Professional Documents
Culture Documents
responsvel
pelo
Gesto de
Riscos de TI
NBR 27005
Ministrio da
Cultura
Ministrio da
Sade
Ministrio da
Educao
ISBN 978-85-63630-06-3
9 788563 630063
Ministrio da
Cincia, Tecnologia
e Inovao
responsvel
pelo
Ministrio da
Cultura
Ministrio da
Sade
Ministrio da
Educao
Ministrio da
Cincia, Tecnologia
e Inovao
Gesto de
Riscos de TI
NBR 27005
Gesto de
Riscos de TI
NBR 27005
Rio de Janeiro
Escola Superior de Redes
2013
Diretor Geral
Nelson Simes
Diretor de Servios e Solues
Jos Luiz Ribeiro Filho
Bibliografia: p.137.
ISBN 978-85-63630-32-2
CDD 005.8
Sumrio
Escola Superior de Redes
A metodologia da ESRix
Sobre o curso x
A quem se destinax
Convenes utilizadas neste livrox
Permisses de usoxi
Sobre o autorxii
iii
3. Identificao de riscos
Introduo41
Exerccio de nivelamento 1 Identificao dos riscos41
Processo de anlise de riscos de segurana da informao41
Identificao de riscos42
Identificando os ativos43
Identificando os ativos primrios45
iv
7. Avaliao de riscos
Introduo101
Exerccio de nivelamento 1 Avaliao de riscos101
Processo de avaliao de riscos de segurana da informao101
Avaliao de riscos de segurana da informao102
Exerccio de fixao 1 Avaliao de risco103
Roteiro de Atividades 7105
vi
Bibliografia 137
vii
viii
A metodologia da ESR
A filosofia pedaggica e a metodologia que orientam os cursos da ESR so baseadas na
aprendizagem como construo do conhecimento por meio da resoluo de problemas tpicos da realidade do profissional em formao. Os resultados obtidos nos cursos de natureza
terico-prtica so otimizados, pois o instrutor, auxiliado pelo material didtico, atua no
apenas como expositor de conceitos e informaes, mas principalmente como orientador do
aluno na execuo de atividades contextualizadas nas situaes do cotidiano profissional.
A aprendizagem entendida como a resposta do aluno ao desafio de situaes-problema
semelhantes s encontradas na prtica profissional, que so superadas por meio de anlise,
sntese, julgamento, pensamento crtico e construo de hipteses para a resoluo do problema, em abordagem orientada ao desenvolvimento de competncias.
Dessa forma, o instrutor tem participao ativa e dialgica como orientador do aluno para as
atividades em laboratrio. At mesmo a apresentao da teoria no incio da sesso de aprendizagem no considerada uma simples exposio de conceitos e informaes. O instrutor
busca incentivar a participao dos alunos continuamente.
ix
Sobre o curso
O curso apresenta os conceitos de gesto de riscos a partir da norma NBR ISO 27005.
Define conceitos e trabalha a contextualizao do ambiente, identificao e levantamento
dos riscos atravs do conhecimento das ameaas, ativos, vulnerabilidades, probabilidade
de ocorrncia e impactos. So realizados a estimativa e o clculo de risco e definido o
tratamento mais adequado. Todo o trabalho baseado em um estudo de caso, visando
consolidar o conhecimento terico. Ao final do curso o participante estar apto a realizar
uma anlise de risco qualitativa no ambiente da sua organizao.
A quem se destina
Curso direcionado a gestores, tcnicos e profissionais de informtica ou reas afins, que
esto em busca do desenvolvimento de competncias na realizao de gesto e anlise
de riscos no ambiente de tecnologias da informao e comunicao (TIC). Profissionais de
outras reas podem participar desde que possuam conhecimentos de TIC, segurana da
informao e normas ISO 27001 e 27002.
Largura constante
Indica comandos e suas opes, variveis e atributos, contedo de arquivos e resultado da sada
de comandos. Comandos que sero digitados pelo usurio so grifados em negrito e possuem
o prefixo do ambiente em uso (no Linux normalmente # ou $, enquanto no Windows C:\).
Contedo de slide
Indica o contedo dos slides referentes ao curso apresentados em sala de aula.
Smbolo
Indica referncia complementar disponvel em site ou pgina na internet.
Smbolo
Indica um documento como referncia complementar.
Smbolo
Indica um vdeo como referncia complementar.
Smbolo
Indica um arquivo de adio como referncia complementar.
Smbolo
Indica um aviso ou precauo a ser considerada.
Smbolo
Indica questionamentos que estimulam a reflexo ou apresenta contedo de apoio ao
entendimento do tema em questo.
Smbolo
Indica notas e informaes complementares como dicas, sugestes de leitura adicional ou
mesmo uma observao.
Permisses de uso
Todos os direitos reservados RNP.
Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra.
Exemplo de citao: BEZERRA, E. K. Gesto de Riscos de TI NBR 27005. Rio de Janeiro: Escola
Superior de Redes, RNP, 2013.
Comentrios e perguntas
Para enviar comentrios e perguntas sobre esta publicao:
Escola Superior de Redes RNP
Endereo: Av. Lauro Mller 116 sala 1103 Botafogo
Rio de Janeiro RJ 22290-906
E-mail: info@esr.rnp.br
xi
Sobre o autor
Edson Kowask Bezerra profissional da rea de segurana da informao e governana
h mais de quinze anos, atuando como auditor lder, pesquisador, gerente de projeto e
gerente tcnico, em inmeros projetos de gesto de riscos, gesto de segurana da informao, continuidade de negcios, PCI, auditoria e recuperao de desastres em empresas
de grande porte do setor de telecomunicaes, financeiro, energia, indstria e governo.
Com vasta experincia nos temas de segurana e governana, tem atuado tambm como
palestrante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados
em segurana e governana. professor e coordenador de cursos de ps-graduao na rea
de segurana da informao, gesto integrada, inovao e tecnologias web. Hoje atua como
Coordenador Acadmico de Segurana e Governana de TI da Escola Superior de Redes. Possui a certificao CRISC da ISACA, alm de diversas outras em segurana e governana.
xii
1
Conceituar e compreender ameaas, vulnerabilidades, probabilidade e riscos;
conhecer e utilizar a norma de gesto de riscos; identificar as atividades do
processo de gesto de riscos e os fatores crticos para o sucesso; identificar
e definir as reas necessrias para a gesto de riscos.
conceitos
Introduo
11 A ao e interao dos objetivos com as incertezas originam o risco, que se apresenta
objetivos
Exerccio de nivelamento 1 e
Introduo gesto de riscos
Como voc avalia na sua organizao o processo de gesto de riscos?
Conceitos fundamentais
11 Norma ISO Guide 73:2009 Gesto de riscos Vocabulrio
22 Compartilhamento do risco.
objetivos do negcio, mitigando os riscos e garantindo os preceitos de segurana da organizao: Confidencialidade, Integridade, Disponibilidade e Autenticidade (CIDA).
11 Ameaa todo e qualquer evento que possa explorar vulnerabilidades.
Para pensar
Ameaa versus Vulnerabilidade
Entende-se que a ameaa o evento ou incidente, enquanto a vulnerabilidade
a fragilidade que ser explorada para que a ameaa se torne concreta. Ameaas
podem assumir diversas formas, como furto de equipamentos, mdia e documentos, escuta no autorizada, incndio, inundao e radiao eletromagntica,
at fenmenos climticos e ssmicos. Por exemplo, um computador cuja senha seja
do conhecimento de todos, sofre ameaas como roubo, destruio ou alterao de
informaes; a vulnerabilidade que permite que estas ameaas se concretizem
Tabela 1.1
Exemplos de
vulnerabilidades
e ameaas.
Vulnerabilidade
Ameaa
Erros humanos
Falha de hardware
Falha de software
Aes da natureza
Terrorismo
Vandalismo
Os conceitos a seguir dizem respeito s atividades aps a identificao dos riscos e relacionadas ao seu tratamento.
11 Risco: combinao da probabilidade (chance da ameaa se concretizar) de um evento
indesejado ocorrer e de suas consequncias para a organizao. a incerteza resultante
da combinao da probabilidade de ocorrncia de um evento e suas consequncias.
A pergunta Qual o risco? levanta dvidas a respeito da ocorrncia de algo incerto ou
inesperado. Em segurana da informao, esta incerteza reside nos aspectos tecnolgicos envolvidos, nos processos executados e, principalmente, nas pessoas que em
algum momento interagem com a tecnologia e se envolvem com os processos.
11 Riscos de segurana da informao: possibilidade de uma determinada ameaa explorar
vulnerabilidades de um ativo ou de um conjunto de ativos, assim prejudicando a organizao.
11 Identificao de riscos: processo para localizar, listar e caracterizar elementos de risco.
Por menor que seja a probabilidade de ocorrncia de um risco, pode ser que determinada
incerteza ocorra e explore uma vulnerabilidade, concretizando uma ameaa. Para se preparar para isso necessrio conhecer os riscos de todo o ambiente, atravs da realizao
de um processo formalizado de identificao de riscos.
11 Impacto: mudana adversa no nvel obtido dos objetivos de negcios. Consequncia avaliada dos resultados com a ocorrncia de um evento em particular, em que determinada
vulnerabilidade foi explorada, uma ameaa ocorreu e o risco se concretizou. Qual foi o
impacto deste evento nos negcios? Quanto se perdeu? A organizao ser responsabilizada? Haver multas? Aes legais sero impetradas? Haver danos de imagem?
Imagine as seguintes situaes hipotticas:
1. Em uma faculdade, um usurio com acesso s informaes dos alunos deixou sua senha
escrita num papel aps renov-la. O que pode ocorrer? Qual o impacto?
2. Em plena preparao para o vestibular de uma determinada instituio, as provas
vazaram. Qual o impacto se este vazamento ocorreu seis meses antes da realizao do
vestibular? E se ocorreu nas 48 horas que antecedem a realizao do vestibular?
Exemplos de impactos: perdas financeiras, paralisao de servios essenciais, perda de
confiana dos clientes, pane no fornecimento de energia e falhas de telecomunicaes,
entre tantos outros.
11 Estimativa de riscos: processo utilizado para atribuir valores probabilidade e consequncias de um risco. A estimativa de riscos permite quantificar ou descrever de forma
qualitativa um risco, permitindo s organizaes priorizar os riscos de acordo com os
critrios estabelecidos.
11 Aes de modificao do risco: aes tomadas para reduzir a probabilidade, as conse Gesto de Riscos de TI NBR 27005
Exerccio de fixao 1 e
Conceitos fundamentais
Durante uma apresentao sobre os conceitos de gesto de riscos para a alta direo da sua
organizao, voc foi questionado sobre duas possveis ameaas existentes e seus riscos.
Como voc responderia?
Em funo da sua resposta para a alta direo, lhe pediram para explicar os possveis
impactos relacionados a estes riscos. Como voc responderia?
Estes princpios da gesto dos riscos devem ser os norteadores desta nobre atividade no dia a dia das organizaes.
As normas descritas
acima so apresentadas
no curso Gesto de Segurana da Informao
NBR 27001 e 27002,
oferecido pela Escola
Superior de Redes.
Saiba mais
de TI), estas normas destacam a necessidade das organizaes de possurem uma gesto de
11 Norma que deve ser trabalhada em apoio norma ABNT NBR ISO 31000:2009 Gesto
de Riscos Princpios e diretrizes.
11 Descreve as diversas tcnicas e ferramentas de anlise de risco, e no foi ainda traduzida pela ABNT.
Em 2009 lanada pela ISO e imediatamente pela Associao Brasileira de Normas Tcnicas (ABNT) a norma ABNT NBR ISO 31000:2009 Gesto de Riscos Princpios e diretrizes.
Esta norma fornece os princpios e diretrizes genricas para qualquer indstria ou setor.
No mesmo ano foi lanada a norma ABNT ISO GUIDE 73:2009 Gesto de Riscos Vocabulrio. Ela apresenta as definies de termos genricos relativos gesto de riscos. Quando
se pretende fazer referncia a um conceito de gesto de riscos, deve ser utilizada a definio da norma ABNT ISO GUIDE 73:2009 Gesto de Riscos Vocabulrio. Segundo a ABNT:
Este guia fornece as definies de termos genricos relativos gesto de riscos. Destina-se
a incentivar uma compreenso mtua e consistente, uma abordagem coerente na descrio
das atividades relativas gesto de riscos e a utilizao de terminologia uniforme de gesto
de riscos em processos e estruturas para gerenciar riscos.
Em 2012, foi lanada em portugus a norma ABNT NBR ISO/IEC 31010:2012 Gesto de riscos
Tcnicas para o processo de avaliao de riscos deve ser trabalhada em apoio norma
ABNT NBR ISO 31000:2009 Gesto de Riscos Princpios e diretrizes. A norma descreve as
diversas tcnicas e ferramentas de anlise de risco, fornecendo orientaes sobre a seleo
e aplicao de tcnicas sistemticas para o processo de avaliao de riscos.
Este grupo de normas da srie 31000 visa atender a qualquer tipo de ambiente de uma
organizao. Proporcionam, portanto, uma concepo ampla e genrica da gesto de riscos,
sendo aplicadas para avaliar e tratar qualquer tipo de risco corporativo. Durante o desenvolvimento destas normas, foi publicada em 2008, pelo grupo de trabalho especfico de
tecnologia da informao, a norma ABNT NBR ISO/IEC 27005: 2008 Tecnologia da Informao Tcnicas de Segurana Gesto de riscos de segurana da informao. Esta norma
foi desenvolvida com base nos estudos da ISO 31000:2009, e portanto atende aos seus
requisitos e ao seu processo de gesto de risco. A ISO/IEC 27005 faz parte do conjunto de
normas da srie de 27000, sobre o Sistema de Gesto de Segurana da Informao (SGSI),
onde so includas ainda as normas ISO/IEC 27001 e ISO/IEC 27002. Esta norma apresenta as
melhores prticas e possibilita o aprofundamento em aspectos exclusivos da segurana da
informao, enquanto a ISO 31000 mais genrica e contempla todos os setores.
