5 4 3 2 1 0,5
Descrio De acordo com a organizao De acordo com a organizao De acordo com a organizao De acordo com a organizao De acordo com a organizao De acordo com a organizao
Figura 2.4 Exemplo de critrio de nvel de risco.
Outro ponto importante a definio dos critrios (7.2 Critrios bsicos). Os critrios fazem parte do mtodo com o qual ser feita a gesto de riscos. Em outras palavras, os critrios so a forma e o valor (pesos) com que sero valorados os riscos e os impactos. Para identificar o maior ou menor risco, e o mais alto ou mais baixo impacto, preciso definir os critrios. Critrio um padro que serve de base para que coisas e pessoas possam ser comparadas e julgadas. A definio de critrios de risco envolve decidir sobre: 11 A natureza e os tipos de consequncias a serem includos e a forma como sero medidos. 11 A maneira pela qual as probabilidades sero representadas. 11 O modo como um nvel de risco ser determinado. 11 Os critrios que nortearo a deciso pelo tratamento do risco. 11 Os parmetros para definir quando um risco aceitvel e/ou tolervel. 11 Se as combinaes de riscos sero tomadas em considerao. Os critrios podem ser baseados em fontes como: 11 Os objetivos acordados do processo; 11 Os critrios identificados no caderno de encargos; 11 As fontes de dados; 11 Critrios geralmente aceitos pela indstria, como nveis de integridade, segurana (melhores prticas);
11 O apetite de risco da organizao; 11 Os requisitos legais cumpridos pela organizao; 11 Outros atravs de informaes tcnicas de equipamentos especficos ou aplicaes. Os critrios a serem adotados devem ser determinados em comum acordo entre a equipe de gesto de riscos e a organizao. Caso a organizao j possua critrios para outros sistemas de gesto, estes podero ser adaptados a depender da demanda, facilitando o entendimento dos critrios de gesto de riscos por parte da organizao, pois sero semelhantes aos j utilizados por outros sistemas de gesto implementados.
30
Nvel de risco
Valor
Descrio 11No ocorrem leses, mortes na fora de trabalho e/ou de pessoas externas empresa. Podem ocorrer casos de primeiros socorros ou tratamento mdico (sem afastamento). 11Sem danos ou com danos insignificantes aos equipamentos e/ou instalaes. 11Os sistemas de TI ficaram fora de operao por at 5 minutos. 11Leses leves na fora de trabalho, ausncia de leso.
Desprezvel
Levemente prejudicial
11Danos leves aos equipamentos ou instalaes, controlveis e/ou de baixo custo de reparo. 11Os sistemas de TI ficaram fora de operao por at 30 minutos. 11Leses de gravidade moderada na fora de trabalho ou em pessoas externas empresa.
Prejudicial
11Leses leves em pessoas externas empresa. Danos severos a equipamentos e/ou instalaes.
11Os sistemas de TI ficaram fora de operao acima de 30 minutos. Emisso de nota fiscal por sistema alternativo. Necessidade de recuperar backup. 11Provoca morte ou leses graves em uma ou mais pessoas (na fora d e trabalho e/ou em pessoas externas empresa).
Extremamente prejudicial
11Danos irreparveis a equipamentos ou instalaes (reparao lenta ou impossvel).
11Acionado site alternativo. Perda de dados e informaes. Clientes sem atendimento total. Cabe ressaltar que estes exemplos provavelmente no se aplicam a qualquer tipo de organizao, mas quelas para as quais foram desenvolvidos. Entretanto, fornecem uma ideia sobre a criao de critrios aplicados s atividades de gesto de riscos. No decorrer deste curso sero desenvolvidos critrios durante a realizao das atividades.
Tabela 2.5 Exemplos de critrios de impacto.
Exerccio de fixao 3 e Definindo os critrios

Que critrios j existem atualmente na sua organizao? Justifique.
Considerando o ambiente da sua organizao, faa a descrio dos nveis baixo e altssimo da Tabela 2.5? Justifique.
31
Organizao para a gesto de riscos

11 A definio dos papis e responsabilidades importante para o sucesso do processo de gesto de riscos. 11 Devem ser definidos: 22 O processo de gesto de risco adequado organizao. 22 As partes interessadas. 22 Os papis e responsabilidades das partes envolvidas, internas e externas organizao. 22 As relaes necessrias entre a organizao, suas partes interessadas e outros projetos. 22 A cadeia de comunicao e de decises. 22 Os registros que devem ser mantidos. 22 Outros registros que atendam a particularidades especficas de cada tipo de organizao. 11 Todas estas atividades devem gerar evidncias para a aplicao dos processos de gesto de riscos. A definio dos papis e responsabilidades um fator importante para o sucesso do processo de gesto de riscos. Para tal isto deve estar formalmente definida, comunicada, documentada e aprovada pelos gestores da alta administrao. Deve ficar claro para todos os envolvidos que o conjunto destas atividades deve gerar evidncias que auxiliem para uma aplicao adequada dos processos de gesto de riscos.
Sendo assim, importante que todas as informaes e dados sejam documentados para o caso de uma futura auditoria.
11 Sesso 7 da norma ABNT NBR ISO/IEC 27005. 11 Sesses 5, 6 e 7 da norma ABNT NBR ISO/IEC 27002. 11 Captulo 5 do livro O risco de TI (Desenvolvendo o processo de governana de risco), de George Westerman e Richard Hunter: Harvard Business School Press, 2008.
32
Viso geral da atividade
Sero realizadas as atividades necessrias para a Definio do contexto. A figura a seguir apresenta graficamente a localizao destas atividades no processo de gesto de riscos.
ANLISE DE RISCOS
AVALIAO DE RISCOS
No
TRATAMENTO DO RISCO PONTO DE DECISO 2 Tratamento satisfatrio Sim

Figura 2.2 Atividades para a Definio do contexto.
No
ACEITAO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAES A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.
Para esta atividade, o aluno deve se valer do Anexo A (Descrio da Empresa), que permitir a criao de uma empresa fictcia ou ainda auxiliar em algumas observaes sobre sua orga nizao. A planilha desta atividade composta de perguntas bsicas para o entendimento do contexto organizacional. A sequncia das atividades ser: 1. Leitura da Seo 7 e do Anexo A da norma ABNT NBR ISO/IEC 27005; 2. Leitura do Anexo A (Descrio da Empresa) deste caderno de atividades; 3. Explicao e demonstrao pelo instrutor da planilha de anlise de risco.
33
4. Execuo das atividades da planilha: a. Exerccios da guia Definir Contexto O objetivo desta atividade , atravs de respostas a algumas perguntas, desenvolver no aluno o entendimento do que deve ser pensado, planejado e verificado ao definirmos o contexto. Devem ser respondidas as perguntas que permitiro que a equipe de anlise de risco identifique e compreenda o contexto do ambiente onde ser desenvolvida a anlise. Para cada tpico devero ser colocadas direita as observaes ou justificativas correspondentes. S passe para a guia seguinte aps concluir. b. Exerccios da guia Restries Esta atividade conduz ao entendimento da importncia da identificao das restries existentes. Nesta guia sero inseridas as restries aplicveis organizao, de acordo com o Anexo A da ABNT NBR ISO/IEC 27005. A coluna Restries apresenta uma lista baseada na norma, cabendo ao aluno escolher as que se aplicam e escrever a justificativa.
Figura 2.3 Anlise das restries.
Existem restries que afetam a organizao e restries que afetam o escopo da gesto de riscos. S passe para a guia seguinte aps concluir. a. Exerccios da guia Escopo O objetivo desta atividade , atravs de respostas a algumas perguntas, desenvolver no aluno o entendimento do que deve ser pensado, planejado e verificado ao definirmos o escopo e seus limites. Esta guia apresenta exerccios para que a equipe de anlise tenha um perfeito entendimento do escopo e seus limites. Para cada tpico devero ser colocadas direita as observa es correspondentes. S passe para a guia seguinte aps concluir.
b. Exerccios da guia Critrios Esta guia apresenta um exerccio para permitir a definio dos critrios que sero traba lhados durante toda a anlise de risco. Aqui a equipe de anlise de risco da organizao onde realizado o trabalho, definir os critrios que conduziro os trabalhos durante todo o processo. importante que estes critrios sejam factveis e vlidos para o ambiente do escopo da gesto de riscos e para a organizao.
34
Critrios a serem definidos: 11 Probabilidade representa o percentual de chance de um evento ocorrer; 11 Relevncia do ativo importncia do ativo para os negcios/servios da organizao; 11 Severidade das consequncias grau das consequncias sofridas por um ativo em relao aos servios/negcios (disponibilizados pelo ativo ou que passam por ele) ao ser atacado ou parar de funcionar; 11 Impacto ndice para mensurar o montante dos danos ou custos organizao causados pela ocorrncia de um evento de segurana da informao; 11 Critrio de risco define o nvel ou sua escala de aceitao dos riscos e depende das polticas, metas e objetivos da organizao. IMPACTO Nvel Desprezvel Baixo Significativo Importante Desastre Descrio De acordo com a organizao - DEFINA De acordo com a organizao - DEFINA De acordo com a organizao - DEFINA Afetam a imagem da organizao e causam interrupo de 12 horas nos negcios. A empresa deixa de funcionar/produzir por 12 horas. De acordo com a organizao - DEFINA
Tabela 2.6 Definio de critrios.
Cada critrio composto por nvel e descrio. Para cada um deles a equipe de anlise dever definir seus critrios. Para a atividade, as descries que possuem a palavra DEFINA devero ser completadas pela equipe e alguns nveis podero ser alterados. Os critrios definiro as demais atividades no decorrer do curso. 5. Verificao e correo pelo instrutor. Ao concluir o Roteiro de Atividades 2, a equipe de anlise conhecer o ambiente da organizao. O escopo da anlise estar definido, assim como os critrios de anlise que nortearo todos os trabalhos da gesto de risco.
35
Anexo A Descrio da empresa

A empresa
Com sede na cidade de Braslia, um escritrio comercial situado em Campinas e outro escritrio no Rio de Janeiro, a KWX Indstria Grfica e Servios LTDA atua no mercado desde 1998. Atualmente conta com aproximadamente 230 funcionrios. Possui equipamentos de alta tecnologia e o objetivo de produzir e distribuir produtos e servios com padro de qualidade internacional, atendendo ao mercado de empresas do setor educacional. A empresa detm uma pequena fatia do mercado nacional, com um faturamento mdio de R$ 45 milhes anuais. Tendo como meta dobrar sua participao de mercado em trs anos, a KWX planeja a reestruturao de seus processos internos e tambm a reformulao de sua cultura, visando a Segurana da Informao e a preparao para a certificao ISO 27001. Atualmente possui a certificao ISO 9001, obtida h dois anos.
Viso
A alta administrao visa aperfeioar a maneira de trabalhar, reduzindo custos e procurando preservar e investir em seu ativo intelectual e parque tecnolgico, trabalhando em busca da melhoria contnua e da excelncia operacional, para se firmar cada vez mais como uma marca de sucesso. A KWX tem como viso ser uma marca de expresso nacional, conquistando o pblico atravs de produtos inovadores, relaes ticas com parceiros e a comunidade, e a prtica constante de responsabilidade social, tendo como prioridade a preservao ecolgica. Apesar de tudo isso, a KWX tambm aposta no fator humano e na satisfao dos seus funcio nrios e colaboradores. A satisfao pessoal algo que buscamos oferecer aos nossos funcionrios. Queremos que eles sejam mais que simples trabalhadores, mas que venham para a KWX com satisfao e orgulho de serem parte desta empresa, afirma o diretor presidente.
Estrutura organizacional
Diretor Presidente
Diretor Operacional
Diretor Administrativo/ Financeiro
Diretor Comercial
Gerente de Pesquisa & Desenvolvimento Gerente de Produo
Gerente de Recursos Humanos Gerente Financeiro Gerente Compras/ Materiais Gerente de Manuteno
Gerente de Vendas Coordenao Atendimento ao Cliente Coordenao de Plaejamento de Produo Gerente de Marketing
Gerente de Logstica
Gerente de Manuteno Gerente de Segurana, Sade e Meio Ambiente Gerente de Infraestrutura Corporativa
Gerente de Tecnologia de Informao Coordenao Segurana de Informao
Figura 2.4 Organograma da KWX.
36
Diretoria Operacional
Pesquisa e Desenvolvimento A KWX est sempre em busca de novas tendncias e tecnologias para ser uma referncia no mercado nacional de cursos apostilados. A elaborao de novos cursos e produtos, alinhada s tendncias de mercado e a concorrncia, so de vital importncia para o sucesso da empresa. neste departamento que novas ideias, materiais e produtos so concebidos, alm de melhorias no processo de fabricao de produtos existentes. Todas as anlises de novos cursos e apostilas so feitas neste departamento, que o principal capital intelectual da empresa, por isso devendo ser protegido de todas as formas. Produo O planejamento de produo realizado com base nas informaes recebidas pela rea de atendimento ao cliente, e tambm no histrico de produo dos ltimos dois anos. Para o bom funcionamento do planejamento, necessria uma grande interao com as reas de atendimento ao cliente, compras, vendas, controle de materiais (almoxarifado) e principalmente com as reas de cho de fbrica. A rea de planejamento gera uma programao de produo para os prximos 5 dias, embora essa programao seja revisada e atualizada diariamente. Almoxarifado Responsvel pelo recebimento dos materiais, alm do estoque de produtos considerados essenciais para o funcionamento do processo fabril. Materiais de escritrio tambm ficam no almoxarifado. Logstica rea responsvel por toda a movimentao de produtos dentro e fora da companhia, definindo a estratgia de distribuio dos produtos para os clientes. Garante que o produto seja entregue no destino final, dentro dos prazos e especificaes corretos. Controla ainda a movimentao dos produtos e materiais no cho de fbrica. Manuteno Engloba a manuteno eltrica e mecnica. O time da manuteno trabalha durante o horrio administrativo, com um funcionrio alocado em cada turno para acompanhar e resolver eventuais problemas no processo de produo. A manuteno tem a responsabilidade de manter todas as mquinas em funcionamento, alm da parte eltrica, ar-condicionado, alarmes e catracas da fbrica, cuidando ainda de manutenes preventivas. Segurana, Sade e Meio Ambiente A rea de segurana ambiental engloba os seguintes elementos: Sade Ocupacional, svel pelas normas de meio ambiente, pelo relacionamento com rgos ambientais, pela aplicao de ferramentas e procedimentos de segurana, realizao de mapa de riscos das reas da empresa, e ainda pela definio e aprovao dos EPIs utilizados pelos funcionrios.
Segurana Patrimonial e Meio Ambiente, alm da integridade dos funcionrios. respon-
37
Esta rea tambm responsvel pela definio dos treinamentos e da conscientizao dos funcionrios sobre a importncia de se trabalhar com segurana. , ainda, de responsabili dade desta rea a investigao de acidentes e incidentes ocorridos na empresa, e tambm por tomar aes corretivas para evitar uma nova ocorrncia. Esta uma rea de vital importncia para a KWX, uma vez que a conformidade com as leis e a proteo ambiental so prioridades para a organizao. Fortes investimentos foram feitos nesta rea, ajudando a tornar a KWX uma referncia no aspecto socioambiental.
Diretoria Administrativo-Financeira
Recursos Humanos Tem a responsabilidade da contratao e demisso de pessoal, organizao de treinamentos internos e externos, gerenciamento da folha de pagamento, controle de ponto, refeies e benefcios. Tambm de responsabilidade do RH a pesquisa por mdias salariais de mercado, programas de promoo de funcionrios e controle do programa de participao nos lucros. Finanas Departamento que engloba a parte financeira: tesouraria, rea fiscal, custos, contas a pagar e a receber, controladoria e ativo fixo. Por se tratar de uma rea de grande sensibilidade e importncia, a rea financeira suportada por uma srie de sistemas e aplicaes que garantem o bom funcionamento da empresa e a confiabilidade nos nmeros e planos de conta apresentados. Compras e Materiais Este setor tem a responsabilidade por todo o processo de compras, desde a negociao com os fornecedores at a compra final dos produtos. Informam preos mdios de mercado a funcionrios especficos, para que possam fazer uma requisio de compras. Funcionrios que no sejam da rea de compras no podem ter contato com fornecedores. Os contratos tambm so negociados pela rea de compras.
Diretoria Comercial
Vendas rea responsvel por planejar o volume de vendas a realizar no ms, atravs de dados recebidos do pessoal de planejamento de produo, e tambm encarregada de estimar os pedidos dos clientes. A rea de vendas responsvel por todo o processo de vendas dos produtos da empresa, e tambm pelo relacionamento com os clientes, que so as instituies de ensino que comercializam a linha KWX. Esta rea tambm fornece o suporte tcnico aos consumidores finais, alm de informaes para a manuteno do website da empresa. Marketing rea responsvel por desenvolver toda a estratgia de comercializao e divulgao dos produtos da linha KWX. Coordena campanhas publicitrias em diferentes mdias, alm de desenvolver e manter atualizado o website da companhia.
38
Infraestrutura
Figura 2.5 Planta atual da KWX fbrica.
39
Figura 2.6 Planta atual da KWX escritrio comercial.
O que foi aprendido

11 Descrio do contexto. 11 Definio do escopo. 11 Identificao das restries. 11 Definio dos critrios.
40
3
Identificao de riscos
objetivos
Compreender o processo de identificao de riscos e identificar ativos, ameaas e controles existentes.
conceitos
Anlise e identificao de riscos, ameaas e controles.
Introduo
Aps as fases de identificao do contexto e definio do escopo, a prxima fase a de anlise/avaliao de riscos, composta por duas grandes etapas de trabalho: 11 Anlise de riscos; 11 Avaliao de riscos. Nesta sesso de aprendizagem, iniciaremos o estudo da etapa de anlise de riscos.
Exerccio de nivelamento 1 e Identificao dos riscos

