Gerenciamento de Risco

Centro de orientaes de segurana
Guia de Gerenciamento de Riscos de Segurana

Viso geral
Publicado em: 15 de Outubro de 2004
A tarefa de implementar um plano de gerenciamento de riscos de segurana pode se mostrar
assustadora aos clientes. E isso talvez se deva ao fato de no contarem com os conhecimentos
necessrios, oramento ou diretrizes para terceirizar essa tarefa. Para auxiliar tais clientes, a Microsoft
criou o Guia de Gerenciamento de Riscos de Segurana.
Este guia auxilia todos os tipos de clientes durante o planejamento, criao e manuteno de um
programa eficiente de gerenciamento de riscos de segurana. Esse programa envolve quatro fases,
descritas a seguir, e este guia explica como conduzir cada uma dessas fases do programa e como criar
um processo contnuo de avaliao e reduo de riscos a um nvel aceitvel.

Este guia no se baseia em uma tecnologia especfica, e faz referncia a diversos padres da indstria
aceitos para o gerenciamento de riscos de segurana. Ele um importante exemplo do compromisso
da Microsoft em fornecer uma orientao eficaz para auxiliar os seus clientes a garantir a segurana
de suas infra-estruturas de tecnologia da informao. Este Guia incorpora experincias reais da equipe
de TI da Microsoft, bem como inclui sugestes de clientes e parceiros da Microsoft.
Este Guia foi desenvolvido, revisado e aprovado por equipes de especialistas em segurana
reconhecidos. Este Guia e outros tpicos de orientao de segurana esto disponveis no Centro de
Orientaes de Segurana em http://www.microsoft.com/brasil/security/guidance/default.mspx.
Comentrios ou dvidas sobre este guia podem ser enviados (em ingls) a secwish@microsoft.com.
Este guia dividido em seis captulos e quatro apndices.
Nesta pgina
Captulo 1: Introduo ao Guia de Gerenciamento de Riscos de Segurana
Captulo 2: Anlise das prticas de gerenciamento de riscos de segurana
Captulo 3: Viso geral do gerenciamento de riscos de segurana
Captulo 4: Avaliando os riscos
Captulo 5: Oferecendo suporte s decises
Captulo 6: Implementando controles e analisando a eficcia do programa
Apndices
Captulo 1: Introduo ao Guia de Gerenciamento de Riscos de
Segurana
O Captulo 1 apresenta o Guia de Gerenciamento de Riscos de Segurana (GGRS) e fornece uma breve
viso geral dos captulos seguintes. Ele fornece tambm informaes sobre os tpicos a seguir:

As chaves para o sucesso de um programa de gerenciamento de riscos

Principais termos e definies

Convenes de estilo

Referncias para informaes adicionais
Incio da pgina
Captulo 2: Anlise das prticas de gerenciamento de riscos de
segurana
O Captulo 2 descreve os conceitos fundamentais e apresenta o contexto do GGRS atravs da anlise
de outras abordagens ao gerenciamento de riscos de segurana e tpicos relacionados, incluindo como
determinar o nvel de maturidade do gerenciamento de riscos da sua organizao.
Incio da pgina
O Captulo 3 fornece uma descrio mais detalhada das quatro fases do processo do Guia de
Gerenciamento de Riscos de Segurana e, ao mesmo tempo, apresenta alguns conceitos importantes
e as chaves para um processo bem-sucedido. Esse captulo traz tambm sugestes sobre a
preparao para o programa atravs do planejamento eficiente e da nfase na criao de uma Equipe
de gerenciamento de riscos de segurana com funes e responsabilidades bem definidas.
Incio da pgina
O Captulo 4 aborda em detalhes a primeira fase, Avaliando os riscos. As etapas nessa fase incluem o
planejamento, a coleta de dados e a priorizao de riscos. A priorizao dos riscos consiste em nveis
resumidos e detalhados, utilizando tanto abordagens quantitativas como qualitativas a fim de
proporcionar informaes confiveis sobre riscos com uma dosagem uniforme de tempo e esforo. O
resultado da fase de avaliao de riscos uma relao dos riscos significativos e sua anlise
detalhada, a qual pode ser usada pela equipe para tomar decises de negcios durante a fase
seguinte do processo.
Incio da pgina
O Captulo 5 aborda a segunda fase, Oferecendo suporte s decises. Durante essa fase, as equipes
determinam como abordar os principais riscos de maneira mais eficaz e com custo/benefcio ideal. As
equipes identificam os controles, estimam os custos, avaliam o grau de reduo do risco e, em
seguida, determinam que controles devem ser implementados. O resultado da fase de suporte s
decises um plano de ao claro e contestvel para controlar ou aceitar cada um dos principais
riscos identificados na fase de avaliao de riscos.
Incio da pgina
Captulo 6: Implementando controles e analisando a eficcia do
programa
O Captulo 6 aborda as duas ltimas fases do GGRS: Implementando controles e Analisando a eficcia
do programa. Durante a fase de implementao de controles, os responsveis pela atenuao de
riscos criam e executam planos de acordo com a lista de solues de controle resultante da fase de
suporte s decises.
Aps a concluso das trs primeiras fases do processo de gerenciamento de riscos de segurana,
recomendvel que as organizaes analisem o seu progresso geral em relao ao gerenciamento de
riscos de segurana. A fase final, Analisando a eficcia do programa, apresenta o conceito de "Carto
de pontuao de riscos de segurana" para auxiliar nesse processo.
Incio da pgina
Apndices
Os Apndices incluem:

Apndice A: Avaliaes de risco ad hoc

Apndice B: Ativos comuns de sistemas de informaes

Apndice C: Ameaas comuns

Apndice D: Vulnerabilidades

Incio da pgina
Captulo 1: Introduo ao Guia de Gerenciamento de Riscos de Segurana
Nesta pgina
Resumo executivo
A quem este guia se destina
Escopo deste guia
Fundamentos do sucesso
Convenes de estilo
Obtendo suporte para este guia
Mais informaes
Resumo executivo
Desafios ambientais
A maioria das organizaes reconhece o papel importante que a
tecnologia da informao (TI) desempenha para o cumprimento de
seus objetivos de negcios. Contudo, as infra-estruturas de TI atuais
com alto nvel de conexo existem em um ambiente cada vez mais
hostil: ataques so realizados com uma freqncia cada vez maior e
exigem uma resposta cada vez mais rpida. Em geral, as organizaes
no so capazes de reagir a novas ameaas segurana a tempo de
impedir que seus negcios sejam prejudicados. Gerenciar a segurana
de suas infra-estruturas, bem como o valor comercial que geram, tem
se mostrado o principal desafio dos departamentos de TI.
Alm disso, novas leis de proteo de privacidade, obrigaes
financeiras e a governana corporativa tm forado organizaes a
gerenciar suas infra-estruturas de TI com mais cautela e eficincia do
que nunca. Diversos rgos governamentais e as organizaes com as
quais conduzem negcios so obrigados por lei a manter um nvel
mnimo de gerenciamento de segurana. Caso no sejam capazes de
gerenciar a segurana de forma eficiente, essas organizaes colocam
em risco si prprias e os seus executivos devido ao no cumprimento

Neste artigo
Viso geral
Captulo 1: Introduo ao
Guia de Gerenciamento de
Riscos de Segurana
Captulo 2: Anlise das
prticas de gerenciamento
de riscos de segurana
Captulo 3: Viso geral do
gerenciamento de riscos de
segurana
Captulo 4: Avaliando os
riscos
Captulo 5: Oferecendo
suporte s decises
Captulo 6: Implementando
controles e analisando a
eficcia do programa
Apndice A: Avaliaes de
riscos ad hoc
Apndice B: Ativos comuns
de sistemas de informaes
Apndice C: Ameaas
comuns
Apndice D:
Vulnerabilidades
Agradecimentos

de responsabilidades legais e fiduciais.
Uma melhor abordagem
A abordagem da Microsoft ao gerenciamento de riscos de segurana
proativo e pode auxiliar organizaes de todos os portes a atender aos
requisitos apresentados por esses desafios legais e ambientais. Um
processo formal de gerenciamento de riscos de segurana permite que
as empresas operem com eficcia termos de custo e incorram em um
nvel aceitvel de riscos aos negcios. Ele tambm proporciona s
empresas um caminho claro e coerente para organizar e priorizar
recursos limitados a fim de gerenciar os riscos. Voc descobrir os
benefcios do uso do gerenciamento de riscos quando implementar
controles eficientes em termos de custo que reduzem riscos a um nvel
aceitvel.
A definio de risco aceitvel e a abordagem de gerenciamento de
riscos variam de acordo com cada organizao. No h uma resposta
correta nem incorreta; h diversos modelos de gerenciamento de
riscos sendo usados atualmente. Cada modelo equilibra de modo
diferente a sua preciso, recursos, tempo, complexidade e
subjetividade. Investir em um processo de gerenciamento de riscos
baseado em um mtodo de trabalho slido e funes e
responsabilidades bem definidas prepara a organizao para que
possa determinar suas prioridades, planejar a atenuao de ameaas e
criar uma estratgia de resposta a futuras ameaas ou
vulnerabilidades aos negcios. Alm disso, um programa de
gerenciamento de riscos eficaz pode ajudar a empresa a atender novos
requisitos legais.
O papel da Microsoft no gerenciamento de riscos
de segurana
Este o primeiro guia de orientao publicado pela Microsoft com
enfoque total no gerenciamento de riscos de segurana. Criado a partir
da experincia da prpria Microsoft e de seus clientes, este guia foi
testado e revisado por clientes, parceiros e revisores tcnicos durante
o seu desenvolvimento. O objetivo desse esforo fornecer um guia
preciso e prtico sobre a implementao de um processo de
gerenciamento de riscos de segurana que proporcione diversos
benefcios, incluindo:

Persuadir os clientes a adotar uma postura de segurana proativa e
livr-los de um processo frustrante e reativo.

Permitir a anlise da segurana, demonstrando o valor dos projetos
de segurana.

Ajudar os clientes a atenuar de modo eficiente os maiores riscos em
seus ambientes em vez de alocar recursos escassos a todos os
possveis riscos.
Viso geral do guia
Este guia usa padres da indstria para apresentar diversos modelos
estabelecidos de gerenciamento de riscos em um processo de quatro
fases iterativo que busca equilibrar custo e eficcia. Durante um
processo de avaliao de riscos, as etapas de qualificao identificam
rapidamente os riscos mais graves. Em seguida, realizado o processo
de quantificao com base em funes e responsabilidades claramente
definidas. Essa abordagem minuciosa e leva a uma compreenso
profunda dos riscos mais graves. Juntas, as etapas de qualificao e
quantificao do processo de avaliao de riscos fornecem a base
necessria para tomar decises informadas quanto aos riscos e como
atenu-los de acordo com um processo de negcios inteligente.
Observao: no se preocupe caso voc no conhea alguns dos
conceitos descritos neste resumo executivo, pois eles sero explicados
nos captulos seguintes. Por exemplo, o Captulo 2, "Anlise das
prticas de gerenciamento de riscos de segurana", examina as
diferenas entre as abordagens quantitativa e qualitativa da avaliao
de riscos.
O processo de gerenciamento de riscos de segurana da Microsoft
permite que as organizaes implementem e mantenham processos
para identificar e priorizar os riscos em seus ambientes de TI. Mudar a
postura reativa dos clientes para uma postura proativa fundamental
para o aprimoramento da segurana em seus ambientes. Uma
segurana aprimorada, por sua vez, fomenta uma maior
disponibilidade de infra-estruturas de TI e aumenta o valor dos
negcios.
oferece uma combinao de diversas abordagens, incluindo anlise
quantitativa pura, anlise do retorno do investimento em segurana,
anlise qualitativa e prticas recomendadas. importante observar
que este guia descreve um processo e no apresenta requisitos
tecnolgicos especficos.
Fatores essenciais ao sucesso
H diversos fatores essenciais para garantir uma implementao bem-
sucedida de um programa de gerenciamento de riscos de segurana
em uma organizao. Alguns deles so especialmente importantes e
sero aqui descritos; outros sero discutidos na seo "Chaves para o
sucesso" mais adiante neste captulo.
Em primeiro lugar, o gerenciamento de riscos de segurana estar
sujeito ao fracasso caso no conte com o suporte e o compromisso dos
executivos da empresa. Quando o gerenciamento de riscos de
segurana implementado de cima para baixo, as organizaes podem
organizar a segurana com relao ao valor dos negcios. Em seguida,
uma definio clara das funes e responsabilidades fundamental
para um processo bem-sucedido. Os proprietrios de empresa tm a
responsabilidade de identificar o impacto de um risco. Alm disso, eles
so capazes de estabelecer o valor dos ativos comerciais necessrios
para a operao de suas funes. O Grupo de segurana de
informaes responsvel por identificar a probabilidade de ocorrncia
do risco ao levar em conta controles atuais e os aqui propostos. O
grupo de tecnologia da informao responsvel por implementar os
controles selecionados pelo comit de orientao de segurana quando
a probabilidade de uma explorao apresenta um risco inaceitvel.
Prximas etapas
Investir em um programa de gerenciamento de riscos baseado em
um processo slido e realizvel e em funes e responsabilidades bem
definidas prepara uma organizao para que possa determinar suas
prioridades, planejar a atenuao das ameaas e criar uma estratgia
de resposta a ameaas e vulnerabilidades srias. Use este guia para
avaliar se est preparado e para obter orientaes quanto ao uso de
recursos de gerenciamento de riscos de segurana. Se necessitar ou se
desejar obter mais assistncia, entre em contato com uma equipe de
conta da Microsoft ou um parceiro de servios da Microsoft.
Incio da pgina
A quem este guia se destina
Este guia foi criado principalmente para consultores, especialistas em
segurana, arquitetos de sistemas e profissionais de TI responsveis
pelas etapas de planejamento do desenvolvimento e da implementao
de aplicativos ou infra-estrutura que englobem diversos projetos.
Esses profissionais em geral ocupam os seguintes cargos:

Arquitetos e planejadores responsveis pela conduo dos trabalhos
de arquitetura em suas organizaes

Membros da equipe de segurana de TI dedicados exclusivamente a
promover a segurana em todas as plataformas de uma organizao

Auditores de segurana e de informtica responsveis por assegurar
que as organizaes tomem medidas de precauo adequadas
proteo dos seus principais ativos comerciais

Executivos seniores, analistas de negcios e responsveis por
decises de negcios cujos objetivos e necessidades principais
precisam de suporte de TI

Consultores e parceiros que necessitam de ferramentas de
transferncia de conhecimento para parceiros e clientes
corporativos.
Incio da pgina
Escopo deste guia
Este guia descreve como planejar, implementar e manter um processo
bem-sucedido de gerenciamento de riscos de segurana em
organizaes de todos os portes e ramos de negcios. O seu contedo
explica como conduzir cada fase de um projeto de gerenciamento de
riscos e como torn-lo um processo contnuo que fornea
organizao os controles mais teis e eficazes em termos de custo
para a atenuao dos riscos de segurana.
Viso geral do contedo
O Guia de Gerenciamento de Riscos de Segurana apresenta seis
captulos, brevemente descritos abaixo. Cada captulo apresenta
medidas prticas completas necessrias para iniciar e operar com
eficincia um processo de gerenciamento de riscos de segurana em
sua organizao. Subseqentes aos captulos esto alguns apndices e
ferramentas que podem auxiliar na organizao dos projetos de
gerenciamento de riscos de segurana.
'Captulo 1: Introduo ao Guia de Gerenciamento
de Riscos de Segurana
Este captulo apresenta o guia e fornece uma viso geral resumida dos
captulos seguintes.
Captulo 2: Anlise das prticas de gerenciamento
de riscos da segurana
importante estabelecer os fundamentos do processo de
gerenciamento de riscos de segurana da Microsoft atravs da reviso
dos diferentes mtodos usados por organizaes no passado para o
gerenciamento de riscos de segurana. Os leitores experientes em
gerenciamento de riscos de segurana podem consultar rapidamente
esse captulo; os iniciantes em gerenciamento de riscos ou em
segurana deveriam l -lo por inteiro. O captulo traz inicialmente uma
reviso dos pontos fortes e fracos de abordagens proativas e reativas
ao gerenciamento de riscos. Em seguida, ele faz uma reviso
detalhada do conceito de maturidade do gerenciamento de riscos
corporativos apresentado no Captulo 1, "Introduo ao Guia de
Gerenciamento de Riscos de Segurana". Por fim, o captulo avalia e
compara o gerenciamento de risco qualitativo ao gerenciamento de
risco quantitativo, os dois mtodos tradicionais de gerenciamento. O
processo apresentado como um mtodo alternativo que representa
um equilbrio entre esses dois mtodos, resultando em um processo
comprovadamente eficaz na Microsoft.
Captulo 3: Viso geral do gerenciamento de riscos
de segurana
Esse captulo fornece uma descrio mais detalhada do processo de
gerenciamento de riscos de segurana da Microsoft, bem como
apresenta alguns dos conceitos fundamentais e as chaves para seu
sucesso. Alm disso, ele oferece sugestes sobre como preparar-se
para o processo atravs de um planejamento eficaz e da criao de
uma Equipe de gerenciamento de riscos de segurana slida com
funes e responsabilidades bem definidas.
Esse captulo explica em detalhes a fase de avaliao de riscos do
processo de gerenciamento de riscos de segurana da Microsoft. As
etapas nessa fase incluem o planejamento, a facilitao da coleta de
dados e a priorizao dos riscos. O processo de avaliao de riscos
consiste em diversas tarefas, algumas das quais podem apresentar
desafios a uma organizao de grande porte. Por exemplo, a
identificao e determinao dos valores dos ativos comerciais podem
ser um processo demorado. Outras tarefas, como a identificao de
ameaas e vulnerabilidades, exigem um conhecimento tcnico
especializado. Os desafios associados a essas tarefas demonstram a
importncia de um planejamento adequado e da criao de uma
Equipe forte de gerenciamento de riscos de segurana, como
enfatizado no Captulo 3, "Viso geral do gerenciamento de riscos de
segurana".
Durante a priorizao de riscos resumida, a Equipe de gerenciamento
de riscos de segurana usa uma abordagem qualitativa para filtrar a
lista completa de riscos de segurana de modo a identificar
rapidamente as ameaas mais graves a serem analisadas em detalhes.
Em seguida, os riscos mais graves so minuciosamente analisados
usando tcnicas quantitativas. Os resultados compem uma lista
resumida dos riscos mais graves e mtricas detalhadas que podem ser
usadas pela equipe para tomar decises prudentes durante a fase
seguinte do processo.
Durante a fase de suporte s decises do processo, a Equipe de
gerenciamento de riscos de segurana determina como abordar os
principais riscos da maneira mais eficaz em termos operacionais e de
custo. A equipe identifica os controles, determina os custos associados
aquisio, implementao e suporte de cada controle, avalia o grau
de reduo do risco alcanado por cada controle e, por fim, colabora
com o comit de orientao de segurana para determinar que
controles implementar. O resultado final um plano de ao preciso
para controlar ou aceitar cada um dos principais riscos identificados na
fase de avaliao de riscos.
Captulo 6: Implementando controles e analisando
a eficcia do programa
Esse captulo aborda as duas ltimas fases do Guia de Gerenciamento
de Riscos de Segurana: Implementando controles e Analisando a
eficcia do programa. A fase de implementao de controles auto -
explicativa: os responsveis pela atenuao de riscos criam e
executam planos de acordo com a lista de solues de controle
resultante da fase de suporte s decises a fim de atenuar os riscos
identificados na fase de avaliao de riscos. Esse captulo fornece links
orientao prescritiva que pode ser til aos responsveis pela
atenuao de riscos da sua organizao ao lidarem com diversos
riscos. A fase de anlise da eficcia do programa uma etapa contnua
usada pela Equipe de gerenciamento de riscos de segurana para
verificar periodicamente se os controles implementados na fase
precedente esto apresentando o grau de proteo esperado.
A segunda etapa dessa fase a estimativa do progresso geral obtido
pela organizao em relao ao gerenciamento de riscos de segurana
como um todo. O captulo apresenta o conceito de um "Carto de
pontuao de riscos" que pode ser usado para controlar o desempenho
da sua organizao. Finalmente, o captulo explica a importncia de
monitorar alteraes no ambiente de computao, como a adio ou
remoo de sistemas e aplicativos ou a ocorrncia de novas ameaas e
vulnerabilidades. Esses tipos de alteraes podem exigir uma resposta
rpida por parte da organizao a fim de proteger-se contra riscos
novos e em evoluo.
Apndice A: Avaliaes de risco ad hoc
Esse apndice compara o processo formal de avaliao de riscos
corporativos abordagem de avaliao ad-hoc adotada por diversas
organizaes. Ele destaca as vantagens e desvantagens de cada
mtodo e sugere o momento ideal para usar cada um deles.
Apndice B: Ativos comuns de sistemas de
informaes
Esse apndice relaciona os ativos de sistemas de informaes
comumente encontrados em organizaes de vrios portes. Ele no
pretende apresentar uma lista exaustiva, e improvvel que essa lista
represente todos os ativos presentes no ambiente exclusivo de sua
organizao. Portanto, essencial personalizar a lista durante o
processo de avaliao de riscos. Ela fornecida apenas como
referncia e serve de ponto inicial para auxiliar no comeo do processo
em sua organizao.
Esse apndice relaciona as ameaas capazes de afetar diversos tipos
de organizaes. Essa lista no exaustiva e, por ser esttica, poder
ficar desatualizada. Sendo assim, essencial remover as ameaas que
no sejam relevantes sua organizao e adicionar as novas ameaas
identificadas durante a fase de avaliao do projeto. Ela fornecida
apenas como referncia e serve de ponto inicial para auxiliar no
comeo do processo em sua organizao.
Esse apndice relaciona as vulnerabilidades capazes de afetar diversos
tipos de organizaes. Essa lista no exaustiva e, por ser esttica,
poder ficar desatualizada. Sendo assim, essencial remover as
vulnerabilidades que no sejam relevantes sua organizao e
adicionar as novas vulnerabilidades identificadas durante a fase de
avaliao do projeto. Ela fornecida apenas como referncia e serve
como ponto de partida para a organizao iniciar o processo.
Ferramentas e modelos
Um conjunto de ferramentas e modelos acompanha este guia para
facilitar a implementao do processo de gerenciamento de riscos de
segurana da Microsoft em sua organizao. Essas ferramentas e
modelos esto includos em um arquivo compactado de auto-extrao
do WinZip disponvel no Centro de Download. Observe que o download
contm tambm uma cpia deste guia. Quando voc extrai os arquivos
do arquivo compactado baixado, a seguinte estrutura de pastas
criada no local especificado:

\Guia de Gerenciamento de Riscos de Segurana Contm a
verso em PDF (Portable Document Format) do arquivo deste guia.

\Guia de Gerenciamento de Riscos de
Segurana\Ferramentas e modelos Contm os seguintes
arquivos:

Modelos de coleta de dados (FerramentaGGRS1-Ferramenta de
coleta de dados.doc). Esse modelo pode ser usado na fase de
avaliao de riscos durante os workshops descritos no Captulo
4, "Avaliando riscos".

Planilha de anlise de risco de nvel resumido
(FerramentaGGRS2-Nvel de risco resumido.xls). Essa planilha
do Microsoft Excel ajudar sua organizao a conduzir a
primeira fase de anlise de riscos: a anlise resumida.

Planilha de anlise de risco de nvel detalhado
(FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls).
Essa planilha do Microsoft Excel ajudar sua organizao a
conduzir uma anlise exaustiva dos principais riscos
identificados durante a anlise resumida.

Exemplo de agendamento (FerramentaGGRS4-Exemplo de
agenda de projeto.xls). Essa planilha do Excel mostra um
agendamento resumido do projeto de gerenciamento de riscos
de segurana da Microsoft. Ele inclui as fases, etapas e tarefas
discutidas neste guia.

Incio da pgina
Fundamentos do sucesso
Sempre que uma organizao se engaja em uma nova iniciativa,
diversos elementos fundamentais devem estar presentes para garantir
o sucesso desse esforo. A Microsoft identificou os componentes que
devem estar presentes ao iniciar a implementao de um processo
bem-sucedido de gerenciamento de riscos de segurana, e que devem
permanecer presentes durante esse processo. So eles:

O patrocnio executivo.

Um lista bem definida dos interessados no gerenciamento de riscos.

Maturidade corporativa em relao ao gerenciamento de riscos.

Uma atmosfera de comunicaes abertas.

O esprito de equipe.

Uma viso holstica da organizao.

Autoridade da Equipe de gerenciamento de riscos de segurana.
As sees seguintes abordam os elementos necessrios durante o
processo inteiro de gerenciamento de riscos de segurana. Itens
adicionais relevantes a fases especficas sero descritos nos captulos
referentes a cada fase respectiva.
Patrocnio executivo
Os administradores seniores devem oferecer um suporte inequvoco e
entusiasta ao processo de gerenciamento de riscos de segurana. Sem
esse suporte, os interessados nessa iniciativa podem vir a resistir ou a
se opor aos esforos de implementao do gerenciamento de riscos
para tornar mais segura a organizao. Alm disso, sem um patrocnio
executivo inequvoco, funcionrios individuais podero ignorar as
diretivas sobre como realizar o trabalho ou ajudar a proteger os ativos
da organizao. H diversas razes pelas quais os funcionrios talvez
se recusem a cooperar. Entre elas est uma resistncia geral a
mudanas; a falta de conscincia da importncia do gerenciamento
eficaz de riscos de segurana; a crena equvoca de que eles como
indivduos detm uma compreenso slida de como proteger os ativos
comerciais, mesmo que seu ponto de vista no seja amplo e
abrangente como o da Equipe de gerenciamento de riscos de
segurana; ou a crena de que o seu departamento na empresa nunca
seria alvo de possveis ataques.
O patrocnio envolve o seguinte:

Delegao de autoridade e responsabilidade Equipe de
gerenciamento de riscos de segurana sobre um projeto cujo escopo
tenha sido claramente definido

Apoio participao de todos os funcionrios, conforme necessrio

Alocao de recursos suficientes, como recursos humanos e fundos

Apoio inequvoco e entusiasta ao processo de gerenciamento de
riscos de segurana

Participao na reviso dos resultados e recomendaes do processo
de gerenciamento de riscos de segurana
Um lista bem definida dos interessados no
gerenciamento de riscos
Este guia com freqncia menciona os interessados, os quais, neste
contexto, indicam os membros da organizao que tm interesse nos
resultados do processo de gerenciamento de riscos de segurana. A
Equipe de gerenciamento de riscos de segurana necessita conhecer
todos os interessados, inclusive os membros da prpria equipe e os
patrocinadores executivos. Isso inclui ainda os indivduos responsveis
pelos ativos comerciais a serem avaliados. A equipe de TI responsvel
pela criao, implementao e gerenciamento dos ativos comerciais
tambm faz parte do grupo de interessados.
Os interessados devem ser identificados de forma que possam
participar no processo de gerenciamento de riscos de segurana. A
Equipe de gerenciamento de riscos de segurana deve dedicar algum
tempo para auxiliar essas pessoas a compreender o processo e o modo
em que ele as ajudar a proteger seus ativos e economizar dinheiro a
longo prazo.
Maturidade corporativa em relao ao
gerenciamento de riscos.
Em uma organizao que no possua um processo de gerenciamento
de riscos de segurana, a implementao de todo o processo de
gerenciamento de riscos de segurana da Microsoft pode resultar em
mudanas radicais e demasiadamente rpidas. Mesmo em uma
organizao com processos informais, como esforos aleatrios
iniciados em resposta a problemas de segurana especficos, a
implementao do processo poder parecer um desafio grande demais.
Contudo, ele poder se mostrar eficaz em organizaes mais maduras
em termos de gerenciamento de riscos. A maturidade fica evidente
atravs de aspectos como processo de segurana bem definidos e a
compreenso e aceitao profundas do gerenciamento de riscos de
segurana em diversos nveis corporativos. O Captulo 3, "Viso geral
do gerenciamento de riscos de segurana", discute o conceito de
maturidade de gerenciamento de riscos de segurana e como calcular
o nvel de maturidade da sua organizao.
Uma atmosfera de comunicaes abertas
Diversas organizaes e projetos operam de acordo com a necessidade
de conhecimento momentnea, o que, em geral, causa mal-entendidos
e prejudica a capacidade de uma equipe de criar uma soluo bem-
sucedida. O processo de gerenciamento de riscos de segurana da
Microsoft exige uma abordagem de comunicaes abertas e honestas,
tanto no mbito da equipe como dos interessados. Um fluxo contnuo
de informaes no s reduz os riscos de mal-entendidos e o
desperdcio de esforos como tambm assegura que todos os membros
da equipe possam contribuir para a reduo de incertezas que afetem
o projeto. A discusso aberta e honesta sobre os riscos identificados e
os controles que podem ser usados para atenuar esses riscos
essencial para o sucesso do processo.
O esprito de equipe
A fora e a vitalidade dos relacionamentos entre os indivduos
envolvidos no processo de gerenciamento de riscos de segurana da
Microsoft afetaro imensamente o resultado dos esforos.
Independentemente do apoio demonstrado pelos administradores
seniores, os relacionamentos desenvolvidos entre a equipe, os
gerentes de segurana e o resto da organizao so cruciais para o
sucesso geral do projeto. extremamente importante que a Equipe de
gerenciamento de riscos de segurana fomente um esprito de
colaborao em equipe com cada um dos representantes das diversas
unidades de negcios com as quais trabalham durante a realizao do
projeto. A equipe pode simplificar isso demonstrando de modo eficaz
aos gerentes das unidades de negcios o valor comercial do
gerenciamento de riscos de segurana, bem como expor aos
funcionrios de que forma o projeto poder, a longo prazo, facilitar o
seu trabalho.
Uma viso holstica da organizao
Todos os participantes envolvidos no processo de gerenciamento de
riscos de segurana da Microsoft, especialmente a Equipe de
gerenciamento de riscos de segurana, devem levar em conta a
organizao toda ao realizar o seu trabalho. O que ideal para um
determinado funcionrio pode no ser ideal para a organizao como
um todo. Do mesmo modo, o que vantajoso para uma unidade de
negcios pode no apresentar vantagens para a organizao toda. Os
funcionrios e os gerentes de uma determinada unidade de negcios
tentaro instintivamente orientar o processo de forma que beneficie a
eles prprios e aos seus departamentos na organizao.
Autoridade durante o processo
Os participantes no processo de gerenciamento de riscos de segurana
da Microsoft assumem a responsabilidade pela identificao e controle
dos riscos mais graves que podem afetar a organizao. A fim de
efetivamente atenuar esses riscos atravs da implementao de
controles sensatos, eles precisaro tambm de autoridade suficiente
para realizar as mudanas necessrias. Os membros da equipe devem
ter a autoridade necessria para serem capazes de cumprir as metas a
eles atribudas. A concesso de autoridade determina que os membros
da equipe recebam os recursos necessrios para realizar o seu
trabalho, sejam responsveis pelas decises que afetem esse trabalho
e compreendam os limites de sua autoridade e as vias de delegao
disponveis para lidar com questes fora desses limites.
Incio da pgina
A terminologia relacionada ao gerenciamento de riscos de segurana
s vezes pode ser de difcil compreenso. s vezes, um termo
facilmente reconhecido pode ser interpretado de modo diferente por
diferentes pessoas. Por essas razes, importante que voc
compreenda as definies usadas pelos autores deste guia para termos
importantes empregados aqui com freqncia. Muitas das definies
descritas abaixo so originrias de documentos publicados por duas
outras organizaes: ISO (International Standards Organization) e
IETF (Internet Engineering Task Force). Os endereos na Web dessas
organizaes so fornecidos na seo "Mais informaes", mais adiante
neste captulo. A lista a seguir fornece uma viso consolidada dos
componentes-chave do gerenciamento de riscos de segurana.

Expectativa de perda anual (EPA) O valor total que uma
organizao perder em um ano se nada for feito para atenuar o
risco.

Taxa de ocorrncia anual (TOA) O nmero de vezes que se
prev que um risco ocorrer em um ano.

Ativo Qualquer elemento de valor em uma organizao, como
componentes de hardware e software, dados, pessoas e
documentao.

Disponibilidade A propriedade de um sistema ou recurso de
sistema que garante que ele poder ser acessado e utilizado a
qualquer momento por um usurio autorizado desse sistema. A
disponibilidade uma caracterstica essencial de um sistema seguro.

CID Consulte Confidencialidade, Integridade e Disponibilidade.

Confidencialidade A propriedade que garante que as
informaes no ficaro disponveis nem sero divulgadas a
indivduos, entidades ou processos no autorizados (ISO 7498-2).

Controle Um mtodo organizacional, procedimental ou
tecnolgico de gerenciamento de riscos; um sinnimo de
salvaguarda ou contramedida.

Anlise de custo/benefcio A estimativa e a comparao do
valor relativo e do custo associado a cada controle proposto, de
forma que os controles mais eficazes nesses termos sejam
implementados.

Suporte a decises Priorizao do risco de acordo com uma
anlise de custo/benefcio. O custo da soluo de segurana para
atenuar um risco ponderado em relao ao benefcio obtido pela
atenuao do risco.

Defesa em profundidade Uma abordagem que utiliza diversas
camadas de segurana para oferecer proteo contra a falha de
qualquer um dos componentes de segurana.

Explorao Um modo de utilizar uma vulnerabilidade a fim de
comprometer as atividades de negcios ou a segurana das
informaes.

Exposio Uma ao causada por uma ameaa que faz com que
dados confidenciais sejam divulgados a uma entidade no
autorizada (RFC 2828). O processo de gerenciamento de riscos de
segurana da Microsoft refina essa definio de forma que se refira
especialmente aos danos causados a um ativo comercial.

Impacto A perda geral nos negcios prevista quando uma
ameaa explora uma vul nerabilidade e prejudica um ativo.

Integridade A propriedade dos dados que assegura que eles no
sejam alterados nem destrudos de modo no autorizado (ISO 7498-
2).

Atenuao Ao de tomar medidas contra um risco projetadas
para impedir a ameaa subjacente.

Soluo de atenuao A implementao de um controle
organizacional, procedimental ou tecnolgico que visa gerenciar um
risco de segurana.

Probabilidade O grau de segurana com que se pode esperar a
realizao de um evento.

Gerenciamento de risco qualitativo Um mtodo de
gerenciamento de riscos no qual os participantes atribuem valores
relativos aos ativos, aos riscos, aos controles e ao impacto.

Gerenciamento de risco quantitativo Um mtodo de
gerenciamento de riscos no qual os participantes tentam atribuir
valores numricos objetivos (por exemplo, valores monetrios) aos
ativos, aos riscos, aos controles e ao impacto.

Reputao O conceito que uma organizao goza no mercado. A
reputao da maioria das empresas apresenta um valor real, mesmo
sendo intangvel e difcil de ser calculado.

Retorno do investimento em segurana O valor monetrio
total que se prev que uma organizao economize anualmente ao
implementar um controle de segurana.

Risco A combinao da probabilidade de um evento ocorrer e as
suas conseqncias. (Guia ISO 73).

Avaliao do risco O processo pelo qual os riscos so
identificados e o seu impacto, determinado.

Gerenciamento de riscos O processo de determinao de um
nvel de risco aceitvel que envolve avaliar o nvel de risco atual,
tomar medidas para reduzir o risco a um nvel aceitvel e manter
aquele nvel de risco.

