GESTO DE RISCOS:

Aplicada Tecnologia da Informao

Eduardo de Oliveira
a!iano Sou"a da Silva
Gei!#on $e%ugeur
&aulo Rog'rio( C( )ende#
&rof( )aur*cio )ac%ado da Ro#a
Centro Universitrio Leonardo da Vinci - UNIASSELVI
Tecnolgico em Anlise e Desenvolvimento de Sistemas (ADS 00! " Seg#ran$a da In%orma$&o
0'(0)('
RES+)O
O trabalho a ser apresentado tem o objetivo de fazer uma anlise a respeito da gesto de riscos na
rea de tecnologia da informao. Em todos os nveis, o nmero operaes de neg!cios dependente
dos sistemas de informao baseados em tecnologia cresce e em contrapartida a "uantidade de
ameaas e de vulnerabilidades sobre as redes de computadores e comunicaes em geral tamb#m
aumentam em um universo cada vez mais interconectado. $e uma maneira geral, as organizaes
no esto preparadas para lidar com a segurana de suas informaes. %emos a necessidade
premente "ue seja criada uma cultura no "ue diz respeito & segurana de ativos de informao,
seja ela ao nvel de profissionais liberais tanto "uanto na esfera corporativa. ' urgente e
imperativo "ue todos os atores envolvidos nessa "uesto assimilem e passem a vivenciar no seu
dia(a(dia uma cultura "ue contemple as normativas bsicas em segurana da informao.
)recisamos saber identificar os eventos negativos aos "uais estamos sujeitos para estarmos
preparados para minimizar os seus efeitos. *dotando medidas "ue em muitos casos so simpl!rias,
poderemos garantir a continuidade de nossos processos de neg!cio e at# mesmo potencializar
nossa competitividade perante ao mercado.
&alavra#,c%ave: *est&o de +iscos em TI, *erenciamento de +iscos em TI, -odelo de *est&o de
+isco em TI.
- , I.TROD+/O
N&o /aver riscos n&o signi%ica 0#e o s#cesso na gest&o de riscos %oi o1tido, at2 3or 0#e
sa1emos 0#e cem 3or cento de seg#ran$a na tecnologia da in%orma$&o n&o 2 algo 3lenamente
3oss4vel, mas sim 0#e %omos ca3a5es de identi%icar, 0#ali%icar e decidir 0#ais s&o os riscos 0#e ns,
e(o# as organi5a$6es, estamos dis3ostos a correr. *est&o de +iscos, de %orma sim3li%icada, 2
7#stamente isso, o con7#nto de atividades 0#e englo1a o ma3eamento, a classi%ica$&o e a de%ini$&o
de 3rioridades 0#anto aos riscos 0#e devemos mitigar e os 0#ais estamos dis3ostos a tolerar.
8 3resente tra1al/o encontra-se dividido em cinco t3icos. A introd#$&o 0#e descreve a
estr#t#ra do tra1al/o. 8 item 9 trata de +isco, Seg#ran$a vers#s Inseg#ran$a e Incerte5a no 0#e di5
9
res3eito aos se#s conceitos, interliga$6es e 3ec#liaridades. 8 t3ico : a3resenta #ma a1ordagem
so1re o Signi%icado e os +oteiros 3ara *est&o de +iscos onde 2 %eita #ma e;3lana$&o discriminando
0#al 2 a s#a rea de a1rang<ncia nas organi5a$6es 1em como os 3rocedimentos 3ara a s#a correta
3rtica. 8 item ' discorre so1re os +iscos +elativos = TI e *est&o de +iscos em TI. Ao %inal, no
t3ico > o gr#3o descreve as concl#s6es e;tra4das desse est#do na se$&o de Considera$6es ?inais.
0 , CO.CEITOS ACERCA DE RISCO1 SEG+RA./A E I.CERTE2AS
No decorrer de toda a 3es0#isa 3ara esse tra1al/o convencionamos 0#e a mais a1rangente
de%ini$&o 3ara risco 2 a 0#e conceit#a 0#e o risco determina #m valor. Esse valor 2 estimado o#
calc#lado da 3ro1a1ilidade da ocorr<ncia de #m %ato o# da gravidade do mesmo. @odemos de%inir
risco, tam12m de %orma gen2rica, colocando a es3eci%ica$&o 3ro3osta no %inal do s2c#lo 3assado 3or
EAald (BB, 3. BB!, 3ara 0#emC DE...F GriscoG 2 entendido como sinHnimo de amea$a o# 3erigo, em
%ace de alg#m evento des%avorvel 0#e 3ossa a%etar alg#2mI designa #ma amea$a e%etivaD.
Em todas as nossas atividades do cotidiano, 3rinci3almente no tra1al/o 3ara onde
destinamos a maior 3arte das /oras de nosso dia, corremos riscos. Ao mesmo tem3o em 0#e temos a
no$&o de 0#e estamos correndo riscos, o# 0#e estamos s#7eitos = eles, tendemos a#tomaticamente =
%a5er #ma rela$&o com a s#a sit#a$&o antagHnica 0#e 2 a sit#a$&o de seg#ran$a. De acordo com essa
lin/a de 3ensamento concl#4mos 0#e risco e seg#ran$a est&o intrinsecamente ligados e 3odemos
a%irmar com convic$&o 0#e o risco est associado = seg#ran$a. Em #m diagrama e;3licativo o
es3ecialista em seg#ran$a de so%tAare ?riedemann Jitsc/ il#stra a denominada Dsit#a$&o de
seg#ran$aD (vide ?ig#ra !. Jitsc/ (900, 3. )B a3#d CKAVES, 90, 3. 9L! conceit#a a sit#a$&o
de seg#ran$a comoC DE...F #ma sit#a$&o na 0#a o risco Ee%etivoF 2 menor do 0#e o risco m;imo
aceitvel.M
?I*U+A - DIA*+A-A EN@LICATIV8 DAS SITUAOPES DE SE*U+ANOA E @E+I*8
:
?8NTEC Ada3tado de JITSCK (900, 3. )B a3#d CKAVES, 90, 3. 9L!