No seu entendimento o que identificao dos riscos?
A fase de processo anlise de riscos identifica e valora ativos, ameaas e vulnerabilidades, sendo composta pelas seguintes etapas: 11 Identificao de riscos onde so determinados os eventos que podem causar perdas potenciais. 11 Anlise de riscos onde determinada a probabilidade de ocorrncia dos eventos. 11 Avaliao de riscos ordena os riscos de acordo com os critrios de avaliao estabelecidos na definio de contexto.
Captulo 3 - Identificao de riscos
Processo de anlise de riscos de segurana da informao
41
Aps a identificao do contexto e a definio do escopo, com o perfeito entendimento de todo ambiente, iniciado o processo de anlise/avaliao de riscos de segurana da informao. Veja em destaque na figura a seguir as atividades no processo de gesto de riscos.
ANLISE DE RISCOS
AVALIAO DE RISCOS
No
Figura 3.1 Posio da fase de anlise de riscos no processo de gesto de riscos.
Neste captulo sero apresentados os detalhes da identificao de riscos. Recomendamos o seu acompanhamento com a leitura do item 8.2.1 da norma ABNT NBR ISO/IEC 27005.
Identificao de riscos
11 Realizada para que se possa conhecer e determinar os possveis eventos com potencial de causar perdas, e fazer o levantamento de como isso pode acontecer. 11 Os resultados desta etapa sero os dados de entrada da etapa de estimativa de riscos.
importante que qualquer organizao identifique as suas fontes de risco, suas causas e consequncias. A finalidade gerar uma lista abrangente de riscos baseada em eventos que possuam capacidade de criar, aumentar, evitar, reduzir, acelerar ou atrasar a conquista dos seus objetivos. Na fase de anlise de risco, a primeira etapa a identificao de riscos. Esta identificao realizada para que se possa conhecer e determinar os possveis eventos que tenham um potencial de causar perdas, assim como levantar de que forma isso pode acontecer. As atividades de identificao de riscos so as mostradas na figura 3.2:
42
PROCESSO DE AVALIAO DE RISCOS IDENTIFICAO DE RISCOS
ANLISE DE RISCOS
Figura 3.2 Identificao de riscos na fase de anlise de riscos.
AVALIAO DE RISCOS
As atividades de identificao de riscos so mostradas na figura abaixo:
Identicao de Riscos Identicao dos ativos
Identicao das ameaas
Identicao dos controles existentes
Identicao das vulnerabilidades
Identicao das consequncias

Figura 3.3 Atividades de identificao de riscos.
Avaliao de Riscos
Identificando os ativos
11 Ativo qualquer elemento com valor para a organizao que necessite de proteo. 22 Entrada: resultados da etapa de definio do escopo. 22 Ao: desenvolvimento da atividade de identificao dos ativos.
e suficientes para a anlise e avaliao de riscos. 11 A primeira informao sobre cada ativo quem o seu responsvel? 11 Identificao de ativos: 22 Ativos primrios. 22 Ativos de suporte e infraestrutura.
11 Nvel de detalhamento que permita o fornecimento de informaes adequadas
43

Figura 3.4 Identificao dos ativos.
Avaliao de Riscos De posse das informaes levantadas durante a fase de definio de contexto, como escopo, lista de componentes e responsveis, entre outras, inicia-se a identificao dos ativos.
Ativo qualquer elemento de valor para a organizao, isto , qualquer item tangvel (como hardware) ou intangvel (por exemplo, propriedade intelectual), recurso ou habilidade que tenha valor ou seja crtico para a existncia da organizao, e que por consequncia necessite de proteo. Na atividade de identificao dos ativos: 11 Entrada: contempla os resultados da etapa de definio do escopo. 11 Ao: desenvolvimento da atividade de identificao dos ativos. A identificao dos ativos deve ser feita em um nvel de detalhamento que permita o fornecimento de informaes adequadas e suficientes para a anlise e avaliao de riscos. Como o processo define a necessidade de diversas iteraes, o detalhamento pode ser aprofundado em cada iterao. 11 Sada: lista dos ativos considerados sensveis para a organizao e tambm uma lista dos negcios relacionados a estes ativos.
Entrada
Escopo Lista de Componentes Responsveis Localidade Funo Estrutura Organizacional Misso, Objetivos
Ao
Sada
Identicao dos ativos (8.2.2 da ABNT NBR ISO/IEC 27005)
Lista de Ativos Lista de negcios

Figura 3.5 Identificao dos ativos.
44
A primeira informao sobre cada ativo quem o seu responsvel?. Este profissional tem responsabilidade sobre a produo, desenvolvimento, manuteno, utilizao e segurana do ativo; possui a maioria das informaes sobre o ativo e frequentemente ser a pessoa mais adequada para determinar o valor do ativo. Dois tipos de ativos podem ser identificados: 11 Ativos primrios; 11 Ativos de suporte e infraestrutura.
Identificando os ativos primrios

11 Os ativos primrios so processos e atividades de negcios e a informao. 11 Tipos de ativos primrios: 22 Processos ou subprocessos. 22 Atividades de negcio. 11 A informao primria pode compreender: 22 Informao vital para o exerccio das atividades da organizao. 22 Informao de carter pessoal, como as definidas em leis nacionais de privacidade.
Os ativos primrios so processos e atividades de negcios e as informaes relacionadas. A melhor forma de identificar estes ativos atravs de entrevistas com um grupo hete rogneo de profissionais que represente o processo, como gestores, especialistas nos sistemas de informao e usurios. importante a participao de representantes de todos os nveis da organizao. Normalmente, os ativos primrios so os principais processos e informaes das atividades includas no escopo. Os ativos primrios podem ser de dois tipos: 11 Processos ou subprocessos e atividades do negcio. Por exemplo: 22 Processos cuja interrupo (mesmo que parcial) impossibilita a organizao de prosseguir com seu negcio; 22 Processos que contm procedimentos secretos ou que envolvam tecnologia proprietria. 11 A informao primria pode compreender: 22 Informao vital para o exerccio das atividades da organizao; 22 Informao de carter pessoal, como as definidas em leis nacionais sobre privacidade. Normalmente as informaes para a identificao detalhada dos ativos primrios so obtidas no nvel gerencial e da alta direo da organizao. Estes ativos sero considerados sensveis para a organizao. Cabe ressaltar que existiro processos e informaes que no e informaes sensveis.
sero sensveis, mas que frequentemente herdaro controles para a proteo de processos
45
Identificando os ativos de suporte e infraestrutura

11 Os ativos de suporte e infraestrutura so compostos por: 22 Elementos fsicos (hardware) que suportam os processos 22 Programas (software) que contribuem para a operao de um sistema 22 Aplicaes de negcios 22 Dispositivos de telecomunicaes (redes) 22 Recursos humanos 22 Instalaes fsicas 22 Estrutura organizacional 11 Normalmente todas as informaes necessrias equipe de anlise de riscos no sero obtidas numa primeira entrevista. 11 A realizao de outras iteraes e de entrevistas nos nveis gerencial, tcnico e com usurios, somadas s observaes in loco na organizao permitiro que sejam obtidas informaes suficientes para a identificao dos ativos. O anexo B da norma ABNT NBR ISO/IEC 27005 em seu item B.1.2 apresenta em detalhes exemplos de ativos de suporte e infraestrutura.
importante salientar a importncia do detalhamento destas informaes sobre os ativos. Normalmente todas as informaes necessrias equipe de anlise de riscos no sero obtidas numa primeira entrevista. A realizao de outras iteraes e de entrevistas nos nveis gerencial, tcnico e de usurios, somadas s observaes in loco na organizao, permitiro que sejam obtidas informaes suficientes para a identificao dos ativos. Para a atividade de identificao dos ativos, a equipe de anlise ter como sada uma lista dos ativos considerados sensveis para a organizao e tambm uma lista dos negcios relacionados a estes ativos.
Exerccio de fixao 1 e Identificando os ativos

Cite dois ativos primrios da sua organizao e justifique.
46
Cite dois ativos de suporte e infraestrutura da sua organizao e justifique.
Identificando as ameaas
11 Ameaa qualquer evento que explore vulnerabilidades, com potencial de causar incidentes indesejados, que podem resultar em dano para um sistema ou organizao. 11 Na identificao das ameaas so realizadas aes para identificar dentro do escopo as ameaas existentes na organizao. 22 Entrada: as informaes do histrico e de incidentes passados, das observaes dos responsveis e usurios dos ativos, e ainda de catlogos externos de ameaas. 22 Ao: identificao das ameaas e suas fontes. 22 Sada: lista de ameaas identificadas por tipo e fonte. 11 Identificao da fonte da ameaa e de seu agente 22 A ameaa tem o potencial de comprometer os ativos e as organizaes e devem ser identificadas. 22 O agente da ameaa uma entidade com potencial para criar uma ameaa, explorando ou evidenciando alguma vulnerabilidade. 22 O ser humano um dos principais e mais perigosos agentes da ameaa. 22 As ameaas podem ser intencionais, acidentais ou de origem natural e ambiental. 22 Entrevistas, visitas ao local e checklists ajudam nas aes de identificao de ameaas. 11 comum as ameaas afetarem mais de um ativo. 22 Nesses casos, a equipe de anlise deve considerar que as ameaas podem afetar cada ativo de maneira diferente. 11 importante lembrar o cuidado com os dados e as informaes recebidas, pois tratam de dados confidenciais e sensveis da organizao e como tal devem ser tratados. Identicao de Riscos Identicao dos ativos
Figura 3.6 Identificao das ameaas.
Como foi visto, ameaa qualquer evento que explore vulnerabilidades, com potencial de causar um incidente indesejado, que pode resultar em dano para um sistema ou organizao. Na atividade de Identificao das Ameaas sero realizadas aes para levantar e identificar, dentro do escopo estabelecido, as ameaas existentes na organizao.
47
Desta atividade de identificao das ameaas, a equipe de anlise ter como: 11 Entrada: informaes de seu histrico, obtidas de incidentes ocorridos, de observaes apresentadas pelos responsveis e usurios dos ativos, e ainda informaes coletadas de catlogos externos de ameaas. 11 Ao: identificao das ameaas e suas fontes. A fonte da ameaa est relacionada ao seu agente, entidade que pode provocar uma ameaa explorando ou evidenciando alguma vulnerabilidade. Um dos principais e mais perigosos agentes da ameaa o ser humano. 11 Sada: uma lista de ameaas com a identificao do tipo e da fonte das ameaas.
Entrada
Informaes Anlise crtica de incidentes Informao dos Responsveis Catlogo de ameaas
Ao
Identicao das ameaas (8.2.3 da ABNT NBR ISO/IEC 27005)
Sada
Lista de Ameaas Tipo e fonte das ameaas
Figura 3.7 Identificao das ameaas.
As ameaas podem ser intencionais, acidentais ou de origem natural e ambiental. O anexo C da norma ABNT NBR ISO/IEC 27005 apresenta uma lista com 43 exemplos de ameaas que abrangem vrios tipos. Neste anexo tambm consta uma tabela com a origem de ameaas representadas por seres humanos e suas motivaes e consequncias. As ameaas tm o potencial de comprometer os ativos e as organizaes, e por isso devem ser identificadas. Durante a atividade de identificao necessria a criao de um catlogo das ameaas organizao. Neste catlogo deve constar a categoria de ameaa: se interna (origem dentro da organizao), externa (origem de fora da organizao) ou interna e externa simultaneamente. Durante as aes de identificao de ameaas, devero ser realizadas entrevistas, observa es no local e checklists, com os nveis gerenciais, tcnicos e tambm com usurios, para obter o mximo possvel de informaes. Assim podem ser obtidas informaes como: dados de incidentes ocorridos, quantidade de ocorrncias, aspectos culturais e de ambiente dos ativos, experincias em ocorrncias anteriores, avaliaes e outras informaes cole tadas nas reunies. Todas estas informaes devem ser registradas e compiladas em um documento para posterior utilizao como evidncias, caso seja necessrio. comum algumas ameaas afetarem mais de um ativo. Nesses casos a equipe deve ter a viso de que estas ameaas podem atuar de forma diferente em cada ativo, afetando-os de maneira diferente. importante lembrar o cuidado com os dados e as informaes recebidas, pois tratam de dados confidenciais e sensveis da organizao e como tal devem ser tra Gesto de Riscos de TI NBR 27005
tados por todos os envolvidos na anlise de riscos.
48
Exerccio de fixao 2 e Identificando as ameaas

Utilizando a norma, cite trs ameaas existentes na sua organizao e justifique sua resposta.
Identificando os controles existentes

11 Controle qualquer mecanismo administrativo, fsico ou operacional capaz de tratar os riscos da ocorrncia de um incidente de segurana. 11 O objetivo identificar no ambiente do escopo os controles planejados para imple mentao e os controles existentes, j implementados e em uso. 22 Entrada: documentaes dos controles j implementados e os planos de implementao de controle para o tratamento do risco. 22 Ao: identificao dos controles implementados e planejados. 22 Sada: lista de todos os controles existentes e planejados, sua implementao e status de utilizao. 11 Objetivos da identificao de controles: 22 Evitar custos e retrabalho com duplicao de controles. 22 Assegurar que os controles existentes estejam funcionando de forma adequada e tratando o risco de forma desejada. 11 Atividades da identificao de controles: 22 Reunies com os responsveis pela segurana da informao. 22 Entrevistas com usurios para identificao dos controles existentes. 22 Analisar de forma crtica a documentao sobre os controles existentes. 22 Realizar questionrios e checklists. 22 Fazer inspees fsicas, visitas e observaes nos locais. 11 Controles complementares podem ser necessrios para o tratamento efetivo do risco. 11 Controles ineficazes ou insuficientes devem ser removidos e substitudos. 11 Controles planejados devem ser avaliados se realmente sero capazes de sanar os riscos a que se referem quando forem implementados.
49

Figura 3.8 Fase de identificao dos controles existentes no processo de identificao de riscos.
Controle qualquer mecanismo administrativo, fsico ou operacional capaz de tratar os riscos da ocorrncia de um incidente de segurana. Exemplos de controles incluem pol ticas, procedimentos, estruturas organizacionais, antivrus, patches, fechaduras, extintor e backups, entre outros. Na atividade de identificao dos controles existentes o objetivo identificar no ambiente do escopo os controles que esto planejados para implementao, e os controles j implementados e em uso corrente. Nesta atividade: 11 Entrada: documentaes dos controles existentes e planos de implementao de controle para tratamento de riscos. 11 Ao: identificao dos controles implementados e planejados. 11 Sada: lista de todos os controles existentes e planejados, sua implementao e status de utilizao.
Entrada
Ao
Identicao dos controles existentes (8.2.4 da ABNT NBR ISO/IEC 27005)
Sada
Lista de Controles existentes e planejados Sua implementao e status de utilizao
Documentao dos controles Planos de Implementao
Figura 3.9 Identificao dos controles existentes.
Os objetivos desta atividade so evitar retrabalho e custos adicionais com a duplicao de

controles e assegurar que os controles existentes estejam funcionando de forma adequada, tratando efetivamente o risco. Uma forma de realizar esta atividade analisando relatrios de auditorias no SGSI, os relatrios de anlise crtica pela direo e os indicadores de efi ccia dos controles. Caso estas informaes no estejam disponveis, altamente recomendada a realizao de: 11 Reunies com os responsveis pela segurana da informao; 11 Entrevistas com usurios para levantamento dos controles existentes; 11 Anlise crtica da documentao sobre os controles existentes;
50
11 Questionrios e checklists; 11 Inspees fsicas e visitas aos locais. Uma observao importante sobre a eficcia e eficincia dos controles existentes e planejados. Um controle pode no atender plenamente e falhar no tratamento do risco. Assim controles complementares podem ser necessrios para o tratamento efetivo do risco. Outro ponto sobre controles ineficazes ou insuficientes. Nestes casos pode ser necessrio que o controle seja removido e substitudo por outro. Estes pontos devem constar na anlise dos controles existentes, realizada pela equipe de anlise. Controles planejados devem ser avaliados se realmente sero capazes de sanar os riscos a que se referem quando forem implementados.
11 Sesso 8.1, 8.2.1, 8.2.2 e 8.2.3 da norma ABNT NBR ISO/IEC 27005. 11 Sesso B.1 do anexo B da norma ABNT NBR ISO/IEC 27005. 11 Anexos C e D da norma ABNT NBR ISO/IEC 27005.
51
52
Aps identificar o ambiente, delimitar o escopo e definir os critrios, a equipe de anlise de risco j est em condies de iniciar a etapa de identificao dos riscos, executando as ativi dades necessrias Identificao de riscos: ameaas, ativos e controles existentes. A figura a seguir apresenta graficamente a localizao destas atividades no processo de gesto de riscos:
ANLISE DE RISCOS
AVALIAO DE RISCOS
No