Expectativa de perda nica (EPU) O valor da receita total
perdida devido a uma nica ocorrncia de um risco.

Ameaa Uma causa potencial de um impacto indesejado em um
sistema ou organizao. (ISO 13335-1).

Vulnerabilidade Quaisquer falhas, processo administrativo, ato
ou exposio fsica que permita que um ativo de informaes seja
explorado por uma ameaa.
Incio da pgina
Convenes de estilo
Este guia utiliza as seguintes convenes de estilo e terminologia.
Tabela 1: Convenes de estilo
Elemento Significado
Observao Chama a ateno do leitor para informaes
complementares.
Exemplo
Woodgrove
Avisa ao leitor que o contedo est associado
organizao fictcia usada como exemplo,
"Woodgrove Bank".
Incio da pgina
Obtendo suporte para este guia
Este guia procura descrever de maneira clara um processo que pode
ser seguido pelas organizaes para implementar e manter um
programa de gerenciamento de riscos de segurana. Se voc necessita
de assistncia na impl ementao de um programa de gerenciamento
de riscos, entre em contato com a equipe da sua conta da Microsoft.
No h atendimento telefnico disponvel para este documento.
Comentrios ou dvidas sobre este guia devem ser enviados (em
ingls) para secwish@microsoft.com.
Incio da pgina
Mais informaes
As fontes de informaes a seguir eram as mais recentes disponveis
sobre tpicos estritamente relacionados ao gerenciamento de riscos de
segurana no momento em que este guia foi publicado.
O MOF (Microsoft Operations Framework) fornece orientaes que
permitem que as organizaes proporcionem aos seus sistemas
cruciais confiabilidade e disponibilidade e a facilidade de suporte e de
gerenciamento de produtos e tecnologias da Microsoft. O MOF
proporciona orientaes sobre operaes na forma de documentos
oficiais, guias de operao, ferramentas de avaliao, prticas
recomendadas, estudos de caso, modelos, ferramentas de suporte e
servios. Essa orientao aborda questes relacionadas a pessoas,
processos, tecnologia e gerenciamento associadas a ambientes de TI
complexos, distribudos e heterogneos. Para obter mais informaes
sobre o MOF consulte www.microsoft.com/mof (site em ingls).
O MSF (Microsoft Solutions Framework) pode ajud-lo a executar com
xito os planos de ao criados como parte do processo de
gerenciamento de riscos de segurana da Microsoft. Projetado para
auxiliar organizaes a fornecer solues de alta tecnologia de forma
pontual e dentro do oramento proposto, o MSF uma abordagem
focada e disciplinada voltada a projetos de tecnologia, alm de ser
baseada em um conjunto definido de princpios, modelos, disciplinas,
conceitos, diretrizes e prticas comprovadas da Microsoft. Para obter
mais informaes sobre o MSF, consulte www.microsoft.com/msf (site
em ingls).
O Centro de Orientaes de Segurana Microsoft oferece um conjunto
bem-organizado e completo de documentos que abordam diversos
tpicos relacionados segurana. O Centro de Orientaes de
Segurana pode ser acessado em
www.microsoft.com/security/guidance/default.mspx.
O Microsoft Windows 2000 Server Solution for Security uma soluo
de orientao que pretende ajudar a reduzir as vulnerabilidades de
segurana e diminuir o custo do gerenciamento de segurana e
exposio em ambientes do Microsoft Windows 2000. Os captulos 2,
3 e 4 do guia Microsoft Windows 2000 Server Solution for Security
compem as primeiras orientaes sobre o gerenciamento de riscos de
segurana publicado pela Microsoft, que foi chamado de Disciplina de
gerenciamento de riscos de segurana. O guia que voc est lendo
substitui o contedo de gerenciamento de riscos de segurana no guia
Microsoft Windows 2000 Server Solution for Security. Esse guia est
disponvel em http://go.microsoft.com/
fwlink/?LinkId=14837.
O NIST (National Institute for Standards and Technology) oferece um
guia excelente sobre o gerenciamento de riscos chamado Risk
Management Guide for Information Technology Systems (janeiro de
2002). Ele est disponvel em
http://csrc.nist.gov/publications/nistpubs/800 -30/
sp800-30.pdf.
O NIST oferece tambm um guia chamado The Security Self-
Assessment Guide for Information Technology Systems (novembro de
2001) sobre como realizar uma avaliao de segurana em sua prpria
organizao. Ele est disponvel em
http://csrc.nist.gov/publications/nistpubs/800 -26/
sp800-26.pdf .
O ISO oferece um cdigo de prticas detalhado conhecido como
Information technology Code of practice for information security
management, tambm chamado de ISO 17799. Ele pode ser comprado
em www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?
CSNUMBER=33441&ICS1=35&ICS2=40&ICS3=.
O ISO j publicou vrios outros documentos sobre padres, alguns dos
quais mencionados neste guia. Eles podem ser comprados em
www.iso.org.
O CERT (Computer Emergency Response Team), localizado no Instituto
de Engenharia de Software da Universidade Carnegie-Mellon, criou o
OCTAVE
(Operationally Critical Threat, Asset, and Vulnerability

Evaluation
SM
), um mtodo de planejamento e auto-avaliao de riscos.
Para obter mais informaes sobre o OCTAVE, consulte
www.cert.org/octave (site em ingls).
O CobiT (Control Objectives for Information and Related Technology)
oferece padres amplamente aceitos e aplicveis para garantir prticas
recomendadas de controle e segurana de TI, as quais forneam uma
estrutura de referncia para gerentes, usurios e responsveis pela
auditoria, controle e segurana de sistemas de informaes. Ele pode
ser comprado online no site do IT Governance Institute em
www.itgi.org/cobit.
O IETF publicou o RFC (Request for Comments) 2828, um documento
disponvel ao pblico que fornece definies padro de diversos termos
relacionados segurana de sistemas de informaes. Ele est
disponvel em www.faqs.org/rfcs/rfc2828.html.

Incio da pgina
2 de 12
Captulo 2: Anlise das prticas de gerenciamento de riscos de segurana
Este captulo traz inicialmente uma reviso dos pontos fortes e fracos
das abordagens proativa e reativa ao gerenciamento de riscos. Em
seguida, feita uma avaliao e comparao entre o gerenciamento de
risco qualitativo e o gerenciamento de risco quantitativo, os dois
mtodos tradicionais de gerenciamento. O gerenciamento de riscos de
segurana da Microsoft apresentado como um mtodo alternativo
que busca um equilbrio entre esses dois mtodos, resultando em um
processo comprovadamente eficiente ao ser usado pela Microsoft.
Observao: importante estabelecer os fundamentos do processo
de gerenciamento de riscos de segurana da Microsoft ao revisar os
diferentes mtodos usados por organizaes no passado para o
gerenciamento de riscos de segurana. Os leitores experientes em
gerenciamento de riscos de segurana podem consultar rapidamente
este captulo; os iniciantes em gerenciamento de riscos ou em
segurana deveriam l -lo por inteiro.
Nesta pgina
Comparando abordagens ao gerenciamento de riscos
Abordagens priorizao de riscos
Comparando abordagens ao gerenciamento de
riscos
Em muitas organizaes, a adoo do gerenciamento de riscos de
segurana nasceu da necessidade de responder a um incidente de
segurana relativamente pequeno. Por exemplo, o computador de um
dos funcionrios foi infectado por um vrus, e um gerente de
departamento, tambm responsvel por questes tcnicas, ficou
encarregado de excluir o vrus sem destruir o computador ou os seus
dados. Qualquer que tenha sido o incidente, medida que aumenta o
nmero de incidentes de segurana, e que esses passam a afetar os
negcios, diversas organizaes experimentam a frustrao de ter de
lidar com uma crise aps a outra. Essas organizaes buscam uma
alternativa a esse mtodo de reao a incidentes, ou seja, uma nova
abordagem que possa reduzir a probabilidade de que incidentes de
segurana ocorram. As organizaes que gerenciam riscos
efetivamente tendem a evoluir e adotar um mtodo proativo, contudo
voc ver neste captulo que esse mtodo apenas uma parte da
soluo.

Neste artigo
Viso geral
Riscos de Segurana
segurana
riscos
suporte s decises
eficcia do programa
riscos ad hoc
Apndice C: Ameaas
comuns
Apndice D:
Vulnerabilidades
Agradecimentos

A abordagem reativa
Atualmente, diversos profissionais de informtica sentem-se
pressionados a realizar suas tarefas da maneira mais rpida possvel e
sem causar inconvenincias aos usurios. Quando um incidente de
segurana acontece, muitos profissionais de informtica sentem que a
nica coisa que tm tempo de fazer conter a situao, descobrir as
causas e reparar os sistemas afetados no menor tempo possvel.
Alguns deles tentam at mesmo identificar a raiz do problema, porm
isso soa como um luxo para aqueles que no contam com recursos
suficientes. Embora uma abordagem reativa possa ser uma ttica
eficaz de resposta a riscos de segurana que tenham sido explorados e
que tenham desencadeado incidentes de segurana, impor um certo
grau de rigor abordagem reativa poderia ajudar diversas
organizaes a aproveitar melhor seus recursos.
Incidentes de segurana recentes podem auxiliar uma organizao a se
prevenir contra problemas futuros. Isso significa que uma organizao
que se preocupe em responder ocorrncia de incidentes de
segurana de maneira calma e racional, ao mesmo tempo que
determina as razes do incidente, ser capaz de se proteger melhor
contra problemas similares no futuro e de responder mais rapidamente
a outros incidentes que possam ocorrer.
Um exame detalhado da reao a um incidente est alm do escopo
deste guia, contudo, seguir as seis etapas descritas abaixo pode ajud-
lo a responder a incidentes de segurana e gerenci-los com mais
rapidez e eficincia:
1. Proteger a vida e garantir a segurana das pessoas. Essa
dever ser sempre a sua principal prioridade. Por exemplo, se
entre os computadores afetados estiverem sistemas de suporte
vida, deslig-los no ser uma opo. Talvez voc possa isolar
logicamente esses sistemas na rede, reconfigurando roteadores
e comutadores, sem prejudicar sua capacidade de ajudar os
pacientes.
2. Conter os danos. A conteno dos estragos causados pelo
ataque pode ajudar a limitar danos adicionais. Proteger dados,
software e hardware importantes. Reduzir o impacto sobre
recursos de computao uma medida importante, porm
manter os sistemas em execuo durante um ataque pode, a
longo prazo, resultar em problemas maiores e mais graves. Por
exemplo, se um worm penetrar em seu ambiente, voc poder
tentar limitar os danos desconectando os servidores da rede.
Contudo, desconectar servidores pode, s vezes, se mostrar
mais um problema do que uma soluo. Use o seu bom senso e
conhecimento que tem sobre a rede e os sistemas antes de
tomar essa deciso. Se voc determinar que no haver efeitos
adversos, ou que eles seriam reduzidos se comparados aos
benefcios dessa deciso, a conteno dever ser iniciada assim
que possvel durante o incidente de segurana, a comear pela
desconexo dos sistemas afetados da rede. Se voc no puder
conter os danos isolando os servidores, assegure -se de que
possa monitorar as aes do agressor a fim de reparar os
estragos assim que possvel. Em qualquer circunstncia,
garanta que todos os arquivos de log tenham sido salvos antes
de desligar um servidor, para que possa preservar as
informaes registradas como provas caso voc (ou seus
advogados) necessitem delas posteriormente.
3. Avaliar os danos. Assim que puder, faa uma cpia dos discos
rgidos nos servidores que tenham sido atacados, e guarde-os
para a percia posterior. Em seguida, avalie os danos. Voc
deve comear a determinar a extenso dos danos causados pelo
ataque assim que possvel, imediatamente aps conter a
situao e duplicar os discos rgidos. Essa uma etapa
importante para que voc possa restaurar as operaes da
organizao o mais rpido possvel, bem como preservar uma
cpia dos discos rgidos para fins de investigao. Caso no seja
possvel avaliar os danos naquele momento, voc dever
implementar um plano de contingncia para que possa dar
continuidade s operaes comerciais normais e
produtividade. nesse momento que as organizaes deveriam
informar as autoridades legais sobre o incidente. Entretanto,
voc dever estabelecer e manter relacionamentos de trabalho
com os rgos legais responsveis pela regulamentao dos
seus negcios antes da ocorrncia de um incidente, de forma
que saiba quem contatar e como agir aps a ocorrncia de um
problema srio. Alm disso, o departamento legal da empresa
dever ser notificado imediatamente, para que ele possa
determinar se aes legais podero resultar do incidente.
4. Determinar a causa dos danos. A fim de determinar a
origem do ataque, necessrio saber que recursos foram alvos
do ataque e que vulnerabilidades foram exploradas para obter
acesso ou interromper os servios. Analise a configurao do
sistema, nvel de patches, logs de auditoria e trilhas de
auditoria nos sistemas que foram afetados diretamente e nos
dispositivos da rede que encaminham o trfego at eles. Em
geral, essas anlises ajudam a descobrir a origem do ataque no
sistema e que recursos adicionais foram afetados. Essa
atividade deve ser conduzida nos sistemas de computadores
afetados, e no nas cpias de unidades feitas na etapa 3. Essas
unidades devem ser preservadas intactas para a percia, de
modo que as autoridades legais ou seus advogados possam
utiliz-las para encontrar e indiciar os responsveis pelo ataque.
Se voc precisar criar uma cpia de backup para testar e tentar
determinar a causa do dano, crie um segundo backup a partir
do sistema original, e deixe intactas as unidades criadas na
etapa 3.
5. Corrigir os danos. Na maioria dos casos, muito importante
que os danos sejam corrigidos o mais rpido possvel a fim de
restaurar as operaes de negcios normais e os dados que
tenham sido perdidos durante o ataque. Os planos e
procedimentos de continuidade dos negcios da organizao
devem abranger a estratgia de restaurao. A equipe de
resposta a incidentes tambm deve estar disponvel para lidar
com o processo de restaurao e recuperao ou para fornecer
orientaes sobre o processo equipe responsvel. Durante a
recuperao, os procedimentos de contingncia so realizados
para isolar e limitar a disseminao dos danos. Antes de colocar
novamente em servio os sistemas corrigidos, garanta que eles
no sejam reinfectados imediatamente, verificando se todas as
vulnerabilidades foram exploradas durante o incidente.
6. Analisar a resposta e atualizar as diretivas. Uma vez
concludas as fases de documentao e recuperao, voc deve
revisar o processo inteiro. Determine com a equipe que etapas
foram bem-sucedidas e quais foram os erros cometidos. Em
quase todos os casos, voc descobrir que alguns processos
precisam ser modificados de forma a lidar melhor com
incidentes futuros. mais do que provvel que encontrar
falhas em seu plano de resposta a incidentes. O objetivo desse
exerccio aps o ocorrido encontrar oportunidades de
aprimorar o processo. Quaisquer falhas encontradas devem
suscitar uma reviso completa do processo de resposta a
incidentes, de modo que voc possa lidar mais facilmente com
incidentes futuros.
Esse mtodo ilustrado no diagrama a seguir:

Figura 2.1 Processo de resposta a incidentes
A abordagem proativa
O gerenciamento de riscos de segurana proativo apresenta diversas
vantagens em relao abordagem reativa. Em vez de esperar que
eventos prejudiciais aconteam para ento agir, reduza a possibilidade
de ocorrncia de tais eventos. Isso envolve fazer planos para proteger
os ativos importantes da sua organizao, implementando controles
capazes de reduzir o risco de explorao de vulnerabilidades por
cdigo malicioso, agressores ou uso acidental. Uma analogia pode
ajudar a ilustrar esse conceito. A gripe "influenza" uma doena
respiratria fatal que infecta milhes de pessoas nos Estados Unidos
todos os anos. Dentre elas, mais de 100 mil tm de ser tratadas em
hospitais, e cerca de 36 mil morrem. Voc pode optar por lidar com a
ameaa da doena esperando que ela o infecte para ento recorrer aos
medicamentos e tratar os sintomas caso fique doente. Ou ento, voc
pode optar por ser vacinado antes que o inverno chegue e a gripe se
espalhe.
Obviamente, as organizaes no podem abandonar o plano de
resposta a incidentes. Uma abordagem proativa eficaz pode ajudar as
organizaes a reduzir significativamente o nmero de incidentes de
segurana futuros, contudo, improvvel que tais incidentes nunca
mais ocorram. Sendo assim, essas organizaes devem continuar a
aprimorar seus processos de resposta a incidentes, ao mesmo tempo
que desenvolvem abordagens proativas de longo prazo.
Sees mais adiantes neste captulo, e os captulos subseqentes
deste guia, examinaro em detalhes o gerenciamento de riscos de
segurana proativo. Todos os mtodos de gerenciamento de riscos de
segurana compartilham alguns procedimentos gerais comuns:
1. Identificar os ativos da empresa.
2. Determinar os danos causados organizao resultantes de um
ataque contra um ativo.
3. Identificar as vulnerabilidades de segurana que poderiam ser
exploradas em um ataque.
4. Determinar como minimizar o risco de ataque ao implementar
controles apropriados.
Incio da pgina
Abordagens priorizao de riscos
Os termos gerenciamento de risco e avaliao de risco so usados com
freqncia neste guia e, embora estejam relacionados, eles no tm o
mesmo significado. O processo de gerenciamento de riscos de
segurana da Microsoft define o gerenciamento de risco como o esforo
geral que visa gerenciar os riscos para reduzi-los a um nvel aceitvel
pela empresa. A avaliao de risco definida como o processo de
identificao e priorizao dos riscos aos negcios.
H diversos mtodos para priorizar ou avaliar os riscos, porm a
maioria deles baseia-se em uma dessas duas abordagens, ou em uma
combinao das duas: gerenciamento de riscos quantitativo e
gerenciamento de riscos qualitativo. Consulte a lista de recursos na
seo "Mais informaes" no fim do Captulo 1, "Introduo ao Guia de
Gerenciamento de Riscos de Segurana", para obter links a outros
documentos descrevendo mtodos de avaliao de riscos. As prximas
sees deste captulo resumem e comparam a avaliao de risco
quantitativa e a avaliao de risco qualitativa. A isso segue-se uma
breve descrio do processo de gerenciamento de riscos de segurana
da Microsoft, de forma que voc possa entender como combinar
aspectos das duas abordagens.
Avaliao de risco quantitativa
O objetivo das avaliaes de risco quantitativas tentar calcular
valores numricos objetivos para cada um dos componentes coletados
durante as fases de anlise de custo/benefcio e de avaliao de risco.
Por exemplo, voc pode estimar o valor real de cada ativo de negcios
em termos do custo de substituio, do custo associado perda de
produtividade, do custo representado pela reputao da marca e
outros valores comerciais diretos ou indiretos. Voc dever usar a
mesma objetividade ao calcular o custo de exposio do ativo, o custo
dos controles e todos os outros valores identificados durante o
processo de gere nciamento de riscos.
Observao: Esta seo destina-se a apresentar uma viso geral de
algumas das etapas associadas s avaliaes de risco quantitativas;
ela no pretende ser um guia prescritivo para o uso dessa abordagem
em projetos de gerenciamento de riscos de segurana.
H alguns pontos fracos inerentes a essa abordagem que podem ser
difceis de corrigir. Em primeiro lugar, no h um mtodo formal e
rigoroso de calcular efetivamente o valor de ativos e controles. Em
outras palavras, embora aparentemente ele fornea mais detalhes, os
valores financeiros encobrem o fato de que os nmeros so baseados
em estimativas. De que forma possvel calcular com preciso o
impacto que um incidente de segurana amplamente divulgado pode
causar em sua marca comercial? Nesse caso, possvel examinar
dados histricos, porm esses nem sempre esto disponveis.
Em segundo lugar, as organizaes que tentaram empregar
formalmente todos os aspectos do gerenciamento de riscos
quantitativo descobriram que o processo pode ser extremamente caro.
Em geral, tais projetos levam um perodo demasiadamente longo para
concluir o primeiro ciclo e, com freqncia, envolvem diversos
funcionrios discutindo sobre detalhes do clculo de valores fiscais
especficos. Em terceiro lugar, o custo de exposio para organizaes
com ativos valiosos pode se mostrar to alto que seria necessrio
gastar uma fortuna para atenuar quaisquer riscos aos quais elas
possam estar expostas. Essa situao no realstica, j que uma
organizao no gastaria seu oramento inteiro para proteger um
nico ativo, nem mesmo os seus cinco principais ativos.
Detalhes da abordagem quantitativa
Nesse ponto, pode ser til conhecer em termos gerais as vantagens e
desvantagens das avaliaes de risco quantitativas. O resto desta
seo analisa os mesmos fatores e valores geralmente avaliados
durante uma avaliao de risco quantitativa, como a avaliao de
ativos, clculo do custo de controles, determinao do retorno do
investimento em segurana, bem como o clculo de valores de
Expectativa de perda nica (EPU), Taxa de ocorrncia anual (TOA) e
Expectativa de perda anual (EPA). Essa no uma descrio exaustiva
de todos os aspectos da avaliao de risco quantitativa, apenas um
breve exame de alguns detalhes dessa abordagem a fim de
demonstrar que os valores que constituem a base de todos os clculos
so eles prprios subjetivos.
Avaliando ativos
Determinar o valor monetrio de um ativo uma parte importante do
gerenciamento de riscos de segurana. Com freqncia, os gerente s de
negcios levam em conta o valor de um ativo para ajud-los a
determinar quanto dinheiro e tempo devem gastar para proteg-lo.
Diversas organizaes mantm uma lista de valores de ativos como
parte de seus planos de continuidade dos negcios. Observe o modo
como os nmeros calculados so, na verdade, estimativas subjetivas:
no h ferramentas nem mtodos objetivos para determinar o valor de
um ativo. Para atribuir um valor a um ativo, calcule estes trs valores
principais:

O valor geral do ativo para a organizao. Calcule ou estime o
valor do ativo em termos financeiros diretos. Leve em conta um
exemplo simplificado do impacto de um perodo temporrio de
inatividade de um site de comrcio eletrnico que, em geral,
funcione 24 horas por dia, sete dias por semana, e gere uma receita
mdia de US$ 2.000 por hora em pedidos de clientes. possvel
afirmar que o valor anual do site em termos de receita de vendas
US$ 17.520.000.

O impacto financeiro imediato da perda do ativo. Se
simplificarmos o exemplo deliberadamente e presumirmos que o site
gere uma taxa constante por hora, e esse mesmo site fique
indisponvel durante seis horas, a exposio calculada ser de
0,000685 por ano. Se multiplicarmos essa porcentagem de
exposio pelo valor anual do ativo, possvel prever que as perdas
diretamente relacionadas neste caso seriam de US$ 12.000. Na
realidade, na maioria dos sites de comrcio eletrnico, a gerao de
receita amplamente varivel, dependendo da hora do dia, dia da
semana, estao do ano, campanhas de marketing e outros fatores.
Alm disso, alguns clientes podem encontrar um site alternativo que
prefiram ao site original, portanto o site pode perder clientes
permanentemente. O clculo da perda de receita se mostrar
extremamente complexo se voc desejar faz-lo com preciso e
levar em conta todos os tipos de perda possveis.

O impacto indireto nos negcios causado pela perda do ativo.
Neste exemplo, a empresa estima que gastaria US$ 10.000 em
publicidade para contrabalanar a publicidade negativa de tal
incidente. Alm disso, a empresa estima tambm a perda de 0,01
de 1 por cento das vendas anuais, ou US$ 17.520. Ao combinar as
despesas extras de publicidade e a perda anual da receita de
vendas, possvel prever um total de US$ 27.520 em perdas
indiretas.
Determinando a EPU
Expectativa de perda nica (EPU) a quantidade total de receita
perdida em uma nica ocorrncia do risco. A EPU um valor atribudo
a um nico evento que representa o possvel valor de perda da
empresa caso uma ameaa especfica explore uma vulnerabilidade. (A
EPU semelhante ao impacto de uma anlise de riscos qualitativa).
Determine a EPU multiplicando o valor do ativo pelo fator de
exposio. O fator de exposio representa a porcentagem de perda
que uma ameaa concretizada pode ter em um determinado ativo. Se
uma Web farm tiver um valor patrimonial igual a US$ 150.000, e um
incndio resultar em danos estimados em 25% do valor, a EPU ser de
US$ 37.500. Este exemplo , contudo, uma simplificao; possvel
que existam outras despesas relacionadas.
Determinando a TOA
A taxa de ocorrncia anual (TOA) o nmero de vezes que voc
espera que o risco ocorra durante o ano. O clculo dessa estimativa
extremamente difcil; h poucos dados estatsticos disponveis. Os
dados coletados at o momento so, aparentemente, informaes
privadas mantidas por poucas empresas de seguro imobilirio. Para
estimar a TOA, baseie-se em sua experincia e consulte especialistas
em gerenciamento de riscos de segurana, assim como consultores de
segurana e de negcios. A TOA similar probabilidade de uma
anlise de risco qualitativa, e varia de 0 por cento (nunca) a 100 por
cento (sempre).
Determinando a EPA
A expectativa de perda anual (EPA) a quantidade total de dinheiro
que a organizao perder em um ano se nada for feito para atenuar o
risco. Calcule esse valor multiplicando a EPU pela TOA. A EPA
semelhante classificao relativa de uma anlise de riscos
qualitativa.
Por exemplo, se um incndio na Web farm dessa mesma empresa
resultar em danos de US$ 37.500, e a probabilidade, ou TOA, da
ocorrncia de um incndio for 0,1 (indicando uma vez a cada dez
anos), o valor da EPA ser de US$ 3.750 (US$ 37.500 x 0,1 = US$
3.750).
A EPA fornece um valor com o qual a organizao pode trabalhar para
orar o custo do estabelecimento de controles ou salvaguardas para
impedir esse tipo de dano neste caso, US$ 3.750 ou menos por ano
e fornecer um nvel adequado de proteo. importante quantificar
a possibilidade real de um risco e quantos danos, em termos
monetrios, a ameaa poder causar para saber quanto pode ser gasto
para proteger contra as possveis conseqncias da ameaa.
Determinando o custo dos controles
A determinao do custo dos controles requer a estimativa precisa dos
custos associados aquisio, teste, implementao, operao e
manuteno de cada controle. Tais custos incluem a compra ou o
desenvolvimento da soluo de controle; a implementao e
configurao da soluo de controle; a manuteno dessa soluo; a
comunicao aos usurios de novas diretivas ou procedimentos
relacionados aos novos controles; o treinamento de usurios e equipe
de TI quanto ao uso e suporte do controle; a monitorao do controle;
e as medidas adotadas para lidar com a inconvenincia e a perda de
produtividade causadas pelo controle. Por exemplo, a fim de reduzir o
risco de incndio, essa organizao fictcia pode considerar a
implementao de um sistema automtico de combate a incndios. Ela
precisaria contratar um especialista para projetar e instalar o sistema
e, em seguida, deveria monitorar esse sistema de modo contnuo.
Alm disso, seria necessrio verificar o sistema periodicamente e,
ocasionalmente, recarreg-lo com as substncias qumicas que utilize.
Retorno do investimento em segurana
Estime o custo dos controles usando a seguinte equao:
EPA antes do controle) (EPA aps o controle) (custo anual do
controle) = Retorno do investimento em segurana
Por exemplo, a EPA associada ao risco de um agressor tirar do ar um
servidor da Web de US$ 12.000. Aps a salvaguarda sugerida ter
sido implementada, a EPA avaliada em US$ 3.000. O custo anual de
manuteno e operao da salvaguarda de US$ 650; portanto, o
retorno do investimento em segurana de US$ 8.350 por ano,
conforme expresso pela seguinte equao: US$ 12.000 - US$ 3.000 -
US$ 650 = US$ 8.350.
Resultados da anlise de risco quantitativa
As informaes da anlise de risco quantitativa fornecem objetivos e
resultados claramente definidos. Os itens a seguir definem o que
geralmente obtido dos resultados das etapas anteriores:

Valores monetrios atribudos aos ativos

Uma lista abrangente de ameaas significativas

A probabilidade de ocorrncia de cada ameaa

A possvel perda para a empresa com base em cada ameaa ao
longo de doze meses

Salvaguardas, controles e aes recomendados
Voc pde perceber de que modo esses clculos so baseados em
estimativas subjetivas. Os principais valores que servem de base para
os resultados no resultam de equaes objetivas ou conjuntos de
dados estatsticos bem definidos, e sim de opinies dos responsveis
pela avaliao. O valor do ativo, a EPU, a TOA e o custo dos controles
so valores inseridos pelos prprios participantes (geralmente aps
muita discusso e concesso).
Avaliao de risco qualitativa
A diferena entre a avaliao de risco qualitativa e a avaliao de risco
quantitativa que, na avaliao qualitativa, voc no tenta atribuir
valores financeiros fixos aos ativos, s perdas esperadas e ao custo de
controles. Em vez disso, voc tenta calcular valores relativos. A anlise
de risco geralmente conduzida utilizando uma combinao de
questionrios e workshops colaborativos envolvendo pessoas de
diversos grupos na organizao, como especialistas em segurana da
informao, equipes e gerentes de tecnologia da informao,
proprietrios e usurios de ativos de negcios e gerentes seniores. Se
utilizados, os questionrios devem ser distribudos alguns dias ou
semanas antes do primeiro workshop. Os questionrios so projetados
para descobrir que ativos e controles j esto implementados, e a
informao coletada poder ser til durante o workshop subseqente.
Nos workshops, os participantes identificam os ativos e estimam seus
valores relativos. Em seguida, tentam reconhecer as ameaas
enfrentadas por cada ativo, e tentam imaginar quais tipos de
vulnerabilidades poderiam ser explorados por tais ameaas no futuro.
Em geral, os especialistas em segurana da informao e os
administradores de sistema sugerem controles para atenuar os riscos a
serem considerados pelo grupo, bem como o custo de cada controle.
Por fim, os resultados so apresentados gerncia para serem levados
em conta durante a anlise de custo/benefcio.
Como voc pode perceber, os processos bsicos da avaliao
qualitativa semelhante aos empregados na abordagem quantitativa.
A diferena entre os dois est nos detalhes. As comparaes entre o
valor de um ativo e outro so relativas, e os participantes no dedicam
muito tempo tentando calcular valores financeiros precisos para
avaliao do ativo. O mesmo se aplica ao clculo do possvel impacto
de um risco sendo constatado e ao custo de implementao de
controles.
Os benefcios de uma abordagem qualitativa residem no fato de que
ela no depende do clculo de nmeros precisos quanto ao valor do
ativo, custo do controle e assim por diante, e o processo envolvido
exige menos dos funcionrios. Os projetos de gerenciamento de risco
qualitativo podem comear a mostrar resultados significativos em
poucas semanas, enquanto que as organizaes que escolhem uma
abordagem quantitativa esperam meses, at mesmo anos, para
usufruir dos benefcios de seu esforo. A desvantagem da abordagem
qualitativa que os nmeros resultantes so vagos; alguns dos
responsveis pela tomada de decises de negcios, especialmente
aqueles envolvidos em finanas ou contabilidade, podem no confiar
nos valores relativos determinados durante um projeto de avaliao de
risco qualitativa.
Comparando as duas abordagens
Ambas as abordagem qualitativa e quantitativa ao gerenciamento de
riscos de segurana mostram vantagens e desvantagens.
Determinadas situaes podem exigir que as organizaes adotem a
abordagem quantitativa. Por outro lado, organizaes de pequeno
porte podem concluir que a abordagem qualitativa mais adequada
sua situao. A tabela a seguir resume os benefcios e as desvantagens
de cada abordagem:
Tabela 2.1: Benefcios e desvantagens de cada abordagem de
Quantitativa Qualitativa
Benefcios Os riscos so
priorizados de
acordo com o
impacto financeiro;
os ativos so
priorizados de
acordo com valores
financeiros.
Os resultados
facilitam o
gerenciamento de
riscos graas ao
retorno do
investimento em
segurana.
Os resultados
podem ser
expressos usando
uma terminologia de
gerenciamento (por
exemplo, valores
monetrios e
probabilidade
expressos como
uma porcentagem
especfica).
A preciso tende a
aumentar com o
passar do tempo
medida que a
organizao coleta
registros histricos
dos dados e ganha
experincia.
Permite a visibilidade e a
compreenso da
classificao de riscos.
Maior facilidade de chegar
a um consenso.
No necessrio
quantificar a freqncia da
ameaa.
No necessrio
determinar os valores
financeiros dos ativos.
Maior facilidade de
envolver pesso as que no
sejam especialistas em
segurana ou computadores.
Desvantagens Os valores do
impacto atribudo ao
risco so baseados
na opinio subjetiva
dos participantes.
Riscos graves podem no
ser diferenciados o
suficiente.
Dificuldade de justificar o
investimento na
O processo para
atingir resultados
confiveis e um
consenso
demorado.
Os clculos podem
ser complexos e
demorados.
Os resultados so
apresentados em
termos monetrios
e podem ser difceis
de serem
interpretados por
pessoas sem
conhecimento
tcnico.
O processo exige
experincia e
conhecimento,
portanto pode ser
difcil explic-lo aos
participantes.
implementao de controles,
pois no h valores bsicos
para realizar a anlise de
custo/benefcio.
Os resultados dependem
da qualidade da Equipe de
formada.
No passado, a abordagem quantitativa parecia dominar o
gerenciamento de riscos de segurana; contudo, isso est mudando,
uma vez que um nmero crescente de profissionais tem admitido que
utilizar somente processos de gerenciamento de riscos quantitativo
geralmente resulta em projetos difceis e demorados com poucos
benefcios tangveis. Como voc ver nos captulos seguintes, o
processo de gerenciamento de riscos de segurana da Microsoft
combina o melhor de ambas as abordagens em um mtodo hbrido
exclusivo.
Incio da pgina
O processo de gerenciamento de riscos de
segurana da Microsoft
um mtodo hbrido que combina os melhores elementos das duas
abordagens tradicionais. Como voc ver nos captulos seguintes, este
guia apresenta uma abordagem exclusiva ao gerenciamento de riscos
de segurana que significativamente mais rpida do que o mtodo
quantitativo tradicional. Alm disso, esse mtodo proporciona
resultados mais detalhados e fceis de serem apresentados aos
executivos da empresa do que o mtodo qualitativo. Ao combinar a
simplicidade e a elegncia da abordagem qualitativa com um pouco do
rigor da abordagem quantitativa, este guia oferece um processo
exclusivo de gerenciamento de riscos de segurana que eficaz e
prtico. O objetivo do processo que os interessados sejam capazes
de compreender todas as etapas da avaliao. Essa abordagem, muito
mais simples do que o gerenciamento de riscos quantitativo
tradicional, reduz a resistncia aos resultados das fases de anlise de
riscos e de suporte a decises, permitindo chegar mais rapidamente a
um consenso capaz de ser mantido durante o processo.
dividido em quatro fases. A primeira fase, Avaliando os riscos, combina
aspectos dos mtodos de avaliao de risco quantitativa e qualitativa.
Uma abordagem quali tativa usada para filtrar rapidamente a lista
completa de riscos de segurana. Os riscos mais graves so
identificados durante essa filtragem e, em seguida, so examinados
em detalhes usando uma abordagem quantitativa. O resultado uma
lista relativamente curta contendo os riscos mais importantes que
foram examinados em detalhes.
Essa lista curta usada durante a fase seguinte, Oferecendo suporte a
decises, em que possveis solues de controle so propostas e
examinadas, e as melhores delas so apresentadas ao Comit de
orientao de segurana da organizao como recomendaes para a
atenuao dos principais riscos. Durante a terceira fase,
Implementando controles, os Proprietrios da atenuao implantam as
solues de controle escolhidas. A quarta fase, Analisando a eficiccia
do programa, serve para verificar se os controles oferecem de fato o
grau de proteo esperado e para monitorar as alteraes no
ambiente, como a instalao de novos aplicativos de negcios ou
ferramentas de ataque que possam alterar o perfil de risco da
organizao.
Como o processo de gerenciamento de riscos de segurana da
Microsoft um processo contnuo, o ciclo reiniciado com cada nova
avaliao de risco. A freqncia com que o ciclo reiniciado varia de
acordo com a organizao: diversas empresas acreditam que uma
recorrncia anual suficiente, desde que a organizao esteja
monitorando de forma proativa as novas vulnerabilidades, ameaas e
ativos.