Ainda de acordo com Jitsc/ (I1id.!, o diagrama acima demonstra 0#e o risco e%etivo tem #m
limite m;imo. No caso em 0#e o risco e%etivo #ltra3assa esse limite, ocorre a desintegra$&o da
sit#a$&o de seg#ran$a, ao mesmo tem3o em 0#e emerge solidamente #ma sit#a$&o de 3erigo o#
3ass4vel da ocorr<ncia de acidentes.
Seg#ran$a re%ere-se = t#do 0#e est a1rigado de 0#ais0#er ti3os de 3erigos, danos o# riscos.
Q #ma sit#a$&o onde ocorre a a#s<ncia de eventos 0#e im3licam em 0#ais0#er ti3os de 3erdas e(o#
3re7#45os n&o 3lane7ados, o# em #ma sit#a$&o mais grave, inaceitveis. A seg#ran$a 2 #ma
3ro3riedade de #m todo, n&o de #ma 3arte o# de a3enas #m com3onente desse todo. Somente
3oderemos determinar a seg#ran$a de 3osse de in%orma$6es relativas ao conte;to do 0#al ela %a5
3arte, o# se7a, analisando o relacionamento entre todos os eventos e(o# 3rocessos envolvidos. Em
virt#de da 3artic#laridade da sit#a$&o o# conte;to, a de%ini$&o de seg#ran$a 3ode variar
signi%icativamente. @or e;em3lo, o United States De3artment o% De%ense (9000, 3. 9 a3#d
CKAVES, 90, 3. 9B! de%ine #ma sit#a$&o de seg#ran$a de #ma %orma mais am3la, 3or meio da
seg#inte %raseI DLivre de condi$6es 0#e 3odem ca#sar morte, %erimento, doen$a oc#3acional, dano
o# 3erda de e0#i3amento o# 3ro3riedade, o# dano ao am1ienteD.
Seg#indo a lin/a de 3ensamento dos eventos encadeados relacionados ao risco, s#rge #m
o#tro evento 0#e 3oss#i estreita rela$&o com o mesmoC a incerte5a. Se estamos de alg#ma %orma
gerindo sit#a$6es de risco, isso %oi 3rovocado 3or alg#m evento direto o# 3or #ma sit#a$&o de
inseg#ran$a e 3or conse0#<ncia se e;iste inseg#ran$a tam12m ocorre a incerte5a. Na 3resen$a de
acidentes n&o / seg#ran$a, conse0Rentemente essa tam12m ine;iste em sit#a$6es de incerte5a. Na
incerte5a, a seg#ran$a necessita ser 3rod#5ida, o 0#e 3ode ser conseg#ido 3or meio da gest&o de
riscos (SEN*E+ et al., 900L!.
'
Nos Tltimos 90 anos devido aos constantes avan$os tecnolgicos em todas as reas da
atividade /#mana, o conceito de risco esteve em constante evol#$&o tendo o se# %oco cada ve5 mais
am3liado 3assando a considerar n&o a3enas a 0#est&o das amea$as, mas tam12m os c/amados
U1ene%4cios 3otenciaisM. Em s#a 3#1lica$&o mais recente so1re este tema, a International
8rgani5ation %or Standardi5ation, IS8, (900B, 3. a3#d CKAVES, 90, 3. 9B! coloca 0#eC D+isco
2 o e%eito da incerte5a so1re os o17etivosD.
Seg#ndo C/aves (90!, a incerte5a 3asso# a ser a3resentada como #m estado de
ins#%ici<ncia de in%orma$6es relativas ao entendimento o# con/ecimento de #m evento e(o#
3rocesso, s#as conse0R<ncias e tam12m s#a 3ro1a1ilidade de ocorr<ncia. @or mais estran/o 0#e
3ossa 3arecer, a incerte5a, 0#e 2 #ma sit#a$&o ocasionada 3ela sensa$&o de inseg#ran$a, 3asso# a
ser considerada " em Tltima anlise " como %ato 3ositivo 3ois 2 gerador de evol#$&o. Em #ma
sim3li%ica$&o de 3ensamentoC incerte5a gera inseg#ran$a. A sensa$&o de inseg#ran$a nos d a
convic$&o de 0#e estamos correndo riscos e esse %ato 3or si s, nos ind#5 = e;ec#tar a$6es no
sentido de identi%icar, avaliar e gerir esses riscos.
Ainda no 0#e di5 res3eito = incerte5a, 3ode-se a%irmar 0#e todas as organi5a$6es, em alg#m
momento, aca1am 3or en%rent-la e 0#e o desa%io 0#e a elas se coloca 2 determinar 0#al o gra# de
incerte5a 0#e est&o dis3ostas a aceitar. N&o e;iste e 3rovavelmente 7amais vai e;istir sit#a$&o de
risco 5ero. @ara e;em3li%icar essa 3remissa 3odemos citar Ka1egger (900L a3#d CKAVES, 90, 3.
:0!, o 0#al s#stenta 0#e a elimina$&o dos riscos 3or com3leto n&o 2 vivel, nem tam3o#co
dese7vel, devido a, 3elo menos, tr<s motivosC (a! n&o / meios 3ara as 3essoas controlarem o
%#t#ro, (1! os rec#rsos dis3on4veis 3ara lidar com riscos s&o sem3re limitados e (c! aceitar riscos
est no nTcleo do 3rocesso de inova$&o e 2 #ma condi$&o mandatria 3ara o crescimento
econHmico e o 3rogresso social.
Senger et al. (o3. cit., 3. >! tam12m %alam so1re o tema e s#gerem 0#eC
+iscos s&o indiretos, n&o 3remeditados, incertos e, 3or de%ini$&o, locali5ados no
%#t#ro, #ma ve5 0#e a3enas se materiali5am 0#ando se mani%estam como eventos e%etivosI
em o#tras 3alavrasC a ess<ncia do risco n&o 2 estar acontecendo, mas 3oder acontecer.