O enfoque deste curso est na norma ABNT NBR ISO/IEC 27005: 2008 Tecnologia
Ttulo
Objetivo
Observao
27001
27002
27005
31000
Gesto de riscos
Princpios e diretrizes
Editada em
2009,deste ano em
diante as demais
normas de gesto de
riscos devem estar
alinhadas a ela.
31010
Gesto de riscos
Tcnicas para o
processo de avaliao
de riscos
Editada em 2012.
GUIDE 73
Gesto de risos
Vocabulrio
Editada em 2009.
Tabela 1.2
Resumo
comparativo entre
as normas.
Esta norma descreve todo o processo necessrio para a gesto de riscos de segurana da
informao e as atividades necessrias para a perfeita execuo da gesto. Apresenta prticas para gesto de riscos da segurana da informao. As tcnicas nela descritas seguem
o conceito, os modelos e os processos globais especificados na norma ABNT NBR ISO/IEC
27001, alm de apresentar a metodologia de avaliao e tratamento dos riscos requeridos
pela mesma norma.
Partindo do princpio de que a gesto de riscos um processo cclico e contnuo, a norma
est dividida em sesses e anexos. As sesses contm as informaes do processo e das
atividades necessrias para a sua execuo. Existem 12 sesses ao todo: as sesses de 1
a 4 tratam das referncias e da estrutura da norma, e as sesses 5 e 6 apresentam a viso
geral do processo de gesto de riscos. As sesses a partir da 7 tratam especificamente do
processo de gesto de riscos. Os seis anexos so identificados de A a F e trazem informaes
adicionais e exemplos.
Nas sesses de 7 a 12 as atividades de gesto so apresentadas de acordo com a
seguinte estrutura:
11 Entrada: refere-se aos insumos e premissas necessrias para a realizao da atividade.
11 Ao: descrio da atividade, sempre acompanhada do convm.
11 Diretrizes para implementao: diretrizes necessrias para a realizao da ao, isto ,
o detalhamento de como a ao pode ser realizada. Estas diretrizes devem ser adaptadas
a cada tipo de organizao. Tambm esto acompanhadas do convm.
11 Sada: apresenta os resultados que devem ser alcanados e que vo servir para gerar evidncias.
Este curso utiliza o processo de gesto de riscos normatizado contido na norma ABNT NBR
ISO/IEC 27005.
zao para organizao assim como o nvel de risco aceitvel de cada uma.
11 Risco aceitvel o grau de risco que a organizao est disposta a aceitar para concretizar os seus objetivos.
11 Necessidade de aumentar a capacidade de gerir o risco e otimizar o retorno.
11 A abordagem de gesto de riscos de segurana da informao deve ser:
22 Contnua.
22 Realizada no tempo apropriado.
22 Repetitiva.
10
Definio do contexto;
11 Anlise/Avaliao de riscos;
11 Tratamento do risco;
11 Aceitao do risco;
11 Comunicao do risco;
11 Monitoramento e anlise crtica;
11 Ciclo de melhoria contnua PDCA.
A Tabela 1.3 mostra as principais atividades de gesto de riscos da segurana da informao.
Processo do SGSI
PLANEJAR
11Anlise/Avaliao de riscos
Tabela 1.3
Principais
atividades de
gesto de riscos
da segurana da
informao.
EXECUTAR
VERIFICAR
AGIR
Em seu livro Desafio aos deuses: a fascinante histria do risco, Peter Bernstein nos pre-
Dica de leitura:
BERNSTEIN, Peter.
Desafio aos deuses: a fascinante histria do risco.
Editora Campus, 1997.
pela humanidade, desde a Grcia antiga. Segundo o autor, somos possuidores de elevado
potencial tcnico para a preveno das perdas e ganhos, mesmo que o comportamento dos
agentes seja imprevisvel. Nas suas palavras: ... acontea o que acontecer e apesar de todos
os nossos esforos, os seres humanos no possuem o conhecimento completo sobre as leis
que definem a ordem do mundo objetivamente existente. Portanto, o autor nos desqualifica como previsores perfeitos do futuro.
Bernstein diz ainda que Quando investidores compram aes, cirurgies realizam operaes, engenheiros projetam pontes, empresrios abrem seus negcios e polticos concorrem
a cargos eletivos, o risco um parceiro inevitvel. Contudo, suas aes revelam que o risco
no precisa ser to temido: administrar o risco sinnimo de desafio e oportunidade.
O risco faz parte de nosso cotidiano, de modo que precisamos conhec-lo para poder trat-lo e dele extrair novas oportunidades.
inquestionvel a importncia do papel que a tecnologia da informao exerce na sociedade para que esta alcance seus objetivos. A integrao do ambiente tecnolgico, caracterizado pela complexidade e interdependncia, produz contextos muitas vezes hostis que
propiciam ataques cada vez mais frequentes segurana da informao, exigindo respostas
cada vez mais rpidas das organizaes. A este quadro vm somar-se novas obrigaes
legais, de proteo de privacidade e governana corporativa, gerando a necessidade das
organizaes gerenciarem mais efetivamente sua infraestrutura de tecnologia.
Para enfrentar estas novas ameaas e demandas as organizaes devem desenvolver uma
atitude proativa, antecipando-se em conhecer suas fraquezas e vulnerabilidades. Isto pode
ser obtido atravs da adoo de um processo formal de gerenciamento de riscos de segurana da informao, que permita organizao estabelecer um nvel aceitvel de risco.
Saiba mais
l senteia com uma detalhada anlise histrica da evoluo do controle e previso dos riscos
11
Para isso necessria uma abordagem sistemtica de gesto de riscos, que ir variar de
acordo com o negcio de cada organizao, assim como o nvel de risco aceitvel estabelecido pela direo de cada organizao.
Risco aceitvel o grau de risco que a organizao est disposta a aceitar para a
concretizao dos seus objetivos estratgicos.
Exerccio de fixao 2 e
Viso geral
Na sua organizao, qual seria o risco aceitvel na realizao das suas atividades? Explique.
externo, no que se refere a riscos nos negcios sob a tica da segurana da informao.
12
A Figura 1.1 apresenta uma viso do processo de gesto de riscos de segurana da informao segundo a norma ABNT NBR ISO/IEC 27005.
DEFINIO DO CONTEXTO
IDENTIFICAO DE RISCOS
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1
No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2
No
Tratamento satisfatrio
Sim
ACEITAO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
O processo tem seis grandes grupos de atividades:
11 Definio do contexto;
11 Anlise/Avaliao de riscos;
11 Tratamento do risco;
11 Aceitao do risco;
11 Comunicao do risco;
11 Monitoramento e anlise crtica.
Como pode ser visto na Figura 1.1, o ciclo de vida da gesto de riscos de segurana da informao iterativo, onde a gesto se desenvolve de maneira incremental, atravs de uma
sucesso de iteraes, e cada iterao libera uma entrega (sada) para a seguinte, minimizando tempo e esforo.
Definio do contexto
Dentro do processo, a definio do contexto responsvel pela definio do ambiente,
escopo, critrios de avaliao, entre outras definies.
Figura 1.1
Processo de
gesto de riscos
de segurana da
informao.
13
Esta etapa essencial para a equipe que realiza a gesto de risco conhecer todas as informaes sobre a organizao.
Anlise/Avaliao de riscos
A prxima iterao de anlise e avaliao de risco, que permitir a identificao dos riscos
e a determinao das aes necessrias para reduzir o risco a um nvel aceitvel.
Tratamento do risco
A partir dos resultados obtidos na anlise e avaliao do risco so definidos os controles
necessrios para o tratamento do risco. A norma ABNT NBR ISO/IEC 27001 especifica os
controles que devero ser implementados.
Aceitao do risco
Assegura os riscos aceitos pela organizao, ou seja, os riscos que por algum motivo no
sero tratados ou sero tratados parcialmente. So os chamados riscos residuais, cujo
enquadramento nesta categoria dever ser justificado.
Comunicao do risco
Nesta etapa feita a comunicao do risco e da forma como ser tratado, para todas as
reas operacionais e seus gestores.
14
rana da informao:
Processo do SGSI
PLANEJAR
Anlise/Avaliao de riscos
Definio do plano de tratamento do risco
Aceitao do risco
EXECUTAR
Processo do SGSI
VERIFICAR
AGIR
I
AG
PLA
Manuteno
e melhoria
do processo
NE
J AR
Denio
do contexto
VERI FIC
R
TA
AR
Aceitao
do risco
EJ
EX
EC
P L ANE JAR
Exerccio de fixao 3 e
PDCA
Explique como a fase planejar (PDCA) do processo do SGSI executado no processo de
gesto de riscos de segurana da informao.
Figura 1.2
Processo de gesto
de riscos e o
modelo PDCA.
Denio
do plano de
tratamento
LA
N
Implementar
o plano de
tratamento
Anlise/Avaliao
de riscos
NE J A
AR
PL A
Monitoramento
e anlise
crtica
15
Comunicao e treinamento
Todo o processo precisa ser comunicado a todas as partes envolvidas antes do seu incio,
durante o seu desenvolvimento e aps sua concluso, com a apresentao dos resultados
alcanados e metas atingidas. Em um processo de gesto de riscos todos os participantes
devem ser envolvidos, e para isso necessria a realizao de campanhas de conscientizao e treinamentos.
Definio de objetivos
O estabelecimento de objetivos contribui decisivamente com o alcance das metas da gesto
de riscos.
11 Tcnico.
16
11 Negcios.
11 Legislao.
11 Processos.
Para a melhor aplicao do processo de gesto de riscos, importante que os profissionais
envolvidos possuam um perfil com conhecimento de reas diversas, permitindo a identificao das ameaas e vulnerabilidades em qualquer ambiente organizacional.
Na equipe encarregada da realizao da anlise de risco preferencialmente devem ser
encontrados os seguintes perfis:
11 Tcnico: contribui no atendimento das demandas das diversas reas tcnicas da organizao, incluindo as reas de hardware, software, sistemas operacionais, infraestrutura e
aplicaes web, entre outras.
11 Negcios: auxilia a equipe no entendimento preciso dos negcios da organizao e seus
mltiplos processos, alm de ter importncia no clculo dos impactos.
11 Legislao: perfil voltado ao entendimento dos aspectos legais e normativos com os
quais a organizao analisada necessita se alinhar.
11 Processos: permite a compreenso dos processos e atravs de sua anlise identifica possveis ameaas e vulnerabilidades, contribuindo com a elaborao de planos de gesto e
tratamento de riscos.
Estes so alguns exemplos de perfis ou conhecimentos necessrios para a anlise de risco.
O tipo da organizao e seus objetivos de negcios indicaro os perfis realmente importantes
para compor a equipe de trabalho. No existe a necessidade de um profissional para cada
perfil citado, pois os conhecimentos podem ser encontrados em um mesmo profissional.
A quantidade de profissionais alocados ser determinada pelo escopo da anlise e prazo.
Leitura complementar
11 Sesses 4, 5 e 6 da norma ABNT NBR ISO/IEC 27005.
11 Item 4 da Norma Complementar Gesto de Riscos de Segurana da Informao e Comunicaes GRSIC, do DSIC/GSI/PR: http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf
11 Enterprise Risk Management: Past, Present and Future:
http://www.casact.org/education/erm/2004/handouts/kloman.pdf
11 Interdisciplinary Risk Management:
http://www.riskinfo.com/rmr/rmrjun05.htm
11 Quatro dicas para uma gesto de riscos eficiente:
http://cio.uol.com.br/gestao/2009/07/03/quatro-dicas-para-a-boa-gestao-de-riscos/
11 AS/NZS 4360:
http://www.standards.org.au/
11 Histria da AS/NZS 4360:
http://www.riskinfo.com/rmr/rmrsept00.htm
17
18
Roteiro de Atividades 1
Atividade 1.1 Conhecendo os conceitos
Para cada conceito a seguir, explique e apresente um exemplo baseado na organizao em
que voc trabalha. Justifique sua resposta:
Conceito
Definio
Exemplo
Justificativa
Riscos de segurana
da informao
Identificao de riscos
Impacto
Compartilhamento do
risco
Evitar o risco
Comunicao do risco
Estimativa do risco
Tratamento do risco
Aceitao do risco
19
Em sua opinio qual a importncia de entendermos a gesto de risco para o exerccio das
20
2
Conceituar e definir o contexto do ambiente da gesto de riscos; identificar o escopo
e as atividades de definio de critrios no processo de gesto de riscos.
conceitos
Introduo
Ao iniciar qualquer tipo de trabalho, a primeira atividade a ser feita conhecer o ambiente em
que o trabalho ser desenvolvido, as pessoas que de alguma forma iro interagir, o que ser
desenvolvido; em resumo, conhecer o terreno para saber conduzir o andamento dos trabalhos.
Nas atividades que envolvem gesto de riscos de segurana da informao a definio do contexto a parte inicial e tem como objetivo permitir o conhecimento do ambiente da organizao.
Exerccio de nivelamento 1 e
Contexto
No seu entendimento qual o contexto atual da sua organizao?
objetivos
21
DEFINIO DO CONTEXTO
IDENTIFICAO DE RISCOS
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1
No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
No
PONTO DE DECISO 2
Tratamento satisfatrio
Sim
ACEITAO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
Para realizar esta atividade, os profissionais devero ter acesso a toda documentao sobre a
organizao, permitindo assim o amplo conhecimento sobre as especificidades da organizao.
Contexto
necessrio entender o significado conceitual de contexto e sua aplicao na gesto de
riscos. Ao buscar o seu significado nos dicionrios, encontra-se, entre outras definies,
que contexto um substantivo masculino que significa inter-relao de circunstncias que
acompanham um fato ou uma situao.
Assim, ao nos referirmos a contexto queremos na verdade tratar da totalidade de circunstn-
22
Figura 2.1
Definio do
contexto.