Figura 3.10 Atividades do processo de gesto de riscos.
No
ACEITAO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAES A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao. Para esta atividade o aluno deve se valer do Anexo B (Infraestrutura), que permitir o levantamento dos equipamentos, processos, pessoas e tecnologias da empresa KWX. Sequncia das atividades: 1. Leitura das sees 8.1, 8.2 e ainda B.1 do Anexo A da ABNT NBR ISO/IEC 27005; 2. Leitura do Anexo B (Infraestrutura) deste caderno de atividades; 53
3. Explicao e demonstrao da planilha de anlise de riscos pelo instrutor; 4. Execuo das atividades da planilha: Na guia Sesso de atividades 3 da Planilha encontram-se trs guias: 1) A guia Ativos 2) a guia Ameaas 3) a guia Controles Existentes a. Exerccio da guia Ativos Identificao dos ativos do escopo da anlise de riscos Neste exerccio a equipe de anlise listar todos os ativos da organizao que estejam dentro do escopo da anlise de riscos, dividindo-os em dois grupos: Ativos Primrios e Ativos de Suporte e Infraestrutura. Cada ativo listado dever ser justificado. Devero ser listados 20 ativos, sendo 10 primrios e 10 de suporte e infraestrutura. S passe para a guia seguinte aps concluir. b. Exerccio da guia Ameaas Identificao das ameaas aos ativos. Com os ativos j identificados e conhecidos a equipe de anlise agora identificar TODAS as ameaas s quais est sujeito cada um dos ativos levantados. Para a realizao do exerccio, devero ser listadas apenas duas ameaas para cada ativo, mas lembre-se de que em uma atividade prtica real todas as ameaas devero ser listadas. Como meio auxiliar para isso, ser utilizado o Anexo C (Exemplos de ameaas comuns) da norma ABNT NBR ISO/IEC 27005. Na nossa planilha, os ativos listados na atividade anterior so copiados automaticamente para a guia Ameaas, aparecendo ao lado uma lista de ameaas para que sejam selecio nadas as ameaas que podem vir a afetar cada ativo. No se esquea de justificar as suas escolhas. S passe para a guia seguinte aps concluir. c. Exerccio da guia Controles Existentes Identificao dos controles existentes ou com implementao planejada. Com os ativos e ameaas j identificados pela equipe de anlise, a prxima atividade identificar os controles existentes e os que esto em processo de implementao. Para cada ameaa identificada e para cada ativo, a equipe de anlise de risco dever identificar se j existem controles implementados ou que esto planejados para ser implementados. Isto feito com o objetivo de evitar que estes controles sejam recomendados novamente no futuro. Neste exerccio devero ser apresentados dois controles para cada ameaa identificada, CASO EXISTAM. Para cada ativo devem ser identificados pelo menos quatro controles. Na
realidade este nmero pode ser varivel para cada ativo. Estes controles no precisam necessariamente ser referentes s ameaas listadas na etapa anterior. Se no existir controle implementado ou a ser implementado, basta colocar a resposta No existe. As respostas das guias anteriores so copiadas para esta guia. Para cada tpico devero ser colocadas direita as justificativas correspondentes. S passe para a guia seguinte aps concluir. 5. Verificao e correo pelo instrutor. Ao concluir o Roteiro de Atividades 3, a equipe de anlise ter uma listagem contendo os ativos, as ameaas que afetam ou podem vir a afetar cada ativo e os controles atualmente existentes ou previstos para serem implementados.
54
Anexo B Infraestrutura
Infraestrutura fsica
A segurana fsica mantida por uma equipe formada por profissionais relacionados Segurana Patrimonial. A segurana fsica/patrimonial da KWX contempla os seguintes ativos: 11 Portaria/Guarita: duas catracas para controle de acesso (sem funcionamento), 5 guardas terceirizados da empresa GuarFull24; 11 Estacionamentos: portes eletrnicos (dois sem funcionar) e cercas eltricas; 11 Data Center: controle de acesso atravs de chaves, sprinklers e racks destrancados; 11 No h sala cofre; 11 Estaes de trabalho sem controles especficos.
Infraestrutura tecnolgica
A rea de TI encontra-se atualmente subordinada ao diretor administrativo-financeiro. tambm a responsvel pela recm-criada rea de Segurana da Informao. Aloca dois profissionais em funes multitarefa, que se revezam nas tarefas do dia a dia, como por exemplo help desk, administrao da rede, criao e excluso de contas de usurio, entre outras.
Ativos de tecnologia
A estrutura suportada pela rea de TI da KWX atualmente composta por: 11 750 usurios com acesso rede e e-mail; 11 800 mquinas (sendo 550 notebooks); 11 25 impressoras; 11 Redes Windows; 11 Redes Linux; 11 1 servidor de e-mail Windows Exchange; 11 6 servidores de arquivos; 11 6 servidores de backup; 11 1 servidor web para suporte ao ambiente de comrcio eletrnico via internet; 11 1 servidor DNS; 11 5 firewalls; 11 3 roteadores para acesso internet (um em cada sede); 11 4 switches core para suporte infraestrutura de acesso internet; 11 1 PABX contendo ramais analgicos e digitais (total de 1200 ramais, sendo 300 com identi ficador de chamadas para a fbrica); 11 1 PABX contendo ramais digitais (total de 400 ramais, todos com identificador de cha madas para o escritrio); 11 7 salas reunies com rede wireless, videoconferncia e projetor; 11 1 servidor dedicado para o sistema ERP; 11 Servidor de e-mail/antivrus (Linux Debian); 11 Servidor de Proxy (Linux Debian);
55
11 Servidor ADM/Intranet (Windows 2000 Server/IIS); 11 Servidor Unix Criao (AIX 4); 11 10 estaes de trabalho (Windows 2003); 11 35 estaes de trabalho (Windows 8 Professional); 11 20 estaes de trabalho (Windows 7 Professional); 11 15 estaes de trabalho (Macintosh); 11 100 estaes de trabalho rodando Ubuntu 12; 11 10 notebooks (para diretoria, totalmente liberados); 11 6 switch (3 com 12 portas); 11 4 hubs (3 com 24 portas); 11 3 roteador (Cisco); 11 1 Access Point Wirelles (D-Link); 11 Link com internet (1 GB) em cada sede; 11 3 links ADSL de 10 MB inoperantes por falta de uso.
Sistemas de suporte aos negcios

Os seguintes sistemas so suportados pela rea de TI: 11 ERP: controla processos financeiro-contbeis, de fabricao, gerenciamento de materiais e logstica; 11 Sistemas de RH (folha de pagamento, controle de ponto): terceirizado com um fornecedor externo; 11 Segurana patrimonial: sistema leitor de crachs para acesso a reas controladas/restritas; 11 Site e-commerce da KWX: site institucional e de comrcio eletrnico B2B para relaciona mento com clientes e fornecedores; 11 Intranet: local onde esto contidas as notcias internas da KWX, sua viso e misso, bem como todas as polticas, procedimentos e regras da empresa; 11 Sistemas de produo: aplicaes especficas de cada uma das reas produtivas que trabalham de maneira integrada entre si, suportando, assim, os processos de produo e planejamento da KWX; 11 Sistemas de catracas/acessos: controles dos acessos, bases de dados e logs das catracas, data center e sala cofre; 11 Sistema de CFTV.
Situao atual da Segurana da Informao na empresa

Subordinada a rea de TI, a rea de Segurana da Informao conta com um profissional que atua na funo de coordenador de segurana da informao, sendo responsvel pela elaborao e gerenciamento de polticas e prticas de segurana. Trabalha em conjunto com o pessoal de TI e tambm executa periodicamente auditorias internas, alm de trabalhos de conscientizao junto aos funcionrios. O poder de deciso deste profissional no muito grande, estando ele subordinado ao gerente de TI.
56
Buscando maior competitividade, credibilidade e segurana, a KWX contratou uma equipe de consultores de segurana de informao. Essa ao foi tomada com base em uma pesquisa feita por uma consultoria de mercado realizada junto a outras empresas do mesmo segmento, motivada pelo objetivo de internacionalizao da marca no futuro. Foi definido, na contratao, um trabalho de levantamento da atual situao da empresa em termos de segurana da informao, entendimento dos processos, anlise dos riscos, propostas de melhorias, tudo isso dentro de um escopo definido com a alta gerncia.
O que foi aprendido

11 Viso geral da identificao de riscos. 11 Metodologia e atividades para identificar os riscos.
57
58
4
Anlise de riscos: Vulnerabilidades e consequncias
objetivos
Identificar vulnerabilidades e suas consequncias.
conceitos
Vulnerabilidades e suas consequncias.
Introduo
11 A anlise de risco um processo formal de identificao de ameaas e vulnerabilidades. 11 A partir da identificao do risco planejado o tratamento necessrio. 11 Identificao dos ativos, ameaas e controles existentes e a implementar. 11 Identificao das vulnerabilidades e consequncias se forem exploradas.
A anlise de risco um processo formal para identificar ameaas e vulnerabilidades, e a partir desta identificao categorizar o risco envolvido e estabelecer o tratamento adequado. Na sequncia deste processo, aps o conhecimento do contexto do ambiente onde ser existentes e tambm aqueles que precisam ser implementados. O prximo passo identi ficar as vulnerabilidades e as consequncias que podem ser provocadas caso as vulnerabili dades sejam exploradas. Esta sesso aborda as atividades de identificao das vulnerabilidades e identificao das consequncias.
Captulo 4 - Anlise de riscos: Vulnerabilidades e consequncias
realizada a anlise de risco, devem ser identificados os ativos, ameaas, alm dos controles
Exerccio de nivelamento 1 e Vulnerabilidades e consequncias

No seu entendimento, o que so vulnerabilidades e consequncias?
59
Processo de anlise de riscos de segurana da informao

Esta etapa de identificao do risco possui cinco atividades, conforme a figura abaixo: Identicao de Riscos Identicao dos ativos

Figura 4.1 Identificao das vulnerabilidades e consequncias.
Avaliao de Riscos Cada atividade deve ser executada na sequncia. Estas atividades permitiro, ao final da etapa, que os riscos tenham sido identificados.
Identificando as vulnerabilidades
11 A atividade de identificao das vulnerabilidades tem por objetivo criar uma lista com as vulnerabilidades associadas aos ativos, ameaas e controles. 11 Vulnerabilidade qualquer fraqueza que possa ser explorada e comprometa a segurana de sistemas ou informaes. 22 Entrada: as listas de ameaas conhecidas, de ativos e de controles existentes, e todas sadas das atividades anteriores. 22 Ao: atividade de identificao das vulnerabilidades que possam ser exploradas por ameaas e assim comprometer os ativos da organizao. 22 Sada: lista de cenrios de incidentes com suas consequncias associadas aos ativos e processos do negcio.
11 Durante o desenvolvimento da atividade, as seguintes reas devero ser observadas para a identificao de vulnerabilidades: 22 Organizao. 22 Processos e procedimentos. 22 Rotinas de gesto e documentao. 22 Recursos humanos (incluindo terceiros e prestadores de servios). 22 Ambiente fsico e instalaes prediais.
60
22 Configurao dos sistemas de informao (incluindo os sistemas operacionais e aplicativos). 22 Hardware, software e equipamentos de comunicao. 22 Dependncias de entidades externas. 11 Mtodos proativos: 22 Ferramentas automatizadas de procura e identificao de vulnerabilidades. 22 Avaliao e testes de segurana. 22 Teste de invaso. 22 Anlise crtica de cdigo. Vulnerabilidade qualquer fraqueza que possa ser explorada e comprometa a segurana
de sistemas ou informaes. uma fragilidade de um ativo ou grupo de ativos que pode ser explorada para concretizar uma ou mais ameaas. Identicao de Riscos Identicao dos ativos
Figura 4.2 Identificao das vulnerabilidades.

A atividade de identificao das vulnerabilidades tem por objetivo criar uma lista com as vulnerabilidades associadas aos ativos, ameaas e controles. Nesta atividade, a equipe de anlise ter como: 11 Entrada: listas de ameaas conhecidas, listas de ativos e de controles existentes, alm de todas as sadas das atividades anteriores. 11 Ao: atividade de identificao das vulnerabilidades que possam ser exploradas por ameaas com a possibilidade de comprometer os ativos. 11 Sada: lista de cenrios de incidentes com suas consequncias associadas aos ativos e processos do negcio.
61
Entrada
Ao
Sada
Lista de vulnerabilidades associadas aos ativos, s ameaas e aos controles Lista de vulnerabilidades que no se referem a nenhuma ameaa identicada
Lista de ameaas Lista de ativos Lista de controles existentes
Identicao das Vulnerabilidades (8.2.5 da ABNT NBR ISO/IEC 27005)
Figura 4.3 Identificao das vulnerabilidades.
Na realizao da atividade de identificao de vulnerabilidade, a equipe deve trabalhar atravs de dois olhares: de fora para dentro e de dentro para fora. No olhar de dentro para fora, a viso interna, com diversos privilgios, sendo confivel. Que vulnerabilidades podem existir ou podem ser exploradas? Como os sistemas podem ser comprometidos pelo pessoal interno? Na segunda, de fora para dentro, os sistemas tentaro ser comprometidos de fora. O que pode ser acessado externamente que possa comprometer os ativos e informaes da organizao? O que pode ser explorado para conferir privilgios no permitidos? Esta a viso de um atacante que tenta invadir o sistema: endereos IP publicamente roteveis, sistemas na DMZ (DeMilitarized Zone zona desmilitarizada), interfaces externas do firewall etc. H diferenas notveis entre estes dois tipos de avaliao de vulnerabilidades. A equipe de anlise deve ter em mente que a existncia de vulnerabilidades por si s no produz prejuzos, pois para isso preciso que haja uma ameaa. Mesmo assim necessrio monitorar a vulnerabilidade, para o caso de identificar mudanas em sua configurao. Uma boa prtica para esta atividade a equipe de anlise percorrer todas as dependncias abrangidas pelo escopo e realizar as entrevistas no prprio ambiente de trabalho dos entre vistados, facilitando a formulao de questionamentos a partir das observaes no ambiente. uma forma de observar vulnerabilidades e a partir delas identificar outras. Outra prtica que pode ser empregada a identificao de vulnerabilidades atravs do uso de mtodos proativos de testes, apesar do custo mais elevado. Entre os mtodos podem ser citados: 11 Ferramentas automatizadas de procura e identificao de vulnerabilidades: softwares criados para testes de segurana e descobertas de vulnerabilidades de forma automtica, gerando relatrios detalhados dos problemas e vulnerabilidades identifi cados no sistema. As ferramentas automatizadas so capazes de cruzar informaes, analis-las e testar as vulnerabilidades encontradas de maneira eficiente. Tais ferra mentas tm amadurecido, catalogando em suas bases de conhecimento a maioria das vulnerabilidades existentes, embora ainda possuam um custo relativamente alto. 11 Avaliao e testes de segurana: avaliao de vulnerabilidade um primeiro passo de
verificao de vulnerabilidades. Os resultados e informaes obtidos atravs das avalia es sero utilizados para a realizao dos testes. A avaliao verifica vulnerabilidades potenciais e os testes de segurana tentam explor-las. 11 Teste de invaso: tem como objetivo a verificao da resistncia do ativo em relao aos mtodos de ataque conhecidos. 11 Anlise crtica de cdigo: identificao de vulnerabilidades em cdigos-fonte. Em resumo, os resultados destes tipos de testes de segurana ajudam na identificao das vulnerabilidades de um sistema.
O anexo D da norma ABNT NBR ISO/IEC 27005 apresenta uma lista com diversos exemplos de vulnerabilidades, suas ameaas relacionadas e mtodos para avaliao de vulnerabilidades tcnicas.
62
Exerccio de fixao 1 e Identificando vulnerabilidades

Cite trs vulnerabilidades, sob a viso interna, da sua organizao? Justifique.
Cite trs vulnerabilidades, sob a viso de fora para dentro, da sua organizao? Justifique.
Identificao das consequncias

11 Entende-se por consequncia o resultado de um incidente ou evento que pode ter um impacto nos objetivos da organizao. Na anlise de riscos uma consequncia pode ser: 22 A perda da eficcia no funcionamento operacional dos sistemas. 22 Instabilidade no funcionamento de sistemas. 22 Condies adversas de operao. 22 Perda de oportunidade de negcios. 22 Imagem e reputao afetadas. 22 Violao de obrigaes regulatrias. 22 Prejuzo financeiro. 22 Perda de dados e informaes.
22 Perda de competitividade. 11 Um cenrio nada mais do que a descrio de uma ameaa explorando uma ou mais vulnerabilidades em um incidente de segurana da informao. 11 Exemplos de consequncias operacionais: 22 Oportunidade perdida. 22 Sade e segurana dos profissionais envolvidos. 22 Tempo de investigao e tempo de reparo. 22 Tempo de trabalho perdido. 22 Custo financeiro para reparar o prejuzo. 22 Imagem e reputao.
22 Perda de vidas humanas.
63
Figura 4.4 Identificao das consequncias.
Entende-se por consequncia o resultado de um incidente ou evento que pode ter um impacto nos objetivos da organizao. Nesta parte da anlise de riscos, uma consequncia pode ser, por exemplo: 11 A perda da eficcia no funcionamento operacional dos sistemas; 11 Instabilidade no funcionamento de sistemas; 11 Condies adversas de operao; 11 Perda de oportunidade de negcios; 11 Imagem e reputao afetadas; 11 Violao de obrigaes regulatrias; 11 Prejuzo financeiro; 11 Perda de dados e informaes; 11 Perda de vidas humanas; 11 Perda de competitividade, 11 Entre diversas outras, de acordo com os negcios da organizao.
Entrada
Lista de vulnerabilidades associadas aos ativos, s ameaas e aos controles
Ao
Sada
Identicao das consequncias (8.2.6 da ABNT NBR ISO/IEC 27005)
Lista de vulnerabilidades que no se referem a nenhuma ameaa identicada
Lista de cenrios de incidentes e suas consequncias associadas aos ativos e processos do negcio
Figura 4.5 Identificao das consequncias.
Esta atividade visa identificar as consequncias ou prejuzos para a organizao que podem decorrer de um cenrio de incidentes, fruto das vulnerabilidades identificadas. A configurao de um cenrio de incidentes considerada uma falha de segurana.
64
Um cenrio nada mais do que a descrio de uma ameaa que explora uma ou mais vulnerabilidades em um incidente de segurana da informao, podendo afetar um ou mais ativos ou apenas parte de um ativo, de acordo com os critrios estabelecidos na Definio do Contexto. Como exemplos de consequncias operacionais citam-se: 11 Oportunidade perdida; 11 Sade e segurana; 11 Tempo de investigao e tempo de reparo; 11 Tempo de trabalho perdido; 11 Custo financeiro para reparar o prejuzo; 11 Imagem e reputao.
Exerccio de fixao 2 e Identificando as consequncias