3 , SIG.IICADO E ROTEIROS &ARA GESTO DE RISCOS
8 termo U*est&o de +iscosM somente teve #tili5a$&o corri0#eira recentemente. A1straindo
de %orma res#mida se# conceitoC *est&o de +iscos 2 a 1#sca do e0#il41rio entre riscos e c#stos (EmC
V/tt3C((AAA.%dc.org.1r(/otsites(mail(livroWs#stenta1ilidadeW3oder(temas-emergentes(dimensao-
organi5acao(gestao-de-riscos./tmlX. Acesso emC 9' 7#n/o 90'!.
>
-esmo 0#ando ainda n&o era 3erce1ida e tratada como disci3lina %oi int#itivamente
3raticada atrav2s de d2cadas 3elas mais variadas organi5a$6es. Devemos considerar, como
7 %oi mencionado no t3ico anterior, 0#e na gest&o de riscos 7#nto ao s#rgimento de
amea$as tam12m emergem o3ort#nidades de evol#$&o. A gest&o de riscos evol#i no mesmo
3asso da evol#$&o tecnolgica. At#almente ela n&o 3ode mais ser considerada
#nidimensional, 3ois n&o trata somente de as3ectos como seg#ran$a e contin#idade dos
negcios. A gest&o de riscos /o7e trata de 0#est6es como dis3oni1ilidade de dados e
avalia$&o dos riscos relativos = seg#ran$a, 3er%ormance dos ativos de in%orma$&o e s#a
dis3oni1ilidade integral e na Tltima d2cada, 3rinci3almente no Jrasil, a gest&o de riscos
est considerando como atri1#i$&o inerente de s#a rea de at#a$&o a con%ormidade com as
e;ig<ncias de rg&os reg#latrios o# legais. (T+ENTIN, ?ernando +. Ri#4 )anagemen5.
EmC V/tt3C((rtrentin.Aord3ress.com(900(0B(X. Acesso emC 9' 7#n/o 90'.!
De #ma maneira mais gen2rica, a IS8 (o3. cit., 3. 9! coloca 0#eC D*est&o de riscos 2 o
Econ7#nto deF atividades estr#t#radas 0#e visam direcionar e controlar Eas a$6es deF #ma
organi5a$&o no 0#e se re%ere ao risco.D
De acordo com C/aves (90!, toda a organi5a$&o deve estar UmotivadaM 3ara %a5er a gest&o
de se#s riscos. Tal a%irma$&o soa at2 como 1rincadeira, mas n&o 2. Q de notrio sa1er 0#e a gest&o
de riscos 2 tratada das mais variadas %ormas e a maioria delas n&o 3oss#i a Umotiva$&oM ade0#ada
3ara s#a im3lementa$&o. Em alg#mas organi5a$6es 2 e;ec#tada como #ma o1rigatoriedade tendo
em vista as e;ig<ncias legais. Tam12m 2 al$ada = condi$&o de 3rioridade a3enas 0#ando a
organi5a$&o 0#er e(o# 3recisa o1ter alg#ma certi%ica$&o 0#e a %a$a estar em 32 de ig#aldade o#
mesmo = %rente de s#a concorr<ncia. A gest&o de riscos deve %a5er 3arte da c#lt#ra de #ma
organi5a$&o. Se 3oss4vel deve estar, mesmo 0#e s#1liminarmente, im3l4cita na miss&o e 3resente em
cada eta3a dos 3rocessos de negcio da em3resa, se7a ela 3e0#ena, m2dia, o# grande.
+a5 e Killson (900>! s&o a#tores 0#e s#gerem #m roteiro 3ara gerir riscos, este roteiro 2
com3osto 3or 0#atro eta3asI 3lane7amento, identi%ica$&o, anlise e tratamento. A novidade desta
3ro3osta 2 a 3rimeira eta3a, dado 0#e as tr<s Tltimas, em termos de conteTdo, s&o semel/antes =
maioria dos roteiros con/ecidos.
A IS8 (o3. cit.! 3ro36e #m roteiro 1astante mais com3leto 3ara a gest&o de riscos,
com3reendendo n&o a3enas o 3rocesso de gest&o em si, mas tam12m se# entorno, isto 2, a maneira
3ela 0#al este 3rocesso deve ser constr#4do e inserido no conte;to da organi5a$&o. Uma vis&o
es0#emtica do modelo da IS8 est a3resentada na %ig#ra 9.
?I*U+A 9 - -8DEL8 A-@LIAD8 @A+A *ESTY8 DE +ISC8S
Z
?8NTEC ADA@TAD8 DE IS8 (900B, 3. ) a3#d CKAVES, 90, 3. :9!
Ka1egger (o3. cit.!, de%ende 0#e tam12m s&o tr<s as eta3as da gest&o de riscos, 3or2m com
denomina$&o di%erenteC identi%ica$&o, mens#ra$&o e mitiga$&o. Com o int#ito de 0#e 3ossamos nos
a3ro%#ndar em #ma das t2cnicas da gest&o de riscos, o3tamos 3ela 3ro3osta 3or Ka1egger.
Entendemos 0#e a mesma tem a com3let#de t2cnica, 1em como a sim3licidade necessrias 3ara o
se# 3er%eito entendimento. 8 se# a#tor conseg#e e;3licar as s#as eta3as com 3recis&o, dis3ensando
a necessidade de recorrermos a o#tros roteiros mais com3le;os 3ara il#strar o tema. 8 es0#ema de
Ka1egger 2 com3osto 3orC
-( Iden5ificao do# ri#co#:
@ara desco1rirmos 0#ais s&o os riscos aos 0#ais estamos s#7eitos, 3recisamos ter acesso =s
in%orma$6es. Como conse0#<ncia disso, devemos 3rocessar as in%orma$6es o1tidas. Tais 3remissas
s 3odem ser atingidas se as in%orma$6es 3oss#4rem #m atri1#to c/amado dis3oni1ilidade.
Devemos estar atentos tam12m =s m#dan$as no am1iente, 3ois as mesmas %a5em com 0#e os
es3ecialistas em gest&o de riscos ten/am 0#e am3liar o esco3o das %ontes de in%orma$&o.