Segundo a norma ABNT NBR ISO 31000:2009 o contexto pode ser analisado sob dois aspectos:
11 Contexto Externo: o ambiente externo no qual a organizao se situa e busca atingir
Estabelecimento do contexto
De acordo com a norma ABNT NBR ISO/IEC 31000, no momento em que a organizao
volvidas durante a fase de contexto da gesto de riscos. Essas atividades devem ser
23
Definindo o contexto
11 Suporte a SGSI.
11 Conformidade legal.
11 Plano de continuidade de negcios.
11 Plano de resposta a incidentes.
Ao iniciar o trabalho de gesto de riscos deve-se primeiramente fazer um levantamento de
todas as informaes relevantes sobre o ambiente onde ser executada a anlise de riscos.
Deve estar claro ainda o entendimento sobre as atividades da organizao e os propsitos
que a levaram gesto de riscos de segurana da informao.
So exemplos destes propsitos:
11 Suporte a SGSI: a organizao optou por implementar um SGSI e para isso deve realizar
a gesto de risco de segurana da informao como requisito obrigatrio.
11 Conformidade legal: atendimento a uma determinao legal ou normatizadora.
Ex: bancos, operadoras de carto de crdito.
11 Plano de Continuidade de Negcios: necessrio para a preparao do plano que visa
estruturar o modo como a organizao enfrentar um evento catastrfico. Para que no
ocorra um impacto significativo ao negcio necessria a realizao do processo de
gesto de riscos.
11 Plano de resposta a incidentes: para que a organizao possa ter seu plano de respostas a incidentes necessrio o conhecimento de seus riscos e vulnerabilidades.
De modo geral, o entendimento dos propsitos da implantao da gesto de riscos possibilita uma viso da importncia desta atividade para os negcios da organizao. Na norma
ABNT NBR ISO/IEC 27005 o propsito faz parte das diretrizes para implementao da atividade de definio do contexto: vide 7.1 Consideraes gerais.
24
Tabela 2.1
Itens para anlise
da organizao.
Exemplo de questionamentos
Propsito principal da
organizao
O negcio
A misso
Qual a sua misso? Para que ela existe? O que ela se prope a fazer? Para quem?
Exemplo de questionamentos
A viso de futuro
Os valores
A estrutura organizacional
O organograma
As estratgias
Os produtos
Os parceiros
Os terceiros
Quem so os terceiros? Como so escolhidos? Como contribuem? Como o relacionamento da segurana da informao com eles? Como o contrato? Quais as
obrigaes da segurana da informao?
As instalaes
Os funcionrios
Exerccio de fixao 1 e
Definindo o contexto
Qual deve ser um dos propsitos que devem levar a gesto de riscos de segurana da informao na sua organizao? Justifique.
25
26
22 O servio de callcenter.
22 O sistema logstico de distribuio de provas de concurso pblico nacional.
22 A intranet da organizao.
Exerccio de fixao 2 e
Definindo o escopo e limites
Quais propsitos devem ser considerados na sua organizao para definio do escopo?
Justifique.
27
Cite uma restrio tcnica e uma restrio organizacional possvel de existir na sua
organizao? Justifique.
11 Os critrios so a forma e o valor (pesos) com que os riscos e impactos sero valorados.
A palavra critrio, do grego kritrion pelo latim critrio, significa estabelecer um padro que
serve de base para que coisas e pessoas possam ser comparadas e julgadas.
Os critrios para avaliao de riscos servem para avaliar os riscos de segurana e
devem considerar:
11 O valor estratgico do processo;
11 A criticidade dos ativos;
11 O histrico de ocorrncias de eventos de segurana;
11 O valor do ativo para o processo;
11 A probabilidade de ocorrncias e outros, de acordo com a organizao e escopo.
Os critrios tambm sero utilizados para definir as prioridades para o tratamento dos riscos.
Exemplo:
Em um ambiente que possui uma sala usada como depsito de papel e com um precrio
sistema de preveno e combate a incndios, o risco de um incndio pode ser ALTO.
No desenvolvimento dos critrios importante que:
1. Definir a quantidade de nveis necessrios para o critrio;
2. Definir o nome do nvel;
3. Definir os valores de cada nvel;
4. Fazer uma descrio detalhada de cada nvel. Colocar o mximo de informaes do que
abrange aquele nvel a fim de permitir que qualquer outra pessoa possa entender cada
Critrios de impacto
Impacto a mudana adversa no nvel obtido nos objetivos de negcios. Os critrios de
impacto servem para mensurar o montante dos danos ou custos organizao causados
pela ocorrncia de um evento de segurana da informao. Geralmente esto relacionados
a perdas financeiras. Devem considerar, entre outros:
11 O comprometimento das operaes;
11 O descumprimento de prazos;
11 Os danos de reputao e imagem;
28
Exemplo
Se na ocorrncia de um incndio os prejuzos foram apenas locais, restritos a uma sala, o
impacto pode ser classificado como BAIXO. Na situao do incndio ter se alastrado, e no
ter sido possvel control-lo, de modo a ter destrudo diversas salas, equipamentos e documentos importantes, o impacto pode ser classificado como ELEVADO.
Tabela 2.2
Exemplo de critrio
de probabilidade.
Tabela 2.3
Exemplo de critrio
de abrangncia.
Nvel
Definio
Frequente
> 0,92
Provvel
Ocasional
Remoto
Improvvel
Valor
Definio
Exemplos de critrios:
29
Valor
Definio
Nvel de risco
Valor
Descrio
Extremo
Altssimo
Alto
Mdio
Baixo
Irrelevante
0,5
Figura 2.4
Exemplo de critrio
de nvel de risco.
Outro ponto importante a definio dos critrios (7.2 Critrios bsicos). Os critrios fazem
parte do mtodo com o qual ser feita a gesto de riscos. Em outras palavras, os critrios so a
forma e o valor (pesos) com que sero valorados os riscos e os impactos. Para identificar o maior
ou menor risco, e o mais alto ou mais baixo impacto, preciso definir os critrios. Critrio um
padro que serve de base para que coisas e pessoas possam ser comparadas e julgadas.
A definio de critrios de risco envolve decidir sobre:
(melhores prticas);
30
Nvel de risco
Desprezvel
Valor
Descrio
11No ocorrem leses, mortes na fora de trabalho e/ou de pessoas
externas empresa. Podem ocorrer casos de primeiros socorros ou
tratamento mdico (sem afastamento).
11Sem danos ou com danos insignificantes aos equipamentos e/ou
instalaes.
11Os sistemas de TI ficaram fora de operao por at 5 minutos.
11Leses leves na fora de trabalho, ausncia de leso.
Levemente
prejudicial
Tabela 2.5
Exemplos de
critrios de
impacto.
Exerccio de fixao 3 e
Definindo os critrios
Que critrios j existem atualmente na sua organizao? Justifique.
Extremamente
prejudicial
31
de gesto de riscos.
11 Devem ser definidos:
22 O processo de gesto de risco adequado organizao.
22 As partes interessadas.
22 Os papis e responsabilidades das partes envolvidas, internas e externas organizao.
22 As relaes necessrias entre a organizao, suas partes interessadas e
outros projetos.
22 A cadeia de comunicao e de decises.
22 Os registros que devem ser mantidos.
22 Outros registros que atendam a particularidades especficas de cada tipo
de organizao.
11 Todas estas atividades devem gerar evidncias para a aplicao dos processos de
gesto de riscos.
A definio dos papis e responsabilidades um fator importante para o sucesso do
processo de gesto de riscos. Para tal isto deve estar formalmente definida, comunicada,
documentada e aprovada pelos gestores da alta administrao.
Deve ficar claro para todos os envolvidos que o conjunto destas atividades deve gerar
evidncias que auxiliem para uma aplicao adequada dos processos de gesto de riscos.
Sendo assim, importante que todas as informaes e dados sejam documentados para o
caso de uma futura auditoria.
Leitura complementar
11 Sesso 7 da norma ABNT NBR ISO/IEC 27005.
11 Sesses 5, 6 e 7 da norma ABNT NBR ISO/IEC 27002.
11 Captulo 5 do livro O risco de TI (Desenvolvendo o processo de governana de risco), de
32
Roteiro de Atividades 2
Viso geral da atividade
Sero realizadas as atividades necessrias para a Definio do contexto. A figura a seguir
apresenta graficamente a localizao destas atividades no processo de gesto de riscos.
DEFINIO DO CONTEXTO
IDENTIFICAO DE RISCOS
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1
No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
No
PONTO DE DECISO 2
Tratamento satisfatrio
Sim
ACEITAO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.
Para esta atividade, o aluno deve se valer do Anexo A (Descrio da Empresa), que permitir
a criao de uma empresa fictcia ou ainda auxiliar em algumas observaes sobre sua organizao. A planilha desta atividade composta de perguntas bsicas para o entendimento
do contexto organizacional.
A sequncia das atividades ser:
1. Leitura da Seo 7 e do Anexo A da norma ABNT NBR ISO/IEC 27005;
2. Leitura do Anexo A (Descrio da Empresa) deste caderno de atividades;
Figura 2.2
Atividades para
a Definio do
contexto.
Figura 2.3
Anlise das
restries.
Existem restries que afetam a organizao e restries que afetam o escopo da gesto de riscos.
S passe para a guia seguinte aps concluir.
a. Exerccios da guia Escopo
O objetivo desta atividade , atravs de respostas a algumas perguntas, desenvolver no
aluno o entendimento do que deve ser pensado, planejado e verificado ao definirmos o
escopo e seus limites.
Esta guia apresenta exerccios para que a equipe de anlise tenha um perfeito entendimento do escopo e seus limites. Para cada tpico devero ser colocadas direita as observaes correspondentes.
34
Desprezvel
Baixo
Significativo
Importante
Desastre
Cada critrio composto por nvel e descrio. Para cada um deles a equipe de anlise
dever definir seus critrios.
Para a atividade, as descries que possuem a palavra DEFINA devero ser completadas pela equipe e alguns nveis podero ser alterados. Os critrios definiro as
demais atividades no decorrer do curso.
5. Verificao e correo pelo instrutor.
Ao concluir o Roteiro de Atividades 2, a equipe de anlise conhecer o ambiente da organizao. O escopo da anlise estar definido, assim como os critrios de anlise que nortearo
todos os trabalhos da gesto de risco.
Tabela 2.6
Definio de
critrios.
Nvel
35
Viso
A alta administrao visa aperfeioar a maneira de trabalhar, reduzindo custos e procurando preservar e investir em seu ativo intelectual e parque tecnolgico, trabalhando em
busca da melhoria contnua e da excelncia operacional, para se firmar cada vez mais como
uma marca de sucesso.
A KWX tem como viso ser uma marca de expresso nacional, conquistando o pblico
atravs de produtos inovadores, relaes ticas com parceiros e a comunidade, e a prtica
constante de responsabilidade social, tendo como prioridade a preservao ecolgica.
Apesar de tudo isso, a KWX tambm aposta no fator humano e na satisfao dos seus funcionrios e colaboradores. A satisfao pessoal algo que buscamos oferecer aos nossos funcionrios. Queremos que eles sejam mais que simples trabalhadores, mas que venham para a
KWX com satisfao e orgulho de serem parte desta empresa, afirma o diretor presidente.
Estrutura organizacional
Diretor Presidente
Diretor Operacional
36
Diretor Administrativo/
Financeiro
Gerente de Pesquisa
& Desenvolvimento
Gerente de
Recursos Humanos
Gerente de Produo
Gerente Financeiro
Gerente de Logstica
Gerente Compras/
Materiais
Gerente de Manuteno
Gerente de Manuteno
Gerente de Segurana,
Sade e Meio Ambiente
Gerente de Tecnologia
de Informao
Diretor Comercial
Gerente de Vendas
Coordenao
Atendimento
ao Cliente
Coordenao de
Plaejamento
de Produo
Gerente de Marketing
Gerente de
Infraestrutura
Corporativa
Coordenao
Segurana de
Informao
Figura 2.4
Organograma
da KWX.
Diretoria Operacional
Pesquisa e Desenvolvimento
A KWX est sempre em busca de novas tendncias e tecnologias para ser uma referncia no
mercado nacional de cursos apostilados. A elaborao de novos cursos e produtos, alinhada
s tendncias de mercado e a concorrncia, so de vital importncia para o sucesso da
empresa. neste departamento que novas ideias, materiais e produtos so concebidos,
alm de melhorias no processo de fabricao de produtos existentes. Todas as anlises de
novos cursos e apostilas so feitas neste departamento, que o principal capital intelectual
da empresa, por isso devendo ser protegido de todas as formas.
Produo
O planejamento de produo realizado com base nas informaes recebidas pela rea de
atendimento ao cliente, e tambm no histrico de produo dos ltimos dois anos. Para o bom
funcionamento do planejamento, necessria uma grande interao com as reas de atendimento ao cliente, compras, vendas, controle de materiais (almoxarifado) e principalmente com
as reas de cho de fbrica. A rea de planejamento gera uma programao de produo para
os prximos 5 dias, embora essa programao seja revisada e atualizada diariamente.
Almoxarifado
Responsvel pelo recebimento dos materiais, alm do estoque de produtos considerados
essenciais para o funcionamento do processo fabril. Materiais de escritrio tambm ficam
no almoxarifado.
Logstica
rea responsvel por toda a movimentao de produtos dentro e fora da companhia,
definindo a estratgia de distribuio dos produtos para os clientes. Garante que o produto
seja entregue no destino final, dentro dos prazos e especificaes corretos. Controla ainda a
movimentao dos produtos e materiais no cho de fbrica.
Manuteno
Engloba a manuteno eltrica e mecnica. O time da manuteno trabalha durante o
horrio administrativo, com um funcionrio alocado em cada turno para acompanhar e
resolver eventuais problemas no processo de produo. A manuteno tem a responsabilidade de manter todas as mquinas em funcionamento, alm da parte eltrica, ar-condicionado, alarmes e catracas da fbrica, cuidando ainda de manutenes preventivas.
Segurana, Sade e Meio Ambiente
Segurana Patrimonial e Meio Ambiente, alm da integridade dos funcionrios. responsvel pelas normas de meio ambiente, pelo relacionamento com rgos ambientais, pela
aplicao de ferramentas e procedimentos de segurana, realizao de mapa de riscos das
reas da empresa, e ainda pela definio e aprovao dos EPIs utilizados pelos funcionrios.