Figura 2.2 Fases do processo de gerenciamento de riscos de
A Figura 2.2 acima ilustra as quatro fases do processo de
gerenciamento de riscos de segurana da Microsoft. O captulo
seguinte, Captulo 3, "Viso geral do gerenciamento de riscos de
segurana", apresenta uma descrio mais completa desse processo. O
captulo subseqente a ele explica em detalhes as etapas e tarefas
associadas a cada uma das quatro fases.

Incio da pgina
3 de 12
Este captulo o primeiro neste guia a fornecer um resumo completo do processo de gerenciamento de
riscos de segurana da Microsoft. Aps essa viso geral, o captulo abordar diversos tpicos que podem
ajudar os leitores na implementao do processo. Esses tpicos auxiliam na descrio dos fundamentos
de um programa de gerenciamento de riscos de segurana bem-sucedido. Eles incluem:

Distino entre o gerenciamento de riscos e a avaliao de riscos.

Comunicao eficiente de informaes sobre o risco.

Avaliao da maturidade das prticas atuais do gerenciamento de riscos.

Definio de funes e responsabilidades.
importante notar que o gerenciamento de riscos apenas uma parte de um programa de governana
maior projetado para que os lderes corporativos monitorem os negcios e tomem decises informadas.
Embora programas de governana variem imensamente, todos eles exigem um componente estruturado
de gerenciamento de riscos de segurana a fim de priorizar e atenuar os riscos de segurana. Os
conceitos do processo de gerenciamento de riscos de segurana da Microsoft podem ser aplicados a
qualquer programa de governana para ajudar a definir e gerenciar os riscos e reduzi-los a um nvel
aceitvel.
Nesta pgina
As quatro fases do processo de gerenciamento de riscos de segurana da Microsoft
Resumo
As quatro fases do processo de gerenciamento de riscos de
O Captulo 2, "Anlise das prticas de gerenciamento de riscos de segurana" apresentou o processo de
gerenciamento de riscos de segurana da Microsoft e definiu o gerenciamento de riscos como um
processo contnuo com quatro fases principais:
1. Avaliando os riscos Identificao e priorizao de riscos aos negcios.
2. Oferecendo suporte as decises Identificao e avaliao das solues de controle de
acordo com um processo definido de anlise de custo/benefcio.
3. Implementando controle s Implementao e operao de solues de controle para reduzir
os riscos aos negcios.
4. Analisando a eficcia do programa Anlise do processo de gerenciamento de riscos quanto
sua eficcia, e verificao dos controles quanto ao grau de proteo esperado.
Esse ciclo de gerenciamento de riscos de quatro fases resume o processo de gerenciamento de riscos de
segurana da Microsoft e usado tambm para organizar a apresentao do contedo deste guia.
Contudo, antes de definir prticas especficas do processo de gerenciamento de riscos de segurana da
Microsoft, importante compreender melhor o prprio processo de gerenciamento de riscos e seus
componentes. Cada fase do ciclo contm diversas etapas detalhadas. A lista a seguir resume cada etapa
para ajud-lo a entender a importncia de cada uma delas no guia como um todo:

Fase de avaliao de riscos

Neste artigo
Viso geral
Riscos de Segurana
segurana
Captulo 4: A
riscos
suporte s decises
Captulo 6: Im
eficcia do programa
riscos ad hoc
Apndice C: Ameaas
comuns
Apndice D:
Vulnerabilidades
Agradecimentos

Planejar a coleta de dados Discuta os fundamentos do sucesso e a orientao da preparao.

Coletar dados sobre riscos Estruture o processo de coleta e anlise de dados.

Priorizar os riscos Estruture as etapas necessrias para qualificar e quantificar os riscos.

Fase de suporte s decises

Definir os requisitos funcionais Defina os requisitos funcionais para atenuar os riscos.

Selecionar solues de controle possveis Estruture a abordagem para identificar as solues
de atenuao.

Rever a soluo Avalie os controles propostos em relao aos requisitos.

Estimar a reduo de riscos Tente compreender a reduo na exposio ou probabilidade de
riscos.

Estimar o custo da soluo Avalie os custos diretos e indiretos associados s solues de
atenuao.

Selecionar a estratgia de atenuao Faa a anlise de custo/benefcio para identificar a
soluo de atenuao mais econmica.

Fase de implementao de controles

Buscar uma abordagem holstica Incorpore pessoas, processos e tecnologia na soluo de
atenuao.

Organizar por defesa em profundidade Organize solues de atenuao para a empresa toda.

Fase de anlise da eficcia do programa

Desenvolver o carto de pontuao de riscos Entenda a postura e o progresso do

Analisar a eficcia do programa Avalie o programa de gerenciamento de riscos para determinar
oportunidades de melhoria.

A figura seguinte ilustra cada fase e suas etapas associadas.

Figura 3.1O processo de gerenciamento de riscos de segurana da Microsoft
Ver imagem em tamanho normal
Os captulos seguintes neste guia descrevem, em seqncia, cada fase do processo de gerenciamento
de riscos de segurana da Microsoft. Contudo, h diversos aspectos preliminares a serem levados em
conta antes de executar o processo.
Nvel de esforo
Se o gerenciamento de riscos for um conceito relativamente novo em sua organizao, poder ser til
determinar que etapas do processo de gerenciamento de riscos de segurana da Microsoft exigiro um
esforo maior da Equipe de gerenciamento de riscos de segurana. A figura a seguir mostra graus
relativos de esforo durante o processo, com base nas atividades de gerenciamento de riscos
conduzidas pela equipe de TI da Microsoft. Essa perspectiva pode ser til ao descrever o processo geral
e os requisitos de tempo a organizaes iniciantes no gerenciamento de riscos. Os nveis relativos de
esforo tambm podem servir como um guia para evitar de perder muito tempo em um ponto do
processo geral. A fim de resumir o nvel de esforo durante o processo, a figura mostra um nvel
moderado de esforo na coleta de dados e um nvel reduzido de esforo para realizar a anlise
resumida, seguido de nveis mais altos de esforo para criar listas detalhadas de riscos e realizar o
processo de suporte a decises. Para obter uma viso adicional das tarefas e esforos a elas associado,
consulte o exemplo de agendamento de projeto na pasta Ferramentas: FerramentaGGRS4-Exemplo de
Agendamento de Projeto.xls. Os captulos remanescentes deste guia descrevem em detalhes as etapas
mostradas abaixo.

Figura 3.2 Nvel de esforo relativo no processo de gerenciamento de riscos de segurana da
Microsoft
Estabelecendo os fundamentos do processo de gerenciamento de
riscos de segurana da Microsoft
Antes de iniciar um esforo de gerenciamento de riscos de segurana, importante ter um
conhecimento slido dos componentes e tarefas fundamentais do processo de gerenciamento de riscos
de segurana da Microsoft, que incluem:

A distino entre o gerenciamento de riscos e a avaliao de riscos.

A comunicao eficiente de informaes sobre o risco.

A determinao da maturidade do gerenciamento de riscos em sua organizao.

A definio de funes e responsabilidades no processo.
Gerenciamento de riscos versus avaliao de riscos
Conforme discutido no Captulo 2, os termos gerenciamento de riscos e avaliao de riscos no so
sinnimos. O processo de gerenciamento de riscos de segurana da Microsoft define o gerenciamento de
riscos como o esforo geral que visa gerenciar os riscos para reduzi-los a um nvel aceitvel pela
empresa. A avaliao de riscos definida como o processo de identificao e priorizao de riscos aos
negcios. Conforme ilustrado no diagrama anterior, o gerenciamento de riscos divide-se em quatro
fases principais: Avaliando os riscos, Oferecendo suporte s decises, Implementando controles e
Analisando a eficcia do programa. No contexto do processo de gerenciamento de riscos de segurana
da Microsoft, a avaliao de riscos est associada somente fase Avaliando os riscos do ciclo geral de
gerenciamento.
Outra distino entre o gerenciamento de riscos e a avaliao de riscos a freqncia com que cada
processo iniciado. O gerenciamento de riscos definido como um ciclo contnuo, porm geralmente
reiniciado em intervalos regulares, a fim de atualizar os dados em cada etapa do processo de
gerenciamento. O processo de gerenciamento de riscos geralmente sincronizado com o ciclo de
contabilidade fiscal da organizao, a fim de alinhar as solicitaes de fundos para adquirir controles aos
processos de negcios normais. Em geral, um intervalo anual adotado no processo de gerenciamento
de riscos para alinhar novas solues de controle ao ciclo do oramento anual.
Embora a avaliao de riscos seja uma etapa essencial do processo de gerenciamento de riscos, o Grupo
de segurana de informaes pode conduzir diversas avaliaes de riscos, independentemente da fase
do gerenciamento de riscos atual ou do ciclo do oramento. O Grupo de segurana de informaes pode
efetuar uma avaliao sempre que uma possvel alterao relacionada segurana ocorra na empresa,
como a introduo de novas prticas de negcios, a descoberta de vulnerabilidades ou alteraes
infra-estrutura. Essas avaliaes de riscos freqentes so geralmente chamadas de avaliaes de risco
ad hoc, ou avaliaes de risco de escopo limitado, e devem ser vistas como etapas complementares ao
processo de gerenciamento de riscos formal. Em geral, as avaliaes ad hoc levam em conta uma nica
rea de risco aos negcios, e no exigem a mesma quantidade de recursos usada pelo processo
completo de gerenciamento de riscos. O Apndice A, "Avaliaes ad hoc", descreve e proporciona um
modelo de exemplo de uma avaliao ad hoc.
Tabela 3.1: Gerenciamento de riscos versus avaliao de riscos
Gerenciamento de riscos Avaliao de riscos
Objetivo Gerenciar os riscos aos negcios
para reduzi-los a um nvel
aceitvel
Identificar e priorizar os riscos
Ciclo Todas as quatro fases do
programa
Fase nica do programa de
Agendamento Contnuo Conforme necessrio
Sincronizao Sincronizado com os ciclos do
oramento
N/D
Comunicando as informaes sobre os riscos
Com freqncia, as diversas pessoas envolvidas com o processo de gerenciamento de riscos definem o
termo risco de maneiras diferentes. A fim de assegurar a consistncia em todas as etapas do ciclo de
gerenciamento de riscos, o processo de gerenciamento de riscos de segurana da Microsoft requer que
todos nele envolvidos compreendam e concordem sobre uma nica definio do termo risco. Conforme
definido no Captulo 1, "Introduo ao Guia de Gerenciamento de Riscos de Segurana", risco a
probabilidade de ocorrncia de um evento que afete os negcios. Essa definio requer a incluso de
uma declarao de impacto e a previso de quando ele pode ocorrer ou, em outras palavras, a
probabilidade do impacto. Quando ambos os elementos do risco (probabilidade e impacto) tiverem sido
includos em uma declarao de risco, o processo chamar isso de declarao de risco bem estruturada.
Use o termo para ajudar a assegurar uma compreenso consistente da natureza dupla do risco. O
diagrama a seguir demonstra o nvel mais bsico do risco.

Figura 3.3 Declarao de risco bem estruturada
importante que todos os participantes do processo de gerenciamento de riscos compreendam a
complexidade de cada elemento da def inio de risco. A empresa depender de uma compreenso
profunda do risco a fim de poder tomar medidas especficas ao gerenci-lo. Por exemplo, a definio do
impacto nos negcios requer informaes sobre que ativos seriam afetados, que tipos de danos
ocorreriam e qual seria a extenso dos danos ao ativo. Em seguida, para determinar a probabilidade de
ocorrncia de um impacto, seria necessrio compreender de que modo o impacto ocorreria e com que
eficincia o ambiente de controle atual poderia reduzir a probabilidade do risco.
Usando os termos definidos no Captulo 1, "Introduo ao Guia de Gerenciamento de Riscos de
Segurana", a declarao de risco a seguir oferece uma orientao ao demonstrar tanto o impacto como
a probabilidade do impacto:
Risco a probabilidade de uma vulnerabilidade ser explorada no ambiente atual, resultando em um
determinado grau de perda de confidencialidade, integridade ou disponibilidade de um ativo.
O processo de gerenciamento de riscos de segurana da Microsoft fornece as ferramentas necessrias
para comunicar e analisar de modo consistente a probabilidade e o grau de perda associados a cada
risco. Os captulos neste guia orientam sobre cada etapa do processo a fim de estabelecer os
componentes da declarao de risco bem estruturada e priorizar os riscos que podem afetar os
negcios. O diagrama a seguir foi criado a partir da declarao de risco bsica abordada anteriormente
com o objetivo de mostrar o relacionamento entre cada elemento do risco.

Figura 3.4 Componentes da declarao de risco bem estruturada
Para auxiliar na comunicao da extenso do impacto e a sua probabilidade atravs da declarao de
risco, o processo de gerenciamento de riscos de segurana da Microsoft comea por priorizar os riscos
usando termos relativos, como alto, moderado e baixo. Embora essa terminologia bsica simplifique a
seleo de nveis de risco, ela no fornece detalhes suficientes ao conduzir uma anlise de
custo/benefcio voltada seleo da opo de atenuao mais econmica. Para sanar esse problema da
abordagem qualitativa bsica, o processo fornece ferramentas para gerar uma comparao detalhada
dos riscos. O processo incorpora tambm atributos quantitativos para auxiliar ainda mais na anlise de
custo/benefcio da seleo de controles.
Um problema comum dos mtodos de gerenciamento de riscos que, em geral, eles deixam de fora as
definies de alto, moderado e baixo associadas aos riscos aos negcios. Diversos riscos sero
identificados em seu programa de gerenciamento de riscos de segurana. Embora o processo de
gerenciamento de riscos de segurana da Microsoft fornea orientaes sobre como utilizar
consistentemente as estimativas de risco qualitativas e quantitativas, a Equipe de gerenciamento de
riscos de segurana responsvel por determinar em termos especficos aos negcios o significado de
cada valor. Por exemplo, uma vulnerabilidade capaz de ocorrer no perodo de um ano, resultando na
perda de integridade da propriedade intelectual mais importante da sua organizao, pode ser
classificada como um alto risco aos seus negcios. A Equipe de gerenciamento de riscos de segurana
deve atribuir definies a cada elemento da declarao de risco bem estruturada. O prximo captulo ir
orient-lo sobre a definio de nveis de risco. Ele poder ser til ao definir os nveis de risco especficos
sua empresa. O processo facilita a realizao dessa etapa e pode ajud-lo a alcanar consistncia e a
obter melhor visibilidade durante o processo.
Determinando a maturidade do gerenciamento de riscos em sua
organizao
Antes que a organizao tente implementar o processo de gerenciamento de riscos de segurana da
Microsoft, importante que ela examine seu nvel de maturidade em relao ao gerenciamento de riscos
de segurana. Uma organizao sem diretivas nem processos formais relacionados ao gerenciamento de
riscos de segurana encontrar diversas dificuldades ao tentar implementar de uma s vez todos os
aspectos do processo. Mesmo as organizaes com algumas diretivas e diretrizes formais j adotadas
pela maioria dos funcionrios podem julgar esse processo desafiador. Por essa razo, importante fazer
uma estimativa do nvel de maturidade de sua organizao. Se concluir que a sua organizao
relativamente imatura, convm introduzir o processo em etapas incrementais durante vrios meses,
implementando um programa piloto em uma nica unidade de negcios at que o ciclo tenha sido
realizado diversas vezes. Aps demonstrar a eficcia do processo de gerenciamento de riscos de
segurana da Microsoft atravs do programa piloto, a Equipe de gerenciamento de riscos de segurana
poderia implement-lo lentamente em outras unidades de negcios at que a organizao inteira
passasse a utiliz-lo.
Como determinar o nvel de maturidade de uma organizao? O ITGI (IT Governance Institute) inclui
um Modelo de maturidade de governana de TI como parte do CobiT (Control Objectives for Information
and Related Technology). recomendvel que voc adquira e analise o CobiT para obter um mtodo
detalhado de determinao do nvel de maturidade da sua organizao. O processo de gerenciamento
de riscos de segurana da Microsoft resume os elementos usados no CobiT e apresenta uma abordagem
simplificada com base em modelos desenvolvidos pelos Servios da Microsoft. As definies de nvel de
maturidade aqui apresentadas so baseadas no ISO 17799, conhecido como Information technology
Code of practice for information security management.
Voc pode estimar o nvel de maturidade da sua organizao comparando-o s definies descritas na
tabela a seguir.
Tabela 3.2: Nveis de maturidade do gerenciamento de riscos
Nvel Estado Definio
0 No existente Diretivas (ou processos) no foram documentadas e, at este momento, a
organizao no tinha conscincia do risco aos negcios associado a esse
gerenciamento de riscos. Sendo assim, essa questo ainda no foi abordada
na organizao.
1 Ad hoc aparente que alguns membros da organizao j esto convencidos do
valor do gerenciamento de riscos. Contudo, os esforos de gerenciamento de
riscos tm sido realizados de maneira inconsistente. No h processos nem
diretivas documentados, e o processo no pode ser completamente
reproduzido. Em geral, os projetos de gerenciamento de riscos parecem
caticos e isolados, e os resultados no so medidos nem analisados.
2 Reproduzvel A organizao inteira tm conscincia do gerenciamento de riscos. O
processo de gerenciamento de riscos reproduzvel, porm imaturo. O
processo no est totalmente documentado; contudo, atividades
relacionadas ocorrem regularmente, e a organizao tem trabalhado para
estabelecer um processo de gerenciamento de riscos abrangente que conte
com o apoio da gerncia snior. No h treinamento nem comunicao
formal sobre o gerenciamento de riscos; a responsabilidade da
implementao recai sobre funcionrios individuais.
3 Processo
definido
A organizao tomou uma deciso formal de adotar inteiramente o
gerenciamento de riscos a fim de direcionar o seu programa de segurana de
informaes. Um processo bsico foi desenvolvido, com metas claramente
definidas e processos documentados a fim de alcanar e medir o seu xito.
Alm disso, um treinamento geral em gerenciamento de riscos est
disponvel aos funcionrios. Por fim, a organizao est implementando de
forma proativa seus processos de gerenciamento de riscos documentados.
4 Gerenciado H uma compreenso profunda do gerenciamento de riscos em todos os
nveis da organizao. Procedimentos de gerenciamento de riscos foram
implementados, o processo est bem definido, a conscientizao geral, um
treinamento rigoroso est disponvel e alguns mtodos iniciais de avaliao
so usados para determinar a eficcia. Recursos suficientes foram
designados ao programa de gerenciamento de riscos, diversas partes da
organizao esto usufruindo dos benefcios do programa e a Equipe de
gerenciamento de riscos de segurana capaz de melhorar continuamente
os processos e as ferramentas. Ferramentas tecnolgicas esto sendo
usadas para auxiliar no gerenciamento de riscos, porm vrios, se no
todos, os procedimentos de avaliao de riscos, identificao de controles e
anlise de custo/benefcio so manuais.
5 Otimizado A organizao dedicou recursos significativos ao gerenciamento de riscos de
segurana, e os funcionrios se esforam para prever possveis problemas
futuros e suas solues. O processo de gerenciamento de riscos bem
compreendido e amplamente automatizado atravs do uso de ferramentas
(desenvolvidas na organizao ou adquiridas de fornecedores de software
independente s). A principal causa de todos os problemas de segurana foi
identificada e medidas adequadas foram tomadas para reduzir o risco de
recorrncia. O treinamento para todos os nveis de conhecimento est
disponvel aos funcionrios.
Auto-avaliando o nvel de maturidade do gerenciamento de riscos da
organizao
A lista de questes a seguir oferece um mtodo mais rigoroso de avaliar o nvel de maturidade de sua
organizao. Essas questes permitem respostas subjetivas, porm ao respond-las da maneira mais
honesta possvel, voc dever ser capaz de determinar o grau de preparao de sua organizao para a
implementao do processo de gerenciamento de riscos de segurana da Microsoft. Atribua pontos sua
organizao usando uma escala de 0 a 5 e se guiando pelas definies de nvel de maturidade descritas
anteriormente.
1. As diretivas e procedimentos de segurana de informaes so claros, concisos, bem
documentados e completos.
2. Todos os funcionrios em cargos com responsabilidades que envolvam a segurana de
informaes compreendem inteiramente suas funes e responsabilidades.
3. As diretivas e procedimentos de segurana relacionados ao acesso de terceiros aos dados de
negcios esto bem documentados. Por exemplo, fornecedores remotos que realizam o
desenvolvimento de aplicativos para uma ferramenta comercial interna tm acesso suficiente
aos recursos da rede para colaborar efetivamente e conduzir o seu trabalho, porm contam com
o mnimo de acesso necessrio.
4. H um inventrio minucioso e atualizado dos ativos de informtica (TI), como hardware,
software e repositrios de dados.
5. Controles apropriados foram implementados para proteger os dados de negcios contra o
acesso no autorizado externo ou interno.
6. Foram criados programas eficazes de conscientizao do usurio, como treinamentos e boletins
informativos sobre diretivas e prticas de segurana.
7. O acesso fsico rede de computadores e outros ativos de informtica restrito atravs do uso
de controles eficazes.
8. Novos sistemas de computador so configurados de acordo com padres de segurana
corporativa, de forma consistente e usando ferramentas automticas, como a criao de
imagem de disco ou scripts de implementao.
9. H um sistema eficaz de gerenciamento de patches capaz de distribuir automaticamente as
atualizaes de software da maioria dos fornecedores a quase todos os computadores na
organizao.
10. Uma equipe de resposta a incidentes foi criada e j desenvolveu e documentou processos
eficazes para lidar e registrar incidentes de segurana. Todos os incidentes so investigados at
que a sua principal causa seja identificada e todos os problemas sejam resolvidos.
11. A organizao apresenta um programa antivrus avanado que inclui diversas camadas de
defesa, treinamento de conscientizao do usurio e processos eficientes de resposta a uma
epidemia de vrus.
12. Os processos de configurao do usurio so bem documentados e ao menos parcialmente
automatizados, de modo que novos funcionrios, fornecedores e parceiros possam receber o
nvel apropriado de acesso aos sistemas de informao da organizao de forma conveniente.
Esses processos devem ser capazes tambm de desabilitar e excluir contas de usurios assim
que elas no forem mais necessrias.
13. O acesso ao computador e rede controlado atravs da autenticao e autorizao de
usurio, das listas de controle de acesso restrito aos dados e do monitoramento proativo quanto
a violaes de diretivas.
14. Os desenvolvedores de aplicativos so treinados e tm conscincia dos padres de segurana
voltados criao de software e aos testes de qualidade do cdigo.
15. Programas de continuidade dos negcios e a prpria continuidade dos negcios esto
claramente definidos e bem documentados, sendo periodicamente testados atravs de
simulaes e treinamento.
16. Os programas j esto em uso e se mostram eficazes ao assegurar que todos os funcionrios
realizem seu trabalho em conformidade com as regulamentaes legais.
17. Revises e auditorias so conduzidas por terceiros regularmente para verificar a conformidade
com as prticas padro de segurana de ativos de negcios.
Calcule a pontuao da sua organizao somando os pontos de todos os itens anteriores. Teoricamente,
a pontuao varia de 0 a 85; contudo, poucas organizaes alcanaro esses valores extremos.
Uma pontuao de 51 ou acima sugere que a organizao est bem preparada para a introduo e uso
do processo completo de gerenciamento de riscos de segurana da Microsoft. Uma pontuao de 34 a
50 indica que a organizao j tomou medidas significativas para controlar os riscos de segurana e est
pronta para a introduo gradual do processo. Organizaes nesse nvel devem considerar a
implementao do processo em algumas unidades de negcios durante poucos meses antes de
apresent-lo organizao inteira. Organizaes com pontuao inferior a 34 deveriam iniciar
lentamente a implementao do processo de gerenciamento de riscos de segurana da Microsoft ao criar
uma Equipe de gerenciamento de riscos de segurana e introduzir o processo em uma nica unidade de
negcios durante os primeiros meses. Aps demonstrarem o valor do processo ao utiliz-lo com xito
para reduzir os riscos naquela unidade de negcios, elas deveriam expandi-lo a duas ou trs unidades
de negcios assim que possvel. essencial continuar essa implementao de forma lenta, uma vez que
as mudanas introduzidas pelo processo podem ser dramticas. No convm causar mudanas na
organizao de tal forma que interfiram em sua capacidade de conduzir suas atividades de negcios.
Nesse cenrio, use o bom senso e o seu conhecimento prprio dos sistemas e lembre-se de que cada
sistema que deixar desprotegido representar um risco de segurana potencial. Se concluir que essa
uma necessidade urgente, no leve em conta a sugesto de implementar lentamente e aja rapidamente.
Voc dever determinar cuidadosamente que unidade de negcios utilizar nos programas pilotos. Leve
em conta questes como a importncia da segurana naquela unidade de negcios, definindo a
segurana em termos de disponibilidade, integridade e confidencialidade de informaes e servios.
Alguns exemplos seriam:

O nvel de maturidade do gerenciamento de riscos de segurana daquela unidade de negcios est
acima da mdia dentro da organizao?

O proprietrio da empresa oferecer o seu apoio ao programa?

A unidade comercial apresenta um alto nvel de visibilidade na organizao?

Os benefcios do processo de gerenciamento de riscos de segurana da Microsoft sero comunicados
ao resto da organizao caso esse processo obtenha xito?
Voc dever considerar essas mesmas questes ao selecionar unidades comerciais para a expanso do
programa.
Observao: O NIST (National Institute for Standards and Technology) norte-americano fornece outro
exemplo (em ingls) de uma auto -avaliao de TI que poder ser til ao determinar o nvel de
maturidade da organizao; consulte http://csrc.nist.gov/, publicao especial 800-26.
Definindo funes e responsabilidades
Estabelecer claramente as funes e responsabilidades um fator-chave para o sucesso de qualquer
programa de gerenciamento de riscos devido aos requisitos de interao entre os grupos e de
responsabilidades especficas. A tabela a seguir demonstra as principais funes e responsabilidades
necessrias durante o processo de gerenciamento de riscos de segurana da Microsoft.
Tabela 3.3: Principais funes e responsabilidades no processo de gerenciamento de riscos de
Funo Principal responsabilidade
Patrocinador executivo Patrocina todas as atividades associadas ao gerenciamento de
riscos aos negcios, como por exemplo, o desenvolvimento, a
atribuio de fundos e de autoridade e o suporte Equipe de
gerenciamento de riscos de segurana. Essa funo
geralmente atribuda a um executivo, como o diretor de
segurana ou o diretor de informtica. Ela representa tambm
a autoridade mxima em determinar se um risco aceitvel
aos negcios.
Proprietrio da empresa responsvel pelos ativos tangveis e intangveis da empresa.
Os proprietrios de empresa so responsveis tambm por
priorizar os ativos de negcios e por definir os nveis de
impacto a que esses ativos esto sujeitos. Em geral, eles
devem definir os nveis de risco aceitveis; contudo, o
Patrocinador executivo toma a deciso final, levando em conta
as sugestes do Grupo de segurana de informaes.
Grupo de segurana de informaes o responsvel geral pelo processo de gerenciamento de
riscos, incluindo as fases de avaliao de riscos e da anlise
de eficcia do programa. Alm disso, ele define os requisitos
de segurana funcionais e avalia os controles de TI e a
eficcia geral do programa de gerenciamento de riscos de
segurana.
Grupo de tecnologia da informao Ele inclui a arquitetura, engenharia e operaes de tecnologia
da informao.
Equipe de gerenciamento de riscos
de segurana
responsvel por conduzir todo o programa de
gerenciamento de riscos. Alm disso, responsabiliza-se pelas
fases de avaliao de riscos e de priorizao de riscos aos
negcios. A equipe formada por, no mnimo, um facilitador e
um secretrio.
Facilitador de avaliao de riscos Funo lder na Equipe de gerenciamento de riscos de
segurana, o facilitador conduz as discusses de coleta de
dados. Essa funo pode representar tambm o princi pal lder
do processo de gerenciamento de riscos.
Secretrio de avaliao de riscos Registra em detalhes as informaes sobre riscos durante as
discusses de coleta de dados.
Proprietrios da atenuao responsvel pela implementao e manuteno das solues
de controle para a reduo de riscos a um nvel aceitvel.
Inclui o Grupo de TI e, em alguns casos, os Proprietrios de
empresa.
Comit de orientao de segurana Esse comit inclui a Equipe de gerenciamento de riscos de
segurana, representantes do Grupo de TI e Proprietrios de
empresa especficos. Em geral, ele liderado pelo
Patrocinador executivo. responsvel pela seleo das
estratgias de atenuao e definio do nvel de risco
aceitvel aos negcios.
Interessado Termo geral usado para definir participantes diretos e
indiretos em um determinado processo ou programa;
amplamente usado no processo de gerenciamento de riscos
de segurana da Microsoft. Entre os interessados podem estar
grupos no relacionados tecnologia da informao, como
financeiro, de relaes pblicas ou de recursos humanos.
A Equipe de gerenciamento de riscos de segurana encontrar participantes inexperientes quanto ao
processo de gerenciamento de riscos que talvez no compreendam inteiramente suas funes.
Aproveite a oportunidade para apresentar uma viso geral do processo e seus participantes. O objetivo
atingir um consenso e destacar o fato de que todos os participantes so responsveis pelo
gerenciamento de riscos. O diagrama a seguir mostra resumidamente os principais interessados e o
relacionamento que tm entre si, e pode ser til para apresentar as funes e responsabilidade descritas
anteriormente e oferecer uma viso geral do programa de gerenciamento de riscos.
Em suma, o Patrocinador executivo o principal responsvel pela definio de riscos aceitveis e deve
orientar a Equipe de gerenciamento de riscos de segurana na classificao dos riscos aos negcios. A
Equipe de gerenciamento de riscos de segurana responsvel pela avaliao de riscos e a definio de
requisitos funcionais para atenuar os riscos e reduzi-los a um nvel aceitvel. Em seguida, a Equipe de
gerenciamento de riscos de segurana colabora com os grupos de TI responsveis pela seleo,
implementao e operaes de controles de atenuao. O relacionamento final definido abaixo envolve a
funo de superviso da Equipe de gerenciamento de riscos de segurana da anlise de eficcia do
controle. Geralmente, isso feito atravs de relatrios de auditoria, os quais so encaminhados ao
Patrocinador executivo.

Figura 3.5 Viso geral das funes e responsabilidades no processo de gerenciamento de riscos de
Criando a Equipe de gerenciamento de riscos de segurana
Antes de iniciar o processo de gerenciamento de riscos de segurana, no subestime a necessidade de
definir claramente as funes internas da Equipe de gerenciamento de riscos de segurana. Uma vez
que o escopo do gerenciamento de riscos inclui a empresa inteira, aqueles que no sejam membros do
Grupo de segurana de informaes podem desejar participar da equipe. Se isso ocorrer, defina
claramente as funes de cada membro e as associe com as funes e responsabilidades definidas no
programa de gerenciamento de riscos geral descrito acima. Definir as funes reduz a confuso e facilita
a tomada de decises durante o processo. Todos os membros da equipe devem compreender que o
Grupo de segurana de informaes o principal responsvel pelo processo. essencial definir as
responsabilidades, uma vez que o Grupo de segurana de informaes o nico grupo que participa de
todas as fases do processo, inclusive da comunicao ao Patrocinador executivo.
Funes e responsabilidades da Equipe de gerenciamento de riscos de segurana
Aps criar a Equipe de gerenciamento de riscos de segurana, importante definir funes especficas e
mant-las durante o processo inteiro. As principais funes, Facilitador de avaliao de riscos e
Secretrio da avaliao de riscos, so descritas abaixo.
O Facilitador de avaliao de riscos deve possuir um conhecimento extenso do processo de
gerenciamento de riscos inteiro e uma compreenso total dos negcios, bem como dos riscos de
segurana tcnicos associados s funes comerciais. Ele ou ela deve ser capaz de descobrir os riscos
tcnicos relacionados aos cenrios de negcios ao conduzir as discusses sobre riscos. Por exemplo, o
Facilitador de avaliao de riscos deve compreender as ameaas tcnicas e as vulnerabilidades
associadas aos funcionrios mveis, bem como ter em mente o valor comercial desses mesmos
funcionrios. Para ilustrar isso, digamos que pagamentos de clientes no seriam processados se um
funcionrio mvel no pudesse acessar a rede corporativa. O Facilitador de avaliao de riscos deve
compreender cenrios como esse e ser capaz de identificar os riscos tcnicos e os requisitos de
controles potenciais, como a configurao de dispositivo mvel e a necessidade de autenticao. Se
possvel, selecione um Facilitador de avaliao de riscos que tenha realizado avaliaes de riscos
anteriormente e que compreenda as prioridades gerais dos negcios.
Se no contar com um facilitador de avaliao de riscos experiente, obtenha a assistncia de um
parceiro ou consultor qualificado. Contudo, certifique-se de incluir um membro do Grupo de segurana
de informaes que compreenda os negcios e os interessados envolvidos.
Observao: Terceirizar a funo de facilitador de avaliao de riscos pode parecer uma soluo fcil,
porm significa perder o relacionamento estabelecido com os interessados e o conhecimento de
segurana e dos negcios assim que o consultor partir. No subestime o valor que o processo de
gerenciamento de riscos apresenta aos interessados, bem como ao Grupo de segurana de informaes.
O Secretrio de avaliao de riscos responsvel por anotar e documentar as atividades de
planejamento e coleta de dados. Essa responsabilidade pode parecer uma funo informal demais,
porm, a capacidade de registrar tudo se mostra significativamente vantajosa nas fases de priorizao e
tomada de decises do processo. Um dos principais aspectos do gerenciamento de riscos a
comunicao sobre os riscos de forma que os interessados os compreendam e utilizem essas
informaes em suas atividades. Um secretrio dedicado pode facilitar esse processo ao fornecer a
documentao escrita sempre que ela for necessria.
Incio da pgina
Resumo
Os captulos 1 a 3 fornecem uma viso geral do gerenciamento de riscos e definem os objetivos e a
abordagem para a criao dos fundamentos de uma implementao bem-sucedida do processo de
gerenciamento de riscos de segurana da Microsoft. O captulo subseqente aborda em detalhes a
primeira fase, Avaliando os riscos. Os captulos seguintes descrevem as fases restantes do processo de
gerenciamento de riscos: Oferecendo suporte s decises, Implementando controles e Analisando a
eficcia do programa.