@ro%issionais com larga e;3eri<ncia em gest&o de risco s&o os mais indicados, 3ois ser 3reciso, em
alg#ns casos, #ma at#a$&o menos 3ragmtica e mais criativa na anlise e 3rocessamento das
in%orma$6es dis3on4veis. Concl#indo esse as3ecto, at#almente devemos considerar a e;trema
%acilidade na gera$&o in%orma$&o e a tam12m ig#al %acilidade com 0#e 3odemos acess-las,
acarretando em #ma 0#antidade m#ito grande de dados 0#e 3recisam ser 3rocessados. Considerado
isso 3odemos en%ati5ar 0#e os %iltros devem ser cada ve5 mais a3er%ei$oados 3ara 0#e os analistas
3ossam %a5er a se3ara$&o das in%orma$6es 0#e realmente interessam (Ka1egger, 900L!.
0( )en#urao do# ri#co#:
)
A mens#ra$&o dos riscos inicia estr#t#rando os mesmos. Essa estr#t#ra$&o ordena os riscos
0#e %oram identi%icados anteriormente. Nesse momento 2 mais indicado 0#e se %a$a #ma
classi%ica$&o dos riscos, inserindo os mesmos em categorias. 8s analistas com essa atit#de
esta1elecem #m esco3o geral dos riscos e a classi%ica$&o dos mesmos 3ermite #ma 3r2-vis#ali5a$&o
na de%ini$&o das 3rioridades de a$&o. Logo a3s a mens#ra$&o deve-se e;ec#tar #ma avalia$&o dos
riscos. Essa avalia$&o tem como o17etivo esta1elecer rela$&o de im3ort[ncia entre as categorias nas
0#ais os riscos %oram distri1#4dos. A avalia$&o 2 essencialmente 3ragmtica, 3ois #tili5a como
%erramenta 3rinci3al a anlise do com3ortamento, da evol#$&o, do 3otencial de dano e tam12m da
3ro1a1ilidade de ocorr<ncia dos riscos classi%icados. A a$&o derradeira na mens#ra$&o dos riscos 2 a
c/amada 3riori5a$&o. Na 3riori5a$&o se caracteri5a 3ela ordena$&o 3ara e;ec#$&o das a$6es de
resol#$&o dos riscos no 0#e di5 res3eito aos %atores citados na avalia$&o (Ka1egger, 900L!.
Nessa %ase entra em voga #ma varivel 0#e tem 3oder decisrio incontestvelC a rela$&o
c#sto 1ene%4cio. A rela$&o c#sto 1ene%4cio at#a de %orma t&o cont#ndente 0#e estende a s#a
in%l#<ncia 3ara a eta3a 3osterior 0#e 2 a mitiga$&o dos riscos. A c/amada rela$&o c#sto 1ene%4cio
cresce em im3ort[ncia 0#ando come$am a ser 3ro7etados os c#stos individ#ais de mitiga$&o 3ara
cada #m dos riscos classi%icados e ordenados anteriormente, isso %a5 com 0#e os gestores (alta
dire$&o! decidam 0#ais os riscos devem ser mitigados e 0#ais deles devem ser Udei;ados a
desco1ertoM. @ode-se concl#ir s#cintamente 0#e a 3riori5a$&o 2 #ma es32cie de %aca de dois g#mes,
3ois designa o 0#e o gestor tem 0#e %a5er o1rigatoriamente e agora, mas tam12m d s#1s4dios 3ara
a alta dire$&o no 0#e di5 res3eito aos riscos 0#e eles U3odem ignorarM tem3orariamente o# at2
mesmo de maneira de%initiva, como nos casos em 0#e o 3otencial de dano 2 1ai;o. -ens#rar
corretamente os riscos na maioria dos casos 2 #m tra1al/o coletivo, 3ortanto, deve ser o17eto de
consenso. Se nessa eta3a o consenso n&o %or atingido ent&o ela n&o estar sendo e%ica5 (Ka1egger,
900L!.
3( )i5igao do# ri#co#:
A mitiga$&o dos riscos 2 com3osta 3or d#as metodologias de a$&oC a 3reventiva e a
corretiva. Tais m2todos s&o antagHnicos no 0#e di5 res3eito ao tem3o da a$&o. 8 m2todo 3reventivo
tem como 3rioridade, como o 3r3rio nome 7 di5, a 3reven$&o. A 3reven$&o tem a$&o direta so1re
as ca#sas dos eventos danosos. 8 s#cesso de tal estrat2gia tem como %r#to a minimi5a$&o dos
e%eitos e tam12m a elimina$&o dos eventos geradores de %al/as. 8 m2todo 3reventivo est Usem3re
alertaM, atacando diretamente as ca#sas dos eventos adversos, e 1ai;ando em m#ito a 3ro1a1ilidade
de ocorr<ncia dos mesmos (Ka1egger, 900L!.
L
8 m2todo corretivo n&o tem a$&o direta so1re as ca#sas, na verdade ele as ignora, e at#a
diretamente so1re os e%eitos ca#sados 3elos eventos adversos. Como a metodologia corretiva tem
como %oco a elimina$&o o# 3elo menos a aten#a$&o dos e%eitos ca#sados 3elos eventos adversos,
lema 2 o seg#inteC 7 acontece#\ Agora 3recisamos Uc/amar a cavalariaM. As 1oas 3rticas
recomendam 0#e os es3ecialistas #tili5em as d#as estrat2gias de %orma com3lementar,
esta1elecendo #ma estrat2gia glo1al 3ara a organi5a$&o 0#e comtem3le as d#as metodologias no
0#e elas dis36em de mel/or, sem3re norteados 3ela oni3resente rela$&o c#sto 1ene%4cio.