37
Esta rea tambm responsvel pela definio dos treinamentos e da conscientizao dos
funcionrios sobre a importncia de se trabalhar com segurana. , ainda, de responsabilidade desta rea a investigao de acidentes e incidentes ocorridos na empresa, e tambm
por tomar aes corretivas para evitar uma nova ocorrncia. Esta uma rea de vital
importncia para a KWX, uma vez que a conformidade com as leis e a proteo ambiental
so prioridades para a organizao. Fortes investimentos foram feitos nesta rea, ajudando
a tornar a KWX uma referncia no aspecto socioambiental.
Diretoria Administrativo-Financeira
Recursos Humanos
Tem a responsabilidade da contratao e demisso de pessoal, organizao de treinamentos
internos e externos, gerenciamento da folha de pagamento, controle de ponto, refeies e
benefcios. Tambm de responsabilidade do RH a pesquisa por mdias salariais de mercado,
programas de promoo de funcionrios e controle do programa de participao nos lucros.
Finanas
Departamento que engloba a parte financeira: tesouraria, rea fiscal, custos, contas a pagar
e a receber, controladoria e ativo fixo. Por se tratar de uma rea de grande sensibilidade
e importncia, a rea financeira suportada por uma srie de sistemas e aplicaes que
garantem o bom funcionamento da empresa e a confiabilidade nos nmeros e planos de
conta apresentados.
Compras e Materiais
Este setor tem a responsabilidade por todo o processo de compras, desde a negociao com
os fornecedores at a compra final dos produtos. Informam preos mdios de mercado a
funcionrios especficos, para que possam fazer uma requisio de compras. Funcionrios
que no sejam da rea de compras no podem ter contato com fornecedores. Os contratos
tambm so negociados pela rea de compras.
Diretoria Comercial
Vendas
rea responsvel por planejar o volume de vendas a realizar no ms, atravs de dados
recebidos do pessoal de planejamento de produo, e tambm encarregada de estimar os
pedidos dos clientes. A rea de vendas responsvel por todo o processo de vendas dos
produtos da empresa, e tambm pelo relacionamento com os clientes, que so as instituies de ensino que comercializam a linha KWX. Esta rea tambm fornece o suporte tcnico
38
Marketing
rea responsvel por desenvolver toda a estratgia de comercializao e divulgao dos
produtos da linha KWX. Coordena campanhas publicitrias em diferentes mdias, alm de
desenvolver e manter atualizado o website da companhia.
Infraestrutura
Figura 2.5
Planta atual da KWX
fbrica.
39
Figura 2.6
Planta atual da
KWX escritrio
comercial.
40
11 Descrio do contexto.
11 Definio do escopo.
11 Identificao das restries.
11 Definio dos critrios.
3
Compreender o processo de identificao de riscos e identificar ativos, ameaas
e controles existentes.
conceitos
Introduo
Aps as fases de identificao do contexto e definio do escopo, a prxima fase a de
anlise/avaliao de riscos, composta por duas grandes etapas de trabalho:
11 Anlise de riscos;
11 Avaliao de riscos.
Nesta sesso de aprendizagem, iniciaremos o estudo da etapa de anlise de riscos.
Exerccio de nivelamento 1 e
Identificao dos riscos
No seu entendimento o que identificao dos riscos?
objetivos
Identificao de riscos
41
DEFINIO DO CONTEXTO
IDENTIFICAO DE RISCOS
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1
No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2
No
Tratamento satisfatrio
Sim
Figura 3.1
Posio da fase de
anlise de riscos no
processo de gesto
de riscos.
ACEITAO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
Neste captulo sero apresentados os detalhes da identificao de riscos. Recomendamos o
seu acompanhamento com a leitura do item 8.2.1 da norma ABNT NBR ISO/IEC 27005.
Identificao de riscos
11 Realizada para que se possa conhecer e determinar os possveis eventos com poten-
42
importante que qualquer organizao identifique as suas fontes de risco, suas causas e
consequncias. A finalidade gerar uma lista abrangente de riscos baseada em eventos que
possuam capacidade de criar, aumentar, evitar, reduzir, acelerar ou atrasar a conquista dos
seus objetivos.
Na fase de anlise de risco, a primeira etapa a identificao de riscos. Esta identificao
realizada para que se possa conhecer e determinar os possveis eventos que tenham um
potencial de causar perdas, assim como levantar de que forma isso pode acontecer. As atividades de identificao de riscos so as mostradas na figura 3.2:
ANLISE DE RISCOS
Figura 3.2
Identificao de
riscos na fase de
anlise de riscos.
AVALIAO DE RISCOS
Identicao de Riscos
Identicao
dos ativos
Identicao
das ameaas
Identicao dos
controles existentes
Identicao das
vulnerabilidades
Identicao das
consequncias
Avaliao de Riscos
Identificando os ativos
11 Ativo qualquer elemento com valor para a organizao que necessite de proteo.
Figura 3.3
Atividades de
identificao de
riscos.
43
Identicao de Riscos
Identicao
dos ativos
Identicao
das ameaas
Identicao dos
controles existentes
Identicao das
vulnerabilidades
Identicao das
consequncias
Figura 3.4
Identificao
dos ativos.
Avaliao de Riscos
De posse das informaes levantadas durante a fase de definio de contexto, como escopo,
lista de componentes e responsveis, entre outras, inicia-se a identificao dos ativos.
Ativo qualquer elemento de valor para a organizao, isto , qualquer item tangvel
(como hardware) ou intangvel (por exemplo, propriedade intelectual), recurso ou
habilidade que tenha valor ou seja crtico para a existncia da organizao, e que por
consequncia necessite de proteo.
Na atividade de identificao dos ativos:
11 Entrada: contempla os resultados da etapa de definio do escopo.
11 Ao: desenvolvimento da atividade de identificao dos ativos. A identificao dos
ativos deve ser feita em um nvel de detalhamento que permita o fornecimento de informaes adequadas e suficientes para a anlise e avaliao de riscos. Como o processo
define a necessidade de diversas iteraes, o detalhamento pode ser aprofundado em
cada iterao.
11 Sada: lista dos ativos considerados sensveis para a organizao e tambm uma lista dos
44
Entrada
Escopo
Lista de Componentes
Responsveis
Localidade
Funo
Estrutura Organizacional
Misso, Objetivos
Ao
Identicao
dos ativos
(8.2.2 da ABNT NBR
ISO/IEC 27005)
Sada
Lista de Ativos
Lista de negcios
Figura 3.5
Identificao
dos ativos.
A primeira informao sobre cada ativo quem o seu responsvel?. Este profissional tem
responsabilidade sobre a produo, desenvolvimento, manuteno, utilizao e segurana
do ativo; possui a maioria das informaes sobre o ativo e frequentemente ser a pessoa
mais adequada para determinar o valor do ativo.
Dois tipos de ativos podem ser identificados:
11 Ativos primrios;
11 Ativos de suporte e infraestrutura.
sensveis para a organizao. Cabe ressaltar que existiro processos e informaes que no
45
Exerccio de fixao 1 e
Identificando os ativos
46
Identificando as ameaas
11 Ameaa qualquer evento que explore vulnerabilidades, com potencial de causar inci-
Identicao
das ameaas
Identicao das
vulnerabilidades
Figura 3.6
Identificao
das ameaas.
Identicao das
consequncias
Como foi visto, ameaa qualquer evento que explore vulnerabilidades, com potencial de
causar um incidente indesejado, que pode resultar em dano para um sistema ou organizao. Na atividade de Identificao das Ameaas sero realizadas aes para levantar e
identificar, dentro do escopo estabelecido, as ameaas existentes na organizao.
Identicao dos
controles existentes
47
Entrada
Informaes
Anlise crtica de incidentes
Informao dos Responsveis
Catlogo de ameaas
Ao
Identicao
das ameaas
(8.2.3 da ABNT NBR
ISO/IEC 27005)
Sada
Lista de Ameaas
Tipo e fonte
das ameaas
tratam de dados confidenciais e sensveis da organizao e como tal devem ser tra-
48
Figura 3.7
Identificao das
ameaas.
Exerccio de fixao 2 e
Identificando as ameaas
Utilizando a norma, cite trs ameaas existentes na sua organizao e justifique sua resposta.
49
Identicao de Riscos
Identicao
dos ativos
Identicao
das ameaas
Identicao dos
controles existentes
Figura 3.8
Fase de
identificao
dos controles
existentes no
processo de
identificao de
riscos.
Identicao das
vulnerabilidades
Identicao das
consequncias
Entrada
Ao
Sada
Identicao dos
controles existentes
Lista de Controles
existentes e planejados
Sua implementao
e status de utilizao
Planos de Implementao
50
Figura 3.9
Identificao
dos controles
existentes.
11 Questionrios e checklists;
11 Inspees fsicas e visitas aos locais.
Uma observao importante sobre a eficcia e eficincia dos controles existentes e planejados. Um controle pode no atender plenamente e falhar no tratamento do risco. Assim controles complementares podem ser necessrios para o tratamento efetivo do risco. Outro ponto
sobre controles ineficazes ou insuficientes. Nestes casos pode ser necessrio que o controle
seja removido e substitudo por outro. Estes pontos devem constar na anlise dos controles
existentes, realizada pela equipe de anlise. Controles planejados devem ser avaliados se realmente sero capazes de sanar os riscos a que se referem quando forem implementados.
Leitura complementar
11 Sesso 8.1, 8.2.1, 8.2.2 e 8.2.3 da norma ABNT NBR ISO/IEC 27005.
11 Sesso B.1 do anexo B da norma ABNT NBR ISO/IEC 27005.
51
52
Roteiro de Atividades 3
Viso geral da atividade
Aps identificar o ambiente, delimitar o escopo e definir os critrios, a equipe de anlise de
risco j est em condies de iniciar a etapa de identificao dos riscos, executando as atividades necessrias Identificao de riscos: ameaas, ativos e controles existentes.
A figura a seguir apresenta graficamente a localizao destas atividades no processo de
gesto de riscos:
DEFINIO DO CONTEXTO
IDENTIFICAO DE RISCOS
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1
No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2
No
Tratamento satisfatrio
Sim
ACEITAO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.
Para esta atividade o aluno deve se valer do Anexo B (Infraestrutura), que permitir o levantamento dos equipamentos, processos, pessoas e tecnologias da empresa KWX.
Sequncia das atividades:
1. Leitura das sees 8.1, 8.2 e ainda B.1 do Anexo A da ABNT NBR ISO/IEC 27005;
Figura 3.10
Atividades do
processo de gesto
de riscos.
1) A guia Ativos
2) a guia Ameaas
3) a guia Controles Existentes
a. Exerccio da guia Ativos Identificao dos ativos do escopo da anlise de riscos
Neste exerccio a equipe de anlise listar todos os ativos da organizao que estejam
dentro do escopo da anlise de riscos, dividindo-os em dois grupos: Ativos Primrios e
Ativos de Suporte e Infraestrutura. Cada ativo listado dever ser justificado.
Devero ser listados 20 ativos, sendo 10 primrios e 10 de suporte e infraestrutura.
S passe para a guia seguinte aps concluir.
b. Exerccio da guia Ameaas Identificao das ameaas aos ativos.
Com os ativos j identificados e conhecidos a equipe de anlise agora identificar TODAS as
ameaas s quais est sujeito cada um dos ativos levantados.
Para a realizao do exerccio, devero ser listadas apenas duas ameaas para cada ativo,
mas lembre-se de que em uma atividade prtica real todas as ameaas devero ser listadas.
Como meio auxiliar para isso, ser utilizado o Anexo C (Exemplos de ameaas comuns) da
norma ABNT NBR ISO/IEC 27005.
Na nossa planilha, os ativos listados na atividade anterior so copiados automaticamente
para a guia Ameaas, aparecendo ao lado uma lista de ameaas para que sejam selecionadas as ameaas que podem vir a afetar cada ativo. No se esquea de justificar as suas
escolhas. S passe para a guia seguinte aps concluir.
c. Exerccio da guia Controles Existentes Identificao dos controles existentes ou com
implementao planejada.
Com os ativos e ameaas j identificados pela equipe de anlise, a prxima atividade
identificar os controles existentes e os que esto em processo de implementao. Para cada
ameaa identificada e para cada ativo, a equipe de anlise de risco dever identificar se j
existem controles implementados ou que esto planejados para ser implementados. Isto
feito com o objetivo de evitar que estes controles sejam recomendados novamente no futuro.
Neste exerccio devero ser apresentados dois controles para cada ameaa identificada,
CASO EXISTAM. Para cada ativo devem ser identificados pelo menos quatro controles. Na
realidade este nmero pode ser varivel para cada ativo. Estes controles no precisam
necessariamente ser referentes s ameaas listadas na etapa anterior. Se no existir controle implementado ou a ser implementado, basta colocar a resposta No existe.
As respostas das guias anteriores so copiadas para esta guia. Para cada tpico devero ser colocadas direita as justificativas correspondentes. S passe para a guia seguinte aps concluir.
5. Verificao e correo pelo instrutor.
Ao concluir o Roteiro de Atividades 3, a equipe de anlise ter uma listagem contendo os
ativos, as ameaas que afetam ou podem vir a afetar cada ativo e os controles atualmente
existentes ou previstos para serem implementados.
54
Anexo B Infraestrutura
Infraestrutura fsica
A segurana fsica mantida por uma equipe formada por profissionais relacionados
Segurana Patrimonial.
A segurana fsica/patrimonial da KWX contempla os seguintes ativos:
11 Portaria/Guarita: duas catracas para controle de acesso (sem funcionamento), 5 guardas
terceirizados da empresa GuarFull24;
11 Estacionamentos: portes eletrnicos (dois sem funcionar) e cercas eltricas;
11 Data Center: controle de acesso atravs de chaves, sprinklers e racks destrancados;
11 No h sala cofre;
11 Estaes de trabalho sem controles especficos.
Infraestrutura tecnolgica
A rea de TI encontra-se atualmente subordinada ao diretor administrativo-financeiro. tambm
a responsvel pela recm-criada rea de Segurana da Informao. Aloca dois profissionais
em funes multitarefa, que se revezam nas tarefas do dia a dia, como por exemplo help desk,
administrao da rede, criao e excluso de contas de usurio, entre outras.