Incio da pgina
4 de 12
Nesta pgina
Viso geral
Planejamento
Coleta de dados facilitada
Priorizao de risco
Resumo
Viso geral
O processo de gerenciamento de riscos compreende no total quatro fases principais: Avaliando os riscos,
Oferecendo suporte s decises, Implementando controles e Analisando a eficcia do programa. O processo de
gerenciamento de riscos de segurana mostra como um programa formal oferece uma trajetria consistente
para a organizao de recursos limitados com o objetivo de reduzir os riscos dentro de uma organizao. Seus
benefcios oferecem um ambiente de controle econmico capaz de conduzir e nivelar o risco at um nvel
aceitvel.
A fase de avaliao de riscos representa um processo formal de identificao e priorizao de riscos dentro da
organizao. O processo de gerenciamento de riscos de segurana da Microsoft oferece um direcionamento
detalhado sobre a realizao de avaliaes de risco e divide o processo da fase de avaliao de riscos nas trs
etapas a seguir:
1. Planejamento construindo a base para uma avaliao de riscos bem sucedida.
2. Coleta de dados facilitada coletando as informaes de risco atravs de discusses facilitadas
sobre riscos.
3. Priorizao de riscos classificao de riscos identificados atravs de um processo consistente e
reproduzvel.
O resultado da fase de avaliao de riscos uma lista priorizada de riscos que fornece os dados iniciais para a
fase de suporte s decises, abordada em detalhes no captulo 5, "Oferecendo suporte s decises".
O diagrama a seguir apresenta uma reviso geral do processo de gerenciamento de riscos e mostra a funo
da avaliao de riscos no programa como um todo. As trs etapas da fase de avaliao de riscos tambm esto
destacadas.

Neste artigo
Viso geral
Riscos de Segurana
segurana
riscos
suporte s decises
eficcia do programa
riscos ad hoc
Apndice C: Ameaas
comuns
Apndice D:
Vulnerabilidades
Agradecimentos

Figura 4.1 O processo de gerenciamento de riscos de segurana da Microsoft
Esta seo oferece uma breve viso geral das trs etapas da fase de avaliao de riscos: planejamento, coleta
de dados facilitada e priorizao de risco. As sees subseqentes contm tarefas especficas para oferecer
uma avaliao de riscos real no seu ambiente.
Planejamento
Um planejamento adequado de avaliao de riscos fundamental para o sucesso de todo o programa de
gerenciamento de riscos. A falha no alinhamento, na definio de escopo ou na obteno de aceitao da fase
de avaliao de riscos reduz a eficcia das outras fases do programa completo. A realizao da avaliao de
riscos pode ser um processo complicado que exige um investimento significativo para ser concludo. As tarefas
e orientaes essenciais para a etapa de planejamento so abordadas na prxima seo deste captulo.
Aps o planejamento, a prxima etapa a coleta de dados relacionados ao risco a partir de todos os
interessados dentro da organizao. Essas informaes tambm sero usadas na fase de suporte s decises.
Os primeiros dados coletados durante a etapa de coleta de dados facilitada so:

Ativos organizacionais tudo que for de valor para a empresa.

Descrio do ativo breve descrio de cada ativo, sua importncia e propriedade para facilitar o
entendimento geral durante a fase de avaliao de riscos.

Ameaas de segurana motivos ou eventos que podem afetar de modo negativo um ativo,
caracterizado por perda de confidencialidade, integridade ou disponibilidade do ativo.

Vulnerabilidades fraquezas ou ausncia de controles que podem ser exploradas para afetar um ativo.

Ambiente de controle atual descrio dos controles atuais e sua eficcia na organizao.

Controles propostos idias iniciais para reduzir o risco.
A etapa de coleta de dados facilitada representa a maior parte da colaborao e interao entre os grupos
durante a fase de avaliao de riscos. A terceira seo deste captulo trata das tarefas de coleta de dados e
orientao em detalhes.
Priorizao de risco
Durante a etapa de coleta de dados facilitada, a Equipe de gerenciamento de riscos de segurana comea a
organizar a quantidade enorme de informaes coletadas para priorizar riscos. A etapa de priorizao de risco
a primeira desta fase que envolve um elemento subjetivo. A priorizao tem natureza subjetiva, pois afinal
envolve uma previso do futuro. Como o resultado da avaliao de riscos orienta os investimentos em TI,
muito importante estabelecer um processo transparente com funes e responsabilidades bem definidas para
obter a aceitao dos resultados e motivar a ao para a atenuao de riscos. O processo de gerenciamento de
riscos de segurana da Microsoft oferece orientao para identificar e priorizar riscos de modo consistente e
reproduzvel. Uma abordagem aberta e reproduzvel ajuda a Equipe de gerenciamento de riscos de segurana a
alcanar um consenso rapidamente, minimizando os possveis atrasos devido natureza subjetiva da
priorizao de risco. A quarta seo deste captulo trata das tarefas e orientaes de priorizao em detalhe.
Dados iniciais necessrios para a fase de avaliao de riscos
Cada etapa da fase de avaliao de riscos contm uma lista especfica de tarefas prescritivas e dados iniciais
associados. A fase em si exige uma base slida em oposio aos dados iniciais especficos. Conforme descrito
no captulo 1, a fase de avaliao de riscos exige liderana em segurana, na forma de suporte executivo,
aceitao dos interessados e funes e responsabilidades definidas. As sees a seguir abordam essas reas
em detalhes.
Participantes da fase de avaliao de riscos
A avaliao de riscos exige interao entre os grupos e diviso de responsabilidades por tarefas entre os
diferentes interessados durante o processo. A melhor prtica para reduzir a confuso de tarefas durante o
processo comunicar as inspees inerentes s funes e responsabilidades de gerenciamento de riscos.
Durante o processo de avaliao, comunique aos interessados suas funes e assegure-os de que a Equipe de
gerenciamento de riscos de segurana respeitar esses limites. A tabela a seguir resume as funes e as
principais responsabilidades de cada interessado durante esta fase do processo de gerenciamento de riscos de
segurana.
Tabela 4.1: Funes e responsabilidades no programa de gerenciamento de risco
Funo Responsabilidade
Proprietrio da empresa Determina o valor dos ativos comerciais
Grupo de segurana de informaes Determina a probabilidade de impacto aos ativos
comerciais
Tecnologia da informao Engenharia Projeta solues tcnicas e estima os custos de
engenharia
Tecnologia da informao Operaes Projeta os componentes operacionais da soluo e
estima os custos operacionais
As inspees tcnicas internas sero aparentes durante as prximas sees que analisam mais de perto as
etapas de planejamento, coleta de dados facilitada e priorizao de riscos da fase de avaliao de riscos.
Ferramentas fornecidas para a fase de avaliao de riscos
Durante este processo de av aliao de riscos, voc ir coletar dados sobre os riscos e ento usar esses dados
para priorizar os riscos. Trs ferramentas foram includas para ajud-lo nesta fase. Voc pode encontr-las na
pasta Ferramentas e modelos criada quando voc descompactou o arquivo contendo este guia e os demais
arquivos relacionados.

Modelo de coleta de dados (FerramentaGGRS1-Ferramenta de coleta de dados.doc). Um modelo para
auxiliar as discusses para coleta de dados de risco.

Lista de valor de ativo (SRAPPB.doc). Uma lista com alguns dos ativos mais comuns geralmente
encontrados em uma organizao.

Modelos de priorizao de risco (FerramentaGGRS2-Nvel de risco resumido.xls e FerramentaGGRS3-
Priorizao de risco de nvel detalhado.xls). Modelos em Microsoft Excel para auxiliar na priorizao de
risco.

Exemplo de agenda (FerramentaGGRS4-Exemplo de agenda de projeto.xls). Esta agenda pode auxili-lo
no planejamento das atividades desta fase.
Resultados necessrios da fase de avaliao de riscos
O resultado da fase de avaliao de riscos uma lista priorizada de riscos, incluindo a classificao qualitativa
e as estimativas quantitativas usadas na fase de suporte s decises descrita no prximo captulo.
Incio da pgina
Planejamento
A etapa de planejamento possivelmente a mais importante para garantir a aceitao e o suporte por parte
dos interessados durante o processo de avaliao de riscos. A aceitao por parte dos interessados muito
importante, pois a Equipe de gerenciamento de riscos de segurana exige a participao ativa de outros
interessados. O suporte tambm muito importante, pois os resultados da avaliao podem influenciar as
atividades oramentrias dos interessados se forem necessrios outros controles para reduo de risco. As
principais tarefas na etapa de planejamento so alinhar de modo adequado a fase de avaliao de riscos aos
processos comerciais, definir cuidadosamente o escopo da avaliao e obter a aceitao dos interessados. A
prxima seo examina essas trs tarefas em mais detalhes e trata dos fatores de sucesso relacionados a
essas tarefas.
Alinhamento
O melhor comear a fase de avaliao de riscos antes do processo oramentrio da sua organizao. O
alinhamento facilita o suporte executivo e aumenta a visibilidade dentro da organizao e dos grupos de TI, ao
mesmo tempo em que desenvolvem oramentos para o prximo ano fiscal. Um cronograma adequado tambm
ajuda a obter um consenso durante a avaliao, pois permite que os interessados desempenhem funes
ativas no processo de planejamento. O Grupo de segurana das informaes geralmente visto como uma
equipe reativa que atrapalha as atividades da organizao e surpreende as unidades comerciais com novidades
sobre falhas nos controles ou paralisaes no trabalho. Um cronograma sensato da avaliao importantssimo
para obter suporte e ajudar a organizao a entender que a segurana responsabilidade de todos e parte
integrante da organizao. Outro benefcio de realizar uma avaliao de riscos demonstrar que o Grupo de
segurana das informaes pode ser visto como um parceiro proativo, em vez de um simples aplicador de
diretivas durante as emergncias. Este guia oferece um exemplo de cronograma de projeto para ajudar no
alinhamento do processo de avaliao de riscos da sua organizao. Obviamente, a Equipe de gerenciamento
de riscos de segurana no deve reter informaes de risco enquanto aguarda o ciclo oramentrio. O
alinhamento do cronograma de avaliao simplesmente a melhor prtica descoberta durante as avaliaes da
equipe de TI da Microsoft.
Observao: o alinhamento adequado do processo de gerenciamento de riscos de segurana ao ciclo de
planejamento oramentrio pode beneficiar tambm as atividades de auditoria internas e externas. Entretanto,
a coordenao e a definio do escopo das atividades de auditoria esto fora do escopo deste guia.
Escopo
Durante as atividades de planejamento, articule com clareza o escopo da avaliao de riscos. Para gerenciar
riscos de modo eficaz em toda a organizao, o escopo da avaliao de riscos deve documentar todas as
funes da organizao includas na avaliao de riscos. Se o tamanho da sua organizao no permitir uma
avaliao de riscos global, articule claramente que parte da organizao constar do escopo e defina quem
sero os interessados associados. Conforme discutido no captulo 2, se a sua organizao nova no programa
de gerenciamento de riscos, talvez seja uma boa idia iniciar a prtica do processo de avaliao de riscos por
unidades comerciais bem definidas. Por exemplo, a seleo de um aplicativo de recursos humanos especfico
ou servio de TI, como acesso remoto, pode ajudar a demonstrar a importncia do processo e ajudar a criar a
motivao adequada para uma avaliao de riscos em toda a organizao.
Observao: as organizaes geralmente no conseguem definir o escopo da avaliao de riscos com
preciso. Defina com clareza as reas da organizao a serem avaliadas e obtenha aprovao executiva antes
de prosseguir. O escopo deve ser discutido com freqncia e compreendido em todas as reunies de
interessados durante o processo.
Na etapa de planejamento tambm necessrio definir o escopo da avaliao de riscos. O setor de segurana
das informaes usa o termo avaliao de vrias maneiras, o que pode confundir os interessados no tcnicos.
Por exemplo, as avaliaes de vulnerabilidade so realizadas para identificar configuraes especificamente
tecnolgicas ou falhas operacionais. O termo avaliao de conformidade pode ser usado para comunicar uma
auditoria ou medidas de controles atuais contra uma diretiva formal. O processo de gerenciamento de riscos de
segurana da Microsoft define a avaliao de riscos como o processo para identificar e priorizar os riscos de
segurana de TI empresariais organizao. Voc pode ajustar esta definio conforme for apropriado para a
sua organizao. Por exemplo, algumas equipes de gerenciamento de riscos de segurana podem incluir
tambm funcionrios de segurana no escopo de sua avaliao de riscos.
Aceitao do interessado
A avaliao de riscos exige participao ativa do interessado. Como melhor prtica, trabalhe com os
interessados de modo informal e desde o incio do processo, de forma a assegurar que entendam a importncia
da avaliao, suas funes e o comprometimento de tempo necessrio. Qualquer Facilitador de avaliao de
riscos experiente pode confirmar que existe uma diferena entre a aprovao do projeto pelo interessado e a
aceitao do cronograma e da prioridade do projeto pelo interessado. A melhor prtica para obter o suporte do
interessado vender antecipadamente o conceito e as atividades da avaliao de riscos. Vender
antecipadamente pode significar uma reunio informal com os interessados antes que um comprometimento
formal seja solicitado. Enfatize os motivos pelos quais uma avaliao proativa ajuda o interessado a longo
prazo identificando os controles que podem evitar interrupes de eventos de segurana no futuro. Uma
maneira eficaz de recordar aos interessados os possveis impactos que podem afetar a organizao consiste em
mencionar os incidentes de segurana passados como exemplos na discusso.
Observao: para ajudar os interessados a entender o processo, prepare um breve resumo comunicando a
justificao e a importncia da avaliao. Compartilhe o resumo o mximo possvel. Voc saber se foi eficaz
quando ouvir os interessados descrevendo a avaliao um ao outro. O sumrio executivo deste guia oferece
um bom incio para comunicar a importncia do processo de avaliao de riscos.
Preparando-se para o sucesso: definindo expectativas
A definio adequada das expectativas extremamente importante. A definio de expectativas razoveis
essencial para uma avaliao de riscos bem-sucedida, pois o processo exige contribuies significativas de
diferentes grupos que possivelmente representam toda a organizao. Alm disso, os participantes precisam
concordar e entender os fatores de sucesso para suas funes e para o processo como um todo. Se apenas um
desses grupos no entender ou participar ativamente do processo, a eficcia de todo o programa pode ser
comprometida.
Quando estiver criando um consenso durante a etapa de planejamento, defina as expectativas levando em
considerao as funes, responsabilidades e nveis de participao exigidos de outros interessados. Voc
tambm deve compartilhar os desafios apresentados pela avaliao. Por exemplo, descreva claramente os
processos de identificao e priorizao de risco para evitar possveis mal-entendidos.
Adotando a subjetividade
Os Proprietrios da empresa algumas vezes ficam nervosos quando um grupo externo (neste caso, o Grupo de
segurana das informaes) prev uma possibilidade de riscos de segurana que podem afetar as prioridades
financeiras. Voc pode reduzir essa tenso natural estabelecendo expectativas sobre os objetivos do processo
de avaliao de riscos e garantindo aos interessados que as funes e responsabilidades sero respeitadas
durante todo o processo. Especificamente, o Grupo de segurana das informaes deve reconhecer que a
definio do valor dos ativos comerciais cabe aos Proprietrios da empresa. Isso tambm significa que os
interessados devem contar com a experincia do Grupo de segurana das informaes para estimar a
probabilidade das ameaas afetarem a organizao. Prever o futuro naturalmente subjetivo. Os Proprietrios
da empresa devem aceitar e apoiar o fato que o Grupo de segurana das informaes usar a sua experincia
para estimar probabilidades de riscos. Esclarea esses relacionamentos logo no incio, apresentando as
credenciais, experincia e objetivos em comum do Grupo de segurana das informaes e dos Proprietrios da
empresa.
Aps concluir a etapa de planejamento, articular as funes e responsabilidades e definir as expectativas de
modo adequado, voc est pronto para iniciar as etapas de trabalho de campo do processo de avaliao de
riscos: a coleta de dados facilitada e a priorizao de risco. As prximas duas sees analisam em detalhes
essas etapas antes de discutir a fase de suporte s decises no captulo 5.
Incio da pgina
A seo de viso geral deste captulo oferece uma introduo ao processo de avaliao de riscos, tratando das
trs primeiras etapas: planejamento, coleta de dados facilitada e priorizao de risco. Aps concluir as
atividades de planejamento, voc ir coletar dados sobre risco dos interessados em toda a organizao. Essas
informaes so importantes para ajudar a identificar e priorizar riscos.
Esta seo est organizada em trs partes. A primeira descreve o processo de coleta de dados em detalhes e
concentra-se nos fatores de sucesso ao coletar informaes de risco. A segunda parte explica as etapas
detalhadas da coleta de dados de risco atravs de reunies facilitadas com interessados tcnicos e no
tcnicos. A terceira parte descreve as etapas para consolidar essa compilao de dados em um conjunto de
declaraes de impacto, conforme descrito no captulo 3. Para concluir o processo de avaliao de riscos, essa
lista de declaraes de impacto oferece os dados iniciais do processo de priorizao, apresentado em detalhes
na prxima seo.
Chaves para o sucesso da coleta de dados
Voc pode questionar o benefcio de fazer perguntas detalhadas sobre riscos relacionados tecnologia da
informao a pessoas sem experincia profissional em segurana. A experincia na realizao de avaliaes de
riscos da equipe de TI da Microsoft mostra que extremamente importante fazer perguntas aos interessados
tanto tcnicos como no tcnicos sobre suas opinies a respeito dos riscos aos ativos organizacionais por eles
gerenciados. Os profissionais de segurana de informaes tambm devem tomar conhecimento detalhado das
preocupaes dos interessados a fim de traduzir as informaes sobre seus ambientes em riscos priorizados.
As reunies colaborativas com os interessados ajudam a entender o risco de um modo que possam
compreender e avaliar. Alm disso, os interessados controlam ou influenciam os gastos em TI. Se eles no
entenderem as possibilidades de impacto organizao, o processo de alocao de recursos torna-se muito
mais difcil. Os Proprietrios da empresa tambm orientam a cultura da organizao e influenciam o
comportamento do usurio. Isso, por si s, pode ser uma poderosa ferramenta para o gerenciamento de risco.
Quando os riscos so descobertos, o Grupo de segurana das informaes solicita suporte ao interessado em
termos de alocao de recursos e criao de consenso sobre a definio e a priorizao do risco. Alguns Grupos
de segurana das informaes sem um programa proativo de gerenciamento de riscos pode usar de medo para
motivar a organizao. Essa estratgia funciona apenas a curto prazo. O Grupo de segurana das informaes
deve aprender a buscar o suporte da organizao para que o programa de gerenciamento de riscos seja
duradouro. A primeira etapa para obter esse suporte encontrar-se pessoalmente com os interessados.
Obtendo suporte
Os Proprietrios da empresa possuem funes explcitas no processo de avaliao de riscos. So responsveis
por identificar seus ativos organizacionais e estimar os custos dos possveis impactos a esses ativos.
Formalizando essa responsabilidade, o Grupo de segurana das informaes e os Proprietrios da empresa
compartilham igualmente o sucesso do gerenciamento de risco. A maioria dos profissionais de segurana das
informaes e os interessados tcnicos e no tcnicos no percebem essa conexo automaticamente. Assim
como os especialistas em gerenciamento de risco, os profissionais de segurana das informaes precisam
tomar a iniciativa para preencher as brechas de conhecimento durante as discusses sobre riscos. Conforme
mencionado do captulo anterior, o envolvimento de um patrocinador executivo que compreenda a organizao
facilita muito a criao deste relacionamento.
Discusso versus indagao
Vrios mtodos de gerenciamento de riscos de segurana exigem que o Grupo de segurana das informaes
faa perguntas explcitas aos interessados e catalogue suas respostas. Exemplos desse tipo de perguntas so
"Poderia descrever suas diretivas para garantir uma segmentao de tarefas adequada?" e "Que processo
utiliza para rever diretivas e procedimentos?" Tome cuidado com o tom e o direcionamento da reunio. Uma
boa regra a ser lembrada concentrar-se em perguntas abertas para ajudar a facilitar discusses bidirecionais.
Isso tambm permite aos interessados comunicar o verdadeiro esprito de suas respostas, em vez de
simplesmente relatar ao Facilitador de avaliao de riscos o que eles desejam ouvir. O objetivo da discusso
sobre riscos compreender a organizao e os riscos de segurana que a envolvem, no realizar uma auditoria
de diretivas documentadas. Embora os dados fornecidos pelo interessado no tcnico sejam vlidos,
geralmente eles no so abrangentes. A Equipe de gerenciamento de riscos de segurana
independententemente do Proprietrio da empresa ainda precisa pesquisar, investigar e considerar todos os
riscos de cada ativo.
Criando boa vontade
A segurana das informaes uma funo comercial bastante difcil, pois a tarefa de reduo de riscos
geralmente vista como reduo da utilidade ou da produtividade do funcionrio. Use as discusses facilitadas
como uma ferramenta para formar uma aliana com os interessados. Fatores como legislao, preocupaes
com a privacidade, presso da concorrncia e maior conscincia dos consumidores levaram os executivos e os
responsveis pelas decises comerciais a reconhecer que a segurana um componente comercial de grande
importncia. Ajude os interessados a entender a importncia do gerenciamento de riscos, assim como suas
funes no programa como um todo. Algumas vezes construir um relacionamento entre o Grupo de segurana
das informaes e os interessados produz resultados melhores que a coleta de dados em si durante a reunio.
Essa uma vitria pequena, porm importante no esforo geral de gerenciamento de riscos.
Preparao para a discusso sobre riscos
Antes de iniciar a discusso sobre riscos, a Equipe de gerenciamento de riscos de segurana deve investir
tempo para pesquisar e compreender com clareza cada elemento a ser discutido. As informaes a seguir
tratam das melhores prticas e definem mais a fundo cada elemento na declarao de risco bem estruturada,
como preparao para facilitar as discusses com os interessados.
Identificando os dados iniciais da avaliao de riscos
A equipe de avaliao de riscos deve estar bem preparada antes de encontrar-se com os interessados. A
equipe mais eficaz e as discusses so mais produtivas quando possui uma compreenso clara da
organizao, seu ambiente tcnico e atividades de avaliao passadas. Use a lista a seguir para ajudar a
coletar o material a ser usado como dados iniciais no processo de avaliao de riscos:

Novas orientaes comerciais renove sua compreenso das prioridades da organizao ou quaisquer
outras alteraes que possam ter ocorrido desde a ltima avaliao. D particular ateno a quaisquer
atividades relacionadas a fuses ou aquisies.

Avaliao de riscos anterior analise as avaliaes passadas para obter uma perspectiva. A equipe de
avaliao de riscos pode ter de reconciliar a nova avaliao com o trabalho anterior.

Auditorias colete quaisquer relatrios de auditoria relevantes para o escopo da avaliao de riscos. Os
resultados de auditoria devem ser considerados na avaliao e na seleo de novas solues de controle.

Incidentes de segurana use os incidentes passados para identificar os principais ativos, entender o
valor dos ativos, identificar as vulnerabilidades predominantes e destacar as deficincias do controle.

Eventos do setor identifique as novas tendncias na organizao e as influncias externas. Normas
governamentais, leis e atividades internacionais podem afetar de forma significativa a sua postura em
relao ao risco. A identificao de novas tendncias pode exigir bastante em termos de pesquisa e
avaliao da sua organizao. Pode ser uma boa idia designar funcionrios a essa anlise durante todo o
ano.

Boletins analise as questes conhecidas de segurana identificadas na Web, em newsgroups e
diretamente dos fornecedores de software.

Orientao de segurana das informaes realize uma pesquisa para determinar se existem novas
tendncias, ferramentas ou abordagens de gerenciamento de riscos disponveis. Os padres do setor podem
ser reforados para aprimorar ou ajudar a justificar o processo de avaliao de riscos ou ajudar a identificar
novas estratgias de controle. Os padres internacionais constituem outro importante dado inicial.
Este guia inclui conceitos de vrios padres, como os da Organizao Internacional de Normas (ISO) 17799. A
avaliao e aplicao cuidadosa dos padres permite que voc use o trabalho de outros profissionais e oferea
uma maior credibilidade em relao aos interessados da organizao. Pode ser til mencionar diretamente os
padres durante a discusso sobre riscos para garantir que a avaliao trate de todas as reas aplicveis de
segurana das informaes.
Identificando e classificando os ativos
O escopo da avaliao de riscos define as reas da organizao a serem analisadas durante as discusses para
coleta de dados. Os ativos comerciais dentro deste escopo devem ser identificados para orientar a discusso
sobre riscos. Os ativos so definidos como qualquer coisa que possua valor para a organizao. Isso inclui
ativos intangveis, como a reputao da empresa e as informaes digitais, e ativos tangveis, como a infra-
estrutura fsica. A abordagem mais eficaz ser o mais especfico possvel na definio dos ativos comerciais
como, por exemplo, informaes de conta em um aplicativo de gerenciamento de clientes. Voc no deve
discutir as declaraes de impacto durante a definio de ativos. As declaraes de impacto definem o
potencial de perda ou dano para a organizao. Um exemplo de declarao de impacto seria a disponibilidade
de dados de conta em um aplicativo de gerenciamento de clientes. As declaraes de impacto so abordadas
em detalhes mais adiante na discusso sobre riscos. Observe que cada ativo pode apresentar vrios impactos
durante a discusso.
Quando estiver identificando os ativos, identifique ou confirme tambm quem o proprietrio do ativo.
Geralmente mais difcil identificar a pessoa ou grupo responsvel por um ativo do que parece. Documente os
proprietrios especficos dos ativos durante a discusso facilitada sobre riscos. Essas informaes podem ser
teis durante o processo de priorizao para confirmar as informaes e comunicar os riscos diretamente aos
proprietrios do ativo.
Para ajudar a categorizar os ativos, pode ser til agrup-los em cenrios comerciais como, por exemplo,
transaes bancrias online ou desenvolvimento de cdigo fonte. Ao trabalhar com interessados no tcnicos,
inicie a discusso sobre ativos com cenrios comerciais. Em seguida documente os ativos especficos dentro de
cada cenrio.
Aps a identificao dos ativos, a segunda responsabilidade do Proprietrio da empresa classificar cada ativo
em termos de impacto potencial organizao. A classificao dos ativos um componente essencial da
equao geral de riscos. A seo abaixo ajuda nesse processo.
Ativos
Os ativos comerciais podem ser tangveis ou intangveis. necessrio definir o tipo de ativo com a maior
preciso possvel para que os Proprietrios da empresa possam articular o valor do ativo para a organizao.
Ambas as categorias de ativos exigem que o interessado fornea estimativas em forma de perda monetria
direta e impacto financeiro indireto.
Os ativos tangveis incluem a infra-estrutura fsica, como centros de dados, servidores e propriedade. Os ativos
intangveis incluem dados ou outras informaes digitais de valor para a organizao como, por exemplo,
transaes bancrias, clculos de juros, alm de planos e especificaes de desenvolvimento de produto.
Conforme apropriado para a sua organizao, uma terceira definio de ativo de servio de TI pode ser til. O
servio de TI uma combinao de ativos tangveis e intangveis. Por exemplo, um servio de TI de email
corporativo contm servidores fsicos e utiliza a rede fsica. Entretanto, o servio pode conter dados digitais
confidenciais. Voc tambm deve incluir o servio de TI como um ativo, pois geralmente possui proprietrios
diferentes para ativos de dados e fsicos. Por exemplo, o proprietrio do servio de email responsvel pela
disponibilidade do acesso e do envio de emails. Entretanto, o servio de email pode no ser responsvel pela
confidencialidade dos dados financeiros contidos em um email ou pelos controles fsicos que envolvem os
servidores de email. Outros exemplos de servios de TI incluem compartilhamento de arquivos,
armazenamento, rede, acesso remoto e telefonia.
Classes de ativo
Os ativos dentro do escopo da avaliao devem ser atribudos a um grupo ou classe qualitativa. As classes
facilitam a definio do impacto geral de riscos de segurana. Tambm ajudam a organizao a concentrar-se
nos ativos mais importantes primeiro. Existem diferentes modelos de avaliao de riscos para definir as vrias
classes de ativo. O processo de gerenciamento de riscos de segurana da Microsoft usa trs classes de ativo
para ajudar a medir o valor do ativo para uma organizao. Por que apenas trs classes? Esses trs grupos
permitem um distino adequada e reduzem o tempo gasto em debates para selecionar uma classe adequada.
O processo de gerenciamento de riscos de segurana da Microsoft utiliza as trs classes de ativo qualitativas a
seguir: impacto comercial alto (ICA), impacto comercial moderado (ICM) e impacto comercial baixo (ICB).
Durante a etapa de priorizao de risco, o processo tambm oferece orientao para quantificar os ativos.
Conforme apropriado para a sua organizao, voc pode escolher quantificar os ativos durante a discusso
facilitada sobre riscos. Nesse caso, tome cuidado com o tempo necessrio para alcanar um consenso sobre a
quantificao de valores monetrios durante a discusso sobre riscos. O processo recomenda aguardar at que
todos os riscos tenham sido identificados e priorizados para reduzir o nmero de riscos que precisam de anlise
mais detalhada.
Observao: para obter informaes adicionais sobre a definio e a categorizao de informaes e sistemas
de informaes, consulte os workshops 800-60 de publicao especial do National Institute of Standards and
Technology (NIST), "Mapping Types of Information and Information Systems to Security Categories" e a
publicao 199 do Federal Information Processing Standards (FIPS), "Security Categorization of Federal
Information and Information Systems".
Impacto comercial alto
O impacto na confidencialidade, integridade ou disponibilidade desses ativos causa perdas graves ou
catastrficas para a organizao. O impacto pode ser expresso em termos financeiros bsicos ou podem refletir
a perda indireta ou o roubo de instrumentos financeiros, produtividade da organizao, danos reputao ou
responsabilidades legais ou normativas significativas. A lista a seguir oferece alguns exemplos dentro da classe
ICA:

Credenciais de autenticao como senhas, chaves criptogrficas privadas e tokens de hardware.

Material comercial altamente confidencial como dados financeiros e propriedade intelectual.

Ativos sujeitos a exigncias normativas especficas como GLBA, HIPAA, CA SB1386 e a diretiva
europia de proteo a dados.

Informaes de identificao pessoal (IIP) qualquer informao que poderia permitir que um invasor
identificasse seus clientes ou funcionrios ou tomasse conhecimento de suas caractersticas pessoais.

Dados de autorizao de transao financeira como nmeros de carto de crdito e datas de
validade.

Perfis financeiros como relatrios de crdito do consumidor ou declaraes de imposto de renda
pessoais.

Perfis mdicos como nmeros de registro mdico ou identificadores biomtricos.
Para proteger a confidencialidade dos ativos dessa classe, seu acesso restringe-se ao uso estritamente
organizacional conforme necessidade de uso. O nmero de pessoas com acesso a esses dados deve ser
explicitamente gerenciado pelo proprietrio do ativo. Igual tratamento deve ser dado integridade e
disponibilidade dos ativos dessa classe.
Impacto comercial moderado
O impacto na confidencialidade, integridade ou disponibilidade desses ativos causa perdas moderadas
organizao. A perda moderada no constitui um impacto grave ou catastrfico, mas interrompe as funes
organizacionais normais de uma forma que so necessrios controles proativos para minimizar o impacto aos
ativos dessa classe.
O impacto moderado pode ser expresso em termos financeiros bsicos ou podem incluir perda indireta ou o
roubo de instrumentos financeiros, produtividade comercial, danos reputao ou responsabilidades legais ou
normativas significativas. Esses ativos so destinados ao uso de grupos especficos de funcionrios ou pessoal
externo aprovado com uma necessidade comercial legtima. A seguir encontram-se exemplos da classe ICM:

Informaes comerciais internas diretrios de funcionrios, dados de ordens de compra, projetos de
infra-estrutura de rede, informaes em sites internos e dados em compartilhamento de arquivos internos
para uso comercial estritamente interno.
Impacto comercial baixo
Os ativos que no se enquadram nas classes ICA ou ICM, so classificados como ICB e no possuem requisitos
formais de proteo ou controles adicionais alm das melhores prticas padro para segurana de infra-
estrutura. Esses ativos geralmente so destinados a informaes de publicao ampla, cuja divulgao no
autorizada no resultaria em grandes perdas financeiras, problemas legais ou normativos, interrupes
operacionais ou desvantagens comerciais com a concorrncia.
Alguns exemplos de ativos ICB incluem, sem limitao:

Estrutura organizacional de alto nvel.

Informaes bsicas sobre a plataforma operacional de TI.

Acesso de leitura a pginas de acesso pblico.

Chaves criptogrficas pblicas.

Comunicados imprensa publicados, folhetos de produtos, white papers e documentos includos com
produtos lanados.

Informaes comerciais obsoletas ou ativos tangveis.
Organizando as informaes de risco
O risco envolve vrios componentes, entre ativos, ameaas, vulnerabilidades e controles. O Facilitador de
avaliao de riscos deve ser capaz de determinar que componente do risco est sendo discutido sem interferir
no fluxo da conversao. Para ajudar a organizar a discusso, use o modelo de discusso sobre riscos
(FerramentaGGRS1-Ferramenta de coleta de dados.doc) includa na seo Ferramentas para ajudar os
participantes a entender os componentes de um risco. O modelo tambm auxilia o Secretrio de avaliao de
riscos a coletar informaes de risco de modo consistente em todas as reunies.
O modelo pode ser reproduzido em qualquer seqncia. Entretanto, a experincia mostra que observar a
seqncia das perguntas a seguir ajuda os participantes a entender os componentes de risco e a descobrir
mais informaes:

Que ativo voc est protegendo?

Qual o valor do ativo para a organizao?

O que voc est tentando evitar que ocorra ao ativo (tanto ameaas conhecidas como potenciais)?

Como pode ocorrer a perda ou exposio?

Qual a extenso da possibilidade de exposio do ativo?

O que voc est fazendo hoje para reduzir a probabilidade ou a extenso de dano ao ativo?

Quais so as aes que podemos tomar para reduzir a probabilidade no futuro?
Para o profissional de segurana das informaes, essas perguntas so traduzidas em terminologia especfica
de avaliao de riscos e categorias usadas para priorizar riscos. Entretanto, o interessado pode no estar
familiarizado com esses termos e no responsvel pela priorizao de risco. A experincia mostra que
evitando a terminologia especfica de segurana das informaes, como ameaas, vulnerabilidades e
contramedidas, melhora a qualidade da discusso e ajuda a no intimidar os participantes no tcnicos. Outro
benefcio de usar termos funcionais na discusso sobre riscos reduzir a possibilidade de outros tecnlogos
debaterem as sutilezas de determinados termos. Nesse estgio do processo, muito mais importante entender
as maiores reas de risco do que debater definies concorrentes de ameaa e vulnerabilidade. O Facilitador de
avaliao de riscos deve esperar at o final da discusso para solucionar questes sobre definies e
terminologia de risco.
Organizando as camadas de defesa em profundidade
O Secretrio e o Facilitador de avaliao de riscos iro coletar uma quantidade enorme de informaes. Use o
modelo de defesa em profundidade para ajudar a organizar a discusso relativa a todos os elementos de risco.
Essa organizao ajuda a fornecer uma estrutura e auxilia a Equipe de gerenciamento de riscos de segurana
na coleta de informaes de risco em toda a organizao. Um exemplo das camadas de defesa em
profundidade foi includo no modelo de discusso sobre riscos e exibido na figura 4.2 abaixo. A seo
intitulada "Organizando as solues de controle" no captulo 6, "Implementando controles e analisando a
eficcia do programa", inclui uma descrio mais detalhada do modelo de defesa em profundidade.