De acordo com o 0#e 7 %oi descrito nesse tra1al/o n&o e;iste risco 5ero, o# se7a, 2
im3oss4vel elimin-lo 3or com3leto. S&o m#itas variveis envolvidas, tendo como desta0#e a
varivel com3osta 3elo erro /#mano. Ns somos o elo mais %raco da corrente e tendemos a ser o
%ator gerador de erro mais 3rovvel 0#ando se trata da ocorr<ncia do evento des%avorvel. Nos
tem3os at#ais n&o temos condi$6es de ter controle a1sol#to da sit#a$&o e o %#t#ro 3r;imo n&o nos
reserva 3ers3ectiva mel/or. Em #ma /i3ot2tica sit#a$&o ideal onde o risco 5ero 3#desse ser
im3lementado em determinado caso, ele 3rovavelmente n&o o seria, 3ois a s#a rela$&o c#sto
1ene%4cio e;tra3olaria todo e 0#al0#er limite ra5ovel. N&o devemos desconsiderar nas a$6es de
mitiga$&o dos riscos a 3ossi1ilidade de trans%er<ncia dos mesmos 0#ando isso %or 3oss4vel. Nossa
rela$&o (tanto 3essoal como em3resarial!, com os e0#i3amentos 1ancrios 3ode ser #m e;em3lo
disso (Ka1egger, 900L!.
8 m#ndo real n&o 3ermite 0#e as a$6es de mitiga$&o eliminem 3or com3leto todos os riscos,
mas 3ermite 0#e eles se7am mantidos em #m 3atamar aceitvel. Esta1elecendo #ma rela$&o de
com3lementaridade conv2m considerar os riscos est&o associados =s o3ort#nidades, e, 3or
conseg#inte, intimamente ligados ao 3rocesso de evol#$&o. Evol#$&o tecnolgica tam12m signi%ica
novos riscos e novos riscos geram novos desa%ios de mitiga$&o desses a ser desenvolvidos 3elos
es3ecialistas (C/aves, 90!.
Considerando 0#e o m2todo de Ka1egger 3oss#i #ma a1ordagem gen2rica 3ara a mat2ria em
0#est&o devemos atentar 3ara o %ato de 0#e a gest&o de riscos 2 sem3re individ#al, n&o e;istindo
#ma metodologia em es3ecial 0#e se assemel/e com #ma es32cie de U%orm#la mgicaM 0#e
contem3le todas as sit#a$6es em todas as organi5a$6es. A metodologia escol/ida, se7a ela 0#al %or,
deve ser ada3tada = cada sit#a$&o, 3ois o Umod#s o3erandiM de cada organi5a$&o 2 es3ec4%ico,
mesmo 3ara em3resas 0#e tra1al/am em segmentos de mercado id<nticos.
Nos dias at#ais, devido = constante marc/a evol#tiva tecnolgica, se %e5 necessrio
segmentar a gest&o de riscos. Conv2m destacar 0#e essa marc/a evol#tiva em no 0#e di5 res3eito =
tecnologia 2 glo1ali5ada. Essa evol#$&o no 0#e concerne = lin/a de tem3o n&o 2 linear, mas tem
B
como caracter4stica 3rinci3al o 3aralelismo. Sol#$6es tecnolgicas cada ve5 mais a3#radas 3ara os
mesmos eventos des%avorveis s#rgem ao mesmo tem3o em todas as 3artes do m#ndo. @ara 0#e o
est#do da gest&o de riscos em n4veis cor3orativos e em3resariais acom3an/asse essa din[mica ela
torno#-se disci3lina de est#dos. ]#sti%icando essa a%irma$&o, o C8S8 (o3. cit., 3. 9!, de%ine a gest&o
em3resarial de riscos comoC
E...F #m 3rocesso, cond#5ido 3elo cor3o de diretores, gerentes e o#tros 3ro%issionais de #ma
organi5a$&o, a3licado com vistas a esta1elecer #ma estrat2gia am3la, destinada a identi%icar
3otenciais eventos 0#e 3ossam a%etar a organi5a$&o e gerenciar riscos 0#e se en0#adrem no
se# 3er%il, no sentido de 3rover #m gra# ra5ovel de garantia 0#anto ao alcance dos
o17etivos organi5acionais.
Alicer$ados 3or essa nova disci3lina, os atores envolvidos com a gest&o das organi5a$6es e
cor3ora$6es, se estiverem corretamente UintencionadosM o# UmotivadosM tem = s#a dis3osi$&o
%erramentas 3ara agir de %orma e%ica5 e e%etiva com os riscos, as incerte5as e tam12m com as
o3ort#nidades a elas associados, tendo como conse0#<ncia 1en2%ica dessa a$&o #ma crescente
ca3acidade de se agregar valor 3ara a 3r3ria organi5a$&o, agrega C/aves (90!.
6 RISCOS RE$ATI7OS 8 TI E GESTO DE RISCOS E) TI
De acordo Stone1#rner, *og#en e ?eringa (9009, a3#d LENT8, L#i5 8tavio Jotel/o.
*est&o de +iscos. EmC V/tt3C((AAA.diegomacedo.com.1r(gestao-de-riscos(X. Acesso emC ) 7#n/o
90'!, a gest&o de riscos 2 o 3rocesso de identi%ica$&o dos riscos, avalia$&o de risco e tomada de
medidas (tratamento do risco! 3ara red#5ir o risco a #m n4vel aceitvel. 8 o17etivo da gest&o de
risco 2 3ermitir 0#e a organi5a$&o consiga reali5ar as s#as tare%as, isto 2, manter ativos os se#s
3rocessos de negcio, atrav2s de #ma 1oa seg#ran$a 3ara os sistemas de TI, res3onsveis em
arma5enar, 3rocessar e transmitir as s#as in%orma$6es.
Seg#ndo Sesterman e K#nter (900) a3#d CKAVES, 90, 3. :>!, risco da TI 2 a
3ossi1ilidade de 0#e alg#m evento im3revisto, 0#e envolva %al/a o# ma# #so da TI, ameace #m
o17etivo em3resarial. @ara estes a#tores (i1id.! o maior nTmero de riscos da TI n&o 2 decorrente de
3ro1lemas t2cnicos o# gerados 3or %#ncionrios de 1ai;o escal&o, mas sim de %al/as de s#3ervis&o e
da governan$a de TII o# se7a, a maior 3arte destes riscos n&o 3arte da tecnologia em si, mas de
3rocessos decisrios 0#e, de modo consciente o# n&o, ignoram as 3oss4veis conse0R<ncias destes
riscos 3ara os negcios.