Ativos de tecnologia
A estrutura suportada pela rea de TI da KWX atualmente composta por:
11 750 usurios com acesso rede e e-mail;
11 800 mquinas (sendo 550 notebooks);
11 25 impressoras;
11 Redes Windows;
11 Redes Linux;
11 1 servidor de e-mail Windows Exchange;
11 6 servidores de arquivos;
11 6 servidores de backup;
11 1 servidor web para suporte ao ambiente de comrcio eletrnico via internet;
11 1 servidor DNS;
11 5 firewalls;
11 3 roteadores para acesso internet (um em cada sede);
11 1 PABX contendo ramais analgicos e digitais (total de 1200 ramais, sendo 300 com identificador de chamadas para a fbrica);
11 1 PABX contendo ramais digitais (total de 400 ramais, todos com identificador de chamadas para o escritrio);
11 7 salas reunies com rede wireless, videoconferncia e projetor;
11 1 servidor dedicado para o sistema ERP;
11 Servidor de e-mail/antivrus (Linux Debian);
11 Servidor de Proxy (Linux Debian);
55
56
57
58
4
Identificar vulnerabilidades e suas consequncias.
conceitos
Introduo
11 A anlise de risco um processo formal de identificao de ameaas e vulnerabilidades.
Exerccio de nivelamento 1 e
Vulnerabilidades e consequncias
No seu entendimento, o que so vulnerabilidades e consequncias?
objetivos
59
Identicao
das ameaas
Identicao dos
controles existentes
Identicao das
vulnerabilidades
Identicao das
consequncias
Figura 4.1
Identificao das
vulnerabilidades e
consequncias.
Avaliao de Riscos
Cada atividade deve ser executada na sequncia. Estas atividades permitiro, ao final da
etapa, que os riscos tenham sido identificados.
Identificando as vulnerabilidades
11 A atividade de identificao das vulnerabilidades tem por objetivo criar uma lista com
as vulnerabilidades associadas aos ativos, ameaas e controles.
11 Vulnerabilidade qualquer fraqueza que possa ser explorada e comprometa a segurana de sistemas ou informaes.
22 Entrada: as listas de ameaas conhecidas, de ativos e de controles existentes,
e todas sadas das atividades anteriores.
22 Ao: atividade de identificao das vulnerabilidades que possam ser exploradas
por ameaas e assim comprometer os ativos da organizao.
22 Sada: lista de cenrios de incidentes com suas consequncias associadas aos
Gesto de Riscos de TI NBR 27005
60
e aplicativos).
22 Hardware, software e equipamentos de comunicao.
22 Dependncias de entidades externas.
11 Mtodos proativos:
22 Ferramentas automatizadas de procura e identificao de vulnerabilidades.
22 Avaliao e testes de segurana.
22 Teste de invaso.
22 Anlise crtica de cdigo.
Vulnerabilidade qualquer fraqueza que possa ser explorada e comprometa a segurana
de sistemas ou informaes. uma fragilidade de um ativo ou grupo de ativos que pode ser
explorada para concretizar uma ou mais ameaas.
Identicao de Riscos
Identicao
dos ativos
Identicao
das ameaas
Identicao dos
controles existentes
Identicao das
vulnerabilidades
Identicao das
consequncias
A atividade de identificao das vulnerabilidades tem por objetivo criar uma lista com as
vulnerabilidades associadas aos ativos, ameaas e controles. Nesta atividade, a equipe de
anlise ter como:
11 Entrada: listas de ameaas conhecidas, listas de ativos e de controles existentes, alm de
todas as sadas das atividades anteriores.
11 Ao: atividade de identificao das vulnerabilidades que possam ser exploradas por
ameaas com a possibilidade de comprometer os ativos.
11 Sada: lista de cenrios de incidentes com suas consequncias associadas aos ativos e
processos do negcio.
Figura 4.2
Identificao das
vulnerabilidades.
61
Entrada
Lista de ameaas
Lista de ativos
Lista de controles existentes
Ao
Identicao das
Vulnerabilidades
(8.2.5 da ABNT NBR
ISO/IEC 27005)
Sada
Lista de vulnerabilidades
associadas aos ativos, s
ameaas e aos controles
Lista de vulnerabilidades
que no se referem a
nenhuma ameaa
identicada
Figura 4.3
Identificao das
vulnerabilidades.
62
verificao de vulnerabilidades. Os resultados e informaes obtidos atravs das avaliaes sero utilizados para a realizao dos testes. A avaliao verifica vulnerabilidades
potenciais e os testes de segurana tentam explor-las.
11 Teste de invaso: tem como objetivo a verificao da resistncia do ativo em relao aos
mtodos de ataque conhecidos.
11 Anlise crtica de cdigo: identificao de vulnerabilidades em cdigos-fonte.
Em resumo, os resultados destes tipos de testes de segurana ajudam na identificao das
vulnerabilidades de um sistema.
O anexo D da norma
ABNT NBR ISO/IEC
27005 apresenta uma
lista com diversos
exemplos de vulnerabilidades, suas ameaas
relacionadas e mtodos
para avaliao de
vulnerabilidades
tcnicas.
Exerccio de fixao 1 e
Identificando vulnerabilidades
Cite trs vulnerabilidades, sob a viso interna, da sua organizao? Justifique.
Cite trs vulnerabilidades, sob a viso de fora para dentro, da sua organizao? Justifique.
impacto nos objetivos da organizao. Na anlise de riscos uma consequncia pode ser:
22 A perda da eficcia no funcionamento operacional dos sistemas.
22 Instabilidade no funcionamento de sistemas.
22 Condies adversas de operao.
22 Perda de oportunidade de negcios.
22 Imagem e reputao afetadas.
22 Violao de obrigaes regulatrias.
22 Prejuzo financeiro.
63
Identicao de Riscos
Identicao
dos ativos
Identicao
das ameaas
Identicao dos
controles existentes
Identicao das
vulnerabilidades
Identicao das
consequncias
Figura 4.4
Identificao das
consequncias.
Entrada
Lista de vulnerabilidades
associadas aos ativos, s
ameaas e aos controles
64
Lista de vulnerabilidades
que no se referem a
nenhuma ameaa
identicada
Ao
Identicao das
consequncias
(8.2.6 da ABNT NBR
ISO/IEC 27005)
Sada
Lista de cenrios de
incidentes e suas
consequncias
associadas aos ativos e
processos do negcio
Esta atividade visa identificar as consequncias ou prejuzos para a organizao que podem
decorrer de um cenrio de incidentes, fruto das vulnerabilidades identificadas. A configurao
de um cenrio de incidentes considerada uma falha de segurana.
Figura 4.5
Identificao das
consequncias.
Um cenrio nada mais do que a descrio de uma ameaa que explora uma ou mais vulnerabilidades em um incidente de segurana da informao, podendo afetar um ou mais ativos ou
apenas parte de um ativo, de acordo com os critrios estabelecidos na Definio do Contexto.
Como exemplos de consequncias operacionais citam-se:
11 Oportunidade perdida;
11 Sade e segurana;
11 Tempo de investigao e tempo de reparo;
11 Tempo de trabalho perdido;
11 Custo financeiro para reparar o prejuzo;
11 Imagem e reputao.
Exerccio de fixao 2 e
Identificando as consequncias
Apresente uma consequncia para trs vulnerabilidades respondidas nos exerccios de
fixao 1? Justifique.
Leitura complementar
11 Sesso 8.2.5 e 8.2.6 da ABNT NBR ISO/IEC 27005.
11 Anexo D da ABNT NBR ISO/IEC 27005.
11 Norma Complementar Gesto de Riscos de Segurana da Informao e Comunicaes
GRSIC, do DSIC/GSI/PR: http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf
Defense: http://www.sans.org/
11 Security Focus Vulnerabilities: http://www.securityfocus.com/
11 CERT.br Security Related Links: http://www.cert.br/links/
11 CAIS Centro de Atendimento a Incidentes de Segurana
RNP: http://www.rnp.br/cais/alertas/
11 SANS The Top Cyber Security Risks Twenty Critical Security Controls for Effective Cyber
65
66
Roteiro de Atividades 4
Viso geral da atividade
Com os ativos, ameaas e controles j levantados e identificados pela equipe de anlise, os
prximos passos so a identificao das vulnerabilidades e as consequncias caso essas
vulnerabilidades sejam exploradas pelos agentes para concretizao das ameaas. Agora
sero realizadas as atividades necessrias para a Anlise de riscos identificao de riscos:
vulnerabilidades e consequncias.
A figura a seguir apresenta graficamente a localizao destas atividades no processo de
gesto de riscos:
DEFINIO DO CONTEXTO
IDENTIFICAO DE RISCOS
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1
No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2
No
Tratamento satisfatrio
Figura 4.6
Atividades no
processo de gesto
de riscos.
ACEITAO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.
Para esta atividade o aluno deve se valer do Anexo C (Problemas relatados e observados)
que permitir o levantamento dos problemas da empresa KWX.
Sim
67
68
Esta lista apenas para a realizao exerccio. Normalmente estas consequncias so especficas para cada tipo de organizao. Assim como a quantidade de consequncias para cada
vulnerabilidade tambm um nmero varivel.
As respostas das guias anteriores so copiadas para esta guia.
S passe para a guia seguinte aps concluir.
5. Verificao e correo pelo instrutor.
Ao concluir o Roteiro de Atividades 4, a equipe de anlise ter uma listagem dos ativos,
ameaas que afetam ou podem vir a afetar cada ativo, os controles existentes ou com previso de implementao, as vulnerabilidades de cada ativo e as consequncias caso estas
vulnerabilidades sejam exploradas pelos agentes da ameaa.
A conexo entre duas reas da mesma empresa apresenta instabilidade. Os tcnicos j utilizaram todas as ferramentas tecnolgicas disponveis, porm no identificaram o motivo da
instabilidade na linha de produo, que no consegue salvar as informaes na base de dados.
69
(fonte: http://www.arqcoop.com/patologias-da-construcao/).
70
A equipe responsvel pela rea de TI da organizao tem sido surpreendida com a falta de
link com a internet. Eles esto buscando o que pode estar ocorrendo uma vez que os fios
que entram no prdio por parte da operadora esto cortados e parte desses fios foi roubada
(fonte: http://brazil.indymedia.org/content/2007/02/373244.shtml).
71
A equipe responsvel do link de internet da organizao foi surpreendida com a reinicializao do roteador da operadora aps terem finalizado o chamado para o acerto do mesmo
e o reestabelecimento da conexo com a internet. Ao chegar na sala de equipamentos
72
Este emaranhado de fios atrapalha o bom andamento e a agilidade na soluo de problemas. A organizao, preocupada com este cenrio, contratou uma firma terceirizada para
resolver o problema.
73
74
Certa vez, ao chegarem para trabalhar, os funcionrios foram surpreendidos pela queda de
parte do teto por causa das fortes chuvas que ocorreram. A equipe tcnica de redes teve
srios problemas para resolver a conexo dos equipamentos de toda a empresa para que os
mesmos pudessem trabalhar em rede e dar suporte ao restante da organizao.
No passado, parte da empresa teve sua estrutura abalada por fortes ventos e chuvas.
A equipe de suporte do provedor de internet da localidade teve sua rede isolada da internet
por todo o perodo em que ocorreram as chuvas na regio.
Tem havido instabilidade na conexo de rede do prdio entre os equipamentos dos diferentes departamentos da empresa e a sala de servidores, ocasionando parada ao longo do
dia nos servios e a insatisfao dos usurios com a rede. O que pode estar gerando esta
75
Foi verificado pela equipe de TI que existem pessoas utilizando os equipamentos da organizao para jogos eletrnicos durante o expediente, o que vai contra a poltica organizacional. O administrador de sistemas da organizao utiliza o seu perfil para habilitar jogos
durante o perodo de trabalho e passa parte do dia jo-gando. O responsvel de TI est
buscando uma forma de educar o administrador para que evite esta prtica durante o seu
perodo de trabalho
76
mundo de confiana.
77
comum encontrar funcionrios utilizando suas tabuletas para acessar jogos durante o
expediente via rede sem fio da organizao.
78
79
Foi encontrada uma visitante fotografando a tela de um computador com seu celular.
80
81
82
5
Realizar a avaliao das consequncias.
conceitos
Introduo
Aps a realizao do processo de identificao de riscos, necessrio um processo de atribuir
valores para os ativos, ameaas, vulnerabilidades e consequncias. Isso possibilita colocar os
riscos em ordem de prioridade, para trat-los de acordo com sua urgncia ou criticidade. Estes
valores seguem os mesmos critrios definidos na fase de definio do contexto.
Exerccio de nivelamento 1 e
Avaliao das consequncias
No seu entendimento o que avaliao das consequncias?
objetivos
Anlise de Riscos:
Avaliao das consequncias
83
11 Estimativa de valores para cada um dos itens identificados para que seja possvel
DEFINIO DO CONTEXTO
IDENTIFICAO DE RISCOS
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1
No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2
No
Tratamento satisfatrio
Sim
84
ACEITAO DO RISCO
Figura 5.1
Etapa de estimativa
de riscos.
Metodologias
Duas metodologias podem ser usadas para a anlise dos riscos:
11 Anlise qualitativa de riscos.
11 Anlise quantitativa de riscos.
quando h um cenrio que permita definir os valores financeiros, mesmo que aproximados,
85
dos ativos priorizados, assim como dos impactos. Por exemplo, estima-se o valor real de cada
ativo em termos do custo de sua substituio, ou do custo associado perda de produtividade, e outros valores de acordo com o tipo da organizao. Esta mesma maneira para
calcular pode ser empregada para o levantamento estimado do custo dos controles e outros
valores identificados na etapa anterior. A anlise quantitativa deve utilizar dados histricos e
dados exatos e auditveis. Caso no existam tais dados, este tipo de estimativa torna-se falsa.