Figura 4.2 Modelo de defesa em profundidade
Outra ferramenta importante para complementar o modelo de defesa em profundidade a referncia ao
padro ISO 17799 para organizar as perguntas e respostas relacionadas a risco. Mencionar um padro
abrangente como o ISO 17799 tambm ajuda a facilitar a discusso sobre riscos que envolvem outras reas
como, por exemplo, jurdica, de diretivas, de processos, de pessoal e de desenvolvimento de aplicativos.
Definindo ameaas e vulnerabilidades
As informaes sobre ameaas e vulnerabilidades oferecem a evidncia tcnica usada para priorizar riscos em
toda a organizao. Como muitos interessados no tcnicos podem no estar familiarizados com as exposies
detalhadas afetando seus negcios, o Facilitador de avaliao de riscos pode precisar fornecer exemplos para
ajudar a iniciar a discusso. Esta uma rea em que a pesquisa anterior muito vlida para ajudar os
Proprietrios da empresa a descobrir e entender os riscos em seus prprios ambientes. Como referncia, o ISO
17799 define as ameaas como a causa de possvel impacto organizao. O NIST define ameaa como um
evento ou entidade com potencial para prejudicar o sistema. O impacto resultante de uma ameaa
geralmente definido atravs de conceitos como confidencialidade, integridade e disponibilidade. Usar os
padres do setor como referncia especialmente til na pesquisa sobre ameaas e vulnerabilidades.
Para facilitar a discusso sobre riscos, pode ser til traduzir as ameaas e vulnerabilidades em termos
familiares aos interessados no tcnicos. Por exemplo, o que voc est tentando evitar, ou o que voc teme
que acontea ao ativo? A maior parte dos impactos aos negcios pode ser categorizada em termos de
confidencialidade do ativo, integridade ou disponibilidade do ativo na realizao de negcios. Tente usar essa
abordagem caso os interessados apresentem dificuldades em entender o significado das ameaas aos ativos
organizacionais. Um exemplo comum de ameaa organizao uma violao de integridade de dados
financeiros. Aps articular o que est tentando evitar, a prxima tarefa determinar como as ameaas podem
ocorrer na sua organizao.
A vulnerabilidade a fraqueza de um ativo ou grupo de ativos que uma ameaa pode explorar. Simplificando,
as vulnerabilidades oferecem o mecanismo ou o modo como as ameaas podem ocorrer. Como referncia
adicional, o NIST define vulnerabilidade como uma condio ou fraqueza (ou ausncia de) de procedimentos de
segurana, controles tcnicos, controles fsicos ou outros controles que podem ser explorados por uma
ameaa. Como exemplo, uma vulnerabilidade comum para hosts a ausncia de atualizaes de segurana. A
incorporao de exemplos de ameaas e vulnerabilidades apresentadas produzem a seguinte declarao:
"Hosts sem patches podem levar violao da integridade das informaes financeiras existentes nesses
hosts".
Uma armadilha comum na realizao da avaliao de riscos concentrar-se nas vulnerabilidades tecnolgicas.
A experincia mostra que as vulnerabilidades mais significativas ocorrem geralmente devido falta de um
processo definido ou responsabilidade inadequada pelas informaes de segurana. No menospreze os
aspectos organizacionais e de liderana da segurana durante o processo de coleta de dados. Por exemplo,
aumentando a vulnerabilidade de atualizao de segurana acima, a incapacidade de aplicar atualizaes em
sistemas gerenciados pode levar a uma violao da integridade das informaes financeiras contidas nesses
sistemas. A clareza na responsabilidade e na aplicao das diretivas de segurana das informaes
geralmente uma questo organizacional em muitas empresas.
Observao: durante todo o processo de coleta de dados, voc deve reconhecer os grupos comuns de
ameaas e vulnerabilidades. Acompanhe esses grupos para determinar se os controles semelhantes podem
reduzir a probabilidade de mltiplos riscos.
Estimando a exposio de ativos
Aps o Facilitador de avaliao de riscos ter conduzido a discusso sobre identificao de ativo, ameaa e
vulnerabilidade, a prxima tarefa coletar as estimativas dos interessados sobre a extenso de possibilidade
de dano ao ativo, independentemente da definio de classe do ativo. A extenso de possibilidade de dano
definida como exposio de ativo.
Conforme discutido anteriormente, o Proprietrio da empresa responsvel tanto por identificar os ativos
como por estimar o potencial de perda para o ativo ou para a organizao. Revisando, a classe do ativo, a
exposio e a combinao de ameaa e vulnerabilidade definem o impacto geral para a organizao. O
impacto, por sua vez, combinado com a probabilidade para completar a declarao de riscos bem-
estruturada, conforme definido no captulo 3.
O Facilitador de avaliao de riscos inicia uma discusso usando os exemplos a seguir de categorias
qualitativas de exposio potencial a cada combinao de ameaa e vulnerabilidade associada a um ativo:

Vantagem competitiva

Legal/normativo

Disponibilidade operacional

Reputao no mercado
Para cada categoria, auxilie os interessados nas estimativas para os trs grupos a seguir:

Exposio alta perda grave ou total do ativo

Exposio moderada perda limitada ou moderada

Exposio baixa perda mnima ou inexistente
A seo de priorizao deste captulo oferece orientao sobre como detalhar as categorias de exposio
acima. Assim como na tarefa de quantificao dos ativos, o processo de gerenciamento de riscos de segurana
da Microsoft recomenda aguardar a etapa de priorizao de risco para definir mais a fundo os nveis de
exposio.
Observao: se os interessados apresentarem dificuldades em selecionar os nveis de exposio durante as
discusses facilitadas, estenda-se um pouco mais nos detalhes sobre ameaa e vulnerabilidade para ajudar a
comunicar de maneira mais clara o nvel de dano ou perda em potencial ao ativo. Outra ferramenta til so os
exemplos pblicos de violaes de segurana. Caso precise de uma ajuda extra, apresente os nveis mais
detalhados de exposio, conforme descrito na seo de priorizao mais adiante neste captulo.
Estimando a probabilidade de ameaas
Aps os interessados terem criado as estimativas de impacto potencial aos ativos organizacionais, o Facilitador
de avaliao de riscos coleta as opinies dos interessados sobre a probabilidade de ocorrncia dos impactos.
Isso encerra a discusso sobre riscos e ajuda os interessados a entender a linha de pensamento da
identificao de riscos de segurana. Lembre-se de que o Grupo de segurana das informaes possui a
propriedade da deciso final sobre a estimativa de probabilidade de ocorrncia de impacto na organizao.
Essa discusso pode ser vista como uma cortesia e um ato de boa vontade por parte do interessado.
Use as orientaes a seguir para estimar a probabilidade de cada ameaa e vulnerabilidade identificada na
discusso:

Alta muito provvel, um ou mais impactos previstos em um ano

Mdia provvel, impacto previsto em dois ou trs anos

Baixa improvvel, impacto no previsto em trs anos
Isso geralmente inclui a reviso de incidentes que ocorreram recentemente. Conforme apropriado, discuta-os a
fim de ajudar os interessados a compreender a importncia da segurana e do processo geral de
O processo de gerenciamento de riscos de segurana da Microsoft associa o perodo de um ano categoria de
alta probabilidade, pois os controles de segurana das informaes geralmente precisam de um longo perodo
para serem implantados. A seleo de uma probabilidade dentro de um ano chama a ateno para o risco e
encoraja a tomada de uma deciso de atenuao dentro do prximo ciclo oramentrio. Uma probabilidade
alta, em combinao com um impacto alto, fora uma discusso sobre riscos entre os interessados e a Equipe
de gerenciamento de riscos de segurana. O Grupo de segurana das informaes deve estar ciente desta
responsabilidade quando estimar a probabilidade de impactos.
A prxima tarefa coletar as opinies dos interessados sobre os possveis controles que possam reduzir a
probabilidade dos impactos identificados. Trate essa discusso como um debate informal e no critique ou
descarte nenhuma idia. Mais uma vez, o objetivo principal da discusso apresentar todos os componentes
do risco para facilitar a compreenso. A seleo da atenuao de fato ocorre na fase de suporte s decises.
Para cada controle possvel identificado, consulte novamente a discusso sobre probabilidade para estimar o
nvel de reduo de ocorrncia usando as mesmas categorias qualitativas descritas anteriormente. Enfatize aos
interessados o fato de que o conceito de reduo de probabilidade de risco a principal varivel para o
gerenciamento do risco at um nvel aceitvel.
Facilitando a discusso sobre riscos
Esta seo descreve em linhas gerais as preparaes necessrias para as reunies de discusso sobre riscos e
define as cinco tarefas dentro da discusso para coleta de dados (determinando os ativos e cenrios
organizacionais, identificando as ameaas, identificando as vulnerabilidades, estimando a exposio de ativos,
identificando os controles existentes e a probabilidade de explorao).
Preparaes para a reunio
Um fator de sucesso sutil, mas de extrema importncia, a ordem seguida na discusso sobre riscos. A
experincia da Microsoft mostra que quanto mais informaes a Equipe de gerenciamento de riscos de
segurana levar para uma reunio, mais produtivo ser o seu resultado. Uma estratgia criar uma base de
conhecimentos de riscos em toda a organizao para reforar a experincia das equipes de segurana das
informaes e TI. Encontre-se com o Grupo de segurana das informaes antes e logo aps com as equipes
de TI para atualizar o seu conhecimento sobre o ambiente. Isso permite que a Equipe de gerenciamento de
riscos de segurana tenha uma compreenso mais ampla da rea de cada interessado dentro da organizao.
Isso tambm permite que a Equipe de gerenciamento de riscos de segurana compartilhe o progresso da
avaliao de riscos com os interessados, conforme apropriado. Seguindo essa melhor prtica, realize todas as
discusses sobre riscos de gerenciamento executivo at o final do processo de coleta de dados. Os executivos
geralmente querem uma previso sobre a direo que est sendo tomada na avaliao de riscos. No confunda
isso com patrocnio executivo e suporte. A participao executiva necessria no incio e durante todo o
processo de avaliao de riscos.
Invista tempo na criao da lista de convidados para cada discusso sobre riscos. A melhor prtica realizar as
reunies com grupos de interessados que possuem responsabilidades e conhecimento tcnico semelhantes. O
objetivo fazer com que os participantes sintam-se vontade com o nvel tcnico da discusso. Embora um
conjunto diversificado de interessados possa se beneficiar ouvindo vises diferentes sobre os riscos da
organizao, o processo de avaliao de riscos deve manter o foco na coleta de todos os dados relevantes
dentro do perodo de tempo alocado.
Aps agendar a discusso sobre riscos, faa uma pesquisa na rea da organizao de cada interessado para
familiarizar-se com os ativos, ameaas, vulnerabilidades e controles. Conforme mencionado acima, essas
informaes permitem que o Facilitador de avaliao de riscos mantenha a discusso dentro do programado e
em um ritmo produtivo.
Facilitando discusses
A discusso facilitada deve ter um tom informal. Entretanto, o Facilitador de avaliao de riscos deve manter a
discusso em andamento para abordar todos os pontos relevantes. A experincia mostra que a discusso
geralmente desvia-se da pauta. As armadilhas mais comuns so quando os interessados iniciam discusses
tcnicas sobre novas vulnerabilidades ou possuem solues de controle preconcebidas. O Facilitador de
avaliao de riscos deve usar a pesquisa pr-reunio e sua prpria experincia para criar um resumo da
discusso tcnica e manter o ritmo da reunio. Com a devida preparao, uma reunio com quatro a seis
interessados deve durar cerca de 60 minutos.
Dedique alguns minutos iniciais para apresentar a pauta e destacar as funes e responsabilidades dentro do
programa de gerenciamento de riscos. Os interessados devem entender com clareza suas funes e as
contribuies esperadas. Outra melhor prtica consiste em fornecer a todos os interessados uma planilha de
exemplo de discusso sobre riscos para anotaes pessoais. Isso tambm oferece uma referncia a ser usada
enquanto o Facilitador de avaliao de riscos conduz a discusso sobre riscos. Outra melhor prtica consiste
em chegar mais cedo e traar um esboo de modelo de risco no quadro de apresentao para anotar os dados
durante a reunio. Para uma reunio de 60 minutos, o cronograma da reunio deve ser semelhante ao
apresentado abaixo:

Apresentaes e viso geral de gerenciamento de riscos 5 minutos

Funes e responsabilidades 5 minutos

Discusso sobre riscos 50 minutos
A discusso sobre riscos dividida na seguintes sees:

Determinando os ativos e cenrios organizacionais

Identificando as ameaas

Identificando as vulnerabilidades

Estimando a exposio de ativos

Estimando a probabilidade de ameaas

Discusses sobre os control es propostos

Resumo da reunio e prximas etapas
O fluxo real da reunio varia conforme o grupo de participantes, o nmero de riscos discutidos e a experincia
do Facilitador de avaliao de riscos. Use esse exemplo como orientao em termos de tempo relativo
necessrio para cada tarefa de avaliao. Alm disso, considere enviar o modelo de coleta de dados aos
interessados antes da reunio se esses possurem experincia anterior com o processo de avaliao de riscos.
Observao: as demais sees deste captulo incluem informaes de exemplo para ajudar a demonstrar o
uso das ferramentas mencionadas na fase de avaliao de riscos. A empresa do exemplo fictcia e o contedo
de risco mencionado representa apenas uma frao dos dados necessrios para uma avaliao de riscos
completa. O objetivo do exemplo simplesmente demonstrar como as informaes podem ser coletadas e
analisadas atravs das ferramentas fornecidas com este guia. Uma demonstrao completa de todos os
aspectos do processo de gerenciamento de riscos de segurana da Microsoft produz uma quantidade
significativa de dados e est fora do escopo deste guia. A empresa fictcia um banco de varejo chamado
Woodgrove Bank. Os contedos relacionados ao exemplo podem ser identificados pela ttulo "Exemplo do
Woodgrove" que precede cada tpico de exemplo.
Tarefa 1: determinando ativos e cenrios organizacionais
A primeira tarefa coletar as definies de ativos organizacionais do interessado dentro do escopo da avaliao
de riscos. Use o modelo de coleta de dados, mostrado abaixo, para preencher os ativos tangveis, intangveis
ou de servio de TI, conforme apropriado. (A FerramentaGGRS1-Ferramenta de coleta de dados.doc tambm
faz parte das ferramentas includas neste guia). Ajude os interessados a selecionar uma classe de ativo para
cada ativo e anot-la no modelo. Conforme apropriado, anote tambm o proprietrio do ativo. Se os
interessados apresentarem dificuldade em selecionar uma classe de ativo, verifique se o ativo est definido
detalhadamente para facilitar a discusso. Se os interessados continuarem a ter dificuldade, pule essa tarefa e
aguarde as discusses sobre ameaas e vulnerabilidades. A experincia mostra que os interessados classificam
os ativos com maior facilidade se entendem as ameaas potenciais ao ativo e ao negcio como um todo.
A discusso sobre ativos organizacionais pode ser limitada a algumas perguntas simples. Por exemplo, o ativo
importante para o sucesso da empresa? o ativo pode causar um grande impacto linha de base da
organizao? Se a resposta for sim, o ativo possui potencial para causar um alto impacto organizao.

Figura 4.3 Instantneo do modelo de coleta de dados (FerramentaGGRS1)
Exemplo do Woodgrove: o Woodgrove Bank possui muitos ativos de alto valor, entre sistemas de clculo de
juros e IIP de clientes a dados financeiros de clientes e a sua prpria reputao como instituio confivel. Este
exemplo concentra-se em um desses ativos os dados financeiros de clientes a fim de demonstrar o uso
das ferramentas que acompanham este guia. Aps discutir a propriedade do ativo na reunio para discusso
sobre riscos, a Equipe de gerenciamento de riscos de segurana identificou o Vice-presidente de assistncia ao
consumidor como proprietrio do ativo. Se for identificado um risco controverso ou uma estratgia de
atenuao dispendiosa, esse Proprietrio da empresa ser o principal interessado na deciso sobre o risco
aceitvel para o Woodgrove Bank. Ao conversar com representantes do departamento de Assistncia ao
consumidor, a Equipe de gerenciamento de riscos de segurana confirmou que os dados financeiros de clientes
constituem um ativo de alto valor comercial.
Tarefa 2: identificando as ameaas
Use terminologia comum para facilitar a discusso sobre ameaas como, por exemplo, o que os interessados
querem evitar que acontea a vrios ativos? Concentre as discusses em o que pode acontecer versus como
isso pode acontecer. Formule as perguntas em termos de confidencialidade, integridade ou disponibilidade do
ativo e anote tudo no modelo de coleta de dados.
Exemplo do Woodgrove: usando os ativos discutidos anteriormente, muitas ameaas podem ser
identificadas. Para ser breve, esse exemplo concentra-se apenas na ameaa de perda de integridade dos dados
financeiros de clientes. Tambm podem existir outras ameaas relacionadas disponibilidade e
confidencialidade dos dados do consumidor, mas essas esto fora do escopo desse exemplo bsico.
Tarefa 3: identificando as vulnerabilidades
Para cada ameaa identificada, discutam as vulnerabilidades como, por exemplo, como a ameaa pode ocorrer.
Encoraje os interessados a fornecer exemplos tcnicos especficos ao documentar as vulnerabilidades. Cada
ameaa pode apresentar vrias vulnerabilidades. Isso esperado e auxilia nas etapas posteriores de
identificao de controles na fase de suporte s decises do processo de gerenciamento de riscos de
segurana.
Exemplo do Woodgrove: considerando a ameaa de perda de integridade dos dados financeiros de clientes,
a Equipe de gerenciamento de riscos de segurana concentrou as informaes coletadas durante a discusso
sobre riscos nas trs vulnerabilidades a seguir:
1. Roubo de credenciais de supervisor financeiro por abuso de funcionrio confivel atravs de ataques no
tcnicos, como engenharia social ou bisbilhotagem.
2. Roubo de credenciais de supervisor financeiro de hosts de rede local (LAN) atravs de configuraes de
segurana desatualizadas.
3. Roubo de credenciais de supervisor financeiro de hosts remotos ou mveis como resultado de uma
configurao de segurana desatualizada.
Observe que podem existir vrias outras vulnerabilidades neste cenrio. O objetivo demonstrar como as
vulnerabilidades so designadas a determinadas ameaas. Observe tambm que os interessados podem no
articular as vulnerabilidades em termos tcnicos. A Equipe de gerenciamento de riscos de segurana deve
aprimorar as declaraes de ameaa e vulnerabilidade conforme necessrio.
Tarefa 4: estimando a exposio de ativos
O Facilitador de avaliao de riscos conduz uma discusso para estimar a exposio a cada combinao de
ameaa e vulnerabilidade. Pea aos interessados para selecionar um nvel de exposio alto, moderado ou
baixo e anotar no modelo. Para ativos e sistemas digitais, uma orientao til classificar a exposio como
alta se a vulnerabilidade permite um nvel administrativo ou bsico de controle do ativo.
Exemplo do Woodgrove: aps a identificao das ameaas e vulnerabilidades, o Facilitador de avaliao de
riscos conduz a discusso para coletar informaes sobre o nvel de dano em potencial que as combinaes de
ameaa e vulnerabilidade discutidas anteriormente possam ter em relao aos negcios. Aps alguma
discusso, o grupo determina o seguinte:

Uma violao de integridade atravs de abuso de funcionrio confivel pode estar causando danos aos
negcios, embora no de maneira grave. A extenso do dano limitada neste cenrio, pois cada supervisor
financeiro pode acessar apenas os dados do cliente que gerencia. Assim, o grupo de discusso reconhece
que um nmero menor de credenciais roubadas causaria menos dano que um nmero maior.

Uma violao de integridade atravs de roubo de credenciais em hosts de LAN poderia causar um dano de
nvel grave, ou Alto. Essa constatao especia lmente verdadeira em relao a um ataque automatizado
que coletaria vrias credenciais de supervisores financeiros em um curto perodo de tempo.

Uma violao de integridade atravs de roubo de credenciais em hosts mveis tambm poderia causar um
dano de nvel grave, ou Alto. O grupo de discusso observa que as configuraes de segurana nos hosts
remotos geralmente sofrem um atraso nos sistemas de LAN.
Tarefa 5: identificando os controles existentes e a probabilidade de explorao
Use a discusso sobre riscos para entender melhor a viso dos interessados sobre o ambiente de controle
atual, suas opinies sobre a probabilidade de uma explorao e suas sugestes de controles propostos. As
perspectivas do interessado podem variar em relao sua implementao de fato, mas oferecem uma valiosa
referncia para o Grupo de segurana das informaes. Use esse ponto em uma discusso para lembrar aos
interessados suas funes e responsabilidades no programa de gerenciamento de riscos. Anote os resultados
no modelo.
Exemplo do Woodgrove: aps a discusso sobre as possveis exposies da empresa com as ameaas e
vulnerabilidades identificadas, os interessados no tcnicos no possuem experincia suficiente para comentar
sobre a probabilidade de um host ser comprometido em vez de outro. Entretanto, eles concordam que seus
hosts remotos ou mveis no recebem o mesmo nvel de gerenciamento que os na LAN. realizada uma
discusso para solicitar aos supervisores financeiros que revejam periodicamente seus relatrios de atividade
em busca de comportamento no autorizado. Esse feedback coletado e ser considerado pela Equipe de
gerenciamento de riscos de segurana durante a fase de suporte s decises.
Resumindo a discusso sobre riscos
Ao final da discusso sobre riscos, resuma brevemente os riscos identificados e ajude a encerrar a reunio.
Alm disso, lembre aos interessados sobre o cronograma e o processo geral de gerenciamento de riscos. As
informaes coletadas na discusso sobre riscos d aos interessados uma funo ativa no processo de
gerenciamento de riscos de segurana e oferece uma compreenso valiosa Equipe de gerenciamento de
riscos de segurana.
Exemplo do Woodgrove: o Facilitador de avaliao de riscos resume a discusso e destaca os ativos,
ameaas e vulnerabilidades discutidas. Tambm descreve o processo de gerenciamento de riscos como um
todo e informa ao grupo de discusso que a Equipe de gerenciamento de riscos de segurana ir incorporar
suas informaes e as informaes de outros quando estimar a probabilidade de cada ameaa e
vulnerabilidade.
Definindo as declaraes de impacto
A ltima tarefa da etapa de coleta de dados facilitada analisar a possvel quantidade enorme de informaes
coletadas durante a discusso sobre riscos. O resultado dessa anlise uma lista de declaraes descrevendo o
ativo e a possibilidade de exposio de uma ameaa e vulnerabilidade. Conforme definido no captulo 3, essas
declaraes so chamadas declaraes de impacto . O impacto determinado pela combinao da classe de
ativo com o nvel de possibilidade de exposio ao ativo. Lembre-se de que o impacto representa a metade da
declarao de risco geral. O impacto combinado probabilidade de ocorrncia para completar a declarao
de risco.
A Equipe de gerenciamento de riscos de segurana cria as declaraes de impacto consolidando as informaes
coletadas na discusso sobre riscos, incorporando quaisquer impactos anteriormente identificados e incluindo
os dados sobre impacto de suas prprias observaes. A Equipe de gerenciamento de riscos de segurana
responsvel por essa tarefa, mas deve solicitar informaes adicionais dos interessados, conforme necessrio.
A declarao de impacto contm o ativo, a classificao do ativo, a camada de defesa em profundidade, a
descrio da ameaa, a descrio da vulnerabilidade e classificao da exposio. Use as informaes coletadas
no modelo de coleta de dados para definir as declaraes de impacto para todas as discusses facilitadas. A
figura 4.4 mostra os ttulos das colunas aplicveis no modelo de Risco de nvel resumido para coletar dados
especficos de impacto.

Figura 4.4 Planilha de nvel de risco resumido: colunas Ativo e Exposio (FerramentaGGRS2)
Exemplo do Woodgrove: o exemplo de informaes coletadas durante a discusso sobre riscos pode ser
organizado desenvolvendo-se declaraes de impacto. A Equipe de gerenciamento de riscos de segurana pode
documentar as declaraes de impacto em formato de frases como, por exemplo, "A integridade dos dados
confidenciais de clientes pode ser comprometida atravs de roubo de credenciais de hosts gerenciados
remotamente". Embora essa abordagem seja precisa, a composio de frases no se aplica a uma grande
quantidade de riscos em razo das inconsistncias na escrita, entendimento e dados mal organizados
(classificao ou consulta de riscos). Uma abordagem mais eficiente preencher os dados de impacto na tabela
Nvel resumido, conforme mostrado abaixo.

Figura 4.5 Exemplo do Woodgrove: Informaes coletadas durante o processo de coleta de dados
(FerramentaGGRS2)
Observao: a prxima seo, intitulada "Priorizao de risco", oferece orientao adicional sobre como
selecionar e documentar a classificao de impacto usada no processo de risco de nvel resumido.
Resumo de coleta de dados
Ao consolidar as informaes coletadas nas discusses para coleta de dados em declaraes de impacto
individuais, a Equipe de gerenciamento de riscos de segurana concluiu as tarefas na etapa de coleta de dados
facilitada da fase de avaliao de riscos. A prxima seo, "Priorizao de risco", analisa em detalhes as tarefas
envolvidas na priorizao de risco. Durante a priorizao, a Equipe de gerenciamento de riscos de segurana
responsvel por estimar a probabilidade para cada declarao de impacto. Em seguida, a Equipe de
gerenciamento de riscos de segurana combina as declaraes de impacto com as suas estimativas de
probabilidade de ocorrncia. O resultado uma lista abrangente de riscos priorizados, concluindo assim a fase
de avaliao de riscos.
Ao analisar riscos, identifique os riscos que dependem de outro para ocorrer. Por exemplo, se um ativo de
impacto comercial baixo receber um aumento de privilgios, um ativo de impacto comercial alto pode ser
exposto como conseqncia. Esse um exerccio vlido, entretanto, as dependncias de risco podem ser dados
extremamente complexos de coletar, acompanhar e gerenciar. O processo de gerenciamento de riscos de
segurana da Microsoft recomenda destacar as dependncias conforme seja vivel, mas geralmente gerenciar
todas as dependncias de risco no muito eficaz em termos econmicos. O objetivo geral identificar e
gerenciar os riscos de maior prioridade para a empresa.
Incio da pgina
Priorizao de risco
Conforme discutido na seo anterior, a etapa de coleta de dados facilitada define as tarefas para produzir uma
lista de declaraes de impacto para identificar ativos organizacionais e seus possveis impactos. Esta seo
aborda a prxima etapa na fase de avaliao de riscos: priorizao de risco. O processo de priorizao adiciona
o elemento de probabilidade declarao de impacto. Lembre-se de que uma declarao de riscos bem
estruturada precisa tanto do impacto organizao como da probabilidade desse impacto ocorrer. O processo
de priorizao pode ser caracterizado como a ltima etapa na "definio de quais so os riscos mais
importantes para a organizao". Seu resultado final uma lista priorizada de riscos que ser usada como
dado inicial no processo de suporte s decises discutido no captulo 5, "Oferecendo suporte s decises".
O Grupo de segurana das informaes o nico proprietrio do processo de priorizao. A equipe pode
consultar os interessados tcnicos e no tcnicos, mas sua responsabilidade determinar a probabilidade de
impacto potencial organizao.
Ao aplicar o processo de gerenciamento de riscos de segurana da Microsoft, o nvel de probabilidade tem
capacidade de aumentar a conscincia sobre riscos nos mais altos escales da organizao, ou pode reduzir
tanto essa conscincia que o risco pode ser aceito sem maiores discusses. Para estimar a probabilidade de
risco, a Equipe de gerenciamento de riscos de segurana precisa investir tempo para avaliar completamente
cada prioridade de combinao de ameaa e vulnerabilidade. Cada combinao avaliada em relao aos
controles atuais para considerar a eficcia desses controles que influenciam na probabilidade de impacto
organizao. Esse processo pode ser avassalador para organizaes de grande porte e pode contestar a
deciso inicial de investir em um programa formal de gerenciamento de riscos. Para reduzir a quantidade de
tempo investida na priorizao de riscos, voc pode considerar dividir o processo em duas tarefas: um
processo de nvel resumido e um processo de nvel detalhado.
O processo de nvel resumido produz rapidamente uma lista de riscos priorizados, similar aos procedimentos de
triagem realizados nas salas de emergncia dos hospitais para garantir atendimento prioritrio aos pacientes
com maior necessidade. Entretanto, a desvantagem que produz uma lista contendo apenas comparaes de
alto nvel entre os riscos. Uma longa lista de riscos de nvel resumido na qual cada risco categorizado como
alto no fornece orientao suficiente Equipe de gerenciamento de riscos de segurana nem permite que a
equipe priorize estratgias de atenuao. No entanto, permite que as equipes selecionem rapidamente os
riscos para separ-los entre altos e moderados. Desta forma, a Equipe de gerenciamento de riscos de
segurana pode concentrar seus esforos apenas nos riscos considerados mais importantes.
O processo de nvel detalhado produz uma lista mais detalhada, distinguindo com maior facilidade um risco do
outro. A viso de risco detalhado permite a classificao de riscos em pilhas, alm de incluir uma viso mais
detalhada do impacto financeiro potencial do risco. Esse elemento quantitativo facilita as discusses sobre o
custo dos controles no processo de suporte s decises, abordado em mais detalhes no prximo captulo.
Algumas organizaes podem simplesmente decidir por no produzir uma lista de risco de nvel resumido.
primeira vista pode parecer que essa estratgia economizaria tempo, mas na verdade esse no o caso. A
minimizao do nmero de riscos na lista de nvel detalhado no final das contas torna o processo de avaliao
de riscos mais eficiente. O objetivo principal do processo de gerenciamento de riscos de segurana da Microsoft
simplificar o processo de avaliao de riscos, estabelecendo um equilbrio entre a granularidade adicionada
para anlise de risco e a quantidade de esforo necessria para calcular o risco. Ao mesmo tempo, esfora-se
em promover e preservar a clareza em relao lgica envolvida, de forma que os interessados entendam
claramente os riscos organizao.
Alguns riscos podem possuir a mesma classificao tanto na lista resumida como na lista detalhada,
entretanto, as classificaes ainda fornecem detalhes suficientes para determinar se o risco importante para
a organizao e se deve ser encaminhado ao processo de suporte s decises.
Observao: o objetivo final da fase de avaliao de riscos definir quais so os riscos mais importantes para
a organizao. O objetivo da fase de suporte s decises determinar de que modo eles devem ser abordados.
As equipes geralmente ficam presas nesse estgio enquanto os interessados debatem a importncia de vrios
riscos. Para minimizar possveis atrasos, aplique as seguintes tarefas, conforme apropriado para a sua
organizao:
1. Defina, em termos no tcnicos, os nveis de risco alto e mdio para a sua organizao antes de iniciar
o processo de priorizao.
2. Concentre sua ateno nos riscos que esto na fronteira entre mdio e alto.
3. Evite discutir como abordar os riscos antes de decidir se o risco importante. Tome cuidado com os
interessados que possam ter em mente solues preconcebidas e esto buscando nas descobertas sobre
riscos justificativas para o seu projeto.
O restante desta seo discute os fatores de sucesso e as tarefas para a criao de classificaes de risco de
nvel resumido e detalhado. As tarefas a seguir e a figura 4.6 abaixo fornecem uma viso geral da seo e os
produtos principais do processo de priorizao de risco.
Tarefas e produtos principais

Tarefa 1 crie a lista de nvel resumido usando categorias amplas para estimar a probabilidade de impacto
organizao.

Resultado lista de nvel resumido para identificar rapidamente os riscos de prioridade para a
organizao.

Tarefa 2 reveja a lista de nvel resumido com os interessados para iniciar a criar um consenso sobre os
riscos de prioridade e para selecionar os riscos para a lista de nvel detalhado.

Tarefa 3 crie a lista de nvel detalhado examinando os atributos detalhados do risco no atual ambiente
comercial. Isso inclui orientao para determinar uma estimativa quantitativa para cada risco.

Resultado lista de nvel detalhado oferecendo uma viso de perto dos principais riscos organizao.

Figura 4.6 Tarefas de priorizao de risco
Observao: o resultado do risco de nvel detalhado ser revisado com os interessados no processo de
suporte s decises discutido no captulo 5.
Preparando para o sucesso
Priorizar os riscos para a organizao no uma proposta simples. A Equipe de gerenciamento de riscos de
segurana deve tentar prever o futuro estimando quando e como os impactos potenciais podem afetar a
organizao e deve ento justificar essas previses aos interessados. Uma armadilha comum para muitas
equipes "esconder" as tarefas envolvidas na determinao de probabilidade e usar clculos para representar
a probabilidade em percentuais ou outros nmeros bsicos aos quais supem que os Proprietrios da empresa
respondero mais rapidamente. Mas a experincia no desenvolvimento do processo de gerenciamento de riscos
de segurana da Microsoft provou que mais provvel que os interessados aceitem as anlises da Equipe de
gerenciamento de riscos de segurana se a lgica for clara durante o processo de priorizao. O processo
mantm o foco na compreenso do interessado durante todo o processo. Voc deve manter a lgica da
priorizao o mais simples possvel para atingir um consenso rapidamente, ao mesmo tempo em que minimiza
mal-entendidos. A experincia na realizao de avaliaes de risco na equipe de TI da Microsoft e de outras
organizaes mostra que as melhores prticas a seguir tambm ajudam a Equipe de gerenciamento de riscos
de segurana durante o processo de priorizao:

Analise os riscos durante o processo de coleta de dados. Como a priorizao de risco pode levar algum
tempo, tente antecipar os riscos controversos e inicie o processo de priorizao o mais rpido possvel. Esse
atalho possvel porque a Equipe de gerenciamento de riscos de segurana a nica proprietria do
processo de priorizao.

Realize pesquisas para dar credibilidade estimativa de probabilidade. Use relatrios de auditoria passados
e considere as tendncias do setor e os incidentes de segurana internos, conforme apropriado. Encontre-se
novamente com os interessados, conforme necessrio, para conhecer melhor os controles atuais e a
conscincia em relao a riscos especficos em seus ambientes.

Reserve tempo suficiente no projeto para realizar a pesquisa e a anlise da eficcia e das capacidades do
ambiente de controle atual.

Lembre aos interessados que a Equipe de gerenciamento de riscos de segurana responsvel por
determinar a probabilidade. O patrocinador executivo tambm deve reconhecer sua funo e oferecer
suporte anlise da Equipe de gerenciamento de riscos de segurana.

Comunique o risco em termos comerciais. Evite a tendncia de usar linguagem relacionada a medo ou
jargo tcnico na anlise de prioriza o. A Equipe de gerenciamento de riscos de segurana deve comunicar
o risco de forma que a organizao compreenda, ao mesmo tempo em que deve resistir a qualquer tentao
de exagerar no grau de perigo.