Nesse conte;to, de acordo com Sesterman e K#nter (900) a3#d CKAVES, 90, 3. :>!, as
ca#sas 0#e levam aos riscos da TI s&oC
Governana de TI inefica":
0
- Decorre da a#s<ncia de estr#t#ras e 3rocessos a3ro3riados 3ara #m am3lo envolvimento de
todas as reas de #ma organi5a$&o nos investimentos e nas decis6es relativos a TII
- Aca1a 3or levar a decis6es dirigidas localmente, mas 0#e geram riscos em3resariaisI sem a
intera$&o das reas de negcios, os gestores da TI 3odem %a5er 3ress#3osi$6es errHneas a res3eito
de 0#ais riscos s&o mais im3actantes 3ara os negcios.
Comple9idade de#con5rolada:
A com3le;idade 3or si s n&o 2 necessariamente mais arriscada do 0#e a sim3licidadeI no
entanto, a com3le;idade sem #ma 1ase slida a s#3ort-la a#menta o risco de diversas maneiras,
#ma ve5 0#e os am1ientes tendem a ser %rgeis.
al5a de a5eno ao ri#co:
A %alta de aten$&o 3otenciali5a os riscos o3eracionaisI se#s sintomas 3odem incl#irC (a! %alta
de con/ecimento o# con/ecimento inade0#ado, (1! m gest&o da in%raestr#t#ra, (c! ignor[ncia,
neglig<ncia o# deslealdade dos %#ncionrios e (d! mecanismos de controle insens4veis a atividades
3erigosas.
De acordo com Como #ma %orma de lidar com os riscos da TI, estes a#tores (i1id.!
introd#5em o conceito do DEs0#ema 'AD, o 0#al com3reende #m elenco de 0#atro %atores de risco
associados, #m a #m, a 0#atro o17etivos de negcios da TI relacionados aos riscos - dis3oni1ilidade,
acesso, 3recis&o e agilidade (em ingl<sC availa1ilit^, access, acc#rac^ e agilit^!, o17etivos estes 0#e
3odem ser assim descritos (I1id.!C
Di#poni!ilidade:
-anter os sistemas e os 3rocessos de negcio 3or eles s#3ortados em o3era$&o e rec#3er-
los em caso de interr#3$6es.
Ace##o:
Asseg#rar o acesso ade0#ado a dados e sistemas, de modo 0#e as 3essoas certas o ten/am
0#ando necessrio e as 3essoas erradas, n&o.
&reci#o
@rover in%orma$6es corretas, o3ort#nas e com3letas, 0#e satis%a$am aos re0#isitos da
administra$&o, dos %#ncionrios, clientes, %ornecedores e rg&os reg#ladores.

Agilidade:
@oss#ir a ca3acidade de m#dar com c#stos controlados e ra3ide5.
8s a#tores (i1id.! a%irmam 0#e os %atores de risco 3or eles a3resentados %ormam #ma
/ierar0#ia, = 0#al denominam D3ir[mide dos riscos da TID e 0#e est gra%icamente re3resentada na
%ig#ra :.
?I*U+A : - @I+_-IDE D8S +ISC8S DA TI
?8NTEC Ada3tado de SESTE+-AN e KUNTE+ (900), 3. >B a3#d CKAVES, 90, 3. :Z!
A dis3osi$&o dos %atores na 3ir[mide demonstra 0#e o %ator 3osicionado n#ma determinada
camada in%l#encia n&o a3enas os riscos associados a ela, mas tam12m a0#eles associados =s
camadas s#3eriores.
`#anto ao tratamento dos riscos, alg#mas das classi%ica$6es 3oss4veis 3ara as medidas de
3rote$&o #tili5adas, seg#ndo Jeal (900L, 3.9Z a3#d *ross, 90', 3. 9Z!, s&oC
-edidas 3reventivasC controles 0#e red#5em a 3ro1a1ilidade de #ma amea$a se concreti5ar
o# dimin#em o gra# de v#lnera1ilidade do am1iente o# ativo, red#5indo assim a
3ro1a1ilidade de #m ata0#e e(o# s#a ca3acidade de gerar e%eitos adversos na organi5a$&o.
-edidas corretivas o# reativasC red#5em o im3acto de #m ata0#e(incidente. S&o medidas
tomadas d#rante o# a3s a ocorr<ncia do evento.
-2todos detectivosC e;36em ata0#es(incidentes e dis3ara medidas reativas, tentando evitar a
concreti5a$&o do dano, red#54-lo o# im3edir 0#e se re3ita.
As eta3as da gest&o do risco s&o e;i1idas na %ig#ra '.
9
?I*U+A ' - ETA@AS DA *ESTY8 D8 +ISC8
?8NTEC Jeal (900L, 3.) a3#d *ross, 90', 3. 9)!
+ainer, Sn^der e Carr (BB! ressaltam 0#e, inde3endentemente da metodologia #tili5ada
3ara identi%icar e tratar riscos de TI, 2 dese7vel 0#e esta ten/a certas 3ro3riedades. @rimeiro, ela
deve ser aceita 3ela rea de gerenciamento o# negcios, a com#nidade de #s#rios envolvidos e o
de3artamento de sistemas de in%orma$&o. Seg#ndo, mesmo 0#e nen/#ma metodologia de anlise de
risco 3ossa considerar todos os riscos, ela deve ser o mais com3reens4vel 3oss4vel e 3oss#ir a
/a1ilidade de lidar com novas tecnologias. Terceiro, ela deve soar logicamente correta. `#arto, ela
deve ser 3rtica - signi%icando 0#e ela deve entregar 3rote$&o otimi5ada 3elo c#sto des3endido.
`#into, ela deve ser a1erta, de modo 0#e 3ossa ser avaliada 3or todos os interessados. Se;to, ela
deve contri1#ir 3ara o a3rendi5ado, acom3an/ando #ma doc#menta$&o clara e registros de
deli1era$6es (trad#$&o nossa!.
CO.SIDERA/:ES I.AIS
No decorrer da 3es0#isa %eita 3ara %orm#lar esse tra1al/o, 3assamos a con/ecer #ma
3artic#laridade da gest&o de riscos 0#e at2 ent&o n&o con/ec4amos. *erir riscos 3arecia ser #ma
tare%a Tnica e 3rinci3almente restrita ao 3ro1lema o# evento negativo ocorrido. Na verdade n&o o 2.