Exemplos de uso desta anlise quantitativa:
Para Probabilidade:
11 50 %;
11 0,2;
11 0,75
Para Consequncias (Impactos):
11 Valor de substituio do ativo: R$ 12 mil;
11 Valor da manuteno do ativo;
11 Custo de implantao do controle;
l
Complemente seu
aprendizado estudando o item 8.3.1 da
norma ABNT NBR ISO/
IEC 27005.
Exerccio de fixao 1 e
Metodologias
Explique as diferenas entre a metodologia qualitativa e a metodologia quantitativa.
86
Estimativa de riscos
11 Realizada aps a etapa de identificao de riscos.
11 Composta por trs atividades:
22 Avaliao das consequncias.
22 Avaliao da probabilidade dos incidentes.
22 Estimativa do nvel de risco.
Avaliao da
probabilidade
Determinao do
Nvel de Risco
Figura 5.2
Atividades da
estimativa de
riscos.
Avaliao de Riscos
Avaliao da
probabilidade
Figura 5.3
Avaliao das
consequncias.
Determinao do
Nvel de Risco
87
A atividade de avaliao das consequncias tem como objetivo avaliar os impactos sobre os
negcios da organizao, levando em conta as consequncias de uma violao da segurana
da informao, como, por exemplo: perda ou degradao da disponibilidade dos ativos,
perda da confidencialidade ou perda da integridade. Para esta avaliao, a equipe de anlise
levar em conta os critrios e fatores definidos e adotar uma das metodologias de estimativa: qualitativa ou quantitativa.
Entrada
Lista de cenrios de
incidentes, incluindo ativos
afetados, vulnerabilidades e
consequncias para os
ativos e negcios
Ao
Avaliao das
consequncias
(8.3.2 da ABNT NBR
ISO/IEC 27005)
Sada
Lista de
consequncias
avaliadas
A valorao dos ativos e sua classificao pela criticidade so importantes para a determi-
88
nao do impacto de um cenrio de incidente, pois o incidente pode ainda afetar mais de
um ativo, em virtude da interdependncia dos ativos. Assim, a avaliao das consequncias
est fortemente relacionada valorao dos ativos. Lembre-se de que as consequncias
podero ser expressas em funo dos critrios monetrios, tcnicos, humanos, do impacto
nos negcios ou outros critrios importantes para a organizao.
Leitura complementar
11 Sesso 8.3.2 da norma ABNT NBR ISO/IEC 27005.
Figura 5.4
Avaliao das
consequncias.
Roteiro de Atividades 5
Viso geral da atividade
Aps a equipe ter as listagens de ativos, ameaas, vulnerabilidades e consequncias, tem
incio o trabalho de estimativa dos riscos. Aqui a equipe avalia a relevncia dos ativos e a
severidade das consequncias, com as atividades necessrias para a Anlise de risco
estimativa de riscos.
A figura a seguir apresenta graficamente a localizao destas atividades no processo de
gesto de riscos:
DEFINIO DO CONTEXTO
IDENTIFICAO DE RISCOS
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1
No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2
No
Tratamento satisfatrio
Sim
ACEITAO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.
Para esta atividade o aluno deve se valer das observaes sobre a empresa KWX.
A sequncia das atividades ser:
1. Leitura da Seo 8.3.2 e do Anexo E da ABNT NBR ISO/IEC 27005;
Figura 5.5
Atividades do
processo de gesto
de riscos.
90
6
Realizar a avaliao da probabilidade e determinar o nvel de risco.
conceitos
Introduo
Nesta etapa da anlise de risco, que faz parte do processo de anlise de risco, so tratadas
as atividades de identificao das probabilidades de ocorrncia e a determinao do nvel de
risco. Estas duas atividades iro compor a concluso do processo de anlise de risco.
Exerccio de nivelamento 1 e
Avaliao da probabilidade
O que probabilidade em um processo de gesto de riscos?
objetivos
Anlise de riscos:
avaliao da probabilidade
91
Anlise de Riscos
Avaliao das
consequncias
Avaliao da
probabilidade
ANLISE DE RISCOS
AVALIAO DE RISCOS
Determinao
do Nvel de Risco
Figura 6.1
Estimativa e
avaliao de riscos.
Avaliao da
probabilidade
92
Determinao do
Nvel de Risco
Figura 6.2
Avaliao da
probabilidade.
Entrada
Lista de cenrios de
incidentes, incluindo ativos
afetados, vulnerabilidades
exploradas e consequncias
para os ativos e negcios
Avaliao da
probabilidade
(8.3.3 da ABNT NBR
ISO/IEC 27005)
Sada
Probabilidade
dos cenrios
de incidentes
Figura 6.3
Avaliao da
probabilidade dos
incidentes.
Ao
93
Exerccio de fixao 1 e
Avaliao da probabilidade
Como voc avaliar a probabilidade na sua organizao? Explique.
surar o nvel de risco com o uso dos resultados obtidos nas etapas anteriores.
11 Nesta atividade sero conferidos valores para a probabilidade e consequncias do risco.
11 Esta atividade o incio da construo da tabela de anlise dos riscos.
Avaliao das
consequncias
Avaliao da
probabilidade
Determinao
do Nvel de Risco
A determinao do nvel de risco uma atividade na qual a equipe de anlise vai mensurar o
nvel de risco com o uso dos resultados obtidos nas etapas anteriores. Nesta atividade sero
dados valores para a probabilidade e consequncias do risco.
94
Figura 6.4
Determinao do
nvel do risco.
Entrada
Determinao do
nvel de risco
(8.3.4 da ABNT NBR
ISO/IEC 27005)
Sada
Lista de riscos com
nveis de valores
designados
Esta atividade o incio da construo da tabela para analisar os riscos. O item E.2 do
anexo E da norma ABNT NBR ISO/IEC 27005 detalha os mtodos existentes para esta estimativa. A escolha do mtodo ideal fruto do tipo da organizao e de sua estrutura para a
gesto dos riscos.
A equipe de anlise deve escolher o mtodo que melhor atenda s necessidades de negcio
da organizao e que seja facilmente entendido pelos seus integrantes.
Para pensar
Leia atentamente o Anexo E. Aps a leitura, escolha o mtodo que voc considera
que melhor se adaptaria sua organizao. Aps a escolha comece a trabalhar com
este modelo.
Leitura complementar
11 Sesso 8.3.3 da norma ABNT NBR ISO/IEC 27005.
11 Sesso 8.3.4 da norma ABNT NBR ISO/IEC 27005.
11 Anexo E da norma ABNT NBR ISO/IEC 27005.
Figura 6.5
Determinao do
nvel de risco.
Ao
95
96
Roteiro de Atividades 6
Viso geral da atividade
Neste roteiro, sero realizadas as atividades necessrias para a Anlise de risco
probabilidade e estimativa de riscos.
A figura a seguir apresenta graficamente a localizao destas atividades no processo de
gesto de riscos:
DEFINIO DO CONTEXTO
IDENTIFICAO DE RISCOS
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1
No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2
No
Tratamento satisfatrio
Sim
ACEITAO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.
Para esta atividade o aluno deve se valer das observaes da empresa KWX.
A sequncia das atividades ser:
1. Leitura das Sees 8.3.2, 8.3.3 e 8.3.4 da ABNT NBR ISO/IEC 27005;
2. Explicao e demonstrao da planilha de anlise de risco pelo instrutor;
3. Execuo das atividades da planilha;
Figura 6.6
Atividades no
processo de gesto
de riscos.
97
11 1, 2, 3, 4 e 5;
11 1, 3, 5,7 e 9;
11 1, 2, 3, 6 e 10;
11 1, 2, 4, 6 e 8.
Estes pesos podem ser alterados para que possam representar a realidade da organizao.
A equipe define estes pesos pela sua experincia com a organizao. Cada valor de peso
deve ter uma justificativa para o seu valor.
Ao lado dos critrios de risco, aparece a pontuao de cada critrio, calculada automaticamente a partir dos pesos dados pela equipe, alm da priorizao de tratamento dos riscos
aceita pela equipe.
98
99
100
7
Conceituar, definir e executar a avaliao de riscos.
Avaliao de risco.
conceitos
Introduo
Com os resultados obtidos nas fases anteriores, a equipe de anlise j possui dados suficientes para iniciar a fase de avaliao de riscos, fase responsvel por ordenar os riscos por
prioridade, de acordo com os critrios de avaliao de riscos definidos.
Este captulo deve ser realizado com consulta norma ABNT NBR ISO/IEC 27005.
Exerccio de nivelamento 1 e
Avaliao de riscos
Quais as informaes voc j possui para iniciar a avaliao de riscos? Explique.
objetivos
Avaliao de riscos
101
DEFINIO DO CONTEXTO
IDENTIFICAO DE RISCOS
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1
No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2
No
Tratamento satisfatrio
Sim
ACEITAO DO RISCO
Figura 7.1
Avaliao de riscos.
33 Disponibilidade.
102
33 Autenticidade.
22 A importncia do processo de negcios ou da atividade suportada por um determinado ativo ou conjunto de ativos.
22 A agregao de riscos pequenos e mdios que podem resultar em um risco total
significativo, para assim trat-lo.
22 A considerao aos requisitos contratuais, regulatrios e legais.
33 Atividade a ser concluda em conjunto com a organizao, pois somente ela tem
a viso completa dos objetivos estratgicos de seu negcio.
Nesta fase as equipes de anlise juntamente com a organizao devem comparar os riscos
estimados (mtodos no Anexo E da norma) com os critrios de avaliao definidos durante
a fase de contexto. A organizao dever tomar as decises desta fase com base no nvel
de risco aceitvel. Porm, fatores como consequncias, probabilidade e confiana tambm
devero ser considerados para melhor orientar as tomadas de deciso.
Durante esta avaliao importante que a organizao considere:
11 As propriedades da segurana da informao (Confidencialidade, Integridade, Disponibilidade, Autenticidade CIDA): se uma destas propriedades no for importante para a
organizao, ela poder considerar como de baixo valor os riscos que provocam vulnerabilidades ligadas a esta propriedade, e assim enquadr-los como riscos aceitveis.
11 A importncia do processo de negcios ou da atividade suportada por determinado ativo ou
conjunto de ativos: se um processo ou atividade avaliado pela organizao como de baixa
importncia, os riscos associados a ele devem ser tambm levados menos em considerao
do que os riscos que causam impactos em processos ou atividades mais importantes.
Exerccio de fixao 1 e
Avaliao de risco
Explique a importncia das propriedades da segurana da informao para a sua organizao?
Figura 7.2
Fase de avaliao
de riscos.
Ao
Avaliao de
Riscos
(8.4 da ABNT NBR
ISO/IEC 27005)
Leitura complementar
11 Sesso 8.4 da norma ABNT NBR ISO/IEC 27005.
11 Anexo E da norma ABNT NBR ISO/IEC 27005.
11 Item 5.4.4 da norma ABNT NBR ISO 31000.
Sada
Lista de riscos ordenados
por prioridade segundo
os critrios de avaliao
Entrada
103
104
Roteiro de Atividades 7
Viso geral da atividade
Nesta atividade, sero realizadas as atividades necessrias para a Anlise de riscos
avaliao de riscos numa avaliao qualitativa.
A figura a seguir apresenta graficamente a localizao destas atividades no processo de
gesto de riscos:
DEFINIO DO CONTEXTO
IDENTIFICAO DE RISCOS
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1
No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2
No
Tratamento satisfatrio
Sim
ACEITAO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.
Para esta atividade o aluno deve se valer das observaes da empresa KWX.
A sequncia das atividades ser:
1. Leitura da Seo 8.4 da ABNT NBR ISO/IEC 27005;
2. Explicao e demonstrao da planilha de anlise de risco pelo instrutor;
Figura 7.3
Atividades no
processo de gesto
de riscos.
106
Ao concluir o Roteiro de Atividades 7, a equipe de anlise estar com uma listagem dos
ativos e riscos para cada vulnerabilidade. Esta listagem permite a definio dos maiores
riscos, colocando-os em ordem de prioridade e definindo os controles que devem ser
empregados para trat-los.
8
Conceituar e definir tratamento de riscos; desenvolver e aplicar o plano de tratamento
de riscos; compreender e aplicar as formas de tratamento de riscos; definir o risco
aceitvel e o risco residual; e executar a aceitao de riscos.
conceitos
Introduo
O trabalho realizado pela equipe de anlise at este momento foi basicamente de coleta de
informaes, avaliao dos riscos e ordenao dos riscos por prioridade. Mas como tratar
estes riscos? Como selecionar os controles necessrios? Estas dvidas sero sanadas na fase
de tratamento do risco de segurana da informao.
Este captulo deve ser realizado com consulta norma NBR ISO/IEC 27005.
Exerccio de nivelamento 1 e
Tratamento e aceitao dos riscos
Como so executados o tratamento e a aceitao de riscos na sua organizao? Explique.
11 Ao final destas trs fases, a equipe faz uma anlise crtica dos resultados e da situao dos trabalhos desenvolvidos.
11 Se a avaliao for considerada satisfatria, a equipe prossegue em seus trabalhos e
inicia a fase seguinte, de tratamento do risco.
A fase de tratamento de risco realizada aps as fases de definio do contexto, anlise de
riscos e avaliao de riscos. Ao final destas trs fases, a equipe faz uma anlise crtica dos
objetivos
Caso esta avaliao seja considerada insatisfatria ou incompleta, a equipe retorna aos trabalhos a partir da definio do contexto, buscando solucionar as dvidas que porventura tenham
surgido, ou seja, refaz os trabalhos desde o incio, buscando um aprofundamento maior. Se a
avaliao for considerada satisfatria, a equipe prossegue em seus trabalhos e realiza a fase
seguinte, de tratamento do risco. A figura abaixo apresenta o posicionamento desta fase:
DEFINIO DO CONTEXTO
IDENTIFICAO DE RISCOS
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1
No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2
No
Tratamento satisfatrio
Sim
ACEITAO DO RISCO
Figura 8.1
Tratamento
do risco.