Reconcilie os riscos novos com os antigos. Ao criar a lista de nvel resumido, inclua os riscos das avaliaes
anteriores. Isso permite que a Equipe de gerenciamento de riscos de segurana acompanhe os riscos em
vrias avaliaes e oferece a oportunidade de atualizar os elementos de risco anteriores, conforme
necessrio. Por exemplo, se um risco anterior no foi atenuado em razo dos altos custos de atenuao,
reavalie a probabilidade de ocorrncia do risco e reveja e reconsidere quaisquer alteraes em relao aos
custos ou soluo de atenuao.
Priorizando riscos de segurana
A seo a seguir explica o processo de desenvolvimento das listas de risco resumido e detalhado. Pode ser til
imprimir os modelos de suporte para cada processo localizada na seo de ferramentas.
Realizando a priorizao de risco de nvel resumido
A lista de nvel resumido usa a declarao de impacto produzida durante o processo de coleta de dados. A
declarao de impacto o primeiro dos dois dados iniciais da viso resumida. O segundo a estimativa de
probabilidade determinada pela Equipe de gerenciamento de riscos de segurana. As trs tarefas a seguir
fornecem uma viso geral do processo de priorizao de nvel resumido:

Tarefa 1 determine o valor do impacto a partir das declaraes de impacto coletadas no processo de
coleta de dados.

Tarefa 2 estime a probabilidade de impacto para a lista de nvel resumido.

Tarefa 3 complete a lista de nvel resumido combinando os valores de impacto e de probabilidade para
cada declarao de risco.
Tarefa 1: determine o nvel do impacto
As informaes de classe de ativo e exposio de ativo coletadas no processo de coleta de dados deve ser
resumida em um nico valor para determinar o impacto. Lembre-se de que impacto a combinao da classe
do ativo com a extenso de exposio ao ativo. Use a figura a seguir para selecionar o nvel de impacto para
cada declarao de impacto.

Figura 4.7 Planilha de anlise de risco: Classe de ativo e Nvel de exposio (FerramentaGGRS2)
Exemplo do Woodgrove: lembre-se de que o exemplo do Woodgrove possui trs declaraes de impacto. A
lista a seguir resume essas declaraes combinando a classe de ativo com o nvel de exposio:
1. Impacto de roubo por funcionrio confivel: classe de ativo ICA e Exposio baixa. Usando a figura
acima, obtemos um impacto moderado.
2. Impacto de comprometimento de host de LAN: classe de ativo ICA e exposio alta levam a um impacto
alto.
3. Impacto de comprometimento de host remoto: classe de ativo ICA e exposio alta levam a um impacto
alto.
Tarefa 2: estimar a probabilidade de nvel resumido
Use as mesmas categorias de probabilidade discutidas no processo de coleta de dados. As categorias de
probabilidade esto includas abaixo para referncia:

Alta muito provvel, um ou mais impactos previstos em um ano

Mdia provvel, impacto previsto ao menos uma vez em dois ou trs anos

Baixa improvvel, impacto no previsto em trs anos
Exemplo do Woodgrove: a priorizao de risco de nvel resumido a primeira documentao formal da
estimativa da Equipe de gerenciamento de riscos de segurana sobre a probabilidade de risco. A Equipe de
gerenciamento de riscos de segurana deve estar preparada para fornecer evidncias ou relatos justificando
estimativas como, por exemplo, narrando incidentes passados ou mencionando a eficcia do controle atual. A
lista a seguir resume os nveis de probabilidade para o exemplo do Woodgrove:
1. Probabilidade de roubo por funcionrio confivel: Baixa. O Woodgrove National Bank orgulha-se de
contratar funcionrios confiveis. A gerncia garante essa confiana atravs de anlises de histrico
profissional e pessoal e realiza auditorias aleatrias sobre as atividades dos supervisores financeiros.
No houve nenhum caso de abuso por parte de funcionrios at o momento.
2. Probabilidade de comprometimento de host de LAN: Mdia. O departamento de TI formalizou seu
processo de patch e configurao na LAN em conseqncia das inconsistncias nos anos anteriores.
Devido natureza descentralizada do banco, os sistemas foram identificados nessa ocasio como sem
conformidade; entretanto, no foram relatados incidentes nos ltimos meses.
3. Probabilidade de comprometimento de host remoto: Alta. Os hosts remotos geralmente permanecem
sem conformidade por um longo perodo de tempo. Os incidentes recentes relacionados a infeces por
vrus e worms nos hosts remotos foram identificados.
Tarefa 3: complete a lista de risco de nvel resumido
Aps a Equipe de gerenciamento de riscos de segurana estimar a probabilidade, use a figura a seguir para
selecionar a classificao de risco de nvel resumido.

Figura 4.8 Planilha de anlise de risco: Impacto e Probabilidade (FerramentaGGRS2)
Observao: conforme apropriado para a sua organizao, o nvel de risco de um impacto mdio combinado
com uma probabilidade mdia pode ser definido como um risco alto. A definio dos nveis de risco
independentemente do processo de avaliao de riscos oferece a orientao necessria para tomar essa
deciso. Lembre-se de que o GGRS uma ferramenta para facilitar o desenvolvimento de um programa de
gerenciamento de riscos abrangente e consistente. Cada organizao deve definir o significado de risco para a
sua prpria empresa.
Exemplo do Woodgrove: combinando os resultados das classificaes de impacto e de probabilidade nas
seguintes classificaes de risco:
1. Risco de roubo por funcionrio confivel: baixo (impacto mdio, probabilidade baixa)
2. Risco de comprometimento de host de LAN: alto (impacto alto, probabilidade mdia)
3. Comprometimento de host remoto: alto (impacto alto, probabilidade alta)
Para revisar, a figura a seguir representa todas as colunas na lista de nvel resumido, que tambm est
includa em FerramentaGGRS2-Nvel de risco resumido.xls

Figura 4.9 Planilha de anlise de risco: Lista de nvel resumido (FerramentaGGRS2)
Conforme apropriado para a sua organizao, adicione colunas extras para incluir informaes adicionais como,
por exemplo, uma coluna "Data da identificao" para distinguir os riscos identificados nas avaliaes
anteriores. Voc tambm pode adicionar colunas para atualizar as descries de risco ou destacar quaisquer
alteraes ao risco desde a ltima avaliao. Voc deve personalizar o processo de gerenciamento de riscos de
segurana da Microsoft, incluindo as ferramentas, para atender s suas necessidades individuais.
Exemplo do Woodgrove: a figura a seguir completa o exemplo da lista de risco de nvel resumido do
Woodgrove Bank. Observe que as colunas de "Probabilidade" e "Nvel de risco resumido" foram adicionadas s
informaes da declarao de impacto para completar os elementos de uma declarao de riscos bem
estruturada.

Figura 4.10 Exemplo de lista de risco de nvel resumido do Woodgrove Bank (FerramentaGGRS2)
Analisando com os interessados
A prxima tarefa no processo de priorizao analisar os resultados resumidos com os interessados. Os
objetivos so atualizar os interessados sobre o processo de avaliao de riscos e solicitar seus dados para
ajudar a selecionar os riscos que devem ser analisados em um nvel mais detalhado. Use os critrios a seguir
ao selecionar os riscos a serem includos no processo de priorizao de nvel detalhado:

Riscos de nvel alto cada risco classificado como alto deve ser includo na lista detalhada. Cada risco
alto deve ter uma resoluo aps o processo de suporte s decises como, por exemplo, aceitar o risco ou
desenvolver uma soluo de atenuao.

Riscos na linha divisria crie uma anlise de priorizao detalhada para os riscos moderados que
exigem uma resoluo. Em algumas organizaes, possvel que todos os riscos moderados sejam includos
na lista detalhada.

Riscos controversos se um risco for novo, no compreendido ou visto de modo diverso pelos
interessados, crie uma anlise detalhada para ajudar os interessados a compreend-lo melhor.
Exemplo do Woodgrove: observe que o risco de "roubo por funcionrio confivel" est classificado como
Baixo na lista de risco de nvel resumido. Nesse estgio do processo de priorizao, esse risco j bem
compreendido pelos interessados. No exemplo do Woodgrove, esse risco serve como exemplo de um risco que
no precisa ser qualificado para a etapa de priorizao de risco de nvel detalhado. Para o restante do exemplo
do Woodgrove, apenas os riscos de comprometimento de host de LAN e remoto sero priorizados.
Realizando a priorizao de risco de nvel detalhado
A ltima tarefa no processo de avaliao de riscos a criao da lista de risco de nvel detalhado. A lista
detalhada tambm uma das tarefas mais importantes, pois permite que a organizao entenda o raciocnio
por trs dos mais importantes riscos empresa. Aps completar o processo de avaliao de riscos, muitas
vezes basta somente comunicar um risco bem documentado aos interessados para desencadear uma ao.
Para organizaes sem um programa formal de gerenciamento de riscos, o processo de gerenciamento de
riscos de segurana da Microsoft pode ser uma experincia reveladora.
Observao: se um risco for bem compreendido por todos os interessados, o detalhamento de nvel resumido
pode ser suficiente para determinar a soluo de atenuao apropriada.
A lista de risco detalhado refora muitos dos dados iniciais usados na lista de nvel resumido; entretanto, a
viso detalhada exige que a Equipe de gerenciamento de riscos de segurana seja mais especfica nas suas
descries de impacto e probabilidade. Para cada risco de nvel resumido, verifique se cada combinao de
ameaa e vulnerabilidade nica para todos os riscos. Muitas vezes os riscos de nvel resumido podem no ser
descritos com detalhes o suficiente para serem associados com controles especficos no ambiente. Se isso
acontecer, pode no ser possvel estimar com preciso a probabilidade de ocorrncia. Por exemplo, voc pode
aprimorar a descrio da ameaa na declarao de risco de nvel resumido a seguir para descrever dois riscos
distintos:
Declarao de risco de nvel resumido:
Dentro de um ano, os servidores de grande importncia podem sofrer impacto moderado a partir de um worm
em conseqncia de configuraes sem patches.
Declarao de nvel detalhado 1:
Dentro de um ano, os servidores de grande importncia podem ficar indisponveis por trs dias em
conseqncia da propagao de worms causada por configuraes sem patches.
Declarao de nvel detalhado 2:
Dentro de um ano, os servidores de grande importncia podem ser comprometidos, afetando a integridade de
dados em conseqncia da propagao de worms causada por configuraes sem patches.
Observao: como melhor prtica, familiarize-se com a anlise de risco detalhado antes do processo de coleta
de dados. Isso ajuda a Equipe de gerenciamento de riscos de segurana a fazer perguntas especficas durante
as discusses iniciais para coleta de dados com os interessados e minimiza a necessidade de reunies de
acompanhamento.
A lista de risco de nvel detalhado tambm exige declaraes especficas sobre a eficcia do ambiente de
controle atual. Aps a Equipe de gerenciamento de riscos de segurana ter compreendido detalhadamente as
ameaas e vulnerabilidades que afetam a organizao, o momento de compreender os detalhes dos controles
atuais. O ambiente de controle atual determina a probabilidade dos riscos potenciais organizao. Se o
ambiente de controle for suficiente, ento a probabilidade de um risco organizao baixa. Se o ambiente de
controle no for suficiente, ser necessrio definir uma estratgia de risco por exemplo, aceitar o risco ou
desenvolver uma soluo de atenuao. Como uma melhor prtica, os riscos devem ser acompanhados
independentemente do nvel de risco final. Por exemplo, se o risco for considerado aceitvel, guarde essa
informao para as avaliaes futuras.
O ltimo elemento da lista de risco de nvel detalhado uma estimativa de cada risco em termos
quantificveis, monetrios. A seleo de um valor monetrio para o risco no ser necessria at que seja
iniciado o trabalho na lista de nvel detalhado, em virtude do tempo necessrio para criar um consenso entre os
interessados. A Equipe de gerenciamento de riscos de segurana pode precisar encontrar-se novamente com
os interessados para coletar dados adicionais.
As quatro tarefas a seguir descrevem em linhas gerais o processo para criar uma lista de nvel detalhado de
riscos. uma boa idia imprimir o modelo na seo de ferramentas intitulada "FerramentaGGRS3-Priorizao
de risco de nvel detalhado.xls". O resultado uma lista detalhada de riscos que afetam a organizao. A
estimativa quantitativa determinada aps o valor do risco detalhado e descrita na prxima seo.

Tarefa 1 determine o impacto e a exposio.

Tarefa 2 identifique os controles atuais.

Tarefa 3 determine a probabilidade de impacto.

Tarefa 4 determine o nvel de risco detalhado.
Tarefa 1: determine o impacto e a exposio
Primeiro, insira a classe de ativo no modelo detalhado, a partir da tabela resumida. Em seguida, selecione a
exposio do ativo. Note que a classificao de exposio no modelo detalhado contm granularidade adicional
em comparao com o nvel resumido. A classificao de exposio no modelo detalhado consiste em um valor
de 1 a 5. Lembre-se de que a classificao de exposio define a extenso de dano ao ativo. Use os modelos
abaixo como guia para determinar a classificao de exposio apropriada sua organizao. Como cada valor
nos nmeros atribudos exposio pode afetar o nvel de impacto ao ativo, insira o valor mais alto de todos
aps preencher com os nmeros. O primeiro nmero de exposio ajuda a medir a extenso de impacto a
partir de comprometimento de confidencialidade ou integridade dos ativos comerciais. O segundo nmero
ajuda a medir o impacto na disponibilidade dos ativos.

Figura 4.11 Planilha de anlise de risco: Classificaes de exposio de confidencialidade ou integridade
(FerramentaGGRS3)
Aps considerar a extenso de dano de impactos potenciais confidencialidade e integridade, use a figura a
seguir para determinar o nvel de impacto de ausncia de disponibilidade ao ativo. Selecione os valores mais
altos como nvel de exposio de ambas as tabelas.

Figura 4.12 Planilha de anlise de risco: Classificaes de exposio de disponibilidade
(FerramentaGGRS3)
Use a figura como orientao para coletar as classificaes de exposio para cada impacto potencial. Se as
discusses para coleta de dados no forneceram detalhes suficientes sobre os nveis de exposio possveis,
pode ser necessrio revis-los com o proprietrio do ativo especfico. Conforme mencionado na seo de coleta
de dados, mencione as descries de exposio acima durante a discusso sobre riscos, conforme necessrio.
Exemplo do Woodgrove: a lista a seguir resume as classificaes de exposio para os dois riscos restantes:
1. Classificao de exposio de comprometimento de host de LAN: 4. O impacto comercial pode ser srio
e visvel externamente, mas no deve danificar completamente todos os dados financeiros de clientes.
Assim, selecionada a classificao 4.
2. Classificao de exposio de comprometimento de host remoto: 4 (o mesmo que acima).
Aps identificar a classificao de exposio, voc est pronto para determinar o valor de impacto preenchendo
as colunas apropriadas em FerramentaGGRS3-Priorizao de nvel de risco detalhado.xls e calculando o valor.
No processo de risco de nvel detalhado, o impacto o produto do valor de classe do impacto e o fator de
exposio. Cada classificao de exposio recebe um valor percentual que reflete a extenso de dano ao
ativo. Esse percentual chama-se fator de exposio. O processo de gerenciamento de riscos de segurana da
Microsoft recomenda uma escala linear de exposio de 100% a 20%. Ajuste-o de acordo com a sua
organizao. Cada valor de impacto tambm est associado ao valor qualitativo de alto, mdio ou baixo. Essa
classificao til para comunicar o nvel de impacto e acompanhar os elementos de risco durante os clculos
de risco detalhado. Como auxlio, a figura a seguir tambm mostra os valores de impacto possveis para cada
classe de impacto.

Figura 4.13 Planilha de anlise de risco: Determinando os valores de impacto (FerramentaGGRS3)
Exemplo do Woodgrove: a figura a seguir mostra como os valores de classe do impacto, a classificao de
exposio e a classificao geral de impacto so determinados usando o exemplo do Woodgrove.

Figura 4.14 Exemplo do Woodgrove mostrando os valores detalhados de classe de impacto, classificao
de exposio e valor de impacto (FerramentaGGRS3)
Tarefa 2: identifique os controles atuais
A planilha FerramentaGGRS3-Priorizao de nvel de risco detalhado.xls descreve os controles atuais na
organizao que reduzem atualmente a probabilidade de ameaa e vulnerabilidade definida na declarao de
impacto. Os clculos detalhados de probabilidade tambm oferecem uma avaliao da classificao de eficcia
do controle, entretanto, documentar os controles aplicveis tambm ajuda na comunicao dos elementos de
risco. Pode ser til organizar as descries de controle de acordo com as bem conhecidas categorias de grupos
de controle gerenciais, operacionais ou tcnicos. Essas informaes tambm so teis no processo de suporte
s decises descrito no captulo 5.
Exemplo do Woodgrove: a seguir encontra-se um exemplo de lista de controles primrios para o "risco de
comprometimento de host de LAN". Consulte a planilha FerramentaGGRS3-Priorizao de nvel de risco
detalhado.xls para obter descries adicionais de controle. Observe que as descries de controle tambm
podem ser usadas para ajudar a justificar as classificaes de exposio:

Os supervisores financeiros s podem acessar as suas prprias contas, portanto, a exposio inferior a
100%.

So enviados informativos via email sobre patches e atualizaes a todos os usurios como preveno.

O status do antivrus e das atualizaes de segurana so calculados e aplicados LAN em intervalos de
poucas horas. Esse controle reduz a janela de tempo em que os hosts de LAN esto vulnerveis a uma
ataque.
Tarefa 3: determine a probabilidade de impacto
A classificao de probabilidade consiste de dois valores. O primeiro valor determina a probabilidade da
vulnerabilidade existir dentro do ambiente com base nos atributos de vulnerabilidade e possibilidade de
explorao. O segundo valor determina a probabilidade da vulnerabilidade existir com base na eficcia dos
controles atuais. Cada valor representado por um intervalo de 1 a 5. Use as figuras a seguir como guias para
determinar a probabilidade de cada impacto organizao. A classificao de probabilidade ser ento
multiplicada pela classificao de impacto para determinar a classificao de risco relativa.
Observao: as figuras 4.15 e 4.17 foram usadas para ajudar a equipe de TI da Microsoft a compreender as
probabilidades dos riscos ocorrerem em seus ambientes. Ajuste o contedo conforme apropriado para a sua
organizao.
O Grupo de segurana das informaes proprietrio do processo de priorizao e deve personalizar os
atributos de priorizao conforme necessrio. Por exemplo, voc poderia modificar os nmeros para
concentrar-se nas vulnerabilidades especficas do aplicativo em oposio s vulnerabilidades de infra-estrutura
da empresa, caso o escopo da avaliao estivesse centrado no desenvolvimento do aplicativo. O objetivo
obter um conjunto consistente de critrios para avaliar os riscos no seu ambiente.
A figura a seguir inclui esses atributos de vulnerabilidade:

Populao de invasores a probabilidade de explorao normalmente aumenta conforme a populao
aumenta em tamanho e nvel de habilidade.

Acesso remoto versus Acesso local a probabilidade normalmente aumenta se a vulnerabilidade pode
ser explorada remotamente.

Visibilidade da explorao a probabilidade normalmente aumenta se uma explorao bastante
conhecida e disponvel publicamente.

Automao da explorao a probabilidade normalmente aumenta se uma explorao pode ser
programada para buscar vulnerabilidades automaticamente em ambientes de grande porte.
Lembre-se de que a estimativa da probabilidade de uma explorao possui natureza subjetiva. Use os atributos
acima como um guia para determinar e justificar as estimativas de probabilidade. A Equipe de gerenciamento
de riscos de segurana deve confiar e promover sua experincia na seleo e justificao de previses.

Figura 4.15 Planilha de anlise de risco: Avaliando a vulnerabilidade (FerramentaGGRS3)
Selecione a classificao apropriada na figura a seguir.

Figura 4.16 Planilha de anlise de risco: Avaliando o valor de probabilidade (FerramentaGGRS3)
Exemplo do Woodgrove: para os hosts de LAN e remotos, possvel que todos os atributos de
vulnerabilidade na categoria Alta sejam vistos tanto dentro como fora do ambiente de LAN do Woodgrove em
um futuro prximo. Assim, o valor de vulnerabilidade 5 para ambos os riscos.
A prxima figura avalia a eficcia dos controles atuais. Esse valor de natureza subjetiva e depende da
experincia da Equipe de gerenciamento de riscos de segurana em compreender o seu ambiente de controle.
Responda a cada pergunta e calcule o valor final para determinar a classificao de controle final. Um valor
mais baixo significa que os controles so eficazes e podem reduzir a probabilidade de ocorrncia de uma
exposio.

Figura 4.17 Planilha de anlise de risco: Avaliando a eficcia do controle atual (FerramentaGGRS3)
Exemplo do Woodgrove: para mostrar como os valores de eficcia do controle podem ser usados, a tabela a
seguir resume os valores apenas para o risco de comprometimento de host de LAN. Consulte a planilha
FerramentaGGRS3-Priorizao de nvel de risco detalhado.xls para ver o exemplo completo:
Tabela 4.2. Exemplo do Woodgrove Valores de eficcia do controle
Pergunta sobre a eficcia do controle Valor Description
As responsabilidades foram definidas e
aplicadas de forma eficaz?
0 (sim) A criao de diretiva e a responsabilidade pela
conformidade do host foram bem definidas.
A conscientizao foi comunicada e seguida
de forma eficaz?
0 (sim) So enviadas notificaes regulares aos
usurios e realizadas campanhas de
conscientizao geral.
Os processos foram definidos e praticados de
forma eficaz?
0 (sim) As avaliaes e aplicaes de conformidade
so documentadas e seguidas.
A tecnologia ou os controles existentes
reduzem a ameaa de forma eficaz?
1 (no) Os controles existentes ainda permitem um
intervalo de tempo entre a vulnerabilidade e a
aplicao de patches.
As prticas de auditoria atuais so
suficientes para detectar abuso ou
deficincias do controle?
0 (sim) As auditorias de avaliaes e aplicaes de
conformidade so eficazes considerando as
atuais ferramentas.
Soma de todos os atributos do controle: 1
Em seguida, adicione o valor da figura de Vulnerabilidade (Figura 4.16) ao valor da figura de Controle atual
(Figura 4.17) e insira-o no modelo de nvel detalhado. O modelo mostrado na figura a seguir para referncia.

Figura 4.18 Planilha de anlise de risco: Classificao de probabilidade com controle (FerramentaGGRS3)
Exemplo do Woodgrove: a classificao total de probabilidade para o exemplo de host de LAN 6 (valor de 5
para a vulnerabilidade, mais valor de 1 para a eficcia do controle).
Tarefa 4: determine o nvel de risco detalhado
A figura a seguir mostra o resumo de nvel detalhado para identificar o nvel de risco de cada risco identificado.
Embora a avaliao de risco em nvel detalhado possa parecer complicada, a lgica por trs de cada tarefa na
classificao de risco pode ser consultada usando as figuras anteriores. Essa capacidade de acompanhar cada
tarefa na declarao de risco muito til para ajudar os interessados a compreender os detalhes bsicos do
processo de avaliao de riscos.

Figura 4.19 Planilha de anlise de risco: Estabelecendo o nvel de risco detalhado (FerramentaGGRS3)
Exemplo do Woodgrove: a figura a seguir mostra a Lista de risco detalhado de exemplo para o Woodgrove
Bank. Esses dados encontram-se tambm em FerramentaGGRS3.

Figura 4.20 Exemplo do Woodgrove Bank de Lista de risco detalhado (FerramentaGGRS3)
A figura anterior mostra o contedo da classificao de risco e os elementos de seus dados. Conforme
mencionado acima, a classificao de risco o produto da classificao de impacto (com valores entre 1 e 10)
e a classificao de probabilidade (com valores entre 0 e 10). Isso produz um intervalo de valores de 0 a 100.
Aplicando a mesma lgica usada na lista de risco de nvel resumido, o nvel de risco detalhado tambm pode
ser comunicada nos temos qualitativos de alto, mdio ou baixo. Por exemplo, um impacto mdio e uma
probabilidade alta produzem uma classificao de risco alta. Entretanto, a lista de nvel detalhado oferece
especificao adicional para cada nvel de risco, conforme mostra a figura a seguir.

Figura 4.21 Planilha de anlise de risco: Estabelecendo a classificao qualitativa resumida
(FerramentaGGRS3)
Use os nveis de risco detalhados apenas como um guia. Conforme discutido no captulo 3, a Equipe de
gerenciamento de riscos de segurana deve ser capaz de comunicar organizao, por escrito, o significado de
riscos altos, mdios e baixos. O processo de gerenciamento de riscos de segurana da Microsoft apenas uma
ferramenta para identificar e gerenciar riscos em toda a organizao de um modo consistente e reproduzvel.
Quantificando riscos
Conforme discutido no captulo 2, o processo de gerenciamento de riscos de segurana da Microsoft aplica
primeiro a abordagem qualitativa para identificar e priorizar riscos de modo rpido e eficaz. Entretanto, quando
voc seleciona a estratgia de atenuao de risco mais adequada, a sua estimativa sobre o custo monetrio
potencial de um risco tambm deve ser levado em considerao. Assim, para riscos de alta prioridade ou
controversos, o processo tambm oferece orientao para determinar estimativas quantitativas. As tarefas
para quantificar riscos ocorre aps o processo de risco de nvel detalhado, devido ao longo perodo de tempo e
esforos necessrios para obter um consenso sobre as estimativas monetrias. Voc pode gastar uma
quantidade considervel de tempo para quantificar os riscos baixos se comear a quantificar riscos logo no
incio do processo.
Obviamente, uma estimativa monetria pode ser til para comparar os vrios custos das estratgias de
atenuao de risco. Entretanto, devido natureza subjetiva da avaliao de ativos intangveis, no existe um
algoritmo exato para quantificar riscos. O exerccio de estimar uma perda monetria exata pode na verdade
atrasar a avaliao de riscos devido aos desentendimentos entre os interessados. A Equipe de gerenciamento
de riscos de segurana deve deixar claro que a estimativa quantitativa apenas um dentre vrios valores para
determinar a prioridade ou o custo potencial de um risco.
Um benefcio de usar o modelo qualitativo para priorizar riscos primeiro a capacidade de reforar as
descries qualitativas para ajudar a aplicar um algoritmo quantitativo de modo consistente. Por exemplo, a
abordagem quantitativa descrita abaixo usa a classe de ativo e as classificaes de exposio identificadas na
discusso facilitada sobre riscos documentada com os interessados na seo de coleta de dados facilitada deste
captulo.
Semelhante abordagem qualitativa, a primeira tarefa do mtodo quantitativo determinar o valor total do
ativo. A segunda tarefa determinar a extenso de dano ao ativo, seguida pela estimativa da probabilidade de
ocorrncia. Para ajudar a reduzir o grau de subjetividade na estimativa quantitativa, o processo de
gerenciamento de riscos de segurana da Microsoft recomenda usar as classes de ativo para determinar o valor
total de ativo e o fator de exposio para determinar o percentual de dano ao ativo. Essa abordagem limita o
resultado quantitativo a trs classes de ativo e cinco fatores de exposio, ou 15 possveis valores quantitativos
de ativo. Entretanto, o valor para a estimativa de probabilidade no restringido. Conforme apropriado para a
sua organizao, voc pode decidir comunicar a probabilidade em termos de um intervalo de tempo, ou pode
tentar estimar o custo do risco anualmente. O objetivo encontrar um equilbrio entre a facilidade de
selecionar uma classificao relativa na abordagem qualitativa e a dificuldade de uma avaliao monetria e de
uma estimativa de probabilidade na abordagem quantitativa.
Use as cinco tarefas a seguir para determinar o valor quantitativo:

Tarefa 1 atribua um valor monetrio a cada classe de ativo da sua organizao.

Tarefa 2 insira o valor de ativo para cada risco.

Tarefa 3 calcule o valor de expectativa de perda nica.

Tarefa 4 determine a taxa de ocorrncia anual (TOA).

Tarefa 5 determine a expectativa de perda anual (EPA).
Observao: as tarefas associadas quantificao de riscos de segurana so semelhantes s etapas usadas
no setor de seguros para estimar o valor de ativo, o risco e a cobertura apropriada. No momento da redao
deste guia, as aplices de seguros para riscos de segurana das informaes esto comeando a surgir.
Conforme o setor de seguros adquire experincia na avaliao de riscos de segurana das informaes,
ferramentas como as tabelas de aturia para a segurana das informaes sero referncias importantes na
quantificao de riscos.
Tarefa 1: atribua valores monetrios s classes de ativo
Usando as definies para classes de ativo descritas na seo de coleta de dados facilitada, comece a
quantificar os ativos que se enquadram na descrio de classe de impacto comercial alto. Isso permite que a
Equipe de gerenciamento de riscos de segurana se concentre primeiro nos ativos mais importantes para a
organizao. Para cada ativo, atribua valores monetrios em relao importncia tangvel e intangvel para a
organizao. Como referncia, use as categorias a seguir para ajudar a estimar o custo total do impacto para
cada ativo:

Custo de substituio

Custo de suporte/manuteno

Custo de redundncia/disponibilidade

Reputao da organizao/mercado

Produtividade da organizao

Receita anual

Vantagem competitiva

Eficcia das operaes internas

Responsabilidade legal/de conformidade
Observao: a pasta de trabalho FerramentaGGRS3-Priorizao de risco de nvel detalhado contm uma
planilha para ajudar nesse processo.
Aps obter as estimativas monetrias para cada categoria, some os valores para determinar a estimativa para
o ativo. Repita esse processo para todos os ativos representados na classe de impacto comercial alto. O
resultado deve ser uma lista de prioridade de ativos e uma estimativa bsica da importncia monetria
associada para a organizao. Repita esse processo para os ativos que se enquadram nas classes de impacto
comercial moderado e baixo.
Em cada classe de ativo, selecione um valor monetrio para representar a importncia da classe de ativo. Uma
abordagem conservadora consiste em selecionar o valor de ativo mais baixo em cada classe. Esse valor ser
usado para representar a importncia de um ativo com base na classe de ativo selecionada pelos interessados
durante as discusses para coleta de dados facilitada. Essa abordagem simplifica a tarefa de atribuio de
valores monetrios a cada ativo reforando as classes de ativo selecionadas nas discusses para coleta de
dados.
Observao: outra abordagem para atribuir valor aos ativos consiste em trabalhar com a equipe de
gerenciamento de riscos financeiros que pode ter os dados de avaliao e cobertura de seguros para ativos
especficos.
Orientao para o uso da relevncia
Se estiver tendo dificuldades em selecionar valores de classe de ativo com o mtodo acima, outra abordagem
consiste em usar as orientaes associadas com a definio de relevncia nas demonstraes financeiras
produzidas por empresas abertas norte -americanas. A compreenso das orientaes de relevncia para a sua
organizao pode ser muito til na seleo do valor de ativo alto para a estimativa quantitativa.
A Junta de Normas de Contabilidade Financeira norte-americana (Financial Accounting Standards Board, FASB)
registra o seguinte em relao s demonstraes financeiras de empresas abertas, "As clusulas desta
Declarao no precisam ser aplicadas aos itens irrelevantes". Para obter mais informaes, consulte
www.sec.gov/interps/account/sab99.htm (site em ingls).
Esta passagem importante pois a FASB no possui um algoritmo para determinar o que relevante e o que
irrelevante e desaconselha o uso de mtodos estritamente quantitativos. Em vez disso, aconselha
explicitamente o uso de todas as consideraes pertinentes: "A FASB rejeita o uso de uma abordagem por
meio de frmulas para liberar-se da 'onerosa responsabilidade de tomar decises com base na relevncia' em
favor de uma abordagem que leve em considerao todas as consideraes pertinentes".
Embora no existam frmulas, a Comisso de Valores Mobilirios e Cmbio norte-americana, no Boletim do
pessoal da contabilidade nmero 99, reconhece o uso de uma regra geral para referncia na contabilidade
pblica para ajudar a determinar declaraes inexatas graves. Para obter mais informaes, consulte
www.sec.gov/interps/account/sab99.htm (site em ingls). A regra geral de referncia mencionada de 5%
para valores de demonstraes financeiras. Por exemplo, um modo de estimar a relevncia em uma receita
lquida de US$ 8 bilhes seria analisar mais a fundo declaraes inexatas potenciais de US$ 400 milhes, ou
um conjunto de declaraes inexatas que chegariam a um total de US$ 400 milhes.
As orientaes sobre relevncia variam bastante de acordo com a organizao. Use as orientaes de definio
de relevncia apenas como referncia. O processo de gerenciamento de riscos de segurana da Microsoft no
pretende de nenhum modo representar a posio financeira de uma organizao.
O uso das orientaes de relevncia pode ser til para estimar o valor de ativos de impacto comercial alto.
Entretanto, as orientaes de relevncia podem no ser teis para selecionar estimativas moderadas e baixas.
Entenda que o exerccio de estimativa de impacto possui natureza subjetiva. O objetivo selecionar valores
que sejam significativos para a sua organizao. Um boa dica para determinar os valores moderados e baixos
selecionar um valor monetrio que seja significativo em relao quantia gasta com tecnologia da informao
na sua organizao. Voc tambm pode decidir mencionar seus custos atuais com controles especficos de
segurana para aplicar a cada classe de ativo. Como exemplo, para ativos da classe de impacto moderado,
voc pode comparar o valor aos gastos monetrios atuais com controles de infra-estrutura de rede bsica. Por
exemplo, qual o custo total estimado para software, hardware e recursos operacionais para oferecer servios
de antivrus para a organizao? Isso oferece uma referncia para comparar ativos com uma quantia monetria
conhecida pela sua organizao. Como outro exemplo, um valor de classe de impacto moderado pode ser to
ou mais importante quanto os gastos atuais com firewalls de proteo aos ativos.
Exemplo do Woodgrove: a Equipe de gerenciamento de riscos de segurana do Woodgrove trabalhou em
conjunto com os principais interessados para atribuir valores monetrios a classes de ativo. Como o
gerenciamento de riscos uma novidade no Woodgrove, a empresa decidiu usar as orientaes de relevncia
para formar uma linha de base para avaliar ativos. Seu plano revisar as estimativas conforme adquire
experincia. O Woodgrove gera uma receita lquida anual aproximada de US$ 200 milhes. Ao aplicar a
orientao de relevncia de 5%, atribui -se um valor de US$ 10 milhes classe de ativo ICA. Com base nos
gastos anteriores com TI no Woodgrove, os interessados selecionaram um valor de US$ 5 milhes para os
ativos ICM e US$ 1 milho para os ativos ICB. Esses valores foram selecionados pois os grandes projetos de TI
usados para oferecer suporte e segurana aos ativos digitais no Woodgrove no passado estavam dentro desse
intervalo de valores. Esses valores tambm sero reavaliados durante o prximo ciclo anual de gerenciamento
de riscos.
Tarefa 2: identificar o valor de ativo
Aps determinar os valores de classe de ativo da sua organizao, identifique e selecione o valor apropriado
para cada risco. O valor da classe de ativo deve alinhar-se ao grupo de classe de ativo selecionado pelos
interessados nas discusses para coleta de dados. Essa a mesma classe usada nas listas de risco de nvel
resumido e detalhado. Essa abordagem reduz o debate sobre a importncia de um determinado ativo, pois o
valor da classe de ativo j foi determinado. Lembre-se de que o processo de gerenciamento de riscos de
segurana da Microsoft tenta estabelecer um equilbrio entre preciso e eficcia.
Exemplo do Woodgrove: os dados financeiros de clientes foram identificados como ICA durante as
discusses para coleta de dados. Entretanto, o valor de ativo US$ 10 milhes com base no valor ICA definido
acima.
Tarefa 3: calcule o valor de expectativa de perda nica (EPU)
Agora voc vai determinar a extenso de dano ao ativo. Use a mesma classificao de exposio identificada
nas discusses para coleta de dados para ajudar a determinar o percentual de dano ao ativo. Esse percentual
chama-se fator de exposio. A mesma classificao nas listas de risco de nvel resumido e detalhado. Uma
abordagem conservadora consiste em aplicar uma tabela varivel linear para cada valor de classificao de
exposio. O processo de gerenciamento de riscos de segurana da Microsoft recomenda uma tabela varivel
de 20% para cada valor de classificao de exposio. Isso pode ser modificado conforme apropriado para a
sua organizao.
A ltima tarefa consiste em multiplicar o valor de ativo pelo fator de exposio para calcular a estimativa
quantitativa para o impacto. Nos modelos quantitativos clssicos, esse valor conhecido como o valor de
expectativa de perda nica (EPU), ou seja, o valor de ativo multiplicado pelo fator de exposio.
Como referncia, a figura a seguir oferece um exemplo de uma abordagem quantitativa simples. Observe que
o exemplo abaixo simplesmente divide a classe de impacto comercial alto pela metade para determinar valores
moderados e baixos. Esses valores podem exigir ajustes conforme voc adquire experincia no processo de
avaliao de riscos.