Apresente uma consequncia para trs vulnerabilidades respondidas nos exerccios de fixao 1? Justifique.
11 Sesso 8.2.5 e 8.2.6 da ABNT NBR ISO/IEC 27005. 11 Anexo D da ABNT NBR ISO/IEC 27005. 11 Norma Complementar Gesto de Riscos de Segurana da Informao e Comunicaes GRSIC, do DSIC/GSI/PR: http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf 11 SANS The Top Cyber Security Risks Twenty Critical Security Controls for Effective Cyber 11 Security Focus Vulnerabilities: http://www.securityfocus.com/ 11 CERT.br Security Related Links: http://www.cert.br/links/ 11 CAIS Centro de Atendimento a Incidentes de Segurana RNP: http://www.rnp.br/cais/alertas/
Defense: http://www.sans.org/
65
66
Com os ativos, ameaas e controles j levantados e identificados pela equipe de anlise, os prximos passos so a identificao das vulnerabilidades e as consequncias caso essas vulnerabilidades sejam exploradas pelos agentes para concretizao das ameaas. Agora sero realizadas as atividades necessrias para a Anlise de riscos identificao de riscos: vulnerabilidades e consequncias. A figura a seguir apresenta graficamente a localizao destas atividades no processo de gesto de riscos:
ANLISE DE RISCOS
AVALIAO DE RISCOS
No
TRATAMENTO DO RISCO PONTO DE DECISO 2 Tratamento satisfatrio Sim No
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao. Para esta atividade o aluno deve se valer do Anexo C (Problemas relatados e observados) que permitir o levantamento dos problemas da empresa KWX.
Figura 4.6 Atividades no processo de gesto de riscos.
ACEITAO DO RISCO
67
A sequncia das atividades ser: 1. Leitura das Sees 8.2.1.5, 8.2.1.6 e do Anexo D da ABNT NBR ISO/IEC 27005; 2. Leitura do Anexo C (Problemas relatados e observados) deste caderno de atividades; 3. Explicao e demonstrao da planilha de anlise de risco pelo instrutor; 4. Execuo das atividades da planilha; Na guia Sesso 4 da Planilha encontram-se dois botes: 1) Identifique as Vulnerabilidades abre a guia Vulnerabilidades 2) Identifique as Consequncias abre a guia Consequncias a. Exerccio da guia Vulnerabilidades Identificao das vulnerabilidades no atendidas pelos controles existentes Nesta atividade a equipe de anlise identificar e listar as vulnerabilidades existentes para cada ativo da organizao. Com os ativos, ameaas e controles j levantados e identificados pela equipe de anlise, a prxima atividade identificar as vulnerabilidades e fraquezas existentes nestes ativos e que podem ser exploradas pelos agentes para concretizarem as ameaas. Para cada vulnerabilidade deve ser apresentada a evidncia (Justificativa). Para o exerccio prtico, para cada ativo devem ser identificadas at oito vulnerabilidades, quatro para cada ameaa identificada. Na realidade este nmero varivel para cada ativo e para cada ameaa. Para auxiliar a atividade, o Anexo C deste caderno de atividades apresenta fotografias tiradas do ambiente da organizao, que revelam diversas vulnerabilidades. Alm disso, na planilha existe uma guia denominada Vulnerabilidades e Controles. Este material serve apenas como apoio para a realizao desta atividade. A planilha permite a edio apenas das clulas de vulnerabilidades e da justificativa. S passe para a guia seguinte aps concluir. b. Exerccio da guia Consequncias Identificao das consequncias das vulnerabilidades levantadas Nesta atividade a equipe de anlise vai identificar as consequncias para cada vulnerabili dade caso ela ocorra. Essas consequncias podem variar para cada tipo de ativo e cada tipo de ameaa. Para cada consequncia deve ser apresentada a evidncia ( Justificativa). Para o exerccio, para cada vulnerabilidade identificaremos apenas uma consequncia de
uma lista pr-definida. Essa lista composta por: 11 Perda ou degradao da confidencialidade; 11 Perda ou degradao da integridade; 11 Perda ou degradao da disponibilidade; 11 Perda ou degradao da autenticidade; 11 Prejuzo financeiro por retrabalho; 11 Afeta imagem e reputao.
68
Esta lista apenas para a realizao exerccio. Normalmente estas consequncias so espe cficas para cada tipo de organizao. Assim como a quantidade de consequncias para cada vulnerabilidade tambm um nmero varivel. As respostas das guias anteriores so copiadas para esta guia. S passe para a guia seguinte aps concluir. 5. Verificao e correo pelo instrutor. Ao concluir o Roteiro de Atividades 4, a equipe de anlise ter uma listagem dos ativos, ameaas que afetam ou podem vir a afetar cada ativo, os controles existentes ou com previso de implementao, as vulnerabilidades de cada ativo e as consequncias caso estas vulnerabilidades sejam exploradas pelos agentes da ameaa.
Anexo C Problemas relatados
Situao do ambiente de trabalho no almoxarifado de Braslia.
A conexo entre duas reas da mesma empresa apresenta instabilidade. Os tcnicos j utilizaram todas as ferramentas tecnolgicas disponveis, porm no identificaram o motivo da instabilidade na linha de produo, que no consegue salvar as informaes na base de dados.
69
Vista da parte lateral da sede em Campinas (SP).
Recentemente o departamento de informtica da empresa identificou srios problemas de instabilidade eltrica em sua rede. A surpresa dos tcnicos que na sala de servidores no ocorreu nenhum problema. O problema somente aconteceu na rea de estoque da organizao. Os tcnicos esto desconfiados da falta de conhecimento dos operadores do estoque (fonte: http://www.arqcoop.com/patologias-da-construcao/).
70
A equipe responsvel pela rea de TI da organizao tem sido surpreendida com a falta de link com a internet. Eles esto buscando o que pode estar ocorrendo uma vez que os fios que entram no prdio por parte da operadora esto cortados e parte desses fios foi roubada (fonte: http://brazil.indymedia.org/content/2007/02/373244.shtml).
A contabilidade da organizao e o setor de contas a pagar tiveram problemas na impresso dos boletos, e o departamento de recursos humanos da organizao no consegue emitir a folha de pagamento. Aps a anlise na impressora, percebeu-se que no havia problema com ela, mas o problema ocorria na conexo de rede. Tcnicos esto trabalhando no local para identificar o motivo. Ultimamente tem ocorrido interrupo na conexo das mquinas da empresa com o servidor de impresso. Os tcnicos j reinstalaram o software e reini cializaram o servio de impresso. Porm, o problema permanece (fonte: http://sfsonline. wordpress.com/2009/03/08/victor-konder/).
71
J aconteceu do filho do dono da empresa entrar na sala de equipamentos da organizao e colocar seu pendrive no servidor de banco de dados. Houve uma parada no servio e toda a linha de produo teve suas atividades interrompidas por duas horas. A equipe tcnica ainda est pesquisando por que o problema pode ter acontecido e o que pode ser feito para impedir que se repita.
A equipe responsvel do link de internet da organizao foi surpreendida com a reinicializao do roteador da operadora aps terem finalizado o chamado para o acerto do mesmo e o reestabelecimento da conexo com a internet. Ao chegar na sala de equipamentos perceberam que o rack estava aberto.
72
Aps interrupo na sala de conferncia da organizao durante reunio entre a diretoria e a presidncia, os tcnicos de TI (terceirizados) foram acionados para identificar o que tinha ocorrido. Os tcnicos levaram 5 horas para responder diretoria. Por este motivo tiveram o seu contrato finalizado. E a organizao optou pela contratao de outra empresa para o fornecimento do suporte de TI.
Este emaranhado de fios atrapalha o bom andamento e a agilidade na soluo de pro blemas. A organizao, preocupada com este cenrio, contratou uma firma terceirizada para resolver o problema.
73
A situao dos equipamentos de energia e telefonia tem se mostrado sem cuidado e os equipamentos so constantemente encontrados abertos. No existe qualquer controle de acesso aos equipamentos.
Certa vez, ao chegarem para trabalhar, os funcionrios foram surpreendidos pela queda de parte do teto por causa das fortes chuvas que ocorreram. A equipe tcnica de redes teve srios problemas para resolver a conexo dos equipamentos de toda a empresa para que os mesmos pudessem trabalhar em rede e dar suporte ao restante da organizao.
74
No passado, parte da empresa teve sua estrutura abalada por fortes ventos e chuvas. A equipe de suporte do provedor de internet da localidade teve sua rede isolada da internet por todo o perodo em que ocorreram as chuvas na regio.
Tem havido instabilidade na conexo de rede do prdio entre os equipamentos dos diferentes departamentos da empresa e a sala de servidores, ocasionando parada ao longo do dia nos servios e a insatisfao dos usurios com a rede. O que pode estar gerando esta instabilidade est sendo avaliado pelos tcnicos responsveis de TI.
75
Foi verificado pela equipe de TI que existem pessoas utilizando os equipamentos da orga nizao para jogos eletrnicos durante o expediente, o que vai contra a poltica organiza cional. O administrador de sistemas da organizao utiliza o seu perfil para habilitar jogos durante o perodo de trabalho e passa parte do dia jo-gando. O responsvel de TI est buscando uma forma de educar o administrador para que evite esta prtica durante o seu perodo de trabalho
Situao dos cabos no rack do almoxarifado.
76
Viso do cabeamento na parte traseira dos equipamentos do datacenter.
Uma viso na filial da organizao.
No escritrio do diretor encontram-se expostos lembretes das senhas de diversos sistemas. Segundo este diretor a empresa no tem problemas de segurana. Aqui todo mundo de confiana.
77
comum encontrar funcionrios utilizando suas tabuletas para acessar jogos durante o expediente via rede sem fio da organizao.
Situao encontrada em um notebook em uso por gerente.
Situao da documentao dos visitantes na portaria onde o sistema de vigilncia e a catraca no funcionam h seis meses.
78
Tem sido encontrado um grande nmero de funcionrios utilizando tabuletas e smartphones para acessar a rede sem fio da empresa.
Depsito de material ao lado do depsito de material inflamvel.
Sala de guarda de documentao de software e sistemas.
79
Foi encontrada uma visitante fotografando a tela de um computador com seu celular.
Infiltrao na sala de servidores em Campinas.
80
Infiltrao na sala de servidores no Rio de Janeiro (fonte: http://estadodeminas.lugarcerto. com.br/app/noticia/noticias/2008/12/06/interna_noticias,28526/sinais-de-infiltracao.shtml).
O que foi aprendido

11 Viso geral da identificao de riscos. 11 Metodologia e atividades para identificar vulnerabilidades e consequncias.
81
82
5
Anlise de Riscos: Avaliao das consequncias
objetivos
Realizar a avaliao das consequncias.
conceitos
Estimativa de riscos, metodologias de estimativa qualitativa e quantitativa, avaliao das consequncias.
Introduo
Aps a realizao do processo de identificao de riscos, necessrio um processo de atribuir valores para os ativos, ameaas, vulnerabilidades e consequncias. Isso possibilita colocar os riscos em ordem de prioridade, para trat-los de acordo com sua urgncia ou criticidade. Estes valores seguem os mesmos critrios definidos na fase de definio do contexto.
Exerccio de nivelamento 1 e Avaliao das consequncias

No seu entendimento o que avaliao das consequncias?
Captulo 5 - Anlise de Riscos: Avaliao das consequncias
Viso geral do processo de estimativa de risco

11 A etapa de estimativa de riscos a realizao de uma estimativa de valores para cada um dos itens identificados, para uma ordenao do nvel de criticidade do risco e a sua posterior mitigao. 11 Pode ser realizada com diferentes graus de detalhamento, a depender do risco, do objetivo da anlise, e das informaes, dados e recursos disponveis. 11 Pode ser qualitativa, quantitativa ou a combinao das duas. 11 Desenvolvida de acordo com os dados identificados nas atividades das etapas anteriores.
83
11 Estimativa de valores para cada um dos itens identificados para que seja possvel uma ordenao do nvel de criticidade, do risco e o tratamento posterior para a mitigao dos riscos. A anlise de riscos pode ser realizada com diferentes graus de detalhes, dependendo do risco, do objetivo da anlise, e das informaes, dados e recursos disponveis. Os fatores
que afetam a probabilidade e consequncias devem ser identificados. Esta anlise pode ser qualitativa, quantitativa ou a combinao das duas, dependendo das circunstncias. A estimativa de riscos realizada de acordo com os critrios de risco definidos pela equipe de anlise durante o incio dos trabalhos. importante considerar a interdependncia dos diferentes riscos e suas fontes. A figura seguinte apresenta o posicionamento da etapa de estimativa de riscos dentro do processo de gesto de riscos.
ANLISE DE RISCOS
AVALIAO DE RISCOS
No

No
ACEITAO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
Figura 5.1 Etapa de estimativa de riscos.
Metodologias
Duas metodologias podem ser usadas para a anlise dos riscos: 11 Anlise qualitativa de riscos. 11 Anlise quantitativa de riscos.
84
Metodologia de anlise qualitativa

11 Estimativa atravs de atributos qualificadores e descritivos que avaliam a intensidade das consequncias e a probabilidade de ocorrncia do risco. 11 No so atribudos valores financeiros aos ativos, consequncias e controles, mas escalas de atributos, atravs de valores descritivos relativos. 11 Estimativa considerada muito subjetiva.
A anlise qualitativa se baseia na avaliao, atravs de atributos qualificadores e descritivos, da intensidade das consequncias e probabilidade de ocorrncia do risco identificado. Na metodologia qualitativa, no se atribuem valores financeiros aos ativos, consequncias e controles, mas so utilizadas escalas de atributos atravs de valores descritivos relativos. Esta estimativa considerada muito subjetiva, sendo ideal para uma verificao inicial dos riscos, quando no esto disponveis dados numricos em quantidade suficiente. Exemplos de uso da anlise qualitativa: Para Probabilidade: 11 Alta, Mdia e Baixa; 11 Raro, Improvvel, Possvel, Provvel e Quase Certo; 11 Remotamente possvel, Ocasionalmente, Frequentemente, Vrias vezes ao ms; 11 Improvvel, Provvel e Certo; 11 Pequena, Mdia e Grande; 11 Baixa, Mdia, Alta, Muito Alta e Elevada; 11 Improvvel, Remoto, Ocasional, Provvel, Frequente. Para Consequncias (Impactos): 11 Alto, Mdio e Baixo; 11 Irrelevante, Negligencivel, Marginal, Crtico, Extremo e Catastrfico; 11 Extremo, Alto, Mdio, Baixo e Desprezvel; 11 Grande, Mdio, Pequeno e Irrisrio;
11 Perturbaes muito graves, Graves, Limitadas, Leves e Muito Leves; Os critrios citados acima so apenas exemplos para uso didtico. O desenvolvimento destes critrios deve levar em conta o tipo de organizao, suas informaes e dados existentes. As escalas devem ser construdas e adaptadas para as diferentes organizaes e riscos a elas associados.
Metodologia de anlise quantitativa

11 Escala de valores numricos para calcular valores numricos para cada um dos componentes coletados durante a etapa de identificao de riscos. 11 Estimativa que utiliza dados histricos, exatos e auditveis, sem os quais torna-se falsa. Na metodologia da anlise quantitativa utilizada uma escala de valores numricos com objetivo de tentar calcular valores numricos para cada um dos componentes coletados durante as atividades de identificao de riscos. A abordagem quantitativa adotada
quando h um cenrio que permita definir os valores financeiros, mesmo que aproximados, 85
dos ativos priorizados, assim como dos impactos. Por exemplo, estima-se o valor real de cada ativo em termos do custo de sua substituio, ou do custo associado perda de produtividade, e outros valores de acordo com o tipo da organizao. Esta mesma maneira para calcular pode ser empregada para o levantamento estimado do custo dos controles e outros valores identificados na etapa anterior. A anlise quantitativa deve utilizar dados histricos e dados exatos e auditveis. Caso no existam tais dados, este tipo de estimativa torna-se falsa. Exemplos de uso desta anlise quantitativa: Para Probabilidade: 11 50 %; 11 0,2; 11 0,75 Para Consequncias (Impactos): 11 Valor de substituio do ativo: R$ 12 mil; 11 Valor da manuteno do ativo; 11 Custo de implantao do controle; 11 Valor da multa por no cumprimento do contrato; 11 Prejuzo pelas horas paradas.
l
Complemente seu aprendizado estudando o item 8.3.1 da norma ABNT NBR ISO/ IEC 27005.
Exerccio de fixao 1 e Metodologias

Explique as diferenas entre a metodologia qualitativa e a metodologia quantitativa.
Qual a metodologia que melhor se aplica a sua organizao? Justifique.
Estimativa de riscos
11 Realizada aps a etapa de identificao de riscos. 11 Composta por trs atividades: 22 Avaliao das consequncias. 22 Avaliao da probabilidade dos incidentes. 22 Estimativa do nvel de risco.
86
A etapa de estimativa de riscos realizada logo aps a identificao de riscos, quando j se possui levantado e identificado, dentro do escopo acordado, os ativos, as ameaas, as vulne rabilidades e suas consequncias. A figura abaixo ilustra, didaticamente, a sequncia das atividades: Identicao dos Riscos
Anlise dos Riscos Avaliao das consequncias
Avaliao da probabilidade
Determinao do Nvel de Risco

Figura 5.2 Atividades da estimativa de riscos.
Avaliao de Riscos
Avaliao das consequncias

11 Objetivo de avaliar os impactos sobre os negcios da organizao levando-se em conta as consequncias de uma violao da segurana da informao. 11 A ordenao dos ativos pode ser feita de duas formas: 22 Atravs do valor de reposio do ativo. 22 Atravs das consequncias ao negcio. 11 A valorao dos ativos e sua classificao pela criticidade so fatores importantes para a determinao do impacto de um cenrio de incidente. 22 O incidente pode afetar mais de um ativo, em virtude da interdependncia dos ativos. 11 As consequncias podero ser expressas em funo de critrios financeiros, tcnicos, 11 Elaborao de lista de consequncias avaliadas referentes a um cenrio de incidente, em relao aos ativos e critrios de impacto. Anlise de Riscos Avaliao das consequncias
Figura 5.3 Avaliao das consequncias.
humanos, do impacto nos negcios, entre outros critrios.
87
A atividade de avaliao das consequncias tem como objetivo avaliar os impactos sobre os negcios da organizao, levando em conta as consequncias de uma violao da segurana da informao, como, por exemplo: perda ou degradao da disponibilidade dos ativos, perda da confidencialidade ou perda da integridade. Para esta avaliao, a equipe de anlise levar em conta os critrios e fatores definidos e adotar uma das metodologias de estima tiva: qualitativa ou quantitativa.
Entrada
Lista de cenrios de incidentes, incluindo ativos afetados, vulnerabilidades e consequncias para os ativos e negcios
Ao
Avaliao das consequncias (8.3.2 da ABNT NBR ISO/IEC 27005)
Sada
Lista de consequncias avaliadas
Figura 5.4 Avaliao das consequncias.
11 Entrada: resultados da etapa de identificao dos riscos. 11 Ao: exatamente o desenvolvimento da atividade de avaliao das consequncias sobre o negcio da organizao. 11 Sada: lista de consequncias referentes a um cenrio de incidente, estando relacionada aos ativos e critrios de impacto. Uma das primeiras aes a ordenao dos ativos de acordo com a sua criticidade e importncia para a realizao dos objetivos de negcio da organizao. possvel realizar isto de duas formas: 11 Atravs do valor de reposio do ativo: onde se determina o custo financeiro da recuperao ou reposio do ativo e tambm do valor da informao que ele contenha. Por exemplo: um servidor de e-mail de uma determinada empresa queimou e tem o seu custo de reposio estimado em R$ 5 mil. Na metodologia qualitativa o valor ALTO e na metodologia quantitativa o valor R$ 5 mil. 11 Atravs das consequncias ao negcio: o valor determinado pelo impacto das consequncias nos negcios. Normalmente este valor mais significativo que somente o valor do ativo. Prosseguindo no exemplo do servidor de e-mail queimado do item anterior, identificamos que a empresa trabalha com vendas de material esportivo artesanal, e que suas vendas so realizadas via e-mail, inclusive o processo de pagamento. O servidor levou cinco dias para ser reposto e configurado, e o proprietrio estima que deixou de vender aproximadamente R$ 20 mil por cada dia parado. Na metodologia qualitativa o valor ELEVADO e na metodologia quantitativa o valor de R$ 100 mil (5 dias parado x R$ 20 mil por dia). A valorao dos ativos e sua classificao pela criticidade so importantes para a determi Gesto de Riscos de TI NBR 27005
nao do impacto de um cenrio de incidente, pois o incidente pode ainda afetar mais de um ativo, em virtude da interdependncia dos ativos. Assim, a avaliao das consequncias est fortemente relacionada valorao dos ativos. Lembre-se de que as consequncias podero ser expressas em funo dos critrios monetrios, tcnicos, humanos, do impacto nos negcios ou outros critrios importantes para a organizao.
11 Sesso 8.3.2 da norma ABNT NBR ISO/IEC 27005.
88
Aps a equipe ter as listagens de ativos, ameaas, vulnerabilidades e consequncias, tem incio o trabalho de estimativa dos riscos. Aqui a equipe avalia a relevncia dos ativos e a severidade das consequncias, com as atividades necessrias para a Anlise de risco estimativa de riscos. A figura a seguir apresenta graficamente a localizao destas atividades no processo de gesto de riscos:
ANLISE DE RISCOS
AVALIAO DE RISCOS
No