A gest&o de riscos comtem3la #ma s2rie de eventos encadeados 0#e n&o s&o 3ass4veis de
conviv<ncia mTt#a sem #m 3lane7amento e e;ec#$&o ade0#ados. A cria$&o de #ma c#lt#ra relativa =
seg#ran$a dos ativos de in%orma$&o entre e;ec#tivos, gestores e cola1oradores 2 o 3onto de 3artida
3ara come$ar a resolver os 3ro1lemas de seg#ran$a nessa rea.
:
Nos tem3os at#ais n&o 3odemos nos dar ao l#;o de desconsiderar os riscos aos 0#ais
estamos s#7eitos. A atit#de de ignorar os riscos n&o os %a5 dei;ar de e;istir. Essa a%irmativa toma
cor3o e reveste-se como verdade in0#estionvel a 3artir das nossas inocentes redes dom2sticas, o
c/amado Ai-%i de casa, a1rangendo at2 o to3o da es%era cor3orativa, 3ois a in%orma$&o 2 #m 1em
3recioso de toda e 0#al0#er organi5a$&o e a s#a seg#ran$a tem 0#e %a5er 3arte da s#a gest&o.
As cor3ora$6es, e 3or 0#e n&o di5er at2 mesmo os 3ro%issionais li1erais, esta1elecem dia
a3s dia, #ma de3end<ncia cada ve5 maior de in%orma$6es 0#e s&o acessadas 3elos sistemas de
in%orma$&o, mas 0#ando se trata de a3licar rec#rsos %inanceiros 3ara 3rote$&o desses ativos 3arece
0#e Ues0#ecemM 0#e e0#i3amentos e so%tAares est&o s#7eitos = %al/as e 3ortanto deve /aver #m
3lane7amento 3ara a contin#idade das o3era$6es, o# se7a, contin#idade do 3r3rio negcio.
Nossa 3es0#isa indico# tam12m 0#e im3lementar #ma metodologia 3reventiva, a3esar dessa
metodologia acarretar em c#stos mais elevados, l no %inal das contas c#sta mais 1arato do 0#e
reagir atacando as conse0#<ncias de tais eventos negativos. A maioria das organi5a$6es #tili5a a
metodologia reativa devido ao descon/ecimento da mat2ria. A3rendemos 0#e nem t#do 2 negativo
0#ando se trata de gerir riscos em TI. E;em3li%icando mel/or, 0#ando a inseg#ran$a e;iste ela gera
incerte5as. E 3or mais antagHnico 0#e 3are$a as 3r3rias incerte5as 3odem ser #sadas como
o3ort#nidades 3ara evol#$&o, 3rinci3almente no 0#e di5 res3eito = 3rocessos mel/ores na rea da
gest&o e tam12m de 3rod#tos mais e%icientes e e%ica5es, 3ois o sim3les %ato de 3oder ocorrer #ma
%al/a nos ind#5 a tra1al/ar em #m desenvolvimento mais a3#rado dos 3rod#tos.
Nessa eta3a de3aramo-nos com #ma verdade irre%#tvel a res3eito do tema gest&o de riscos
em TIC n&o / mais es3a$o 3ara amadores. Seg#ran$a da in%orma$&o 2 ass#nto 3ara 3ro%issionais. A
%orma$&o na rea acom3an/ada da 3rtica, e 3rinci3almente as a$6es em con%ormidade com as
c/amadas U1oas 3rticasM s&o condi$6es essenciais 3ara 0#e os es%or$os dis3endidos 3elos
3ro%issionais envolvidos nessa rd#a tare%a 3ossam e;ec#tar e 3rinci3almente o1ter s#cesso no
tra1al/o 0#e tem 0#e ser %eito, o# se7a, c/egar mais 3r;imo 3oss4vel do risco 5ero.
@roteger os ativos de in%orma$&o tem como conse0#<ncia os c#stos de man#ten$&o da dessas
in%orma$6es, 0#e com certe5a, em alg#ns casos, 3ode envolver a a3lica$&o de rec#rsos %inanceiros
de elevada monta. 8s sistemas 0#e n&o levam em considera$&o a seg#ran$a, em s#a grande maioria,
s&o mais sim3les e 3raticamente n&o e;igem nen/#ma man#ten$&o mais a3#rada, entretanto, %ica
#ma 0#est&o a ser res3ondidaC 0#anto c#sta 3ara #ma organi5a$&o a 3erda de in%orma$6es o# at2
mesmo a %alta de dis3oni1ilidade o# con%ia1ilidade nelasa
S&o m#itos os as3ectos 0#e est&o interligados 3ara 7#sti%icar o investimento em seg#ran$a da
in%orma$&o, dentre os 0#ais 3odemos destacar o alin/amento estrat2gico da organi5a$&o, 0#al ser o
'
n4vel de com3etitividade alme7ado 3ela em3resa, e 3rinci3almente 0#al 2 o valor 0#e a 3r3ria
em3resa d 3ara se#s ativos de in%orma$&o.
*erir riscos em TI investe os 3ro%issionais envolvidos da miss&o de %a5er com 0#e os riscos
3ro3riamente ditos n&o #ltra3assem o limite de aceita1ilidade esta1elecido 3ela alta dire$&o. +iscos
%a5em 3arte do conte;to 0#e 3oss#i m#itas variveis, tais como, tecnologias, 3rocessos e 3essoas.
@ara 0#e os riscos se7am minimi5ados a alta dire$&o deve %ornecer meios, incentivar, e acima de
t#do dar o e;em3lo no 0#e di5 res3eito =s mel/ores 3rticas 0#e devem ser adotadas.
REER;.CIAS <I<$IOGR=ICAS
JEAL, Adriana. Segurana da informaoC 3rinc43ios e mel/ores 3rticas 3ara a 3rote$&o dos
ativos de in%orma$&o nas organi5a$6es. S&o @a#loC Atlas, 900L. InC *+8SS, C/ristian -einecbeI
*+8SS, ]an C/arles. Segurana da Informao. IndaialC Uniasselvi, 90'.