Figura 4.22 Planilha de anlise de risco: Quantificando a expectativa de perda nica (FerramentaGGRS3)
Exemplo do Woodgrove: a figura a seguir representa os valores para determinar a EPU para os dois riscos
de exemplo.

Figura 4.23 Exemplo de EPU do Woodgrove Bank; Observao: valores em milhes de dlares
Tarefa 4: determine a taxa de ocorrncia anual (TOA)
Aps calcular a expectativa de perda nica, necessrio incorporar a probabilidade para concluir a estimativa
de risco monetrio. Uma abordagem comum consiste em estimar a freqncia de ocorrncia do risco no futuro.
Essa estimativa ser ento convertida em uma estimativa anual. Por exemplo, se o Grupo de segurana das
informaes acreditar que a risco pode ocorrer duas vezes por ano, a taxa de ocorrncia anual (TOA) ser dois.
Se o risco pode ocorrer uma vez a cada trs anos, a TOA ser de um tero, ou seja, 33%, ou 0,33. Para ajudar
na estimativa de probabilidade, use a anlise qualitativa acima no clculo de risco detalhado. Use a informao
a seguir como um guia para ajudar a identificar e comunicar o valor quantitativo para determinar a TOA.

Figura 4.24 Quantificando a taxa de ocorrncia anual (FerramentaGGRS3)
Use a figura anterior apenas como orientao. O Grupo de segurana das informaes deve selecionar um
valor para representar a TOA.
Exemplo do Woodgrove: a Equipe de gerenciamento de riscos de segurana determina as seguintes TOAs
para os riscos de exemplo:
1. TOA do host de LAN: reforando a avaliao qualitativa de probabilidade mdia, a Equipe de
gerenciamento de riscos de segurana estima que o risco ocorra ao menos uma vez a cada dois anos,
portanto, a estimativa de TOA 0,5.
2. TOA do host remoto: mais uma vez, reforando a avaliao qualitativa de probabilidade alta, a Equipe
de gerenciamento de riscos de segurana estima que o risco ocorra ao menos uma vez por ano,
portanto, a estimativa de TOA 1.
Tarefa 5: determine a expectativa de perda anual (EPA)
Para completar a equao quantitativa, multiplique a taxa de ocorrncia anual pela expectativa de perda nica.
O produto representado como expectativa de perda anual (EPA).
Expectativa de perda anual (EPA) = EPU * TOA
A EPA tenta representar o custo potencial do risco em termos anuais. Embora isso possa auxiliar os
interessados com uma viso financeira nas suas estimativas de custo, a Equipe de gerenciamento de riscos de
segurana precisa reiterar o fato de que o impacto organizao no se enquadra de modo adequado nos
gastos anuais. Se o risco se concretizar, o impacto organizao pode ocorrer em sua totalidade.
Aps determinar a estimativa quantitativa do risco, observe a planilha de risco detalhado, que possui uma
coluna extra para documentar qualquer histrico ou explicao que voc deseje incluir na estimativa
quantitativa. Use essa coluna para ajudar a justificar a estimativa quantitativa e a oferecer suporte s
evidncias, conforme apropriado.
Exemplo do Woodgrove: a tabela a seguir mostra os clculos bsicos para determinar a EPA para cada
exemplo de risco. Observe como uma alterao de qualquer valor pode alterar significativamente o valor EPA.
Use os dados qualitativos para ajudar a justificar e determinar a estimativa quantitativa.

Figura 4.25 Exemplo de EPA do Woodgrove Bank; Observao: valores em milhes de dlares
(FerramentaGGRS3)
Incio da pgina
Resumo
A fase de avaliao de riscos do ciclo de gerenciamento de riscos necessria para gerenciar riscos em toda a
organizao. Ao realizar as etapas de planejamento, coleta de dados facilitada e priorizao, lembre-se de que
a inteno da fase de avaliao de riscos no apenas identificar e priorizar riscos, mas fazer isso de um modo
rpido e eficaz. O processo de gerenciamento de riscos de segurana da Microsoft usa uma abordagem hbrida
de anlise qualitativa para identificar e selecionar riscos, usando em seguida os atributos financeiros da anlise
quantitativa para oferecer uma definio mais aprofundada dos riscos.
Facilitando o sucesso na fase de suporte s decises
Aps a Equipe de gerenciamento de riscos de segurana priorizar os riscos organizao, ela deve iniciar o
processo para identificar as estratgias de atenuao de risco apropriadas. Para ajudar os interessados na
identificao de possveis solues de atenuao de risco, a equipe deve criar requisitos funcionais para ajudar
a determinar o escopo da estratgia de atenuao para o proprietrio de atenuao adequado. A tarefa de
definio de requisitos funcionais discutida dentro do processo de suporte s decises mais amplo no prximo
captulo, Captulo 5, "Oferecendo suporte s decises".

Incio da pgina
5 de 12
Nesta pgina
Viso geral
Identificando e comparando controles
Resumo
Viso geral
A sua organizao j deve ter concludo a fase de avaliao de riscos e desenvolvido uma lista
priorizada de riscos com seus ativos mais valiosos. Agora voc deve abordar os riscos mais
significativos determinando as aes apropriadas para sua atenuao. Esta fase conhecida como
Oferecendo suporte s decises. Durante a fase anterior, a Equipe de gerenciamento de riscos de
segurana identificou os ativos, suas respectivas ameaas, as vulnerabilidades que essas ameaas
poderiam explorar para afetar os ativos, bem como os controles j estabelecidos para ajudar a proteger
os ativos. A partir desses dados, a Equipe de gerenciamento de riscos de segurana criou uma lista
priorizada de riscos.
O processo de suporte s decises inclui uma anlise formal de relao de custo/benefcio com funes
e responsabilidades bem definidas em todos os setores da organizao. A anlise de relao de
custo/benefcio oferece uma estrutura consistente e abrangente que ajuda a identificar, planejar e
selecionar a soluo de atenuao mais eficaz e econmica para reduzir o risco a um nvel aceitvel.
Assim como o processo de avaliao de riscos, a anlise de relao de custo/benefcio exige definies
bastante precisas das funes para garantir a sua eficcia. Alm disso, antes de realizar a anlise de
relao de custo/benefcio, a Equipe de gerenciamento de riscos de segurana deve garantir que todos
os interessados, incluindo o Patrocinador executivo, estejam cientes e concordem com o processo.
Durante a fase de suporte s decises, a Equipe de gerenciamento de riscos de segurana deve
determinar como abordar os principais riscos do modo mais eficaz e econmico. O resultado final ser
um rgido planejamento para controlar, aceitar, transferir ou evitar cada um dos principais riscos
identificados na fase de avaliao de riscos. As seis etapas da fase de suporte s decises so:
1. Definir os requisitos funcionais.
2. Selecionar as solues de controle.
3. Comparar solues com exigncias.
4. Estimar o grau de reduo de risco oferecido por cada controle.
5. Estimar os custos de cada soluo.
6. Selecionar a estratgia de atenuao de riscos.
A figura 5.1 abaixo mostra essas seis etapas e como a fase de suporte s decises est relacionada ao
processo geral de gerenciamento de riscos de segurana da Microsoft.

Neste artigo
Viso geral
Riscos de Segurana
segurana
riscos
suporte s decises
eficcia do programa
riscos ad hoc
Apndice B: Ativos
Apndice C: Ameaas
comuns
Apndice D:
Vulnerabilidades
Agradecimentos

Figura 5.1 O processo de gerenciamento de riscos de segurana da Microsoft: Fase de suporte s
decises
No existem frmulas simplificadas para se comparar o valor de um determinado controle em relao a
um outro. Este um processo bastante desaf iador por inmeras razes. Por exemplo, alguns controles
afetam vrios ativos. A Equipe de gerenciamento de riscos de segurana deve chegar a um acordo
sobre como comparar os valores de controles que afetam combinaes diferentes de ativos. Alm disso,
existem custos adicionais associados aos controles que vo alm da sua implementao. Algumas
questes relacionadas a serem consideradas so:

Por quanto tempo o controle ser eficaz?

Quantas horas/homem por ano sero necessrias para monitorar e manter o controle?

Quantas inconvenincias sero impostas pelo controle aos usurios?

Quanto treinamento ser necessrio para os responsveis pela implementao, monitorao e
manuteno do controle?

O custo do controle razovel em relao ao valor do ativo?
O restante deste captulo discutir as respostas a essas perguntas.
Para obter xito durante o processo de suporte s decises, necessrio seguir uma trajetria precisa,
alm do total entendimento por parte dos interessados sobre as suas respectivas funes em cada
etapa. O diagrama a seguir ilustra como a Equipe de gerenciamento de riscos de segurana executa o
processo de suporte s decises. Os Proprietrios da atenuao so responsveis por propor controles
que reduzam o risco e determinar o seu custo. A Equipe de gerenciamento de riscos de segurana
estima o grau de reduo de risco esperado de cada controle proposto. Com essas informaes, a
equipe pode realizar uma anlise eficiente de relao de custo/benefcio do controle, de forma a
determinar se esse deve ser recomendado para implementao. Em seguida, o Comit de orientao de
segurana decide quais os controles que devem ser implementados.

Figura 5.2 Viso geral da fase de suporte s decises
De certa forma, a definio precisa das funes reduz os possveis atrasos, pois a deciso cabe a
apenas um grupo. Entretanto, a experincia mostra que a eficcia geral do programa de gerenciamento
de riscos aumenta se cada proprietrio colaborar com os outros interessados.
Observao: o gerenciamento de riscos um ciclo contnuo, portanto, o esprito de equipe aumenta a
motivao do interessado e pode inclusive reduzir o risco aos negcios, permitindo que os interessados
reconheam os benefcios de suas contribuies e atuem rapidamente para reduzir os riscos.
Evidentemente, voc deve esforar-se por manter essa atitude durante os processos de gerenciamento
de riscos e de suporte s decises.
Dados iniciais necessrios para a fase de suporte s decises
Para a fase de suporte s decises, necessrio apenas um dado inicial da fase de avaliao de riscos:
a lista priorizada com os riscos que precisam ser atenuados. Se voc seguiu os procedimentos descritos
no captulo 4, "Avaliando os riscos", essas informaes esto registradas na planilha Risco detalhado na
pasta de trabalho do Microsoft Excel FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls,
localizada na pasta Ferramentas e modelos criada quando voc descompactou o arquivo contendo este
guia e os demais arquivos relacionados. Voc continuar a usar essa mesma planilha durante esta fase
do processo.
Participantes da fase de suporte s decises
Os participantes da fase de suporte s decises so semelhantes aos que participaram da fase de
avaliao de riscos. Na verdade, a maior parte, se no todos os membros da equipe, participou da fase
anterior. A anlise de relao de custo/benefcio apresenta a maioria das tarefas do processo de
suporte s decises. Entretanto, antes de iniciar com a anlise de relao de custo/benefcio, verifique
se todos os interessados entenderam suas respectivas funes.
A tabela a seguir resume as funes e as principais responsabilidades de cada grupo no processo de
suporte s decises.
Tabela 5.1: Funes e responsabilidades no programa de gerenciamento de riscos
Funo Responsabilidade
Operaes comerciais Identifica os controles de procedimento
disponveis para gerenciamento de riscos
Proprietrio da empresa o proprietrio da anlise de relao de
custo/benefcio dos ativos
Financeiro Auxilia na anlise de relao de custo/benefcio e
pode oferecer ajuda no desenvolvimento e
ontrole do oramento
Recursos humanos Identifica as exigncias de treinamento de
pessoal e os controles, conforme necessrio
Tecnologia da informao (TI) Arquitetura Identifica e avalia as solues de controle
potenciais
Tecnologia da informao Engenharia Determina o custo das solues de controle e
como implement-las
Tecnologia da informao Operaes Implementa as solues de controle tcnicas
Auditoria interna Identifica as exigncias de conformidade e
analisa a eficcia do controle
Jurdico Identifica os controles jurdicos, polticos e
contratuais e valida estimativas de valores
criadas para impacto de marca, responsabilidade
corporativa e outras questes comerciais
Relaes pblicas Valida as estimativas de valores criadas para
impacto de marca, responsabilidade corporativa e
outras questes comerciais
Comit de orientao de segurana Seleciona as solues de controle com base nas
recomendaes da equipe do projeto de
gerenciamento de riscos de segurana
Equipe de gerenciamento de riscos de segurana Define os requisitos funcionais dos controles para
cada risco e comunica a situao do projeto aos
interessados e aos usurios afetados, conforme
necessrio
A Equipe de gerenciamento de riscos de segurana deve atribuir um tecnlogo de segurana para cada
risco identificado. Um ponto nico de contato reduz o risco da Equipe de gerenciamento de riscos de
segurana produzir mensagens inconsistentes, padronizando a interao entre os participantes durante
todo o processo de anlise de relao de custo/benefcio.
Ferramentas fornecidas para a fase de suporte s decises
As informaes coletadas nesta fase do processo devem ser registradas na planilha Risco detalhado da
pasta de trabalho do Microsoft Excel FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls,
localizada na pasta Ferramentas e modelos criada quando voc descompactou o arquivo contendo este
guia e os demais arquivos relacionados.
Resultados necessrios para a fase de suporte s decises
Durante esta fase do processo de gerenciamento de riscos de segurana da Microsoft, voc ir definir e
selecionar vrias informaes importantes sobre cada um dos principais riscos identificados durante a
fase de avaliao de riscos. A tabela a seguir resume esses elementos principais. Voc encontrar
descries mais detalhadas nas prximas sees deste captulo.
Tabela 5.2: Resultados necessrios para a fase de suporte s decises
Informaes a serem coletadas Descrio
Deciso sobre como tratar cada risco Decidir controlar, aceitar, transferir ou evitar
cada um dos principais riscos
Requisitos funcionais Declaraes descrevendo a funcionalidade
necessria para atenuar o risco
Solues de controle potenciais Uma lista com os controles identificados pelos
Proprietrios da atenuao e pela Equipe de
gerenciamento de riscos de segurana que
podem ser eficazes na atenuao de cada risco
Reduo de risco de cada soluo de controle Avaliao de cada soluo de controle proposta
para determinar o grau de reduo de nvel de
risco ao ativo
Custo estimado de cada soluo de controle Todos os custos associados com a compra, a
implementao, o suporte e a mensurao de
cada controle proposto
Lista de solues de controle a serem
implementadas
Seleo feita atravs da anlise de relao de
custo/benefcio
Considerando as opes de suporte s decises
As organizaes possuem duas tticas bsicas em termos de tratamento de risco: aceitar o risco ou
implementar controles para reduzi-lo. Se decidirem aceitar o risco, podem decidir transferi-lo
totalmente ou em parte a terceiros, como uma empresa de seguros ou uma empresa de servios
gerenciados. As duas sees a seguir analisam as duas abordagens aceitao ou implementao de
controles para facilitar a reduo de risco.
Observao: muitos dos que utilizam o gerenciamento de riscos de segurana acreditam em uma
terceira opo para o tratamento de cada risco: evit-lo. Mas importante ter em mente que quando
voc decide evitar um risco, decide encerrar qualquer atividade associada ao risco. Com relao ao
gerenciamento de riscos de segurana, as organizaes devem encerrar o uso do sistema de
informaes que inclui o risco a fim de evit-lo. Por exemplo, se o risco for que "dentro de um ano os
servidores sem patch podem ser comprometidos atravs de um malware, o que comprometeria a
integridade dos dados financeiros", a nica maneira de evitar o risco seria encerrar o uso desses
servidores, o que provavelmente no uma opo realstica. O processo de gerenciamento de riscos de
segurana da Microsoft pressupe que essas organizaes esto interessadas em avaliar apenas os
ativos que possuem valor comercial e que permanecero em atividade. Portanto, este guia no discute
a opo de evitar o risco.
Aceitando o risco atual
O Comit de orientao de segurana deve decidir por aceitar um risco atual se concluir que no
existem controles economicamente viveis para reduzir o risco de modo vantajoso. Isso no significa
que a organizao no possa tratar o risco de maneira eficiente implementando um ou mais controles.
Em vez disso, significa que o custo de implementao do controle ou dos controles, ou o impacto
desses na capacidade da organizao de fazer negcios, muito alto em relao ao valor do ativo que
precisa de proteo. Por exemplo, considere o seguinte cenrio:
A Equipe de gerenciamento de riscos de segurana conclui que um dos riscos mais importantes aos
principais ativos comerciais o uso de senhas para autenticao de usurios ao efetuar logon na rede
corporativa. A equipe determina que a implantao de tecnologia de autenticao de dois fatores, como
cartes inteligentes, pode ser a maneira mais eficiente de eliminar definitivamente o uso de senhas
para autenticao. Desse modo, o Proprietrio da atenuao calcula o custo da implantao de cartes
inteligentes em toda a organizao e o seu impacto nos sistemas operacionais e aplicativos comerciais.
O custo da implantao bastante alto, mas pode ser justificado. Entreta nto, a equipe descobre que
muitos dos aplicativos comerciais da organizao desenvolvidos internamente dependem de
autenticao baseada em senha, e reescrever ou substituir esses aplicativos pode ser excessivamente
custoso, alm de levar vrios anos. Em ltima anlise, a equipe decide no recomendar ao Comit de
orientao de segurana o uso de cartes inteligentes para todos os usurios em um futuro imediato
Entretanto, a equipe tambm percebe que uma soluo de meio termo pode funcionar: os usurios de
contas particularmente poderosas ou confidenciais, como os administradores de domnio e os principais
executivos, podem ser solicitados a usar a autenticao atravs de cartes inteligentes. O Comit de
orientao de segurana toma a deciso final de seguir a recomendao da Equipe de gerenciamento de
riscos de segurana: os cartes inteligentes no sero necessrios para todos os funcionrios.
Uma variao da aceitao de risco a transferncia a terceiros. Aplices de seguro para ativos de TI
esto pouco a pouco se disponibilizando. Como alternativa, as organizaes podem contratar outras
empresas especializadas em servios gerenciados de segurana. A empresa terceirizada pode assumir
algumas ou todas as responsabilidade pela proteo dos ativos de TI da organizao.
Implementando controles para reduzir riscos
Os controles, algumas vezes descritos como contramedidas ou salvaguardas, so meios
organizacionais, operacionais ou tecnolgicos de gerenciamento de riscos. Os Proprietrios da
atenuao, com o suporte da Equipe de gerenciamento de riscos de segurana, identificam todos os
controles potenciais, calculam o custo de implementao de cada controle, determinam seus custos
adicionais como a inconvenincia ao usurio ou o custo de manuteno contnua do controle e
avaliam o grau de reduo de risco possvel de cada controle. Todas essas informaes permitem que a
equipe realize uma anlise eficiente de relao de custo/benefcio de cada controle proposto. Os
controles que reduzem o risco aos principais ativos de modo mais eficaz e a um custo razovel para a
organizao so aqueles que a equipe altamente recomenda para a implementao.
Chaves para o sucesso
Assim como na fase de avaliao de riscos, importante estabelecer expectativas razoveis para que a
fase de suporte s decises seja bem-sucedida. O suporte s decises exige contribuies significativas
de diferentes grupos que representam toda a empresa. Se apenas um desses grupos no entender ou
participar ativamente do processo, a eficcia de todo o programa pode ser comprometida. Assegure-se
de explicar com clareza as expectativas em relao a cada participante durante a fase de suporte s
decises, incluindo funes, responsabilidades e nveis de participao.
Criando um consenso
importante que toda a Equipe de gerenciamento de riscos de segurana tome decises atravs de
consenso. Caso contrrio, os comentrios dos membros discordantes podem prejudicar as
recomendaes da equipe aps a sua apresentao ao Comit de orientao de segurana. Mesmo que
o comit aprove os controles recomendados, as divergncias podem comprometer o sucesso dos
projetos de acompanhamento da implementao do controle. Para que todo o processo de
gerenciamento de riscos seja bem-sucedido, todos os membros da equipe devem concordar e oferecer
suporte aos controles recomendados.
Evitando obstrues
Como um dos objetivos desta fase criar atravs de consenso uma lista de controles, qualquer
interessado envolvido pode atrasar ou impedir o progresso impondo obstrues. Isto , qualquer
participante na fase de suporte s decises poderia decidir que se recusa a concordar ou a recomendar
um determinado controle. Da mesma forma, algum poderia tentar impor sua viso minoritria sobre a
maioria se a recomendao de um determinado controle estivesse sendo ameaada. muito
importante que o Facilitador de avaliao de riscos resolva situaes de obstruo quando estas
surgirem. Est alm do escopo deste guia oferecer aconselhamento detalhado sobre como gerenciar
esse tipo de desafio, mas algumas tticas eficazes incluem determinar os motivos principais do ponto
de vista de uma pessoa e ento trabalhar com a equipe para tentar encontrar alternativas ou acordos
eficazes aceitveis por toda a equipe.
Incio da pgina
Identificando e comparando controles
Esta seo explica como o Proprietrio da atenuao identificar as solues de controle potenciais e
determinar os tipos de custo associados implementao de cada controle proposto, alm de como a
Equipe de gerenciamento de riscos de segurana estimar o nvel de reduo de risco oferecido por
cada controle proposto. Os Proprietrios da atenuao e a Equipe de gerenciamento de riscos de
segurana apresentaro suas descobertas e as solues recomendadas ao Comit de orientao de
segurana para selecionar uma lista final de solues de controle para implementao.
O diagrama a seguir um extrato da planilha Risco detalhado, localizada na pasta de trabalho do Excel,
usada para realizar a avaliao de risco detalhado no captulo anterior. Esta planilha,
FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls, est includa neste guia e encontra-se na
pasta Ferramentas e modelos. O diagrama mostra todos os elementos usados durante a anlise de
relao de custo/benefcio. Cada uma das colunas descrita nas etapas a seguir.

Figura 5.3 Seo de suporte s decises da planilha Risco detalhado (FerramentaGGRS3)
Observao: a planilha tem como objetivo reduzir a probabilidade de impacto ao determinar o nvel de
reduo de riscos. Pressupe que o valor do ativo no alterado durante o perodo da avaliao de
risco. Normalmente, o nvel de exposio (grau de dano ao ativo) constante. A experincia mostra
que os nveis de exposio geralmente permanecem inalterados se as descries de ameaa e
vulnerabilidade so suficientemente detalhadas.
Etapa 1: definindo os requisitos funcionais
Os requisitos funcionais de segurana so declaraes que descrevem os controles necessrios para
atenuar o risco. O termo "funcional" significativo: os controles devem ser expressos conforme as
funes desejadas, em oposio s tecnologias estabelecidas. Solues tcnicas alternativas tambm
so possveis e qualquer deciso aceitvel, desde que atenda aos requisitos funcionais de segurana.
A Equipe de gerenciamento de riscos de segurana responsvel pela definio dos requisitos
funcionais, o primeiro produto do processo de anlise de relao de custo/benefcio. Para identificar
adequadamente os controles potenciais, a Equipe de gerenciamento de riscos de segurana deve definir
como os controles devem se comportar a fim de reduzir o risco aos negcios. Embora a equipe detenha
a propriedade, recomendvel que trabalhe em colaborao com o proprietrio da soluo de
atenuao.
necessrio definir os requisitos funcionais para cada risco discutido no processo de suporte s
decises. O produto resultante chamado de "Definies do requisito funcional". A definio e a
propriedade do requisito funcional so muito importantes no processo de anlise de relao de
custo/benefcio. O documento define o que necessrio para reduzir o risco identificado, mas no
especifica como o risco deve ser reduzido, nem define os controles especficos. Essa distino concede
Equipe de gerenciamento de riscos de segurana responsabilidade na sua rea de experincia, ao
mesmo tempo em que permite ao Proprietrio da atenuao, responsvel pela implementao da
soluo de atenuao, a propriedade das decises relacionadas operao e ao suporte aos negcios.
As respostas a cada risco so documentadas na coluna "Requisitos funcionais de segurana" em
GGRS3-Priorizao de risco de nvel detalhado.xls. Os requisitos funcionais devem ser revisados ao
menos uma vez ao ano para determinar se ainda so necessrios ou devem ser alterados.

Figura 5.4 Etapa 1 da fase de suporte s decises
O trabalho concludo na fase anterior permite que as organizaes entendam suas posies de risco e
determinem racionalmente quais controles devem ser implementados para reduzir os riscos mais
importantes. O Patrocinador executivo e os proprietrios da empresa querem saber a opinio do Grupo
de segurana das informaes sobre como a organizao deve agir em relao a cada risco. Para
responder a essa pergunta, o Grupo de segurana das informaes cria os requisitos funcionais de
segurana. Para cada risco, o Grupo de segurana das informaes compe uma declarao precisa
sobre os tipos de funcionalidade ou necessrio introduzir processos a fim de atenuar o risco.
Exemplo do Woodgrove: baseando-se no exemplo do Woodgrove Bank usado no captulo anterior,
segue abaixo um exemplo de requisito funcional til para o risco de roubo de credenciais de cliente de
rede local (LAN) gerenciada resultante configurao desatualizada de assinaturas de antivrus,
configuraes de host ou atualizaes de segurana desatualizadas:
DEVE existir a capacidade de autenticar a identidade de usurios atravs de dois ou mais fatores
quando efetuam logon na rede local.
Um exemplo de requisito no funcional seria:
A soluo DEVE utilizar cartes inteligentes para autenticar usurios.
A segunda declarao no funcional, pois descreve o uso de uma tecnologia especfica. Cabe aos
Proprietrios da atenuao fornecer uma lista de solues de controle especficos que atenda aos
requisitos funcionais. sua responsabilidade traduzir os requisitos funcionais em solues de controle
tcnicas ou em controles administrativos (diretivas, padres, orientaes, etc).
O requisito funcional para o segundo risco examinado durante a etapa de priorizao de risco de nvel
detalhado, o risco de roubo de credenciais de hosts mveis remotos resultantes de configuraes de
segurana desatualizadas seria:
DEVE existir a capacidade de autenticar a identidade de usurios atravs de dois ou mais fatores
quando efetuam logon na rede remotamente.
Anote os requisitos funcionais para cada risco na coluna Requisitos funcionais de segurana na planilha
FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls.
A RFC (Solicitao de comentrios) 2119 do IETF (Internet Engineering Task Force), disponvel em
www.ietf.org/rfc/rfc2119.txt, oferece orientao sobre as frases e palavras-chave a serem usadas nas
declaraes de requisitos. Esses termos, geralmente em maisculas, so "DEVE" (MUST), "NO DEVE"
(MUST NOT), "OBRIGATRIO" (REQUIRED), "DEVER" (SHALL), "NO DEVER" (SHALL NOT)
"DEVERIA" (SHOULD), "NO DEVERIA" (SHOULD NOT), "RECOMENDADO" (RECOMMENDED), "PODE"
(MAY) e "OPCIONAL" (OPTIONAL). A Microsoft recomenda que voc use essas palavras-chave nas suas
declaraes de requisito funcional seguindo as definies descritas na RFC 2119:

DEVE Esta palavra, ou os termos "OBRIGATRIO" ou "DEVER", significa que a definio uma
exigncia absoluta da especificao. Por exemplo, se a avaliao de risco identificar um cenrio de
alto risco, a palavra "DEVE" provavelmente a melhor palavra-chave para descrever o requisito que
se aplica ao cenrio.

NO DEVE Esta frase, ou a frase "NO DEVER", significa que a definio uma proibio
absoluta da especificao.

DEVERIA Esta palavra, ou o adjetivo "RECOMENDADO", significa que podem existir motivos
vlidos para ignorar um item em particular em determinadas circunstncias, mas as implicaes
devem ser entendidas na sua totalidade e cuidadosamente avaliadas antes de se decidir por um novo
trajeto. Por exemplo, se a avaliao de risco identificar um cenrio de risco baixo, a palavra
"DEVERIA" provavelmente a melhor palavra-chave para descrever o requisito que se aplica ao
cenrio.

NO DEVERIA Esta frase, ou a frase "NO RECOMENDADO", significa que podem existir motivos
vlidos quando o determinado comportamento for aceitvel ou at mesmo til, mas as implicaes
devem ser entendidas na sua totalidade e o caso deve ser cuidadosamente avaliado antes de
implementar qualquer comportamento descrito com esta palavra.

PODE Esta palavra, ou o adjetivo "OPCIONAL", significa que um item realmente opcional. Um
fornecedor pode decidir incluir o item devido exigncia de um mercado em particular ou por achar
que esse aprimora o produto, enquanto outro fornecedor pode omitir o mesmo item. Uma
implementao que no inclui uma determinada opo DEVE estar preparada para interoperar com
outra implementao que inclui a opo, embora possivelmente com funcionalidade reduzida. Do
mesmo modo, uma implementao que inclui uma determinada opo DEVE estar preparada para
interoperar com outra implementao que no inclui a opo (com exceo, claro, do recurso que a
opo oferece).
Aps a definio e a documentao dos requisitos funcionais de cada risco, voc est pronto para
passar para a prxima etapa da fase de suporte s decises.
Etapa 2: identificando as solues de controle
A prxima etapa desta fase consiste em os Proprietrios da atenuao criarem uma lista com os novos
controles potenciais para cada risco que atendam aos seus respectivos requisitos funcionais. Para
muitas organizaes, os membros do Grupo de segurana das informaes poder oferecer auxlio,
identificando vrios controles potenciais para cada risco identificado e caracterizado durante a fase
anterior. As organizaes que no contam com especialistas internos em nmero suficiente para
auxiliar nessa tarefa podem considerar a opo de oferecer consultores aos Proprietrios da atenuao.

O processo de identificao de controles potenciais pode parecer desanimador, especialmente se poucos
ou nenhum dos Proprietrios da atenuao possuem experincia anterior. Existem duas abordagens
que podem dar novas idias s equipes e muitas organizaes acreditam que seja mais eficiente usar
ambas. A primeira consiste em um debate informal, enquanto a segunda mais organizada e baseada
em como os controles podem ser classificados e organizados. A Equipe de gerenciamento de riscos de
segurana deve usar uma combinao dessas duas abordagens.
Na abordagem atravs de debate informal, o Facilitador de avaliao de riscos apresenta equipe as
perguntas a seguir em relao a cada risco: O Secretrio de avaliao de riscos documenta todas as
respostas na coluna "Controle proposto" na planilha Risco detalhado em FerramentaGGRS3-Priorizao
de risco de nvel detalhado.xls. Esse processo continua at que todos os principais riscos tenham sido
examinados e a equipe ento prossegue para determinar os custos associados a cada controle.

Que medidas a organizao poderia tomar para resistir ou prevenir a ocorrncia do risco? Por
exemplo, implementar autenticao de vrios fatores para reduzir o risco de comprometimento de
senha ou implantar um infra-estrutura de gerenciamento automatizado de patches para reduzir o
risco de comprometimento dos sistemas atravs de cdigo mvel mal-intencionado.

O que a organizao poderia fazer para recuperar-se do risco aps sua ocorrncia? Por exemplo,
estabelecer, fundar e treinar uma equipe robusta de resposta a incidentes ou implementar e testar
processos de backup e de restaurao para todos os computadores executando um sistema
operacional de classe de servidor. Indo mais alm, uma organizao pode estabelecer recursos de
computao redundantes em locais remotos que podem ser colocados em servio caso ocorra um
desastre no local principal.

Que medidas a organizao pode tomar para detectar a ocorrncia de risco? Por exemplo, instalar
um sistema de deteco de intruso baseado em rede dentro do permetro de rede e em locais-chave
na rede interna, ou instalar um sistema de deteco de intruso distribudo baseado em host em
todos os computadores da organizao.

Como o controle pode ser auditado e monitorado para garantir que continua em funcionamento? Por
exemplo, instalar e observar de modo diligente as ferramentas de gerenciamento apropriadas do
fornecedor do produto.

Como a organizao pode avaliar a eficcia do controle? Por exemplo, usar um funcionrio
especialista que esteja familiarizado com a vulnerabilidade para tentar superar o controle.

Existem outras aes que podem ser tomadas para gerenciar o risco? Por exemplo: transferir o risco
adquirindo uma aplice de seguros que indenize contra perdas relacionadas ao risco.
O segundo mtodo para identificar novos controle potenciais organiza os controles em trs amplas
categorias: organizaci onal, operacional e tecnolgica. Essas so subdivididas em controles que
oferecem preveno, deteco/recuperao e gerenciamento. Os controles preventivos so
implementados para impedir que o risco ocorra, por exemplo, interrompendo as violaes antes que se
alastrem. Os controles de deteco e de recuperao ajudam a organizao a determinar quando
ocorreu um evento de segurana e a retomar as atividades normais em seguida. Os controles de
gerenciamento no fornecem necessariamente proteo, mas so necessrios para a implementao de
outros controles. Essas categorias so discutidas em mais detalhes abaixo.
Controles organizacionais
Os controles organizacionais so procedimentos e processos que definem como os funcionrios da
organizao devem executar suas tarefas.
Os controles preventivos nesta categoria incluem:

Funes e responsabilidades precisas. Precisam ser definidas e documentadas de forma precisa para
que tanto a administrao como os funcionrios entendam claramente de quem a responsabilidade
por garantir a implementao de um nvel de segurana adequado para os ativos de TI mais
importantes.

Separao de tarefas e restries de privilgios. Quando devidamente implementados, esses
controles garantem que os funcionrios possuem acesso aos sistemas de TI apenas no grau
necessrio para a realizao de suas tarefas e nada alm disso.

Planos e procedimentos de segurana documentados. So desenvolvidos para explicar como os
controles foram implementados e como deve ser sua manuteno.

Treinamento de segurana e campanhas constantes de conscientizao. Necessrio para todos os
membros da organizao, permitindo que os usurios e os membros da equipe de TI entendam suas
responsabilidades e saibam como utilizar de modo adequado os recursos computacionais, protegendo
assim os dados da organizao.

Sistemas e processos para fornecimento e cancelamento de usurios. Esses controles so
necessrios para que os novos membros da organizao possam iniciar suas atividades rapidamente,
enquanto que o pessoal que est deixando a organizao perde acesso imediatamente na sua sada.
Os processos para o fornecimento devem incluir tambm transferncias de funcionrios entre grupos
da empresa com privilgios e nveis de acesso diferentes. Por exemplo, considere funcionrios de um
rgo governamental mudando de funes e classificaes de segurana de Confidencial para Super
confidencial ou vice-versa.