No
ACEITAO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao. Para esta atividade o aluno deve se valer das observaes sobre a empresa KWX. A sequncia das atividades ser: 1. Leitura da Seo 8.3.2 e do Anexo E da ABNT NBR ISO/IEC 27005; 2. Explicao e demonstrao da planilha de anlise de risco pelo instrutor;
89
3. Execuo das atividades da planilha; Na guia Sesso 5 da planilha encontram-se duas guias: 1) a guia Aval. Qual. dos Ativos 2) a guia Aval. Qual. da Severidade a. Exerccio da guia Aval. Qual. dos Ativos Avaliao da relevncia dos ativos Neste exerccio a equipe de anlise identificar a relevncia de cada ativo para os negcios da organizao. Para cada relevncia de cada ativo deve ser apresentada a evidncia (Justificativa). Os critrios de relevncia foram definidos no Roteiro de Atividades 2 e agora sero aplicados. Para o exerccio, os critrios sero escolhidos de uma lista que apresentar os critrios anteriormente definidos. A planilha permite a edio apenas das clulas de relevncia e da justificativa. S passe para a guia seguinte aps concluir. b. Atividade da guia Aval. Qual. da Severidade Avaliao da severidade das consequncias. Nesta atividade a equipe de anlise identificar a severidade de cada consequncia anteriormente levantada sobre determinado ativo e sua relevncia para o negcio da organizao. A resposta ser dada por um dos nveis do critrio Severidade das Consequncias definido no Roteiro de Atividades 2 na guia de Critrios. Para cada consequncia a equipe de anlise definir a severidade das consequncias sobre aquele ativo. Para cada severidade de cada consequncia deve ser apresentada a evidncia ( Justificativa). Para o exerccio, os critrios sero escolhidos de uma lista que apresentar os critrios anteriormente definidos. A planilha permite a edio apenas das clulas de severidade e da justificativa. S passe para a guia seguinte aps concluir. 4. Verificao e correo pelo instrutor. Ao concluir o Roteiro de Atividades 5, a equipe de anlise ter uma listagem contendo os ativos, as ameaas que afetam ou podem vir a afetar cada ativo, os controles existentes ou com previso de implementao, as vulnerabilidades que existem em cada ativo e as consequncias caso estas vulnerabilidades sejam exploradas pelos agentes da ameaa. J ter determinado ainda a relevncia de cada ativo para os negcios da organizao e a severi Gesto de Riscos de TI NBR 27005
dade das consequncias.
O que foi aprendido

11 Metodologias qualitativa e quantitativa. 11 Como realizar a estimativa dos riscos. 11 Como realizar a avaliao das consequncias.
90
6
Anlise de riscos: avaliao da probabilidade
objetivos
Realizar a avaliao da probabilidade e determinar o nvel de risco.
conceitos
Probabilidade, avaliao da probabilidade e nvel de risco.
Introduo
Nesta etapa da anlise de risco, que faz parte do processo de anlise de risco, so tratadas as atividades de identificao das probabilidades de ocorrncia e a determinao do nvel de risco. Estas duas atividades iro compor a concluso do processo de anlise de risco.
Exerccio de nivelamento 1 e Avaliao da probabilidade

O que probabilidade em um processo de gesto de riscos?
Captulo 6 - Anlise de riscos: avaliao da probabilidade
91
Viso geral do processo de avaliao de risco

Conforme foi visto, o processo de avaliao de risco composto por trs atividades bsicas. Nesta sesso sero abordadas duas, como mostra a figura abaixo:
PROCESSO DE AVALIAO DE RISCOS IDENTIFICAO DE RISCOS
Anlise de Riscos Avaliao das consequncias
ANLISE DE RISCOS
AVALIAO DE RISCOS
Figura 6.1 Estimativa e avaliao de riscos.
Avaliao da probabilidade de ocorrncia de incidentes

11 Avaliao da probabilidade de ocorrncia de incidentes em cada cenrio e seus impactos. 11 Para a estimativa da probabilidade ser necessrio: 22 Estudo do histrico de ocorrncias de incidentes de segurana. 22 Relatrio de frequncia de ocorrncia das ameaas e dos nveis de possibilidade de explorao das vulnerabilidades identificadas. 11 Para a estimativa da probabilidade a equipe de anlise dever levar em conta: 22 A experincia passada e as estatsticas histricas aplicveis determinada ameaa. 22 As vulnerabilidades, individualmente e em conjunto. 22 Os controles existentes e a eficincia e eficcia com que reduzem as vulnerabilidades. 11 Metodologias de anlise: 22 Qualitativa 22 Quantitativa Anlise de Riscos Avaliao das consequncias
Figura 6.2 Avaliao da probabilidade.
Aps a identificao dos cenrios de incidentes e da avaliao das consequncias, necessrio realizar a avaliao da probabilidade de riscos em cada cenrio e dos impactos correspondentes. Nesta atividade importantssimo o uso do histrico de ocorrncias de incidentes de segurana.
92
Na atividade de avaliao da probabilidade de incidentes: 11 Entrada: listas de cenrios de incidentes identificados como relevantes na atividade de avaliao das consequncias. 11 Ao: avaliao da probabilidade de ocorrncia de incidentes de segurana. 11 Sada: probabilidade dos cenrios de incidentes no mtodo quantitativo ou qualitativo.
Entrada
Lista de cenrios de incidentes, incluindo ativos afetados, vulnerabilidades exploradas e consequncias para os ativos e negcios
Ao
Avaliao da probabilidade (8.3.3 da ABNT NBR ISO/IEC 27005)
Sada
Probabilidade dos cenrios de incidentes
Figura 6.3 Avaliao da probabilidade dos incidentes.
Para esta avaliao so usadas metodologias de anlise quantitativa e qualitativa. Para a equipe estimar a probabilidade necessrio realizar o estudo do histrico de ocorrncias, da frequncia da ocorrncia das ameaas e da facilidade com que as vulnerabilidades podem ser exploradas. Como exemplo considere os seguintes depoimentos em entrevistas: 11 Histrico: consta que h cerca de trs anos ocorreu uma indisponibilidade do servidor por falha de hardware. 11 Frequncia: tem havido falhas de software e travamento do servidor de e-mail, que logo depois volta a funcionar. Isto j ocorreu umas cinco vezes nos ltimos dois meses. 11 Facilidade: o servidor de e-mail tem ficado na sala do almoxarifado. Assim fica mais fcil despachar os pedidos. O pessoal acessa diretamente o servidor de e-mail. No se trata de um ambiente fechado, pois cerca de nove pessoas trabalham ali. Na estimativa da probabilidade, a equipe de anlise dever considerar a experincia passada e as estatsticas histricas aplicveis determinada ameaa. 11 Fontes de ameaas intencionais: 22 Motivao para explorar, como conflitos com superiores e insatisfao profissional. 22 Competncias e conhecimento: determinadas vulnerabilidades s podem ser explo radas se o atacante tiver elevado conhecimento tcnico; para explorar outras vulnerabilidades basta desligar a energia.
22 Conhecimento da vulnerabilidade, pois nem todos conseguem perceber a existncia da vulnerabilidade, embora alguns j saibam onde a senha guardada. 22 Poder de atrao do ativo: para um atacante motivado em causar um grande prejuzo, um servidor de e-mail no o bastante; j para outro atacante com objetivo de provocar pequenos problemas repetidamente, tirar o servidor do ar suficiente. 11 Para as fontes de ameaas acidentais: 22 Proximidade de lugares insalubres e que possam danificar os equipamentos; 22 Eventos climticos como temporais, inundaes e vendavais; 22 Fatores facilitadores, que permitem que um erro humano acidental (como manuseio por pessoas tecnicamente despreparadas) acarrete em mau funcionamento (por exemplo, rede eltrica instvel). As vulnerabilidades devem ser analisadas tanto individualmente quanto em conjunto, assim como os controles existentes e a eficincia e eficcia com que esto reduzindo as vulnerabilidades.
93
Assim, ao analisar um determinado ativo de acordo com os fatores mencionados, a equipe de anlise pode ter o seguinte resultado, baseado em duas metodologias de estimativa: 11 Qualitativa: alta probabilidade de ocorrer uma falha de disponibilidade, pois o equipamento est localizado em rea de grande umidade; 11 Quantitativa: probabilidade de 75% de ocorrer uma falha de disponibilidade, pois o equipamento est localizado em uma rea de grande umidade.
Exerccio de fixao 1 e Avaliao da probabilidade

Como voc avaliar a probabilidade na sua organizao? Explique.
Determinao do nvel de risco

11 A determinao do nvel de risco uma atividade na qual a equipe de anlise vai mensurar o nvel de risco com o uso dos resultados obtidos nas etapas anteriores. 11 Nesta atividade sero conferidos valores para a probabilidade e consequncias do risco. 11 Esta atividade o incio da construo da tabela de anlise dos riscos.
Avaliao das consequncias
Figura 6.4 Determinao do nvel do risco.
A determinao do nvel de risco uma atividade na qual a equipe de anlise vai mensurar o nvel de risco com o uso dos resultados obtidos nas etapas anteriores. Nesta atividade sero dados valores para a probabilidade e consequncias do risco. Nesta atividade de determinao do nvel de risco:
11 Entrada: so as listas de cenrios de incidentes identificados com suas consequncias e probabilidades na atividade de avaliao da probabilidade. 11 Ao: determinao do nvel de risco para todos os incidentes considerados. 11 Sada: uma lista de riscos com nveis de valores.
94
Entrada
Lista de cenrios de incidentes com suas consequncias associadas aos ativos, processos de negcios e suas probabilidades
Ao
Determinao do nvel de risco (8.3.4 da ABNT NBR ISO/IEC 27005)
Sada
Lista de riscos com nveis de valores designados
Figura 6.5 Determinao do nvel de risco.
Esta atividade o incio da construo da tabela para analisar os riscos. O item E.2 do anexo E da norma ABNT NBR ISO/IEC 27005 detalha os mtodos existentes para esta estimativa. A escolha do mtodo ideal fruto do tipo da organizao e de sua estrutura para a gesto dos riscos. A equipe de anlise deve escolher o mtodo que melhor atenda s necessidades de negcio da organizao e que seja facilmente entendido pelos seus integrantes.
Para pensar
Leia atentamente o Anexo E. Aps a leitura, escolha o mtodo que voc considera que melhor se adaptaria sua organizao. Aps a escolha comece a trabalhar com este modelo.
11 Sesso 8.3.3 da norma ABNT NBR ISO/IEC 27005. 11 Sesso 8.3.4 da norma ABNT NBR ISO/IEC 27005. 11 Anexo E da norma ABNT NBR ISO/IEC 27005.
95
96
Neste roteiro, sero realizadas as atividades necessrias para a Anlise de risco probabilidade e estimativa de riscos. A figura a seguir apresenta graficamente a localizao destas atividades no processo de gesto de riscos:
ANLISE DE RISCOS
AVALIAO DE RISCOS
No

No

A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao. Para esta atividade o aluno deve se valer das observaes da empresa KWX. A sequncia das atividades ser: 1. Leitura das Sees 8.3.2, 8.3.3 e 8.3.4 da ABNT NBR ISO/IEC 27005; 2. Explicao e demonstrao da planilha de anlise de risco pelo instrutor; 3. Execuo das atividades da planilha;
97
Na guia Sesso 6 da planilha encontram-se trs guias: 1) a guia Aval. Qualitativa Probabilidade 2) a guia Estimativa 3) a guia Res. Estimativa Qualitativa
a. Exerccio da guia Aval. Qualitativa Probabilidade Avaliao da probabilidade Neste exerccio a equipe de anlise identificar e definir a probabilidade das vulnerabilidades serem exploradas e das consequncias acontecerem. Com uma viso mais ampla das vulnerabilidades e consequncias, a equipe definir a probabilidade de ocorrncia destes eventos. Os critrios de probabilidades foram definidos durante o Roteiro de Atividades 2 e sero agora aplicados. Para cada vulnerabilidade a equipe analisar e definir sua probabilidade. Para cada proba bilidade de cada vulnerabilidade dos ativos deve ser apresentada a evidncia (Justificativa). Para o exerccio, os critrios de probabilidade sero escolhidos de uma lista que apresentar os critrios anteriormente definidos. A planilha permite a edio apenas das clulas de probabilidade e da justificativa. S passe para a guia seguinte aps concluir. b. Exerccio da guia Estimativa Definio das estimativas (pesos). Neste exerccio a equipe de anlise j conhecer todo o ambiente, seus ativos, vulnerabilidades e probabilidade de ocorrncia, e assim definir os pesos para a definio e clculo do risco. A insero de pesos em cada critrio visa facilitar o clculo dos riscos e assim permitir que sejam ordenados por criticidade. Os critrios foram definidos no Roteiro de Atividades 2. Agora ser feita apenas a insero dos pesos em cada critrio. Note que nesta atividade no ser feita nenhuma alterao nos critrios anteriormente definidos. Caso se identifique a necessidade de alterar os critrios durante o processo de gesto de risco, ser necessrio voltar para a atividade de critrios e refaz-la, revisando todo o trabalho a partir da. Para o exerccio, a guia Estimativa apresenta os critrios anteriormente definidos, acrescidos da coluna Peso. Nesta coluna ser colocado o peso definido pela equipe de anlise de risco a partir de sua viso da organizao. A planilha j apresenta os pesos com valor 0 e a equipe dever substitu-los pelos valores que julgar vlidos. Por exemplo: 11 1, 2, 3, 4 e 5;
11 1, 3, 5,7 e 9; 11 1, 2, 3, 6 e 10; 11 1, 2, 4, 6 e 8. Estes pesos podem ser alterados para que possam representar a realidade da organizao. A equipe define estes pesos pela sua experincia com a organizao. Cada valor de peso deve ter uma justificativa para o seu valor. Ao lado dos critrios de risco, aparece a pontuao de cada critrio, calculada automaticamente a partir dos pesos dados pela equipe, alm da priorizao de tratamento dos riscos aceita pela equipe.
98
A planilha permite a edio apenas das clulas de peso e de aceitao. S passe para a guia seguinte aps concluir. 11 Atividade da guia Res. Estimativa Qualitativa Resultado das estimativas. Nesta atividade a equipe de anlise analisar o resultado das estimativas para identificar se ela est realmente atendendo as necessidades do negcio da organizao. A equipe deve analisar detalhadamente os resultados. Para o exerccio, analise cada resultado e apresente sua justificativa informando se atendem ou no aos requisitos da organizao. Para facilitar o entendimento, volte para a atividade anterior e altere os pesos, verificando o que acontece com os resultados. Na sua viso de analista de riscos, qual resultado atende melhor aos requisitos de negcios?
Analise todos os resultados da estimativa, e em caso de dvida pergunte ao instrutor. A planilha permite a edio apenas das clulas da justificativa. S passe para a guia seguinte aps concluir. 4. Verificao e correo pelo instrutor. Ao concluir o Roteiro de Atividades 6, a equipe de anlise ter uma viso ampla dos resultados da anlise de risco, podendo identificar o impacto de cada consequncia caso as vulnerabilidades sejam exploradas pelo agente da ameaa.
O que foi aprendido

11 Conceito de probabilidade e estimativa de riscos. 11 Clculo da probabilidade de um risco ocorrer.
99
100
7
Avaliao de riscos
objetivos
Conceituar, definir e executar a avaliao de riscos.
conceitos
Avaliao de risco.
Introduo
Com os resultados obtidos nas fases anteriores, a equipe de anlise j possui dados sufi cientes para iniciar a fase de avaliao de riscos, fase responsvel por ordenar os riscos por prioridade, de acordo com os critrios de avaliao de riscos definidos. Este captulo deve ser realizado com consulta norma ABNT NBR ISO/IEC 27005.
Exerccio de nivelamento 1 e Avaliao de riscos

Quais as informaes voc j possui para iniciar a avaliao de riscos? Explique.
Processo de avaliao de riscos de segurana da informao

A fase de avaliao de riscos auxiliar nas decises tendo como base os resultados da anlise de riscos. Esta fase da gesto de riscos tem por objetivo comparar os nveis de riscos identificados na fase anterior com os critrios de avaliao e aceitao de riscos. Estes critrios so definidos durante a definio do contexto e devero estar alinhados aos objetivos da organizao. Da fase de avaliao de riscos: 11 Entrada: lista de riscos com os nveis de valores e critrios para avaliao de riscos. 11 Ao: comparao do nvel dos riscos com os critrios de avaliao. 11 Sada: lista de riscos ordenados por prioridade, segundo os critrios de avaliao de riscos.
Captulo 7 - Avaliao de riscos
101
ANLISE DE RISCOS
AVALIAO DE RISCOS
No
Figura 7.1 Avaliao de riscos.
Avaliao de riscos de segurana da informao

11 Comparao dos riscos estimados com os critrios de avaliao definidos na fase de contexto. 22 A organizao dever tomar as decises desta fase com base no nvel de risco aceitvel. 11 importante que a organizao considere tambm: 22 As propriedades da segurana da informao (CIDA): 33 Confidencialidade. 33 Integridade. 33 Disponibilidade.
33 Autenticidade. 22 A importncia do processo de negcios ou da atividade suportada por um determinado ativo ou conjunto de ativos. 22 A agregao de riscos pequenos e mdios que podem resultar em um risco total significativo, para assim trat-lo. 22 A considerao aos requisitos contratuais, regulatrios e legais. 33 Atividade a ser concluda em conjunto com a organizao, pois somente ela tem a viso completa dos objetivos estratgicos de seu negcio.
102
Nesta fase as equipes de anlise juntamente com a organizao devem comparar os riscos estimados (mtodos no Anexo E da norma) com os critrios de avaliao definidos durante a fase de contexto. A organizao dever tomar as decises desta fase com base no nvel de risco aceitvel. Porm, fatores como consequncias, probabilidade e confiana tambm devero ser considerados para melhor orientar as tomadas de deciso. Durante esta avaliao importante que a organizao considere: 11 As propriedades da segurana da informao (Confidencialidade, Integridade, Disponi bilidade, Autenticidade CIDA): se uma destas propriedades no for importante para a organizao, ela poder considerar como de baixo valor os riscos que provocam vulnerabilidades ligadas a esta propriedade, e assim enquadr-los como riscos aceitveis. 11 A importncia do processo de negcios ou da atividade suportada por determinado ativo ou conjunto de ativos: se um processo ou atividade avaliado pela organizao como de baixa importncia, os riscos associados a ele devem ser tambm levados menos em considerao do que os riscos que causam impactos em processos ou atividades mais importantes.
Exerccio de fixao 1 e Avaliao de risco