11 Sada: plano de tratamento dos riscos e dos riscos residuais. Este plano estar sujeito
108
Entrada
Lista de riscos ordenados
por prioridade
Ao
Sada
Tratamento do Risco
Plano de tratamento
do risco e dos riscos
residuais, sujeito a
aprovao
(9 da ABNT NBR
ISO/IEC 27005)
Figura 8.2
Tratamento
do risco.
RESULTADOS
DA AVALIAO
DE RISCOS
AVALIAO
SATISFATRIA
Ponto de Deciso 1
Tratamento do risco
OPES DE TRATAMENTO DO RISCO
MODIFICAO
DO RISCO
RETENO
DO RISCO
AO DE
EVITAR
O RISCO
COMPARTILHAMENTO
DO RISCO
RISCOS RESIDUAIS
Figura 8.3
Atividades
do tratamento
do risco.
TRATAMENTO
SATISFATRIO
Ponto de Deciso 2
Tratamento do risco
11 O tratamento de risco utilizado para responder aos riscos identificados.
109
da interdependncia dos ativos e seus controles, para que esta deciso no provoque
a reduo da segurana como um todo.
11 A equipe dever montar um plano de tratamento.
11 O plano aborda os ndices de reduo do risco com a implementao de cada controle,
permitindo aos gestores uma deciso pautada em indicadores e metas bem definidas.
11 Uma forma de identificar os controles seguindo a norma NBR ISO/IEC 27002.
O tratamento de risco utilizado para responder aos riscos identificados. Existem diferentes
opes para tratar e responder ao risco. As escolhas e decises tomadas pela equipe de
anlise, em conjunto com a direo da organizao, devem levar em conta:
11 A avaliao do tratamento de risco proposto j realizado;
11 A viabilidade tcnica e financeira, isto , os custos de implementao do controle;
11 A eficcia dos controles;
11 A eficincia do tratamento;
11 Deciso se os nveis de risco residual so tolerveis;
11 As caractersticas do negcio da organizao (viabilidade econmica).
Aps esta anlise sobre os controles necessrios para o tratamento dos riscos, a equipe
deve selecionar a melhor opo para reduzir o risco a um nvel aceitvel ou ao mnimo
possvel. A fase de tratamento do risco possui quatro opes que no so mutuamente
exclusivas, ou seja, que podem ser combinadas entre si:
11 Modificao do risco;
11 Reteno do risco;
11 Ao de evitar o risco;
11 Compartilhamento do risco.
Estas opes so definidas pela equipe de anlise levando em conta tudo o que foi identificado no processo de anlise. Na definio dos controles necessrios, a equipe vai desenvolvendo uma viso geral de todos os controles, tanto os identificados como necessrios
quanto os identificados como implementados. Desta maneira permite o levantamento dos
controles redundantes e desnecessrios, passveis de remoo.
Para a deciso de remoo de controles, imprescindvel que a equipe tenha uma noo
precisa da interdependncia dos ativos e dos seus controles, para que a deciso no provoque a reduo da segurana como um todo. Durante esta fase, todas as restries levantadas na definio do contexto devero ser levadas em considerao durante o processo de
tratamento do risco.
Aps a deciso do tratamento necessrio, a equipe dever montar um plano de tratamento.
O plano uma ordenao dos riscos e controles a serem implementados de acordo com o
seu grau de impacto nos negcios. Em princpio os riscos de maior impacto devem ser os
primeiros a serem tratados.
Entretanto, pelo custo e pela demora de implementao dos controles para os riscos mais crticos, pode ser mais interessante comear pelos controles de custo mais baixo e mais rpidos
de serem implementados. Esta pode ser uma boa opo caso se queira apresentar resultados
rpidos para apoiar uma poltica de conscientizao e treinamento em segurana da informao. Lembre-se, entretanto, de que isto no significa esquecer os demais controles.
110
Riscos residuais
11 Riscos residuais so aqueles que restam aps a implantao de controles para evitar,
Modificao do risco
11 A modificao ou mitigao do risco a ao de implementar controles para reduzir
os riscos a um nvel aceitvel.
11 Tipos de proteo:
22 Correo.
22 Eliminao.
22 Preveno.
22 Minimizao do impacto.
22 Dissuaso.
22 Deteco.
111
22 Recuperao.
22 Monitoramento.
22 Conscientizao.
11 Leva em considerao os custos de aquisio, implementao, administrao,
operao, monitoramento e manuteno dos controles em relao ao valor do ativo
que ser protegido.
11 Deve-se evitar a escolha de controles de custos mais elevados que os custos do ativo
ou dos servios gerados com a sua implementao.
11 necessrio ter ateno falsa sensao de segurana.
A forma de tratamento do risco chamada de modificao ou mitigao dos riscos a ao de
implementar controles que busquem reduzir os riscos a um nvel aceitvel pela organizao.
A escolha destes controles deve levar em conta os critrios da organizao para a aceitao
do risco, tais como: requisitos legais, regulatrios, contratuais, culturais e ambientais e
aspectos tcnicos, alm de custos e prazos para a implementao de controles. De forma
geral, a escolha destes controles deve fornecer, quando aplicados e implementados, um ou
mais tipos de proteo:
11 Correo: atividades atravs da implementao de controle realizadas a fim de corrigir
qualquer anormalidade;
11 Eliminao: aplicao de controles com a finalidade de excluir possveis erros e vulnerabilidades ou fontes de erros e vulnerabilidades, sem no entanto eliminar o risco mas
apenas reduzindo-o;
11 Preveno: implementao de controles a fim de prevenir e impedir a explorao de
qualquer vulnerabilidade;
11 Minimizao do impacto: implementao de controles que buscam reduzir ou limitar os
danos caso ocorra um incidente de segurana;
11 Dissuaso: ao, atividade ou medida de controle organizada e realizada a fim de fazer
mudar de opinio, inteno ou ideia;
11 Deteco: atividades de implementao de controles realizadas com a finalidade de
descobrir erros ou anormalidades;
11 Recuperao: atividade de implementao de controle realizada a fim de voltar a situao de normalidade;
11 Monitoramento: atividade de aplicao de controles para acompanhar, observar, acompanhar desvios e perceber os sinais de alerta de vulnerabilidades, ameaas e riscos, tudo
com a finalidade de antecipadamente tomar providncias;
112
orientar sobre a segurana da informao, a fim de que todos os usurios saibam aplicar
os conhecimentos mostrados em sua rotina pessoal e profissional.
Na definio e seleo de controles, a equipe de anlise deve levar em considerao os
custos de aquisio, implementao, administrao, operao, monitoramento e manuteno dos controles em relao ao valor do ativo que ser protegido. Isto permitir que se
evite a escolha de controles cujos custos sero mais elevados que o custo do ativo ou dos
servios gerados nele.
Reteno do risco
11 A reteno do risco significa correr o risco.
Ao de evitar o risco
11 Eliminao da atividade ou processo gerador do risco atravs de mudanas na forma
de sua ocorrncia.
11 Quando a equipe de anlise identifica riscos elevados, cujos custos de implementao de controles excedem os benefcios, possvel decidir que o risco deve ser
totalmente evitado.
11 Aps as mudanas necessrias dever ser feita uma nova iterao de anlise de riscos.
Quando a equipe de anlise identifica riscos extremamente elevados, e os custos para a
implementao de controles excedem os benefcios do prprio servio ou negcio, possvel decidir que o risco deve ser 100% evitado. Isto feito atravs da eliminao da atividade ou processo, via mudanas na forma de ocorrncia da atividade ou processo passvel
de produzir o risco. Outra forma de evitar o risco atravs da remoo da fonte de risco.
Algumas mudanas podero ser necessrias, aps as quais deve ser realizada nova iterao
de anlise de riscos.
Compartilhamento do risco
O compartilhamento do risco envolve a transferncia ou compartilhamento dos riscos com
uma entidade externa. Uma forma de compartilhamento do risco o uso de seguros que
cubram as consequncias da ocorrncia de um incidente de segurana da informao.
Outra forma de transferncia a utilizao de servios de parceiros (outsourcing) para a gesto
de eventos de segurana da informao. Apesar de ser possvel a transferncia das operaes
O anexo F da norma
ABNT NBR ISO/IEC
27005 apresenta em
detalhes as restries
que afetam a reduo
do risco.
Exerccio de fixao 1 e
Tratamento de risco
Qual a forma de tratamento que voc utilizaria para tratar o risco roubo/extravio de
documentos classificados? Justifique.
Qual a forma de tratamento que voc utilizaria para tratar o risco falta constantes de
energia eltrica? Justifique.
da organizao.
114
DEFINIO DO CONTEXTO
IDENTIFICAO DE RISCOS
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1
No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2
No
Tratamento satisfatrio
Sim
ACEITAO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
Nesta fase de tratamento do risco:
11 Entrada: plano de tratamento do risco e a anlise do risco residual.
11 Ao: deciso formal de aceitao do plano pela direo da organizao.
11 Sada: lista de riscos aceitos e uma justificativa para aqueles que no satisfizeram
os critrios definidos.
Aceitando o risco
11 Anlise criteriosa do plano de tratamento de riscos.
11 Elaborada pela equipe, definir em documento formal os riscos que sero aceitos.
11 Deciso que cabe aos gestores da organizao, pois seus critrios so complexos
e envolvem as estratgias de negcio da organizao.
11 Este documento formal far parte da chamada Declarao de Aplicabilidade, em
que a organizao apresenta os controles no aplicveis e justifica o fato de no
serem contemplados em seu SGSI.
11 Vide norma ABNT NBR ISO/IEC 27001.
Figura 8.4
Aceitao do risco.
115
Entrada
Plano de tratamento
do risco e anlise
dos riscos residuais
Ao
Sada
Aceitao do Risco
Lista de riscos
aceitos e
justicativas
Leitura complementar
11 Sesso 9 da norma ABNT NBR ISO/IEC 27005.
11 Sesso 10 da norma ABNT NBR ISO/IEC 27005.
11 Anexo F da norma ABNT NBR ISO/IEC 27005.
116
Figura 8.5
Fase de aceitao
do risco.
Roteiro de Atividades 8
Viso geral da atividade
Nesta atividade, sero realizadas as atividades necessrias para a Anlise de Risco
tratamento e aceitao de riscos.
A figura a seguir apresenta graficamente a localizao destas atividades no processo de
gesto de riscos.
DEFINIO DO CONTEXTO
IDENTIFICAO DE RISCOS
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1
No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2
No
Tratamento satisfatrio
Sim
ACEITAO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.
Para esta atividade o aluno deve se valer das observaes sobre a empresa KWX.
A sequncia das atividades ser:
1. Leitura das Sesses 9 e 10 da ABNT NBR ISO/IEC 27005;
2. Explicao e demonstrao da planilha de anlise de risco pelo instrutor;
3. Execuo das atividades da planilha;
Figura 8.6
Atividades no
processo de gesto
de riscos.
117
1) a guia Tratamento
2) a guia Controles do Plano
3) a guia Riscos Residuais
4) a guia Aceitao do Risco
a. Exerccio da guia Tratamento Definio de tratamento dos riscos.
Neste exerccio a equipe de anlise definir a forma de tratamento que determinado risco
dever receber. Para isto a equipe de risco escolher uma dentre as formas de tratamento:
11 Modificao do risco;
11 Reteno do risco;
11 Ao de evitar o risco;
11 Compartilhamento do risco.
Para cada forma de tratamento dos riscos deve ser apresentada a evidncia (Justificativa).
Para o exerccio, as formas de tratamento sero escolhidas de uma lista.
A planilha permite a edio apenas das clulas de tratamento e da justificativa.
S passe para a guia seguinte aps concluir.
b. Exerccio da guia Controles do plano Definio dos controles
Neste exerccio a equipe definir os controles que devem ser implementados para mitigar os
riscos encontrados. Com sua experincia e conhecimento do ambiente, a equipe selecionar
os melhores controles que realmente sero eficazes e eficientes no tratamento dos riscos.
Estes controles fazem parte do Plano de Tratamento dos Riscos, que um dos resultados de
uma anlise de riscos.
A pergunta chave aqui : Quais controles precisam ser aplicados sobre as vulnerabilidades
para mitigar os riscos provocados por elas?
Para o exerccio, devero ser identificados dois controles que permitam a mitigao dos riscos
no menor prazo possvel. Para fins de aprendizagem, recomenda-se iniciar com os controles
da NBR ISO/IEC 27002. Ao final da planilha, a guia Vulnerabilidades e Controles pode ser
usada para auxiliar na definio de alguns controles para certos tipos de vulnerabilidades.
A equipe de anlise neste exerccio dever analisar cada vulnerabilidade e seus riscos e
decidir os melhores controles, apresentando suas justificativas.
A resposta ser dada por um dos nveis do critrio Severidade das Consequncias definido
na Sesso 2 na guia Critrios.
Para o exerccio, sero preenchidas as seguintes colunas:
1. Existem riscos residuais? para cada risco e os controles implementados a equipe
dever responder (sim ou no);
2. Quais? Descreva a equipe dever informar os riscos e vulnerabilidades que ainda no
foram tratados (riscos residuais);
3. Justificativa/Evidncia a equipe dever apresentar as evidncias do risco residual;
4. Nova severidade caso existam riscos residuais, a equipe dever analis-los e definir a
nova severidade, escolhendo da lista semelhante da Sesso 5. Ao escolher o item da lista,
automaticamente aparece o peso desta severidade na coluna ao lado;
5. Nova probabilidade depois de preenchida a coluna da nova severidade, dever ser preenchida a nova probabilidade, escolhendo da lista semelhante ao feito na Sesso 6. Ao escolher
da lista, automaticamente aparece o peso desta probabilidade na coluna ao lado.
Ao preencher estas colunas surgir o novo valor do risco residual. Caso ainda esteja acima
do nvel aceitvel aparecer uma mensagem de erro ao lado.
A planilha permite a edio apenas das clulas das colunas citadas.