JITSCK, ?riedemann. Safe5> pa55ern#C t/e be^ to %ormal s3eci%ication o% sa%et^ re0#irements.
InC V8*ES, Udo (8rg.!, @roceedings o% t/e 90t/ Con%erence on Com3#ter Sa%et^, +elia1ilit^ and
Sec#rit^ - SA?EC8-@ (Lect#re Notes in Com3#ter Science!. Keidel1ergC S3ringer, v. 9L), 3.
)Z-LB, 900. InC CKAVES, S^dnei. A ?ue#5o do# ri#co# em am!ien5e# de compu5ao em
nuvem. 90. >0 %. Disserta$&o (-estrado! " Universidade de S&o @a#lo, S&o @a#lo, 90.
CKAVES, S^dnei. A ?ue#5o do# ri#co# em am!ien5e# de compu5ao em nuvem. 90. >0 %.
Disserta$&o (-estrado! " Universidade de S&o @a#lo, S&o @a#lo, 90.
C8--ITTEE 8? S@8NS8+IN* 8+*ANIcATI8NS 8? TKE T+EADSAd C8--ISSI8N
(C8S8!. En5erpri#e ri#4 managemen5C Integrated %rameAorb (e;ec#tive s#mmar^!. C8S8, set.
900'.
C+8UKd, -ic/el et al. T%e e##en5ial# of ri#4 managemen5. NeA dorb, Nd (US!C -c*raA-Kill,
900Z.
ESALD, ?rancois. Ins#rance and risb. InC JU+CKELL, *ra/am et al. T%e oucaul5 effec5C st#dies
in governmentalit^. C/icago, IL (US!C T/e Universit^ o% C/icago @ress, 3. B)-90, BB.
*+8SS, C/ristian -einecbeI *+8SS, ]an C/arles. Segurana da Informao. IndaialC
Uniasselvi, 90'.
KAJE**E+, Jeat. Ri#4 anal>#i# and managemen5 in a d>namic ri#4 land#cape. InC (8rg!.
In5erna5ional %and!oo4 on ri#4 anal>#i# and managemen5. c#ric/C ETK c#ric/ - Center %or
Sec#rit^ St#dies (CSS!, 3. :-:9, 900L. InC CKAVES, S^dnei. A ?ue#5o do# ri#co# em am!ien5e#
de compu5ao em nuvem. 90. >0 %. Disserta$&o (-estrado! " Universidade de S&o @a#lo, S&o
@a#lo, 90.
INTE+NATI8NAL 8+*ANIcATI8N ?8+ STANDA+DIcATI8N (IS8!. IS8 :000C900B - +isb
management - @rinci3les and g#idelines. *eneveC IS8, nov. 900B. InC CKAVES, S^dnei. A ?ue#5o
do# ri#co# em am!ien5e# de compu5ao em nuvem. 90. >0 %. Disserta$&o (-estrado! "
Universidade de S&o @a#lo, S&o @a#lo, 90.
>
eLIE-, +al3/ L. Ri#4 managemen5 for !u#ine## proce## reengineering pro@ec5#. In%ormation
S^stems -anagement. 8;%ord, UeC Ta^lor and ?rancis, V. ), n. ', 3. -:, set. 9000.
LEVES8N, Nanc^ *. Appl>ing #>#5em# 5%in4ing 5o anal>"e and learn Aom even5#. Sa%et^
Science. AmsterdamC Elsevier, v. 'B, n. l, 3. >>-Z', 7an. 90.
+Ac, T5viI KILLS8N, David. A compara5ive revieB of ri#4 managemen5 #5andard#. +isb
-anagementC An International ]o#rnal. Kam3s/ire, UeC @algrave -acmillan, v. ), n. ', 3. >:-ZZ,
o#t. 900>.
+AINE+, +e; eell^ ]r.I SNdDE+, C/arles A.I CA++, Ko#ston K. +isb anal^sis %or In%ormation
o% Tec/nolog^. Cournal of )anagemen5 Informa5ion S>#5em#. NeA dorb, US, Vol. L, No. , 3.
9B-'), 7#n. BB.
ST8NEJU+NE+, *ar^I *8*UEN, Alice e ?E+IN*A, Ale;is. NIST S@ L00-:0 Ri#4
managemen5 guide for informa5ion 5ec%nolog> #>#5em#. LocalC a Ed.C NIST, 9009. InC LENT8,
L#i5 8tavio Jotel/o. Ge#5o de Ri#co#. EmC V/tt3C((AAA.diegomacedo.com.1r(gestao-de-riscos(X.
Acesso emC ) 7#n/o 90'.
T+ENTIN, ?ernando +. Ri#4 )anagemen5. EmC V/tt3C((rtrentin.Aord3ress.com(900(0B(X. Acesso
emC 9' 7#n/o 90'.
UNITED STATES DE@A+T-ENT 8? DE?ENSE. -IL-STD-LL9D - S5andard prac5ice for
#>#5em #afe5>. %ev. 9000. InC CKAVES, S^dnei. A ?ue#5o do# ri#co# em am!ien5e# de
compu5ao em nuvem. 90. >0 %. Disserta$&o (-estrado! " Universidade de S&o @a#lo, S&o
@a#lo, 90.
SEN*E+, Andreas et al. @re%ace. InC Ka1egger, Jeat (8rg!, In5erna5ional %and!oo4 on ri#4
anal>#i# and managemen5. c#ric/I ETK c#ric/ - Center %or Sec#rit^ St#dies (CSS!, 900L.
SESTE+-AN, *eorgeI KUNTE+, +ic/ard. IT ri#4C t#rning 1#siness t/reats into com3etitive
advantage. Joston, -A (US!C Karvard J#siness Sc/ool @ress, 900). InC CKAVES, S^dnei. A
?ue#5o do# ri#co# em am!ien5e# de compu5ao em nuvem. 90. >0 %. Disserta$&o (-estrado!
" Universidade de S&o @a#lo, S&o @a#lo, 90.