Explique a importncia das propriedades da segurana da informao para a sua organizao?
Outro ponto importante a ser considerado durante a avaliao de riscos a agregao de vrios riscos considerados riscos pequenos ou mdios para, atravs desta agregao, que resulta em um risco total bem mais significativo, poder trat-lo adequadamente. Nesta fase importante que as equipes de anlise avaliem os requisitos contratuais, regulatrios e legais. Esta atividade deve ser realizada em conjunto com a organizao, pois somente ela tem a viso completa dos seus objetivos estratgicos de negcio.
Entrada
Uma lista de riscos com nveis de valores e critrios para avaliao de riscos
Ao
Avaliao de Riscos (8.4 da ABNT NBR ISO/IEC 27005)
Sada
Lista de riscos ordenados por prioridade segundo os critrios de avaliao
Figura 7.2 Fase de avaliao de riscos.
11 Sesso 8.4 da norma ABNT NBR ISO/IEC 27005. 11 Anexo E da norma ABNT NBR ISO/IEC 27005. 11 Item 5.4.4 da norma ABNT NBR ISO 31000.
103
Captulo 7 - Avaliao de riscos
104
Nesta atividade, sero realizadas as atividades necessrias para a Anlise de riscos avaliao de riscos numa avaliao qualitativa. A figura a seguir apresenta graficamente a localizao destas atividades no processo de gesto de riscos:
ANLISE DE RISCOS
AVALIAO DE RISCOS
No

No
ACEITAO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAES A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao. Para esta atividade o aluno deve se valer das observaes da empresa KWX. A sequncia das atividades ser: 1. Leitura da Seo 8.4 da ABNT NBR ISO/IEC 27005; 2. Explicao e demonstrao da planilha de anlise de risco pelo instrutor; 3. Execuo das atividades da planilha; 105
Na guia Sesso 7 da Planilha encontram-se duas guias: 1) a guia Calcular o Risco 2) a guia Avaliar o Risco a. Exerccio da guia Calcular o Risco Clculo do risco. Nesta atividade a equipe de anlise ir realizar o clculo do risco. Com as atividades anteriores j realizadas, o trabalho nesta atividade de acompanha-
mento e anlise dos resultados com a aplicao dos critrios. Para fins de exerccio, a equipe deve analisar criteriosamente os resultados e verificar se h concordncia com os resultados de risco apresentados. Para facilitar a compreenso, volte para as atividades dos Roteiros 5 e 6 e altere suas respostas, observando o que acontece com os resultados neste Roteiro 7. Comente suas impresses sobre os resultados.
Nesta anlise de riscos, qual a quantidade de riscos extremos? E de riscos considerados Altos? E de riscos Baixos?
A planilha no permite a edio de nenhuma das clulas. S passe para a guia seguinte aps concluir. b. Exerccio da guia Avaliar o risco Avaliao do risco. Aps a equipe de anlise ter calculado o risco e com o conhecimento de todo o ambiente e de seus problemas, ela dever fazer uma avaliao dos riscos e de seus resultados, definindo a prioridade de mitigao destes riscos. Para fins de exerccio, a prioridade ser escolhida da lista definida na guia Estimativa da Sesso 6. Para cada prioridade definida a equipe de anlise deve apresentar a evidncia ( Justificativa). A planilha permite a edio apenas das clulas de Avaliao de risco (prioridade) e da justificativa. S passe para a guia seguinte aps concluir. 4. Verificao e correo pelo instrutor.
Ao concluir o Roteiro de Atividades 7, a equipe de anlise estar com uma listagem dos ativos e riscos para cada vulnerabilidade. Esta listagem permite a definio dos maiores riscos, colocando-os em ordem de prioridade e definindo os controles que devem ser empregados para trat-los.
O que foi aprendido

11 Compreender o processo de avaliao de riscos. 11 Realizar a avaliao de riscos.
106
8
Tratamento e aceitao de riscos
objetivos
Conceituar e definir tratamento de riscos; desenvolver e aplicar o plano de tratamento de riscos; compreender e aplicar as formas de tratamento de riscos; definir o risco aceitvel e o risco residual; e executar a aceitao de riscos.
conceitos
Tratamento e aceitao de riscos, risco residual e risco aceitvel.
Introduo
O trabalho realizado pela equipe de anlise at este momento foi basicamente de coleta de informaes, avaliao dos riscos e ordenao dos riscos por prioridade. Mas como tratar estes riscos? Como selecionar os controles necessrios? Estas dvidas sero sanadas na fase de tratamento do risco de segurana da informao. Este captulo deve ser realizado com consulta norma NBR ISO/IEC 27005.
Exerccio de nivelamento 1 e Tratamento e aceitao dos riscos

Como so executados o tratamento e a aceitao de riscos na sua organizao? Explique.
Viso geral do processo de tratamento do risco

11 Fase posterior s fases de definio do contexto, anlise de riscos e avaliao de riscos. 11 Ao final destas trs fases, a equipe faz uma anlise crtica dos resultados e da situ ao dos trabalhos desenvolvidos. 11 Se a avaliao for considerada satisfatria, a equipe prossegue em seus trabalhos e inicia a fase seguinte, de tratamento do risco.
A fase de tratamento de risco realizada aps as fases de definio do contexto, anlise de riscos e avaliao de riscos. Ao final destas trs fases, a equipe faz uma anlise crtica dos resultados e verifica a situao dos trabalhos desenvolvidos.
107
Captulo 8 - Tratamento e aceitao de riscos
Caso esta avaliao seja considerada insatisfatria ou incompleta, a equipe retorna aos trabalhos a partir da definio do contexto, buscando solucionar as dvidas que porventura tenham surgido, ou seja, refaz os trabalhos desde o incio, buscando um aprofundamento maior. Se a avaliao for considerada satisfatria, a equipe prossegue em seus trabalhos e realiza a fase seguinte, de tratamento do risco. A figura abaixo apresenta o posicionamento desta fase:
ANLISE DE RISCOS
AVALIAO DE RISCOS
No
TRATAMENTO DO RISCO PONTO DE DECISO 2 Tratamento satisfatrio Sim ACEITAO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAES No tratamento do risco a equipe de anlise ter como: No
Figura 8.1 Tratamento do risco.
11 Entrada: lista de riscos ordenados por prioridade, associados aos cenrios de incidentes. 11 Ao: identificao dos controles para reduzir, reter, evitar ou transferir os riscos e a definio do plano de tratamento. 11 Sada: plano de tratamento dos riscos e dos riscos residuais. Este plano estar sujeito
aprovao dos gestores da organizao.
Entrada
Lista de riscos ordenados por prioridade
Ao
Tratamento do Risco (9 da ABNT NBR ISO/IEC 27005)
Sada
Plano de tratamento do risco e dos riscos residuais, sujeito a aprovao
Figura 8.2 Tratamento do risco.
108
A figura a seguir apresenta as atividades do processo de tratamento do risco.
RESULTADOS DA AVALIAO DE RISCOS
AVALIAO SATISFATRIA Ponto de Deciso 1 Tratamento do risco OPES DE TRATAMENTO DO RISCO
MODIFICAO DO RISCO
RETENO DO RISCO
AO DE EVITAR O RISCO
COMPARTILHAMENTO DO RISCO
RISCOS RESIDUAIS
Figura 8.3 Atividades do tratamento do risco.
TRATAMENTO SATISFATRIO Ponto de Deciso 2
Tratamento do risco
11 O tratamento de risco utilizado para responder aos riscos identificados. 11 As escolhas e decises tomadas devem levar em conta: 22 A avaliao do tratamento de risco proposto j realizado. 22 A viabilidade tcnica e financeira.
22 A eficincia do tratamento. 22 Deciso se os nveis de risco residual so tolerveis. 22 As caractersticas do negcio da organizao. 11 A fase de tratamento do risco possui quatro opes, que no so mutuamente exclusivas: 22 Modificao do risco. 22 Reteno do risco. 22 Ao de evitar o risco . 22 Compartilhamento do risco.
109
22 A eficcia dos controles.
11 Para a deciso de remoo de controles, imprescindvel que a equipe tenha noo da interdependncia dos ativos e seus controles, para que esta deciso no provoque a reduo da segurana como um todo. 11 A equipe dever montar um plano de tratamento. 11 O plano aborda os ndices de reduo do risco com a implementao de cada controle, permitindo aos gestores uma deciso pautada em indicadores e metas bem definidas. 11 Uma forma de identificar os controles seguindo a norma NBR ISO/IEC 27002.
O tratamento de risco utilizado para responder aos riscos identificados. Existem diferentes opes para tratar e responder ao risco. As escolhas e decises tomadas pela equipe de anlise, em conjunto com a direo da organizao, devem levar em conta: 11 A avaliao do tratamento de risco proposto j realizado; 11 A viabilidade tcnica e financeira, isto , os custos de implementao do controle; 11 A eficcia dos controles; 11 A eficincia do tratamento; 11 Deciso se os nveis de risco residual so tolerveis; 11 As caractersticas do negcio da organizao (viabilidade econmica). Aps esta anlise sobre os controles necessrios para o tratamento dos riscos, a equipe deve selecionar a melhor opo para reduzir o risco a um nvel aceitvel ou ao mnimo possvel. A fase de tratamento do risco possui quatro opes que no so mutuamente exclusivas, ou seja, que podem ser combinadas entre si: 11 Modificao do risco; 11 Reteno do risco; 11 Ao de evitar o risco; 11 Compartilhamento do risco. Estas opes so definidas pela equipe de anlise levando em conta tudo o que foi identi ficado no processo de anlise. Na definio dos controles necessrios, a equipe vai desen volvendo uma viso geral de todos os controles, tanto os identificados como necessrios quanto os identificados como implementados. Desta maneira permite o levantamento dos controles redundantes e desnecessrios, passveis de remoo. Para a deciso de remoo de controles, imprescindvel que a equipe tenha uma noo precisa da interdependncia dos ativos e dos seus controles, para que a deciso no pro voque a reduo da segurana como um todo. Durante esta fase, todas as restries levantadas na definio do contexto devero ser levadas em considerao durante o processo de tratamento do risco.
Aps a deciso do tratamento necessrio, a equipe dever montar um plano de tratamento. O plano uma ordenao dos riscos e controles a serem implementados de acordo com o seu grau de impacto nos negcios. Em princpio os riscos de maior impacto devem ser os primeiros a serem tratados. Entretanto, pelo custo e pela demora de implementao dos controles para os riscos mais crticos, pode ser mais interessante comear pelos controles de custo mais baixo e mais rpidos de serem implementados. Esta pode ser uma boa opo caso se queira apresentar resultados rpidos para apoiar uma poltica de conscientizao e treinamento em segurana da informao. Lembre-se, entretanto, de que isto no significa esquecer os demais controles.
110
Uma forma de identificar os controles seguir a norma NBR ISO/IEC 27002. A aprovao do plano de tratamento cabe aos gestores da organizao. Por isso extremamente importante que o plano aborde os ndices de reduo do risco. A implementao de cada controle permitir aos gestores uma deciso pautada em indicadores e metas bem definidas. Selecionar a opo mais adequada de tratamento de riscos envolve equilibrar os custos e os esforos necessrios de implementao de um lado e do outro, os benefcios decorrentes levando-se em conta os requisitos legais, regulatrios ou quaisquer outros. importante que o plano identifique de forma clara a ordem de prioridade em que cada tratamento e controle deva ser implementado.
Riscos residuais
11 Riscos residuais so aqueles que restam aps a implantao de controles para evitar, transferir ou mitigar riscos. 11 Aps a implementao de um controle, pode ser que o risco no tenha sido total mente mitigado. 22 Esta diferena o risco residual. 11 Riscos residuais devem ser tratados atravs da implementao de controles. 11 Caso o risco esteja acima do nvel de aceitao de riscos estabelecido pela organizao, pode ser necessria nova iterao. 11 Entre os riscos residuais incluem-se tambm os riscos sem importncia. Uma vez que a equipe definiu o plano de tratamento, ela precisa determinar os riscos residuais que restam aps a implementao de controles para evitar, transferir ou mitigar riscos. Isto , aps a implementao de um determinado controle, possvel que ele no
seja suficiente para mitigar totalmente um risco. A diferena, isto , a possibilidade restante de ocorrncia do risco, aps a implementao do controle para mitig-lo, caracteriza o risco residual. Em outras palavras, so os riscos que restam aps a tomada de medidas para evit-los, transferi-los ou mitig-los. O risco residual deve ser identificado e tratado atravs da implementao de controles. Caso determinado risco esteja acima do nvel de aceitao de riscos estabelecido pela organizao, pode ser necessrio realizar uma nova iterao. Incluem-se tambm como riscos residuais aqueles sem importncia, ou seja, que precisam ser aceitos.
11 A modificao ou mitigao do risco a ao de implementar controles para reduzir os riscos a um nvel aceitvel. 11 Tipos de proteo: 22 Correo. 22 Eliminao. 22 Preveno. 22 Minimizao do impacto. 22 Dissuaso. 22 Deteco.
111
Modificao do risco
22 Recuperao. 22 Monitoramento. 22 Conscientizao. 11 Leva em considerao os custos de aquisio, implementao, administrao, operao, monitoramento e manuteno dos controles em relao ao valor do ativo que ser protegido. 11 Deve-se evitar a escolha de controles de custos mais elevados que os custos do ativo ou dos servios gerados com a sua implementao. 11 necessrio ter ateno falsa sensao de segurana.
A forma de tratamento do risco chamada de modificao ou mitigao dos riscos a ao de implementar controles que busquem reduzir os riscos a um nvel aceitvel pela organizao. A escolha destes controles deve levar em conta os critrios da organizao para a aceitao do risco, tais como: requisitos legais, regulatrios, contratuais, culturais e ambientais e aspectos tcnicos, alm de custos e prazos para a implementao de controles. De forma geral, a escolha destes controles deve fornecer, quando aplicados e implementados, um ou mais tipos de proteo: 11 Correo: atividades atravs da implementao de controle realizadas a fim de corrigir qualquer anormalidade; 11 Eliminao: aplicao de controles com a finalidade de excluir possveis erros e vulne rabilidades ou fontes de erros e vulnerabilidades, sem no entanto eliminar o risco mas apenas reduzindo-o; 11 Preveno: implementao de controles a fim de prevenir e impedir a explorao de qualquer vulnerabilidade; 11 Minimizao do impacto: implementao de controles que buscam reduzir ou limitar os danos caso ocorra um incidente de segurana; 11 Dissuaso: ao, atividade ou medida de controle organizada e realizada a fim de fazer mudar de opinio, inteno ou ideia; 11 Deteco: atividades de implementao de controles realizadas com a finalidade de descobrir erros ou anormalidades; 11 Recuperao: atividade de implementao de controle realizada a fim de voltar a situ ao de normalidade; 11 Monitoramento: atividade de aplicao de controles para acompanhar, observar, acompanhar desvios e perceber os sinais de alerta de vulnerabilidades, ameaas e riscos, tudo com a finalidade de antecipadamente tomar providncias; 11 Conscientizao: aplicao de controles e atividades de ensino que tem como objetivo
orientar sobre a segurana da informao, a fim de que todos os usurios saibam aplicar os conhecimentos mostrados em sua rotina pessoal e profissional. Na definio e seleo de controles, a equipe de anlise deve levar em considerao os custos de aquisio, implementao, administrao, operao, monitoramento e manuteno dos controles em relao ao valor do ativo que ser protegido. Isto permitir que se evite a escolha de controles cujos custos sero mais elevados que o custo do ativo ou dos servios gerados nele.
112
O anexo F da norma ABNT NBR ISO/IEC 27005 apresenta em detalhes as restries que afetam a reduo do risco.
A equipe dever ainda estar atenta falsa sensao de segurana. A implementao de alguns controles pode dar a falsa sensao de segurana, pois, devido sua complexidade ou falta de conhecimento do usurio, este pode achar alternativas para burlar os controles, ludibriando os esforos dos administradores em proteger a segurana da informao. Nas aes de reduo do risco tambm devem ser consideradas as restries existentes na organizao, que afetaro a escolha e a implementao dos controles.
Reteno do risco
11 A reteno do risco significa correr o risco. 11 A reteno do risco inclui ainda os riscos no identificados. 11 Deve ser feita de acordo com os critrios para aceitao de riscos estabelecidos pela organizao. 11 Deciso da alta direo e embasada. 11 Neste caso no necessria a implementao de controles. 11 Deve ser elaborado um registro dos riscos aceitos, com a justificativa da razo de terem sido aceitos, e a relao dos responsveis pela aprovao da reteno do risco. A reteno do risco a aceitao do risco de uma perda, ou seja, correr o risco, incluindo
ainda os riscos que no tenham sido identificados. Deve ser feita de acordo com os critrios de aceitao de riscos definidos pela organizao, neste caso no sendo necessria a imple mentao de controles. uma deciso consciente da alta direo e deve bem embasada e registrada. importante que seja criado um registro dos riscos aceitos, com a justificativa de seu aceite e a relao dos responsveis pela sua aprovao.
Ao de evitar o risco
11 Eliminao da atividade ou processo gerador do risco atravs de mudanas na forma de sua ocorrncia. 11 Quando a equipe de anlise identifica riscos elevados, cujos custos de implemen tao de controles excedem os benefcios, possvel decidir que o risco deve ser totalmente evitado. 11 Aps as mudanas necessrias dever ser feita uma nova iterao de anlise de riscos. Quando a equipe de anlise identifica riscos extremamente elevados, e os custos para a implementao de controles excedem os benefcios do prprio servio ou negcio, possvel decidir que o risco deve ser 100% evitado. Isto feito atravs da eliminao da ativide produzir o risco. Outra forma de evitar o risco atravs da remoo da fonte de risco.
Algumas mudanas podero ser necessrias, aps as quais deve ser realizada nova iterao de anlise de riscos.
Compartilhamento do risco
O compartilhamento do risco envolve a transferncia ou compartilhamento dos riscos com uma entidade externa. Uma forma de compartilhamento do risco o uso de seguros que cubram as consequncias da ocorrncia de um incidente de segurana da informao. Outra forma de transferncia a utilizao de servios de parceiros (outsourcing) para a gesto de eventos de segurana da informao. Apesar de ser possvel a transferncia das operaes com algum risco, a responsabilidade legal pelas consequncias no ser transferida.
113
dade ou processo, via mudanas na forma de ocorrncia da atividade ou processo passvel
Exerccio de fixao 1 e Tratamento de risco

Qual a forma de tratamento que voc utilizaria para tratar o risco roubo/extravio de documentos classificados? Justifique.
Qual a forma de tratamento que voc utilizaria para tratar o risco falta constantes de energia eltrica? Justifique.
Explique a diferena entre risco aceitvel e risco residual.
Viso geral do processo de aceitao do risco

11 Esta fase trata do aceite formal do plano de tratamento pela direo da organizao. 11 Entrada: plano de tratamento do risco e a anlise do risco residual. 11 Ao: deciso formal de aceitao do plano pela direo da organizao. Aps a definio do plano de tratamento e este ser julgado satisfatrio, tem incio a fase
de aceitao do risco. Esta fase trata do aceite formal do plano de tratamento pela direo da organizao.
114
A figura abaixo apresenta a fase de aceitao do risco.
ANLISE DE RISCOS
AVALIAO DE RISCOS
No
TRATAMENTO DO RISCO PONTO DE DECISO 2 Tratamento satisfatrio Sim ACEITAO DO RISCO