S passe para a guia seguinte aps concluir.
d. Exerccio da guia Aceitao do Risco Aceitao dos riscos.
Nesta atividade a equipe de anlise e a organizao, como partes interessadas, conduziro
as atividades necessrias para a aceitao dos riscos.
Esta aceitao um documento formal que informa que o risco ser aceito, uma justificativa para isso e o responsvel pela tomada da deciso. Normalmente, quem tem o poder
para tomar esta deciso faz parte da alta direo. Esta aceitao somente ser feita para os
riscos que ainda estejam acima do nvel aceitvel.
Para o exerccio sero preenchidas trs colunas:
1. Deciso qual a deciso de aceitao do risco? A escolha deve ser feita a partir de uma
lista de opes;
2. Justificativa justificativa a para tomada da deciso;
3. Responsvel nome do responsvel pela tomada a deciso.
120
9
Compreender a execuo do processo de comunicao e consulta dos riscos.
conceitos
Comunicao.
Introduo
11 Existem duas fases que se desenvolvem simultaneamente com as demais fases:
22 Comunicao do risco.
22 Monitoramento e anlise crtica de riscos.
11 Estas duas fases so permanentes durante todo o processo de gesto de riscos.
Durante todo o trabalho da equipe de anlise de riscos, existem duas fases que se desenvolvem simultaneamente s demais fases: a comunicao do risco e o monitoramento e
anlise crtica de riscos.
Durante todo e qualquer tipo de trabalho, a comunicao uma atividade de grande
importncia. atravs dela que so transmitidas informaes sobre o desenvolvimento das
atividades e os resultados alcanados.
Outra fase de suma importncia e que se desenvolve paralelamente a todas as demais fases
a de monitoramento e anlise crtica de riscos. Esta uma fase em que a equipe realiza o
monitoramento e a anlise crtica dos riscos e do seu trabalho. Uma caracterstica destas
duas fases que so permanentes durante todo o processo de gesto de riscos.
Exerccio de nivelamento 1 e
Comunicao e consulta dos riscos
Existe algum processo de comunicao na sua organizao? Explique.
objetivos
Comunicao e monitoramento
dos riscos
121
DEFINIO DO CONTEXTO
IDENTIFICAO DE RISCOS
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1
No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
122
PONTO DE DECISO 2
No
Tratamento satisfatrio
Sim
ACEITAO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
Figura 9.1
Fase de
comunicao e
consulta do risco
no contexto do
processo de gesto
de riscos.
devendo conter o mximo possvel de detalhes sobre os riscos encontrados, tais como:
123
Exerccio de fixao 1 e
Comunicao e consulta dos riscos
Durante o processo de anlise de risco, ao identificar uma vulnerabilidade grave e de alto
risco, qual ser a sua atitude com esta informao? Justifique.
Comunicar tambm dar um retorno (status) sobre a gesto dos riscos para a equipe, para
a direo da organizao e todas as partes interessadas. A criao de relatrios uma forma
de comunicao que permite que as informaes reunidas sejam divulgadas e usadas na
tomada de decises.
A seo 11 da norma ABNT NBR ISO/IEC 27005 apresenta outros detalhes da comunicao
do risco.
Entrada
TODAS as informaes
sobre os riscos obtidas
nas atividades
Ao
Comunicao
do risco
(11 da ABNT NBR
ISO/IEC 27005)
Leitura complementar
11 Sesso 11 da norma ABNT NBR ISO/IEC 27005.
124
Sada
Entendimento contnuo
do precesso de gesto
de riscos
Figura 9.2
Comunicao
do risco.
Roteiro de Atividades 9
Viso geral da atividade
Nesta atividade, sero realizadas as atividades necessrias para a Anlise de risco
comunicao dos riscos.
A figura a seguir apresenta graficamente a localizao destas atividades no processo de
gesto de riscos:
DEFINIO DO CONTEXTO
IDENTIFICAO DE RISCOS
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1
No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2
No
Tratamento satisfatrio
Sim
ACEITAO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.
Para esta atividade o aluno deve se valer das observaes da empresa KWX.
A sequncia das atividades ser:
1. Leitura da Seo 11 da ABNT NBR ISO/IEC 27005;
2. Explicao e demonstrao da planilha de anlise de risco pelo instrutor;
3. Execuo das atividades da planilha;
Figura 9.3
Atividades no
processo de gesto
de riscos.
125
126
10
Executar o monitoramento e a anlise de riscos.
conceitos
Introduo
Paralelamente s etapas da anlise de risco ocorre tambm uma etapa importantssima
para a verificao e controle dos resultados do trabalho: a etapa do Monitoramento.
A execuo desta etapa durante toda a realizao do projeto permitir que a organizao e
a equipe acompanhem a eficincia dos resultados e a eficcia dos controles.
Exerccio de nivelamento 1 e
Monitoramento de riscos
Como realizado o monitoramento na sua organizao? Explique.
objetivos
127
DEFINIO DO CONTEXTO
IDENTIFICAO DE RISCOS
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1
No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2
No
Tratamento satisfatrio
Sim
ACEITAO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
O monitoramento pode ser definido como a observao contnua e o registro regular das
128
Figura 10.1
Fase de
monitoramento e
anlise crtica de
riscos no processo
da gesto de riscos.
Esta fase ocorre simultaneamente s demais fase da gesto de riscos. Durante todo o
processo de gesto de riscos, a equipe de anlise estar tambm realizando atividades de
monitoramento e anlise crtica, a fim de fazer as correes necessrias o quanto antes.
Durante esta fase so executadas duas atividades:
11 Monitoramento e anlise crtica dos fatores de risco;
11 Monitoramento, anlise crtica e melhoria do processo de gesto de riscos.
riscos residuais e identificando novas ameaas, vulnerabilidades e riscos, assegurando a execuo dos planos de tratamento do risco e avaliando sua eficincia e eficcia na reduo dos
riscos. A equipe deve estar atenta ao dinamismo dos riscos e ameaas. Bons procedimentos
de monitoramento e anlise crtica do risco fornecem informaes que suportam as tomadas
de deciso eficazes em relao ao surgimento de novas ocorrncias dos riscos.
Da atividade de monitoramento e anlise crtica, a equipe de anlise ter como:
11 Entrada: TODAS as informaes sobre os riscos obtidos e atividades desenvolvidas;
11 Ao: a realizao de procedimentos de monitoramento e anlise crtica para a identificao de eventuais mudanas no contexto e manuteno de uma viso geral dos riscos.
129
Entrada
TODAS as informaes
sobre os riscos obtidas
nas atividades
Ao
Monitoramento e
anlise crtica dos
fatores de risco
(12.1 da ABNT NBR
ISO/IEC 27005)
Sada
Alinhamento contnuo da
gesto de riscos com os
objetivos de negcio e
com os critrios de risco
Figura 10.2
Atividade de
monitoramento e
anlise crtica.
Exerccio de fixao 1 e
Monitoramento e anlise crtica dos riscos
O que monitoramento e anlise crtica dos riscos? Explique sua finalidade.
130
de segurana da informao.
22 Sada: a garantia permanente da relevncia do processo de gesto de riscos de segurana para os objetivos de negcio da organizao ou a atualizao do processo.
11 Permite que a organizao analise seu processo de gesto de riscos e execute as
melhorias necessrias ao processo.
11 O trabalho da equipe de anlise nesta atividade ter realizado a atividade anterior e
ter passado os resultados para a organizao, para que estes sejam utilizados como
subsdios para o monitoramento, anlise crtica e melhorias do processo de gesto de
riscos para toda a organizao.
Esta atividade tem por objetivo garantir que o processo de gesto de riscos esteja realmente
atendendo aos requisitos estratgicos do negcio da organizao.
Na atividade de monitoramento, anlise crtica e melhoria do processo de gesto de riscos:
11 Entrada: so TODAS as informaes sobre os riscos obtidos e atividades desenvolvidas
11 Ao: monitoramento, anlise crtica e melhoria do processo de gesto de riscos de segurana da informao.
11 Sada: a garantia permanente da relevncia do processo de gesto de riscos de segurana para os objetivos de negcio da organizao ou a atualizao do processo.
Esta atividade permite que a organizao analise seu processo de gesto de riscos e a possibilidade de execuo das melhorias necessrias ao processo. Nesta atividade, o trabalho
da equipe de anlise ter realizado a atividade anterior e ter passado os resultados para
a organizao, para que sejam utilizados como subsdios para o monitoramento, anlise
crtica e melhoria do processo de gesto de riscos, para toda a organizao.
O monitoramento permite que a organizao verifique se todos os recursos necessrios
gesto e tratamento do risco esto disponveis, e tambm a verificao da necessidade de
mudanas nos critrios, na metodologia ou nas ferramentas utilizadas.
Entrada
TODAS as informaes
sobre os riscos obtidas
nas atividades
Monitoramento,
Anlise crtica
e Melhoria
do processo
(12.2 da ABNT NBR
ISO/IEC 27005)
Sada
Garantia permanente do
processo de gesto de
riscos para os objetivos
de negcios ou atualizao
do processo
Leitura complementar
11 Sesso 12.1 da norma ABNT NBR ISO/IEC 27005.
11 Sesso 12.2 da norma ABNT NBR ISO/IEC 27005.
Figura 10.3
Atividade de
monitoramento,
anlise crtica
e melhoria do
processo de gesto
de riscos.
Ao
131
132
Roteiro de Atividades 10
Viso geral da atividade
Nesta atividade, sero realizadas as atividades necessrias para a Anlise de risco
monitoramento dos riscos.
A figura a seguir apresenta graficamente a localizao destas atividades no processo de
gesto de riscos:
DEFINIO DO CONTEXTO
IDENTIFICAO DE RISCOS
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1
No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2
No
Tratamento satisfatrio
Sim
ACEITAO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.
Para esta atividade o aluno deve se valer das observaes da empresa KWX.
A sequncia das atividades ser:
1. Leitura da Seo 12 da ABNT NBR ISO/IEC 27005;
2. Explicao e demonstrao da planilha de anlise de risco pelo instrutor;
3. Execuo das atividades da planilha;
Figura 10.4
Atividades do
processo de gesto
de riscos.
133
134
Ao concluir o Roteiro de Atividades 10, a equipe de anlise ter concludo todo um ciclo da
gesto dos riscos. Os prximos passos sero:
11 A confeco de um relatrio contendo os resultados (ativos, ameaas, vulnerabilidades,
consequncias, impactos e riscos priorizados);
11 Confeco de um plano de tratamento contendo os controles que devem ser implementados para a mitigao dos riscos.
Observe a guia Grficos_Exemplos na qual constam alguns exemplos de grficos que
podem ser realizados para ilustrar a apresentao dos resultados e servirem de comparao com outras anlises de risco realizadas.
importante que todo o trabalho seja feito baseado nas normas de segurana da informao que formam a base da gesto da segurana da informao.
Concluso
Viso geral da gesto de riscos
Neste curso foram vistos todos os aspectos da gesto dos riscos, de acordo com a NBR ISO/
IEC 27005. A figura a seguir apresenta graficamente a localizao destas atividades no processo de gesto de riscos.
DEFINIO DO CONTEXTO
IDENTIFICAO DE RISCOS
ANLISE DE RISCOS
AVALIAO DE RISCOS
No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
PONTO DE DECISO 2
No
Tratamento satisfatrio
Sim
Figura 10.5
Atividades no
processo de gesto
de riscos.
ACEITAO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
Os objetivos de proporcionar conhecimento sobre a gesto dos riscos e fornecer um ferramental para a realizao da gesto de riscos foram detalhados e praticados em cada sesso
de aprendizagem deste curso. importante saber que ao realizar um primeiro ciclo de
PONTO DE DECISO 1
136
Bibliografia
11 AS/NZS 4360 Gesto de riscos Princpios e diretrizes.
11 BERNSTEIN, Peter L. Desafio aos deuses: a fascinante histria do risco.
23 ed., Editora Campus, 1997.
11 CERIAS The Center for Education and Research in Information Assurance and
Security: http://www.cerias.purdue.edu/ (acesso em julho de 2013).
11 Cert.br Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurana no Brasil: http://www.cert.br/links/ (acesso em julho de 2013).
11 DE CICCO, Francesco; FANTAZZINI, Mario Luiz. Tecnologias consagradas
de gesto de riscos. So Paulo: Risk Tecnologia Editora, 2003.
11 Enterprise Risk Management: Past, Present and Future: http://www.casact.
org/education/erm/2004/handouts/kloman.pdf (acesso em julho de 2013).
11 Interdisciplinary Risk Management:,
http://www.riskinfo.com/rmr/rmrjun05.htm (acesso em julho de 2013).
11 Marcos Smola website Gesto de Riscos da Informao:
http://www.semola.com.br/conceitos.html (acesso em julho de 2013).
11 NBR Guia 73 Gesto de riscos Vocabulrio
11 NBR ISO/IEC 27001 Tecnologia da informao Tcnicas de segurana
Sistemas de gesto de segurana da informao Requisitos.
11 NBR ISO/IEC 27002 Tecnologia da informao Tcnicas de segurana
Cdigo de prtica para a gesto da segurana da informao.
11 NBR ISO/IEC 27005 Tecnologia da informao Tcnicas de segurana
Gesto de riscos de segurana da informao.
11 NBR ISO/IEC 31000 Gesto de riscos Princpios e diretrizes.
11 PELTIER, Thomas R. Information Security Risk Analysis. CRC Press, 2005.
11 SANS The Cyber Security Risks:
http://www.sans.org/top-cyber-security-risks/?ref=top20 (acesso em
julho de 2013).
11 Security Focus Vulnerabilities: http://www.securityfocus.com/
11 WESTERMAN, George; HUNTER, Richard. O risco de TI. Harvard Business
School Press, 2008.
Bibliografia
137
138
responsvel
pelo
Gesto de
Riscos de TI
NBR 27005
Ministrio da
Cultura
Ministrio da
Sade
Ministrio da
Educao
ISBN 9 7 8 - 8 5 - 6 3 6 3 0 - 3 2 - 2
788563 630322
Ministrio da
Cincia, Tecnologia
e Inovao