Figura 8.4 Aceitao do risco.
No
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES Nesta fase de tratamento do risco: 11 Entrada: plano de tratamento do risco e a anlise do risco residual. 11 Ao: deciso formal de aceitao do plano pela direo da organizao. 11 Sada: lista de riscos aceitos e uma justificativa para aqueles que no satisfizeram os critrios definidos.
Aceitando o risco
11 Anlise criteriosa do plano de tratamento de riscos. 11 Elaborada pela equipe, definir em documento formal os riscos que sero aceitos. 11 Deciso que cabe aos gestores da organizao, pois seus critrios so complexos e envolvem as estratgias de negcio da organizao. 11 Este documento formal far parte da chamada Declarao de Aplicabilidade, em que a organizao apresenta os controles no aplicveis e justifica o fato de no serem contemplados em seu SGSI. 11 Vide norma ABNT NBR ISO/IEC 27001.
115
Nesta fase, a direo da organizao analisar criteriosamente o plano de tratamento de riscos elaborado pela equipe, definindo em documento formal os riscos que sero aceitos. A deciso cabe aos gestores da organizao, pois os critrios da deciso so complexos e envolvem as estratgias de negcio da organizao. Este documento formal far parte da chamada Declarao de Aplicabilidade, na qual a organizao apresenta os controles que no so aplicveis e justifica porque eles no sero contemplados em Sistema de Gesto da Segurana da Informao (SGSI), de acordo com a norma ABNT NBR ISO/IEC 27001.
Lembre-se de que o risco devidamente calculado e tratado um ingrediente importante do negcio.
Entrada
Plano de tratamento do risco e anlise dos riscos residuais
Ao
Aceitao do Risco (10 da ABNT NBR ISO/IEC 27005)
Sada
Lista de riscos aceitos e justicativas
Figura 8.5 Fase de aceitao do risco.
11 Sesso 9 da norma ABNT NBR ISO/IEC 27005. 11 Sesso 10 da norma ABNT NBR ISO/IEC 27005. 11 Anexo F da norma ABNT NBR ISO/IEC 27005. 11 Item 5.5 da norma ABNT NBR ISO 31000.
116
Nesta atividade, sero realizadas as atividades necessrias para a Anlise de Risco tratamento e aceitao de riscos. A figura a seguir apresenta graficamente a localizao destas atividades no processo de gesto de riscos.
ANLISE DE RISCOS
AVALIAO DE RISCOS
No

No

A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao. Para esta atividade o aluno deve se valer das observaes sobre a empresa KWX. A sequncia das atividades ser: 1. Leitura das Sesses 9 e 10 da ABNT NBR ISO/IEC 27005; 2. Explicao e demonstrao da planilha de anlise de risco pelo instrutor; 3. Execuo das atividades da planilha;
117
Na guia Sesso 8 da Planilha encontram-se quatro guias: 1) a guia Tratamento 2) a guia Controles do Plano 3) a guia Riscos Residuais 4) a guia Aceitao do Risco a. Exerccio da guia Tratamento Definio de tratamento dos riscos. Neste exerccio a equipe de anlise definir a forma de tratamento que determinado risco
dever receber. Para isto a equipe de risco escolher uma dentre as formas de tratamento: 11 Modificao do risco; 11 Reteno do risco; 11 Ao de evitar o risco; 11 Compartilhamento do risco. Para cada forma de tratamento dos riscos deve ser apresentada a evidncia (Justificativa). Para o exerccio, as formas de tratamento sero escolhidas de uma lista. A planilha permite a edio apenas das clulas de tratamento e da justificativa. S passe para a guia seguinte aps concluir. b. Exerccio da guia Controles do plano Definio dos controles Neste exerccio a equipe definir os controles que devem ser implementados para mitigar os riscos encontrados. Com sua experincia e conhecimento do ambiente, a equipe selecionar os melhores controles que realmente sero eficazes e eficientes no tratamento dos riscos. Estes controles fazem parte do Plano de Tratamento dos Riscos, que um dos resultados de uma anlise de riscos. A pergunta chave aqui : Quais controles precisam ser aplicados sobre as vulnerabilidades para mitigar os riscos provocados por elas? Para o exerccio, devero ser identificados dois controles que permitam a mitigao dos riscos no menor prazo possvel. Para fins de aprendizagem, recomenda-se iniciar com os controles da NBR ISO/IEC 27002. Ao final da planilha, a guia Vulnerabilidades e Controles pode ser usada para auxiliar na definio de alguns controles para certos tipos de vulnerabilidades. A equipe de anlise neste exerccio dever analisar cada vulnerabilidade e seus riscos e decidir os melhores controles, apresentando suas justificativas. A planilha permite a edio apenas das clulas de controles e da justificativa.
S passe para a guia seguinte aps concluir. c. Exerccio da guia Riscos Residuais Levantamento dos riscos residuais. Neste exerccio a equipe de anlise identificar e definir os riscos residuais aps a aplicao dos controles. Esta uma atividade vital, pois permitir que se verifique se os riscos real mente diminuram e chegaram at o nvel aceitvel pela organizao. Alm de verificar os riscos residuais, a equipe dever, caso o risco ainda permanea acima do nvel aceitvel, propor novos controles ou ainda controles compensatrios, de tal forma que o nvel de risco seja reduzido o mximo possvel e o mais prximo do aceitvel. Caso isso no seja possvel, um novo ciclo de anlise de risco dever ser executado.
118
A resposta ser dada por um dos nveis do critrio Severidade das Consequncias definido na Sesso 2 na guia Critrios. Para o exerccio, sero preenchidas as seguintes colunas: 1. Existem riscos residuais? para cada risco e os controles implementados a equipe dever responder (sim ou no); 2. Quais? Descreva a equipe dever informar os riscos e vulnerabilidades que ainda no foram tratados (riscos residuais); 3. Justificativa/Evidncia a equipe dever apresentar as evidncias do risco residual; 4. Nova severidade caso existam riscos residuais, a equipe dever analis-los e definir a nova severidade, escolhendo da lista semelhante da Sesso 5. Ao escolher o item da lista, automaticamente aparece o peso desta severidade na coluna ao lado; 5. Nova probabilidade depois de preenchida a coluna da nova severidade, dever ser preenchida a nova probabilidade, escolhendo da lista semelhante ao feito na Sesso 6. Ao escolher da lista, automaticamente aparece o peso desta probabilidade na coluna ao lado. Ao preencher estas colunas surgir o novo valor do risco residual. Caso ainda esteja acima do nvel aceitvel aparecer uma mensagem de erro ao lado. A planilha permite a edio apenas das clulas das colunas citadas. S passe para a guia seguinte aps concluir. d. Exerccio da guia Aceitao do Risco Aceitao dos riscos. Nesta atividade a equipe de anlise e a organizao, como partes interessadas, conduziro as atividades necessrias para a aceitao dos riscos. Esta aceitao um documento formal que informa que o risco ser aceito, uma justifica tiva para isso e o responsvel pela tomada da deciso. Normalmente, quem tem o poder para tomar esta deciso faz parte da alta direo. Esta aceitao somente ser feita para os riscos que ainda estejam acima do nvel aceitvel. Para o exerccio sero preenchidas trs colunas: 1. Deciso qual a deciso de aceitao do risco? A escolha deve ser feita a partir de uma lista de opes; 2. Justificativa justificativa a para tomada da deciso; 3. Responsvel nome do responsvel pela tomada a deciso. Caso o risco no seja aceito a clula deve ser deixada em branco. A planilha permite a edio apenas das clulas das colunas citadas. S passe para a guia seguinte aps concluir. 4. Verificao e correo pelo instrutor. Ao concluir o Roteiro de Atividades 8, a equipe de anlise ter praticamente terminado a anlise de risco. Nesta etapa ela ter percorrido todas as atividades da gesto de riscos, tendo pleno conhecimento dos ativos crticos, suas ameaas e vulnerabilidades, o tratamento e os controles que precisam ser implementados e, uma vez implementados, identificar os riscos residuais que ainda podem existir. 119
Observe a figura no incio de cada Roteiro de Atividades e verifique a execuo de todas as etapas do processo de gesto de riscos.
O que foi aprendido

11 Conceito de tratamento do risco. 11 Formas de tratar o risco. 11 Como realizar a aceitao do risco.
120
9
Comunicao e monitoramento dos riscos
objetivos
Compreender a execuo do processo de comunicao e consulta dos riscos.
conceitos
Comunicao.
Introduo
11 Existem duas fases que se desenvolvem simultaneamente com as demais fases: 22 Comunicao do risco. 22 Monitoramento e anlise crtica de riscos. 11 Estas duas fases so permanentes durante todo o processo de gesto de riscos. Durante todo o trabalho da equipe de anlise de riscos, existem duas fases que se desenvolvem simultaneamente s demais fases: a comunicao do risco e o monitoramento e anlise crtica de riscos. Durante todo e qualquer tipo de trabalho, a comunicao uma atividade de grande
importncia. atravs dela que so transmitidas informaes sobre o desenvolvimento das atividades e os resultados alcanados. Outra fase de suma importncia e que se desenvolve paralelamente a todas as demais fases a de monitoramento e anlise crtica de riscos. Esta uma fase em que a equipe realiza o monitoramento e a anlise crtica dos riscos e do seu trabalho. Uma caracterstica destas duas fases que so permanentes durante todo o processo de gesto de riscos.
Captulo 9 - Comunicao e monitoramento dos riscos
Exerccio de nivelamento 1 e Comunicao e consulta dos riscos

Existe algum processo de comunicao na sua organizao? Explique.
121
Processo de comunicao e consulta do risco de segurana da informao

Comunicao do risco uma troca interativa de informaes, conhecimentos e percepes sobre como os riscos devem ser gerenciados. 11 uma atividade crtica para o sucesso dos trabalhos, realizada entre a equipe envolvida e as partes interessadas nas decises do processo de anlise de riscos. 11 Fase que se desenvolve durante todo o processo de anlise de riscos, desde a primeira atividade da equipe de anlise de riscos. A comunicao e consulta do risco uma fase que se desenvolve durante todo o processo de anlise de riscos, desde a primeira atividade da equipe de anlise de riscos. Trata-se de uma troca interativa, documentada formalmente, contnua e intencional, de informaes, conhecimentos e percepes sobre como os riscos devem ser gerenciados. A comunicao realizada entre a equipe envolvida e as partes interessadas nas decises
do processo de anlise de riscos, sendo uma atividade crtica para o sucesso dos trabalhos. A Figura 9.1 apresenta a fase dentro do contexto do processo de gesto de riscos.
ANLISE DE RISCOS
AVALIAO DE RISCOS
No
TRATAMENTO DO RISCO
PONTO DE DECISO 2 Tratamento satisfatrio Sim
No
Figura 9.1 Fase de comunicao e consulta do risco no contexto do processo de gesto de riscos.
122
Na fase de comunicao e consulta do risco a equipe de anlise e a organizao tero como: 11 Entrada: TODAS as informaes sobre os riscos e atividades desenvolvidas. 11 Ao: troca e/ou compartilhamento destas informaes entre a equipe, o tomador de deciso e as partes interessadas. 11 Sada: entendimento contnuo do processo de gesto de riscos e dos resultados obtidos. importante que a comunicao seja executada durante todo o processo de gesto de riscos para manter as partes interessadas, internas e externas, de forma bidirecional, para que decises bem informadas possam ser tomadas sobre o nvel de risco e a necessidade de tratamento.
Comunicao e consulta do risco de segurana da informao

11 Deve conter o mximo de detalhes sobre os riscos encontrados, como: 22 A existncia da ameaa, vulnerabilidade e risco 22 A natureza e a forma de atuao 22 A estimativa de probabilidade 22 Sua severidade e consequncias possveis 22 Tratamento e aceitao dos riscos. 11 A comunicao permite a rpida tomada de deciso para a implementao de controles de risco a fim de evitar maiores danos. 11 Permitir ainda um trabalho de conscientizao sobre a gesto dos riscos e a segurana da informao. 11 A equipe pode contar com um profissional da organizao como ponto focal, cabendo a ele o acompanhamento dos trabalhos e as aes iniciais de comunicao. 11 A equipe tambm pode realizar reunies regulares de acompanhamento com os gestores da organizao, para apresentao dos resultados obtidos at o momento. 11 Comunicar tambm dar um retorno (status) sobre a gesto dos riscos para a equipe, para a direo da organizao e demais partes interessadas. 22 A criao de relatrios permite que as informaes reunidas sejam divulgadas e usadas na tomada de deciso. As atividades desta fase so executadas durante todo o processo de anlise de riscos, devendo conter o mximo possvel de detalhes sobre os riscos encontrados, tais como: 11 A existncia da ameaa, vulnerabilidade e risco; 11 A natureza e forma de atuao; 11 A estimativa de probabilidade; 11 Sua severidade e consequncias possveis; 11 Tratamento e aceitao dos riscos. A comunicao vai permitir o entendimento adequado e a maior agilidade na tomada de
decises para a implementao de mecanismos de controle de riscos, a fim de evitar danos mais significativos. Alm disso, ir permitir uma melhor percepo dos riscos e dos benef cios do seu rpido tratamento, assim como realizar um trabalho de conscientizao sobre a gesto dos riscos e a segurana da informao.
123
Captulo 9 - Comunicao e monitoramento dos riscos
Uma das formas de realizar esta comunicao integrando equipe um profissional da organizao como ponto focal, cabendo a ele o acompanhamento dos trabalhos e as aes iniciais de comunicao. Outra forma a equipe realizar regularmente (semanal, quinzenal, dependendo do escopo da anlise) uma reunio de acompanhamento com os gestores da organizao e apresentar os resultados at aquele momento.
Exerccio de fixao 1 e Comunicao e consulta dos riscos

Durante o processo de anlise de risco, ao identificar uma vulnerabilidade grave e de alto risco, qual ser a sua atitude com esta informao? Justifique.
Comunicar tambm dar um retorno (status) sobre a gesto dos riscos para a equipe, para a direo da organizao e todas as partes interessadas. A criao de relatrios uma forma de comunicao que permite que as informaes reunidas sejam divulgadas e usadas na tomada de decises. A seo 11 da norma ABNT NBR ISO/IEC 27005 apresenta outros detalhes da comunicao do risco.
Entrada
TODAS as informaes sobre os riscos obtidas nas atividades
Ao
Comunicao do risco (11 da ABNT NBR ISO/IEC 27005)
Sada
Entendimento contnuo do precesso de gesto de riscos
Figura 9.2 Comunicao do risco.
11 Sesso 11 da norma ABNT NBR ISO/IEC 27005. 11 Sesso 12 da norma ABNT NBR ISO/IEC 27005.
124
Nesta atividade, sero realizadas as atividades necessrias para a Anlise de risco comunicao dos riscos. A figura a seguir apresenta graficamente a localizao destas atividades no processo de gesto de riscos:
ANLISE DE RISCOS
AVALIAO DE RISCOS
No

No

A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao. Para esta atividade o aluno deve se valer das observaes da empresa KWX. A sequncia das atividades ser: 1. Leitura da Seo 11 da ABNT NBR ISO/IEC 27005; 2. Explicao e demonstrao da planilha de anlise de risco pelo instrutor; 3. Execuo das atividades da planilha;
125
Na guia Sesso 9 da planilha encontra-se um boto: 1) Comunicao dos Riscos abre a guia Comunicao dos Riscos a. Atividade da guia Comunicao dos Riscos Comunicao dos riscos. Nesta atividade a equipe de anlise realizar as atividades necessrias para a comunicao durante o processo de gesto dos riscos. Esta atividade realizada durante toda a gesto de riscos. Em cada atividade realizada a equipe dever realizar a comunicao de uma forma planejada.
Para fins de exerccio, a equipe de anlise de risco responder a uma sequncia de perguntas que visam mostrar um encadeamento das comunicaes durante toda a gesto de riscos na organizao, para assim permitir um perfeito entendimento desta importante atividade. A comunicao permitir orientar e conscientizar sobre a importncia da gesto de riscos. A planilha permite a edio apenas das clulas azuis. S passe para a guia seguinte aps concluir. 4. Verificao e correo pelo instrutor. Ao concluir o Roteiro de Atividades 9, a equipe de anlise ter conhecimento e compreenso dos procedimentos adotados para realizar a comunicao durante toda a gesto de riscos.
O que foi aprendido

11 Conceito de comunicar os riscos. 11 O que deve ser comunicado. 11 Como fazer a comunicao dos riscos.
126
10
Monitoramento dos riscos
objetivos
Executar o monitoramento e a anlise de riscos.
conceitos
Monitoramento de riscos e anlise crtica.
Introduo
Paralelamente s etapas da anlise de risco ocorre tambm uma etapa importantssima para a verificao e controle dos resultados do trabalho: a etapa do Monitoramento. A execuo desta etapa durante toda a realizao do projeto permitir que a organizao e a equipe acompanhem a eficincia dos resultados e a eficcia dos controles.
Exerccio de nivelamento 1 e Monitoramento de riscos

Como realizado o monitoramento na sua organizao? Explique.
11 Monitoramento a observao contnua e o registro regular das atividades e aes da gesto de riscos. 11 Processo rotineiro de coleta de informaes da gesto de riscos em todos os seus aspectos. 11 Monitorar verificar e acompanhar o progresso das atividades da gesto de riscos. 22 uma observao sistemtica, regular e com propsito de verificar o desenvolvimento da gesto de riscos.
127
Captulo 10 - Monitoramento dos riscos
Processo de monitoramento e anlise crtica de riscos de segurana da informao
11 A anlise crtica uma avaliao geral e criteriosa sobre os resultados e aes da gesto de riscos com relao a requisitos pr-estabelecidos. 22 Objetivo da anlise crtica levantar e identificar problemas e pontos de melhoria. 11 A anlise crtica ocorre simultaneamente s demais fases da gesto de riscos. 11 Durante esta fase so executadas duas atividades: 22 Monitoramento e anlise crtica dos fatores de risco. 22 Monitoramento, anlise crtica e melhoria do processo de gesto de riscos.
DEFINIO DO CONTEXTO PROCESSO DE AVALIAO DE RISCOS IDENTIFICAO DE RISCOS MONITORAMENTO E ANLISE CRTICA DE RISCOS
COMUNICAO E CONSULTA DO RISCO
ANLISE DE RISCOS
AVALIAO DE RISCOS
No
Figura 10.1 Fase de monitoramento e anlise crtica de riscos no processo da gesto de riscos.
O monitoramento pode ser definido como a observao contnua e o registro regular das atividades e aes da gesto de riscos. um processo rotineiro de coleta de informaes da
gesto de riscos em todos os seus aspectos. Monitorar verificar e acompanhar o progresso das atividades da gesto de riscos, ou seja, uma observao sistemtica, regular e com propsito de verificar o desenvolvimento da gesto de riscos. A anlise crtica uma avaliao geral e criteriosa sobre os resultados e aes da gesto de riscos com relao a requisitos pr-estabelecidos, com o objetivo de fazer o levantamento e a identificao de problemas e pontos de melhoria, para com isso solucionar os problemas e aprimorar continuamente o processo de gesto de riscos.
128
Esta fase ocorre simultaneamente s demais fase da gesto de riscos. Durante todo o processo de gesto de riscos, a equipe de anlise estar tambm realizando atividades de monitoramento e anlise crtica, a fim de fazer as correes necessrias o quanto antes. Durante esta fase so executadas duas atividades: 11 Monitoramento e anlise crtica dos fatores de risco; 11 Monitoramento, anlise crtica e melhoria do processo de gesto de riscos.
Monitoramento e anlise crtica dos fatores de risco

11 O monitoramento a atividade de identificar e de assegurar o controle do risco, monitorando riscos residuais e identificando novas ameaas e vulnerabilidades, assegurando a execuo dos planos de tratamento do risco e avaliando sua eficincia e eficcia na reduo dos riscos. 11 A equipe deve estar atenta e preparada para lidar com o dinamismo dos riscos e ameaas. 11 O acompanhamento do dinamismo dos riscos e ameaas deve ser feito atravs do monitoramento dos ativos, vulnerabilidades e probabilidades, para que seja possvel a rpida identificao de qualquer mudana. 11 A contratao de servios de terceiros para este monitoramento pode representar um ganho de eficincia no atendimento s novas ameaas que surgirem. 11 O monitoramento deve ser feito para garantir que: 22 O tratamento do risco est sendo implementado conforme planejado. 22 Novos ativos foram includos no escopo da gesto de riscos. 22 Os controles selecionados como de resposta ao risco ainda esto eficazes. 11 O monitoramento deve ser feito ainda para verificar se: 22 As hipteses de cenrios de incidentes e probabilidades ainda so vlidas. 22 Surgiu um novo agente de ameaa capaz de explorar novos riscos. 22 As polticas e procedimentos esto sendo executados de forma adequada. 22 Tem havido incidentes relacionados segurana da informao. 22 Surgiram novos riscos no identificados anteriormente. 22 Surgiram novos riscos que elevaram as consequncias e impactos a um nvel de risco inaceitvel. 11 A anlise crtica deve ser feita pela alta direo da organizao no nvel estratgico, para verificar se a gesto de riscos est atendendo aos objetivos de negcio da organizao.
O monitoramento a atividade de identificar e de assegurar o controle do risco, monitorando riscos residuais e identificando novas ameaas, vulnerabilidades e riscos, assegurando a exe cuo dos planos de tratamento do risco e avaliando sua eficincia e eficcia na reduo dos riscos. A equipe deve estar atenta ao dinamismo dos riscos e ameaas. Bons procedimentos de monitoramento e anlise crtica do risco fornecem informaes que suportam as tomadas de deciso eficazes em relao ao surgimento de novas ocorrncias dos riscos. Da atividade de monitoramento e anlise crtica, a equipe de anlise ter como: 11 Entrada: TODAS as informaes sobre os riscos obtidos e atividades desenvolvidas; 11 Ao: a realizao de procedimentos de monitoramento e anlise crtica para a identifi cao de eventuais mudanas no contexto e manuteno de uma viso geral dos riscos.
129
11 Sada: o alinhamento contnuo da gesto de riscos com os objetivos de negcios e com os critrios de aceitao do risco. O acompanhamento do dinamismo dos riscos e ameaas deve ser feito atravs do monitoramento dos ativos, vulnerabilidades, probabilidades, entre outros, para que seja possvel a rpida identificao de qualquer mudana. Neste tipo de atividade, a contratao de servios de terceiros para o monitoramento pode representar para a organizao um ganho de eficincia no atendimento s novas ameaas que surgirem. Os resultados do monitoramento sero utilizados como dados de entrada para a realizao de uma anlise crtica, que deve ser feita pela alta direo da organizao no nvel estratgico, para verificar se a gesto de riscos est atendendo aos objetivos de negcio da orga nizao. No processo de anlise de riscos, a equipe de anlise deve identificar problemas e pontos de ateno que necessitam de melhorias.
Entrada
Ao
Monitoramento e anlise crtica dos fatores de risco (12.1 da ABNT NBR ISO/IEC 27005)
Sada
Alinhamento contnuo da gesto de riscos com os objetivos de negcio e com os critrios de risco
Figura 10.2 Atividade de monitoramento e anlise crtica.
Exerccio de fixao 1 e Monitoramento e anlise crtica dos riscos

O que monitoramento e anlise crtica dos riscos? Explique sua finalidade.
Monitoramento, anlise crtica e melhoria do processo de gesto de riscos

11 Garante que o processo de gesto de riscos atende aos requisitos estratgicos do negcio da organizao. 22 Entrada: TODAS as informaes obtidas sobre os riscos e atividades desenvolvidas. 22 Ao: monitoramento, anlise crtica e melhoria do processo de gesto de riscos
de segurana da informao. 22 Sada: a garantia permanente da relevncia do processo de gesto de riscos de segurana para os objetivos de negcio da organizao ou a atualizao do processo. 11 Permite que a organizao analise seu processo de gesto de riscos e execute as melhorias necessrias ao processo. 11 O trabalho da equipe de anlise nesta atividade ter realizado a atividade anterior e ter passado os resultados para a organizao, para que estes sejam utilizados como subsdios para o monitoramento, anlise crtica e melhorias do processo de gesto de riscos para toda a organizao.
130
11 O monitoramento e anlise da organizao permitiro: 22 A verificao da disponibilidade dos recursos necessrios gesto e tratamento do risco. 22 A verificao da necessidade de mudanas nos critrios, na metodologia ou nas ferramentas utilizadas.
Esta atividade tem por objetivo garantir que o processo de gesto de riscos esteja realmente atendendo aos requisitos estratgicos do negcio da organizao. Na atividade de monitoramento, anlise crtica e melhoria do processo de gesto de riscos: 11 Entrada: so TODAS as informaes sobre os riscos obtidos e atividades desenvolvidas 11 Ao: monitoramento, anlise crtica e melhoria do processo de gesto de riscos de segurana da informao. 11 Sada: a garantia permanente da relevncia do processo de gesto de riscos de segu rana para os objetivos de negcio da organizao ou a atualizao do processo. Esta atividade permite que a organizao analise seu processo de gesto de riscos e a possibilidade de execuo das melhorias necessrias ao processo. Nesta atividade, o trabalho da equipe de anlise ter realizado a atividade anterior e ter passado os resultados para a organizao, para que sejam utilizados como subsdios para o monitoramento, anlise crtica e melhoria do processo de gesto de riscos, para toda a organizao. O monitoramento permite que a organizao verifique se todos os recursos necessrios gesto e tratamento do risco esto disponveis, e tambm a verificao da necessidade de mudanas nos critrios, na metodologia ou nas ferramentas utilizadas.
Entrada
Figura 10.3 Atividade de monitoramento, anlise crtica e melhoria do processo de gesto de riscos.
Ao
Monitoramento, Anlise crtica e Melhoria do processo (12.2 da ABNT NBR ISO/IEC 27005)
Sada
Garantia permanente do processo de gesto de riscos para os objetivos de negcios ou atualizao do processo
11 Sesso 12.1 da norma ABNT NBR ISO/IEC 27005. 11 Sesso 12.2 da norma ABNT NBR ISO/IEC 27005.
131
132
Nesta atividade, sero realizadas as atividades necessrias para a Anlise de risco monitoramento dos riscos. A figura a seguir apresenta graficamente a localizao destas atividades no processo de gesto de riscos:
ANLISE DE RISCOS
AVALIAO DE RISCOS
No

No

A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao. Para esta atividade o aluno deve se valer das observaes da empresa KWX. A sequncia das atividades ser: 1. Leitura da Seo 12 da ABNT NBR ISO/IEC 27005; 2. Explicao e demonstrao da planilha de anlise de risco pelo instrutor; 3. Execuo das atividades da planilha;
133
Na guia Sesso 10 da Planilha encontram-se duas guias: 1) a guia Monitoramento dos Riscos 2) a guia Monitoramento_Melhoria_Processo
a. Exerccio da guia Monitoramento dos Riscos Monitoramento e anlise crtica dos riscos de segurana da informao. Neste exerccio, a equipe de anlise realizar as atividades necessrias para o monitoramento e anlise crtica dos riscos. Estas atividades na realidade so desenvolvidas desde a primeira atividade do processo de gesto de riscos. Esta atividade visa fazer o monitoramento e a anlise crtica dos riscos encontrados. A equipe est encontrando os riscos? Est deixando de observar alguma coisa? Para o exerccio, a equipe de anlise de risco responder a uma sequncia de perguntas que visam mostrar um processo lgico de monitoramento e anlise crtica de riscos durante toda a gesto de riscos, para permitir um perfeito entendimento desta importante atividade da organizao. O monitoramento e a anlise crtica de riscos permitiro orientar e aperfeioar a execuo dos trabalhos da equipe de anlise da gesto de riscos. A planilha permite a edio apenas das clulas azuis. S passe para a guia seguinte aps concluir. b. Exerccio da guia Monitoramento_Melhoria_Processo Monitoramento, anlise crtica e melhoria do processo de gesto dos riscos. Neste exerccio, a equipe de anlise realizar juntamente com a organizao as atividades necessrias para o monitoramento, anlise crtica e melhoria do processo de gesto dos riscos. Estas atividades so desenvolvidas com o objetivo de identificar se a gesto dos riscos est sendo eficiente, eficaz e atendendo aos requisitos dos negcios. Esta atividade visa fazer o monitoramento do processo de gesto dos riscos e a anlise crtica para a melhoria contnua da gesto dos riscos. O processo de gesto dos riscos est funcionando? O que necessrio melhorar no processo de gesto dos riscos? Para o exerccio, a equipe de anlise de risco responder a uma sequncia de perguntas que visam mostrar um processo lgico do monitoramento, anlise crtica e melhoria do processo da gesto dos riscos na organizao, visando o aperfeioamento contnuo do processo e das atividades que o compem. A planilha permite a edio apenas das clulas azuis. 4. Verificao e correo pelo instrutor.
Ao concluir o Roteiro de Atividades 10, a equipe de anlise ter concludo todo um ciclo da gesto dos riscos. Os prximos passos sero: 11 A confeco de um relatrio contendo os resultados (ativos, ameaas, vulnerabilidades, consequncias, impactos e riscos priorizados); 11 Confeco de um plano de tratamento contendo os controles que devem ser implementados para a mitigao dos riscos. Observe a guia Grficos_Exemplos na qual constam alguns exemplos de grficos que podem ser realizados para ilustrar a apresentao dos resultados e servirem de comparao com outras anlises de risco realizadas.
134
importante que todo o trabalho seja feito baseado nas normas de segurana da informao que formam a base da gesto da segurana da informao.
O que foi aprendido

11 Conceito de monitoramento, anlise crtica e melhoria do processo. 11 Razes para a realizao do monitoramento. 11 Atividades para realizao do monitoramento. 11 Razes para executar a anlise crtica e a melhoria contnua.
Concluso
Viso geral da gesto de riscos
Neste curso foram vistos todos os aspectos da gesto dos riscos, de acordo com a NBR ISO/ IEC 27005. A figura a seguir apresenta graficamente a localizao destas atividades no pro cesso de gesto de riscos.
ANLISE DE RISCOS
AVALIAO DE RISCOS
No

No
ACEITAO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAES Os objetivos de proporcionar conhecimento sobre a gesto dos riscos e fornecer um ferramental para a realizao da gesto de riscos foram detalhados e praticados em cada sesso de aprendizagem deste curso. importante saber que ao realizar um primeiro ciclo de gesto de riscos, este processo passa a ser cclico e contnuo.
135
A gesto de riscos um processo que sempre ir trazer benefcios para a organizao. A melhoria das condies de segurana da informao passa obrigatoriamente pelo conhecimento das fraquezas e vulnerabilidades que podem ser exploradas para que as ameaas se concretizem. E, indiscutivelmente, a melhor forma de fazer isso atravs da gesto de riscos.
136
Bibliografia
11 AS/NZS 4360 Gesto de riscos Princpios e diretrizes. 11 BERNSTEIN, Peter L. Desafio aos deuses: a fascinante histria do risco. 23 ed., Editora Campus, 1997. 11 CERIAS The Center for Education and Research in Information Assurance and Security: http://www.cerias.purdue.edu/ (acesso em julho de 2013). 11 Cert.br Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil: http://www.cert.br/links/ (acesso em julho de 2013). 11 DE CICCO, Francesco; FANTAZZINI, Mario Luiz. Tecnologias consagradas de gesto de riscos. So Paulo: Risk Tecnologia Editora, 2003. 11 Enterprise Risk Management: Past, Present and Future: http://www.casact. org/education/erm/2004/handouts/kloman.pdf (acesso em julho de 2013). 11 Interdisciplinary Risk Management:, http://www.riskinfo.com/rmr/rmrjun05.htm (acesso em julho de 2013). 11 Marcos Smola website Gesto de Riscos da Informao: http://www.semola.com.br/conceitos.html (acesso em julho de 2013). 11 NBR Guia 73 Gesto de riscos Vocabulrio 11 NBR ISO/IEC 27001 Tecnologia da informao Tcnicas de segurana Sistemas de gesto de segurana da informao Requisitos. 11 NBR ISO/IEC 27002 Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao. 11 NBR ISO/IEC 27005 Tecnologia da informao Tcnicas de segurana Gesto de riscos de segurana da informao. 11 NBR ISO/IEC 31000 Gesto de riscos Princpios e diretrizes. 11 PELTIER, Thomas R. Information Security Risk Analysis. CRC Press, 2005. 11 SANS The Cyber Security Risks: http://www.sans.org/top-cyber-security-risks/?ref=top20 (acesso em julho de 2013). 11 Security Focus Vulnerabilities: http://www.securityfocus.com/ (acesso em julho de 2013).
Bibliografia
11 WESTERMAN, George; HUNTER, Richard. O risco de TI. Harvard Business School Press, 2008.
137
138
Edson Kowask Bezerra profissional da rea de segurana da informao e governana h mais de quinze anos, atuando como auditor lder, pesquisador, gerente de projeto e gerente tcnico, em inmeros projetos de gesto de riscos, gesto de segurana da informao, continuidade de negcios, PCI, auditoria e recuperao de desastres em empresas de grande porte do setor de telecomunicaes, financeiro, energia, indstria e governo. Com vasta experincia nos temas de segurana e governana, tem atuado tambm como palestrante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em segurana e governana. professor e coordenador de cursos de ps-graduao na rea de segurana da informao, gesto integrada, inovao e tecnologias web. Hoje atua como Coordenador Acadmico de Segurana e Governana de TI da Escola Superior de Redes. Possui a certificao CRISC da ISACA, alm de diversas outras em segurana e governana.
LIVRO DE APOIO AO CURSO
O livro de apoio ao curso apresenta os conceitos de gesto de riscos a partir da norma NBR ISO 27005. Define conceitos e trabalha a contextualizao do ambiente, identificao e levantamento dos riscos atravs do conhecimento das ameaas, ativos, vulnerabilidades, probabilidade de ocorrncia e impactos. So realizados a estimativa e o clculo de risco e definido o tratamento mais adequado. Todo o trabalho baseado em um estudo de caso, visando consolidar o conhecimento terico. Este livro inclui os roteiros das atividades prticas e o contedo dos slides apresentados em sala de aula, apoiando profissionais na disseminao deste conhecimento em suas organizaes ou localidades de origem.
ISBN 9 7 8 - 8 5 - 6 3 6 3 0 - 3 2 - 2
788563 630322

Gestão de Riscos de TI - NBR 27005

Uploaded by

Document Information

Copyright

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Gestão de Riscos de TI - NBR 27005

Uploaded by

Copyright:

Gesto de

Edson Kowask Bezerra

Edson Kowask Bezerra

Rio de Janeiro Escola Superior de Redes 2013

Escola Superior de Redes

Escola Superior de Redes

1. Introduo Gesto de Riscos

2. Contexto da gesto de riscos

4. Anlise de riscos: Vulnerabilidades e consequncias

5. Anlise de Riscos: Avaliao das consequncias

6. Anlise de riscos: avaliao da probabilidade

8. Tratamento e aceitao de riscos

9. Comunicao e monitoramento dos riscos

10. Monitoramento dos riscos

Escola Superior de Redes

Convenes utilizadas neste livro

Ameaas, vulnerabilidades, probabilidade, riscos, segurana da informao e gesto de riscos.

Exerccio de nivelamento 1 e Introduo gesto de riscos

Existem riscos para os trabalhos e atividades da sua organizao?

Exerccio de fixao 1 e Conceitos fundamentais

Princpios da Gesto de Riscos

Captulo 1 - Introduo Gesto de Riscos

Normas de gesto de segurana e de riscos

Captulo 1 - Introduo Gesto de Riscos

Voltada para controles de segurana.

Esclarece como gerenciar riscos de segurana da informao.

Descreve as diversas tcnicas e ferramentas de anlise de riscos.

Apresenta as definies de termos genricos relativos gesto de riscos.

Tabela 1.2 Resumo comparativo entre as normas.

Norma ABNT NBR ISO/IEC 27005:2008

Viso geral da gesto de riscos

11Definio do plano de tratamento do risco

EXECUTAR VERIFICAR AGIR

Exerccio de fixao 2 e Viso geral

Gesto de Riscos de TI NBR 27005

PONTO DE DECISO 1 Avaliao satisfatria Sim

TRATAMENTO DO RISCO PONTO DE DECISO 2 Tratamento satisfatrio

Monitoramento e anlise crtica

Processo do SGSI VERIFICAR AGIR

Manuteno e melhoria do processo

Monitoramento e anlise crtica

Implementar o plano de tratamento

Denio do plano de tratamento Aceitao do risco

Exerccio de fixao 3 e PDCA

Fatores crticos para o sucesso

Captulo 1 - Introduo Gesto de Riscos

Figura 1.2 Processo de gesto de riscos e o modelo PDCA.

Envolvimento e participao da alta direo no processo

Papis e responsabilidades definidas

Integrao com a gesto de segurana da informao

reas de conhecimento necessrias

Captulo 1 - Introduo Gesto de Riscos

Gesto de Riscos de TI NBR 27005

Atividade 1.2 Conhecendo a norma

Captulo 1 - Roteiro de Atividades

Atividade 1.3 Identificando o processo

Atividade 1.4 Fatores crticos

Quais so os fatores crticos de sucesso? D exemplos baseados na sua organizao.

Gesto de Riscos de TI NBR 27005

O que foi aprendido

Contexto, escopo, limites e critrios.

Exerccio de nivelamento 1 e Contexto

Processo de gesto de riscos de segurana da informao

Captulo 2 - Contexto da gesto de riscos

PONTO DE DECISO 1 Avaliao satisfatria Sim

Figura 2.1 Definio do contexto.

Contexto da norma ABNT NBR ISO/IEC 27005