Processos preestabelecidos para conceder acesso a contratados, fornecedores, parceiros e clientes.
Geralmente uma variao do uso do fornecimento de acesso a usurios mencionado acima, mas com
divergncias em alguns casos. O compartilhamento de diferentes conjuntos de dados com grupos de
usurios diversificados, sejam esses internos ou externos, pode ser um grande desafio. Essas
escolhas podem ser afetadas por requisitos legais e regulatrios como, por exemplo, quando
envolvem dados de sade ou financeiros.
Os controles de deteco nesta categoria incluem:

Aplicao contnua de programas de gerenciamento de riscos para avaliar e controlar os riscos aos
principais ativos comerciais.

Anlises contnuas dos controles para verificar sua eficcia.

Auditorias peridicas nos sistemas para garantir que no foram comprometidos ou configurados
incorretamente.

Investigao sobre o histrico pessoal e profissional dos futuros funcionrios. Recomenda-se que
sejam implementadas investigaes adicionais sobre o histrico pessoal e profissional dos
funcionrios quando estiverem sendo considerados para uma promoo a posies com nvel de
acesso mais alto aos ativos de TI da organizao.

Estabelecimento de rodzio de tarefas, um modo bastante eficiente de descobrir atividades mal
intencionadas por parte de membros da equipe de TI ou usurios com acesso a informaes
confidenciais.
Os controles de gerenciamento nesta categoria incluem:

Planejamento de resposta a incidentes, oferecendo organizao a capacidade de reagir
rapidamente e recuperar-se de violaes de segurana, minimizando o impacto e impedindo o
alastramento a outros sistemas.

Planejamento de continuidade dos negcios, permitindo que a organizao se recupere de eventos
catastrficos que afetam uma grande parte da infra-estrutura de TI.
Controles operacionais
Os controles operacionais definem como os funcionrios da organizao devem tratar dados, software e
hardware. Tambm incluem protees ambientais e fsicas, conforme descrito abaixo.

Proteo das instalaes computacionais atravs de meios fsicos, como porteiros, crachs e trancas
eletrnicas, trancas biomtricas e grades.

Proteo fsica aos sistemas de usurios finais, incluindo dispositivos como trancas e alarmes para
computadores portteis e criptografia de arquivos armazenados em dispositivos portteis.

Alimentao de backup de emergncia, o que pode proteger sistemas eltricos sensveis contra
danos durante quedas de energia e blackouts. Tambm ajudam a garantir que os aplicativos e os
sistemas operacionais sejam desligados de modo adequado a fim de preservar dados e transaes.

Sistemas de proteo contra incndio, como sistemas automticos de deteco de incndio e
extintores de incndio, ferramentas essenciais para proteger os ativos comerciais.

Sistemas de controle de temperatura e umidade que prolongam o tempo de vida til de
equipamentos eltricos sensveis e ajudam a proteger os dados neles armazenados.

Controle de acesso mdia e procedimentos de descarte para garantir que apenas pessoal autorizado
tenha acesso a informaes confidenciais e que as mdias usadas para armazenar tais dados sero
inutilizadas atravs de desmagnetizao ou outros mtodos antes do descarte.

Sistemas de backup e possibilidade de armazenamento de backup externo para facilitar a
restaurao de dados perdidos ou corrompidos. No caso de um incidente catastrfico, a mdia de
backup armazenada externamente permite armazenar dados comerciais confidenciais em sistemas
de substituio.
Os controles de deteco e de recuperao nesta categoria incluem:

Segurana fsica, defendendo a organizao contra invasores que tentam acessar suas instalaes.
Como exemplo, podemos citar sensores, alarmes, cmeras e detectores de movimento.

Segurana ambiental, protegendo a organizao contra ameaas ambientais como inundaes e
incndios. Como exemplo, podemos citar detectores de fumaa e fogo, alarmes, sensores e
detectores de inundao.
Controles tecnolgicos
Os controles tecnolgicos variam muito em termos de complexidade. Incluem planejamento
arquitetnico, engenharia, hardware, software e firmware. So todos os componentes tecnolgicos
usados para construir os sistemas de informao da organizao.

Autenticao. O processo de validao de credenciais de uma pessoa, um processo computacional ou
um dispositivo. A autenticao requer que a pessoa, o processo ou o dispositivo que fez a solicitao
fornea uma credencial comprovando sua identidade. As formas mais comuns de credenciais so
assinaturas digitais, cartes inteligentes, dados biomtricos e uma combinao de nomes de usurio
e senhas.

Autorizao. O processo de conceder acesso a uma pessoa, processo computacional ou dispositivo a
determinadas informaes, servios ou funcionalidades. A autorizao derivada da identidade da
pessoa, processo computacional ou dispositivo que solicitou o acesso, sendo verificada atravs de
autenticao.

No-repdio. uma tcnica usada para garantir que algum que esteja executando uma ao em
um computador no possa negar falsamente que realizou tal ao. O no-repdio oferece uma prova
inegvel de que o usurio efetuou uma determinada ao, como transferncia de dinheiro,
autorizao de compra ou envio de uma mensagem.

Controle de acesso. O mecanismo para limitar o acesso a determinadas informaes com base na
identidade do usurio e na participao em vrios grupos predefinidos. O controle de acesso pode ser
obrigatrio, condicional ou baseado na funo.

Comunicaes protegidas. Esses controles usam criptografia para proteger a integridade e a
confidencialidade das informaes transmitidas atravs de redes.
Os controles de deteco e de recuperao nesta categoria incluem:

Sistemas de auditoria. Permitem monitorar e acompanhar o comportamento inesperado do sistema.
So uma ferramenta essencial para a deteco, o entendimento e a recuperao de violaes de
segurana.

Programas antivrus. Planejados para detectar e responder a softwares mal intencionados, como
vrus e worms. As respostas podem incluir o bloqueamento do acesso do usurio aos sistemas ou
arquivos infectados ou informar ao usurio que sobre a deteco de um programa infectado.

Ferramentas de verificao de integridade do sistema. Permitem que a equipe de TI determine se
foram feitas alteraes no autorizadas ao sistema. Por exemplo, algumas ferramentas de verificao
de integridade do sistema calculam a soma de todos os arquivos presentes nos volumes de
armazenamento do sistema e guardam as informaes no banco de dados de um outro computador.
Essa ferramenta permite realizar comparaes confiveis e automatizadas entre o estado atual do
sistema e sua correta configurao anterior.
Os controles de gerenciamento nesta categoria incluem:

As ferramentas de administrao de segurana que acompanham vrios sistemas operacionais e
aplicativos comerciais, assim como produtos de hardware e software voltados para a segurana.
Essas ferramentas so necessrias para realizar eficientemente a manuteno, o suporte e a soluo
de problemas dos recursos de segurana desses produtos.

Criptografia, a base de vrios outros controles de segurana. A criao, o armazenamento e a
distribuio segura de chaves de criptografia possibilita tecnologias como redes virtuais privadas
(VPNs), autenticao de usurio segura e criptografia de dados em vrios tipos de mdia de
armazenamento.

Identificao, possibilitando identificar usurios e processos exclusivos. Com essa capacidade, os
sistemas podem incluir recursos como responsabilidade e controle de acesso condicional, baseado na
funo e obrigatrio.

Protees inerentes ao sistema, que so os recursos desenvolvidos dentro do sistema para proteger
as informaes nele processadas ou armazenadas. Os recursos de proteo do sistema podem ser
demonstrados atravs de reutilizao segura de objetos, suporte a memria no-execute (NX) e
separao de processo.
Ao considerar as solues de controle, revise a seo "Organizando as solues de controle" no captulo
6, "Implementando controles e analisando a eficcia do programa". Esta seo inclui links para vrias
orientaes prescritivas escritas para ajudar a aumentar a segurana dos sistemas de informao das
organizaes.
Exemplo do Woodgrove: o primeiro risco, o risco de roubo das credenciais do supervisor financeiro
durante conexo LAN, deve ser tratado solicitando que os usurios sejam autenticados atravs de
cartes inteligentes quando estiverem conectados localmente na rede corporativa.
O segundo risco, o risco de roubo das credenciais do supervisor financeiro durante conexo rede
remota, deve ser tratado solicitando que todos os usurios sejam autenticados atravs de cartes
inteligentes quando estiverem conectados remotamente na rede corporativa. Anote cada um dos
controles propostos para cada risco na coluna "Controle proposto" em FerramentaGGRS3-Priorizao de
risco de nvel detalhado.xls.
Etapa 3: Comparar solues com exigncias
A Equipe de gerenciamento de riscos de segurana deve aprovar a soluo de controle a fim de garantir
que atenda aos requisitos funcionais definidos. Outro benefcio da colaborao durante todo o processo
de anlise de relao de custo/benefcio a capacidade de antecipar as inspees inerentes ao
processo. Por exemplo, se o Proprietrio da atenuao participar do processo de definio dos
requisitos de segurana, a soluo provavelmente atender aos requisitos. Os controles que no
atendem aos requisitos funcionais de um determinado risco so removidos da planilha Risco detalhado.

Exemplo do Woodgrove: a Equipe de gerenciamento de riscos de segurana comparou o uso de
cartes inteligentes na autenticao de usurio para determinar se a sua implementao atenderia aos
requisitos funcionais. Neste caso, os cartes inteligentes atenderiam aos requisitos funcionais tanto do
primeiro como do segundo risco usado nesse exemplo. Marque cada um dos controles propostos
rejeitados usando uma formatao diferente na planilha FerramentaGGRS3-Priorizao de risco de nvel
detalhado.xls.
Etapa 4: estimando a reduo de riscos
A Equipe de gerenciamento de riscos de segurana, aps aprovar a atenuao potencial, deve
recalcular a reduo geral de risco aos negcios. O valor da reduo de risco ser comparado ao custo
da soluo de atenuao. Esta a primeira etapa na qual um total monetrio quantitativo pode
fornecer um valor na anlise de relao de custo/benefcio. A experincia mostra que a reduo de risco
geralmente estimada aumentando-se a probabilidade de ocorrncia de impacto aos negcios.
Lembre-se de que cada classificao de probabilidade alta, mdia ou baixa possui um perodo de tempo
previsto no qual possvel que o impacto ocorra.

O aumento da estimativa de ocorrncia do impacto de um ano para mais de trs anos fornece um valor
significativo para a Equipe de gerenciamento de riscos de segurana e para o Comit de orientao de
segurana. Embora seja possvel que a estimativa de prejuzo financeiro no diminua, menos provvel
que o prejuzo ocorra em um futuro prximo. importante lembrar que o objetivo no reduzir o
impacto a zero, mas definir um nvel de risco aceitvel para os negcios.
Outro benefcio da reduo de risco a curto prazo est relacionado tendncia comum de reduo
gradual dos custos de controle tcnico e seu respectivo aumento em eficcia. Por exemplo, uma
melhoria na estratgia de gerenciamento de patches atual pode significar uma reduo significativa da
probabilidade de comprometimento do host hoje. Entretanto, o custo de implantao de patches e
atualizaes de segurana pode diminuir conforme novas orientaes e ferramentas tornam-se
disponveis para gerenciar essas operaes de modo eficiente. Um outro exemplo dessa tendncia a
reduo de custos atravs de autenticao de dois fatores.
Ao determinar o grau de reduo de risco relativo a um determinado controle, considere todos os
modos nos quais o controle pode afetar o risco. Algumas das questes a considerar incluem:

O controle impede um ataque em especfico ou um conjunto de ataques?

Ele minimiza o risco de uma determinada classe de ataques?

O controle reconhece uma explorao quando essa ocorre?

Se ele reconhece uma explorao, consegue resistir ou monitorar o ataque?

O controle ajuda a recuperar os ativos que sofreram um ataque?

Que outros benefcios oferece?

Qual o custo total do controle em relao ao valor do ativo?
Essas perguntas podem se tornar complexas quando um controle em particular afeta vrias
vulnerabilidades e ativos. Fundamentalmente, o objetivo desta etapa criar estimativas sobre o grau
de reduo de nvel de risco de cada controle. Anote os novos valores para Classificao da exposio,
Classificao de probabilidade e Classif icao de risco nas colunas "Classificao de exposio com o
novo controle", "Classificao de probabilidade com o novo controle" e "Nova classificao de risco" em
FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls para cada risco.
Exemplo do Woodgrove: com relao ao primeiro risco, o risco de supervisores financeiros terem
suas senhas comprometidas atravs do uso de clientes de LAN, a Equipe de gerenciamento de riscos de
segurana poderia concluir que a classificao da exposio aps a implementao de cartes
inteligentes para autenticaes locais seria 8, a classificao de probabilidade cairia para 1 e, portanto,
a nova classificao de risco seria 9. Para o segundo risco, o risco de supervisores financeiros terem
suas senhas comprometidas atravs do acesso rede remotamente, a Equipe de gerenciamento de
riscos de segurana encontraria valores semelhantes. Anote as novas classificaes de exposio,
probabilidade e risco para cada controle proposto nas colunas "Classificao de exposio com o novo
controle", "Classificao de probabilidade com o novo controle" e "Nova classificao de risco" na
planilha Risco detalhado em FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls.
Etapa 5: estimando o custo da soluo
A prxima tarefa nesta fase consiste em o Proprietrio da atenuao criar uma estimativa do custo
relativo de cada controle proposto. A equipe de engenharia de TI deve ser capaz de determinar como
implementar cada controle e de fornecer estimativas razoavelmente precisas sobre os custos de
aquisio, implementao e manuteno de cada um. Como o processo de gerenciamento de riscos de
segurana da Microsoft implica em um processo de gerenciamento de riscos hbrido, no necessrio
calcular os custos com preciso, basta uma estimativa. Durante a anlise de relao de custo/benefcio,
os valores e custos relativos de cada controle sero comparados, em vez de nmeros financeiros
absolutos. Quando a equipe criar essas estimativas, deve levar em considerao os gastos diretos e
indiretos a seguir que podem estar associados a um controle. Anote os custos de cada controle na
coluna "Custo da descrio do controle" em FerramentaGGRS3-Priorizao de risco de nvel
detalhado.xls.

Custos de aquisio
Esses custos envolvem software, hardware ou servios relacionados a um novo controle proposto.
Alguns controles podem no possuir custo de aquisio por exemplo, a implementao de um novo
controle pode simplesmente envolver a habilitao de um recurso no usado anteriormente em uma
determinada parte do hardware de rede j em uso pela organizao. Outros controles podem exigir a
compra de novas tecnologias, como um software de firewall distribudo ou hardware de firewall
dedicado com funes de filtragem de camada de aplicativo. Alguns controles podem no exigir
nenhuma compra, mas sim a contratao de uma organizao externa. Por exemplo, uma organizao
pode contratar uma outra para fornecer uma lista de bloqueio de remetentes de spam conhecidos
atualizada diariamente para que possa anex -la aos filtros de spam j instalados nos servidores de
email da organizao. Podem existir outros controles que a prpria organizao decida desenvolver.
Todos os custos relacionados ao planejamento, desenvolvimento e teste dos controles faro parte dos
custos de aquisio da organizao.
Custos de implementao
Esses gastos esto relacionados equipe ou aos consultores que executaro a instalao e a
configurao do novo controle. Alguns controles podem exigir uma equipe grande para especificar,
planejar, testar e implantar adequadamente. Como alternativa, um administrador de sistemas
experiente poderia, em poucos minutos, desativar alguns servios de sistema no usados em todos os
computadores desktop e mveis, caso a organizao j possua ferramentas de gerenciamento
corporativo implantadas.
Custos contnuos
Esto relacionados s atividades contnuas associadas ao novo controle, como gerenciamento,
monitoramento e manuteno. Como sua estimativa um pouco difcil, tente pensar em termos de
quantas pessoas precisam estar envolvidas e quanto tempo por semana, ms ou ano ser gasto nessas
tarefas. Considere um sistema de deteco de intruso robusto baseado em rede distribuda para uma
grande empresa com escritrios em quatro continentes. Um sistema desse tipo exigiria pessoal para
monitorar o sistema 24 horas por dia, todos os dias, e esses funcionrios deveriam ser capazes de
interpretar e responder aos alertas com eficcia. Pode ser necessrio oito, dez ou mais funcionrios em
tempo integral para que a organizao possa concretizar integralmente o potencial desse complexo
controle.
Custos de comunicao
Esses gastos esto relacionados comunicao de novas diretivas ou procedimentos aos usurios. Para
uma organizao que tem algumas centenas de funcionrios e esteja instalando travas eletrnicas na
sala do servidor, alguns emails enviados equipe de TI e aos gerentes seniores pode ser suficiente.
Entretanto, qualquer organizao implantando cartes inteligentes, por exemplo, exigir muita
comunicao antes, durante e depois da distribuio dos cartes inteligentes e leitores, pois os usurios
precisaro familiarizar -se com um modo totalmente diferente de fazer logon em seus computadores e
certamente encontraro vrias situaes novas e inesperadas.
Custos de treinamento da equipe de TI
Esses custos esto associados equipe de TI que ir implementar, gerenciar, monitorar e fazer a
manuteno do novo controle. Considere o exemplo anterior de uma organizao que decidiu implantar
cartes inteligentes. Vrias equipes dentro da organizao de TI tero responsabilidades diferentes e,
portanto, necessitaro de treinamento diferenciado. A equipe de suporte tcnico precisar saber como
ajudar os usurios finais a superar problemas comuns, como cartes ou leitores danificados e PINs
esquecidos. A equipe de suporte a desktops precisar saber como instalar, solucionar problemas,
diagnosticar e substituir os leitores de cartes inteligentes. Uma equipe dentro da organizao de TI, no
departamento de recursos humanos, ou talvez no departamento de segurana da organizao,
precisar se encarregar do fornecimento de cartes novos ou substitutos e de recolher os cartes dos
funcionrios que deixarem a organizao.
Custos de treinamento dos usurios
Esse gasto est relacionado aos usurios que precisam incorporar um novo comportamento para
trabalhar com o novo controle. No cenrio de carto inteligente mencionado anteriormente, todos os
usurios precisaro entender como usar os cartes inteligentes e leitores, alm de entender os cuidados
essenciais com o seu manuseio, pois so geralmente mais sensveis que os cartes de crdito ou de
banco.
Custos de produtividade e convenincia
Esses gastos esto associados aos usurios cujo trabalho ser afetado pelo novo controle. No cenrio
de carto inteligente, voc pode supor que tudo ficaria mais fcil para a organizao aps as primeiras
semanas e meses de implantao dos cartes e leitores e a superao dos problemas iniciais dos
usurios. Mas para a maioria das organizaes, esse no seria o caso. Muitas descobririam que seus
aplicativos existentes no so compatveis com os cartes inteligentes, por exemplo. Em alguns casos
isso pode no importar, mas o que fazer em relao s ferramentas usadas pelo departamento de
recursos humanos para gerenciar as informaes confidenciais dos funcionrios? Ou o software de
gerenciamento de relacionamento com clientes usado por toda a organizao para monitorar os dados
importantes de todos os clientes?
Se aplicativos importantes como esses no forem compatveis com os cartes inteligentes e forem
configurados para exigir autenticao de usurio, a organizao pode se deparar com escolhas bastante
difceis. Ela poderia fazer uma atualizao do software, o que exigiria custos mais altos em termos de
novas licenas, implantao e treinamento. Ou poderia desativar os recursos de autenticao, mas isso
significaria uma reduo na segurana. Uma outra alternativa seria exigir aos usurios que digitassem
nomes de usurio e senhas ao acessar esses aplicativos, mas mais uma vez os usurios teriam de
memorizar senhas, comprometendo um dos principais benefcios dos cartes inteligentes.
Custos de auditoria e verificao de eficcia
A organizao incorreria nesses gastos aps a implementao do novo controle proposto. Exemplos de
perguntas que podem ser feitas para definir melhor esses custos incluem:

Como possvel garantir que o controle esteja fazendo o que deve fazer?

Alguns membros da organizao de TI faro um teste de invaso?

Eles tentaro executar amostras de cdigo mal intencionado contra o ativo que o controle deve
proteger?

Aps a validao da eficcia do controle, como a organizao verificar se o controle continua em
funcionamento e de forma constante?
A organizao deve ser capaz de provar que ningum pode modificar ou desativar o controle, seja
acidentalmente ou intencionalmente, e deve determinar quem ser encarregado dessa verificao. Pode
ser necessrio usar mais de uma pessoa para validar esses resultados no caso de ativos altamente
confidenciais.
Exemplo do Woodgrove: nas tabelas 5.3 e 5.4 abaixo, os Proprietrios da atenuao determinaram
os custos dos riscos. Anote as estimativas de cada controle proposto na coluna "Custo da descrio do
controle" em FerramentaGGRS3_Priorizao de risco de nvel detalhado.xls.
Tabela 5.3: Custos com a implementao de cartes inteligentes para acesso VPN e
administrativo
Categoria Observaes Estimativas
Custos de aquisio O custo por carto inteligente de US$ 15,00 e o custo por
leitor tambm de US$ 15,00. Apenas 10.000 funcionrios do
banco precisam de acesso VPN (virtual private networking) ou
administrativo, portanto, o custo total com cartes e leitores
seria de US$ 300.000,00.
US$
300.000,00
Custos de
implementao
O banco precisaria contratar uma firma de consultoria para
ajudar na implementao da soluo a um custo de US$
750.000,00. Alm disso, existiram outros custos significativos
com o tempo empregado pelos funcionrios do banco: US$
150.000,00.
US$
900.000,00
Custos de
comunicao
O banco j possui vrios mtodos estabelecidos de transmitir
notcias aos funcionrios, como newsletters impressas, sites
da Web internos e listas de endereamento por email,
portanto, os custos com a comunicao sobre a implantao
do carto inteligente no sero grandes.
US$
50.000,00
Custos de
treinamento da
equipe de TI
O banco usaria a mesma organizao de consultoria usada na
implementao para treinar a equipe de TI. O custo seria de
US$ 10.000,00. A maioria dos membros da equipe de TI
perderia de 4 a 8 horas de trabalho, um custo total estimado
de US$ 80.000,00.
US$
90.000,00
Custos de
treinamento dos
usurios
O banco usaria um treinamento baseado na Web do prprio
fornecedor de carto inteligente para ensinar aos funcionrios
como us-los. O custo est includo no preo do hardware.
Cada funcionrio do banco gastaria cerca de uma hora com o
treinamento, gerando uma perda total de produtividade de
cerca de US$ 300.000,00.
US$
300.000,00
Custos de
produtividade e
convenincia
O banco supe que o usurio mdio perder cerca de uma
hora de produtividade e que um em cada quatro entrar em
contato com o suporte para pedir ajuda com o carto
inteligente. O custo da perda de produtividade seria de US$
300.000,00 e os gastos com as chamadas ao suporte seriam
de US$ 100.000,00.
US$
400.000,00
Custos de auditoria
e verificao de
eficcia
A Equipe de gerenciamento de riscos de segurana acredita
que possa realizar auditorias e verificaes de eficcia
peridicas do novo controle a um custo de US$ 50.000,00 no
primeiro ano.
US$
50.000,00
Total US$
2.090.000,00
Tabela 5.4: Custos com a implementao de cartes inteligentes para acesso local
Categoria Observaes Estimativas
Custos de aquisio O custo por carto inteligente de US$ 15,00 e o custo por
leitor tambm de US$ 15,00. Como todos os 15.000
funcionrios do banco precisam de acesso local, o custo total
dos cartes e leitores seria de US$ 450.000,00. O banco
tambm precisaria atualizar ou substituir vrios aplicativos
comerciais a um custo significativo: US$ 1.500.000,00.
US$
1.950.000,00
Custos de
implementao
O banco precisaria contratar uma firma de consultoria para
ajudar na implementao da soluo a um custo de US$
750.000,00. Alm disso, existiram outros custos significativos
com o tempo empregado pelos funcionrios do banco: US$
150.000,00.
US$
900.000,00
Custos de
comunicao
O banco j possui vrios mtodos estabelecidos de transmitir
notcias aos funcionrios, como newsletters impressas, sites
da Web internos e listas de endereamento por email,
portanto, os custos com a comunicao sobre a implantao
do carto inteligente no sero grandes.
US$
50.000,00
Custos de
treinamento da
equipe de TI
O banco usaria a mesma organizao de consultoria usada na
implementao para treinar a equipe de TI. O custo seria de
US$ 10.000,00. A maioria dos membros da equipe de TI
perderia de 4 a 8 horas de trabalho, um custo total estimado
de US$ 80.000,00.
US$
90.000,00
Custos de
treinamento dos
usurios
O banco usaria um treinamento baseado na Web do prprio
fornecedor de carto inteligente para ensinar aos funcionrios
como us-los. O custo est includo no preo do hardware.
Cada funcionrio do banco gastaria cerca de uma hora com o
US$
450.000,00
treinamento, gerando uma perda total de produtividade de
cerca de US$ 450.000,00.
Custos de
produtividade e
convenincia
O banco supe que o usurio mdio perder cerca de uma
hora de produtividade e que um em cada quatro entrar em
contato com o suporte para pedir ajuda com o carto
inteligente. O custo da perda de produtividade seria de US$
450.000,00 e os gastos com as chamadas ao suporte seriam
de US$ 150.000,00.
US$
600.000,00
Custos de auditoria
e verificao de
eficcia
A Equipe de gerenciamento de riscos de segurana acredita
que possa realizar auditorias e verificaes de eficcia
peridicas do novo controle a um custo de US$ 150.000,00 no
primeiro ano.
US$
150.000,00
Total US$
4.190.000,00
Etapa 6: selecionando a soluo de atenuao de riscos
A ltima etapa na anlise de relao de custo/benefcio comparar o nvel de risco aps a soluo de
atenuao com o custo da prpria soluo de atenuao. Tanto o risco como o custo contm valores
subjetivos que so difceis de medir em termos financeiros exatos. Use os valores quantitativos como
um teste de comparao lgico. No caia na tentao de ignorar a ocorrncia dos custos intangveis do
risco. Pergunte ao proprietrio do ativo o que aconteceria se o risco ocorresse. Pea ao proprietrio
para documentar a sua resposta a fim de ajudar a avaliar a importncia da soluo de atenuao. Essa
ttica pode ser to persuasiva quanto uma comparao matemtica de valores quantitativos.

Uma armadilha comum da anlise de relao de custo/benefcio concentrar-se no valor de reduo de
risco em comparao com o valor de risco aps a soluo de atenuao. Isso normalmente conhecido
como risco residual. Como exemplo simples em termos quantitativos, se o risco for representado como
US$ 1.000,00 hoje e o controle proposto reduzir o risco em US$ 400,00, o proprietrio da empresa
deve aceitar os US$ 600,00 remanescentes de risco aps a soluo de atenuao. Mesmo que a soluo
de atenuao seja inferior a US$ 400,00, ainda existir um risco residual de US$ 600,00.
Exemplo do Woodgrove: provvel que o banco decida implementar cartes inteligentes apenas
para acesso remoto, pois os custos de uso na autenticao de todos os usurios so bastante altos.
Anote quais solues de segurana recomendadas foram selecionadas para implementao antes de ir
para a prxima fase do processo de gerenciamento de riscos de segurana da Microsoft.
Incio da pgina
Resumo
Durante a fase de suporte s decises, a Equipe de gerenciamento de riscos de segurana coleta vrias
informaes adicionais sobre cada um dos principais riscos identificados durante a fase de avaliao de
riscos. Determina se a organizao deve controlar, aceitar, transferir ou evitar cada um dos riscos.
Ento a equipe define os requisitos funcionais para cada risco. Em seguida, os Proprietrios da
atenuao, em conjunto com a Equipe de gerenciamento de riscos de segurana, cria uma lista de
solues de controle potenciais. A equipe ento cria uma estimativa do grau de reduo de risco
oferecido por cada soluo de controle e os custos associados. Finalmente, o Comit de orientao de
segurana seleciona quais solues de controle os Proprietrios da atenuao devem implementar na
prxima fase, Implementando controles, descrita no prximo captulo.

Incio da pgina
6 de 12
Captulo 6: Implementando controles e analisando a eficcia do programa
Nesta pgina
Viso geral
Implementando controles
Analisando a eficcia do programa
Resumo
Concluso do guia
Viso geral
O Captulo 6 explica as duas ltimas fases do processo de gerenciamento de riscos de
segurana da Microsoft: Implementando controles e Analisando a eficcia do programa. A fase
de implementao de controles auto-explicativa: os Proprietrios da atenuao de riscos
criam e executam planos de acordo com a lista de solues de controle resultante da fase de
suporte s decises a fim de atenuar os riscos identificados na fase de avaliao dos riscos.
Este captulo fornece links orientao prescritiva que pode ser til aos Proprietrios da
atenuao de riscos da sua organizao ao lidarem com diversos riscos.
A fase de anlise da eficcia do programa uma etapa contnua usada pela Equipe de
gerenciamento de riscos de segurana para verificar periodicamente se os controles
implementados na fase precedente esto apresentando o grau de proteo esperado. A
segunda etapa dessa fase a estimativa do progresso geral obtido pela organizao em relao
ao gerenciamento de riscos de segurana como um todo. O captulo apresenta o conceito de
um "Carto de pontuao de riscos" que pode ser usado para controlar o desempenho de sua
organizao. Finalmente, o captulo explica a importncia de monitorar alteraes no ambiente
de computao, como a adio ou remoo de sistemas e aplicativos ou a ocorrncia de novas
ameaas e vulnerabilidades. Esses tipos de alteraes podem exigir uma resposta rpida por
parte da organizao a fim de proteger -se contra riscos novos e em evoluo.
Incio da pgina
Implementando controles
Durante esta fase, os Proprietrios da atenuao usam os controles especificados durante a
fase anterior. Um fator de sucesso fundamental para esta fase do processo de gerenciamento
de riscos de segurana da Microsoft que os proprietrios da atenuao busquem uma
abordagem holstica quando implementarem as solues de controle. Eles devem considerar
que todo o sistema de Tecnologia da Informao (TI), a unidade comercial inteira ou mesmo
toda a empresa quando criarem seus planos de aquisio e implantao de solues de
atenuao. A seo "Organizando controles" deste captulo oferece uma orientao prescritiva
muito til para a organizao durante a criao de planos para implementao de solues de

Neste artigo
Viso geral
Riscos de Segurana
segurana
riscos
suporte s decises
eficcia do programa
riscos ad hoc
Apndice C: Ameaas
comuns
Apndice D:
Vulnerabilidades
Agradecimentos

controle. Esta seo organizada em um modelo de defesa em profundidade para ajud-lo a
encontrar orientao sobre como abordar certos tipos de problema.

Figura 6.1 O processo de gerenciamento de riscos de segurana da Microsoft: fase de
implementao de controles
Dados iniciais necessrios para a fase de implementao de
controles
H apenas um dado inicial da fase de suporte s decises necessrio para a fase de
implementao de controles: a lista priorizada de solues de controle que devem ser
implementadas. Caso tenha seguido os procedimentos descritos no Captulo 5, "Oferecendo
suporte s decises" a Equipe de gerenciamento de riscos de segurana registrou essas
informaes ao apresentar seus resultados ao Comit de orientao de segurana.
Participantes da fase de implementao de controles
Os principais participantes desta fase so os Proprietrios da atenuao. No entanto, talvez eles
precisem de alguma assistncia da Equipe de gerenciamento de riscos de segurana. A fase de
implementao de controles inclui as seguintes funes, que foram definidas no Captulo 3,
"Viso geral do gerenciamento de riscos de segurana":

Equipe de gerenciamento de riscos de segurana (o Grupo de segurana de informaes, o
Facilitador de avaliao de riscos e o Secretrio de avaliao de riscos)

Proprietrios da atenuao (Arquitetura de TI, Engenharia de TI e Operaes de TI)
A lista a seguir resume as responsabilidades especficas:

Engenharia de TI Determina como implementar as solues de controle

Arquitetura de TI Especifica como as solues de controle sero implementadas de
uma forma compatvel com os sistemas de computao existentes

Operaes de TI Implementa as solues de controle tcnicas

Segurana da Informao Ajuda a solucionar problemas durante o teste e a
implantao

Finanas Garante que os nveis de gastos sejam mantidos dentro dos oramentos
Como melhor prtica, a Equipe de gerenciamento de riscos de segurana deve designar um
tcnico de segurana para cada risco identificado. Um ponto nico de contato reduz o risco da
Equipe de gerenciamento de riscos de segurana produzir mensagens inconsistentes,
padronizando a interao entre os participantes durante todo o processo de implantao.
Ferramentas oferecidas para a fase de implementao de
controles
No h ferramentas relacionadas fase de implementao de controles includas neste guia.
Resultados necessrios para a fase de implementao de
controles
Durante esta fase do processo de gerenciamento de riscos de segurana da Microsoft, voc
criar planos para implementar as solues de controle especificadas durante a fase de suporte
s decises. A tabela a seguir resume esses elementos-chave; eles tambm so resumidos nas
sees subseqentes deste captulo.
Tabela 6.1: Resultados necessrios para a fase de implementao de controles
Informaes a serem coletadas Descri o
Solues de controle Uma lista de controles selecionada pelo
Comit de orientao de segurana e
implementada pelos Proprietrios da
atenuao
Relatrios sobre a implantao de controles Um relatrio ou srie de relatrios criado
para os Proprietrios da atenuao
descrevendo seu progresso na implantao
das solues de controle selecionadas
Organizando as solues de controle
O captulo anterior descreveu como oferecer suporte s decises do processo. Os resultados da
anlise daquela fase foram decises que o Comit de orientao de segurana tomou com
relao ao modo como a organizao responderia aos riscos de segurana identificados durante
a fase anterior de avaliao de riscos. Alguns riscos talvez tenham sido aceitos ou transferidos
a terceiros; para os riscos que deveriam ter sido combatidos, foi criada uma lista priorizada das
solues de controle.
A etapa seguinte fazer planos de ao para implementar os controles em um prazo
estabelecido. Esses planos devem ser claros e precisos e todos eles devem ser atribudos
pessoa ou equipe apropriada para a execuo. Use prticas eficazes de gerenciamento de
projeto para acompanhar o progresso e garantir a concluso dos objetivos do projeto dentro do
prazo.
Observao: o MSF (Microsoft Solutions Framework) pode ajud-lo a obter xito nos planos de
ao criados durante esta fase. Projetado para auxiliar organizaes a fornecer solues de alta
tecnologia de forma pontual e dentro do oramento proposto, o MSF uma abordagem
concentrada e disciplinada voltada a projetos de tecnologia, alm de ser baseada em um
conjunto definido de princpios, modelos, disciplinas, conceitos, diretrizes e prticas
comprovadas da Microsoft. Para obter mais informaes, consulte
www.microsoft.com/technet/itsolutions/techguide/msf/default.mspx (site em ingls)
H diversos pontos importantes que podem determinar o xito desta fase do projeto:

Os executivos que patrocinam o projeto de gerenciamento de riscos devem comunicar
claramente o fato de que os membros da equipe so autorizados a implementar os controles.
Sem essa declarao explcita, alguns funcionrios podem discordar ou mesmo resistir aos
esforos de implementao dos novos controles.

A equipe responsvel por ajudar a implementar os novos controles deve rever a prioridade
das tarefas existentes. Deve ficar claro para os funcionrios e gerentes que trabalham nos
controles que esta tarefa uma iniciativa de alta prioridade. Caso o oramento no inclua
recursos e tempo adequados, possvel que os controles no sejam implementados de
forma eficiente. Alm disso, a alocao inadequada de recursos pode levar a problemas
injustamente atribudos tecnologia ou ao controle.

A equipe responsvel por implementar os controles devem receber suporte financeiro,
treinamento, equipamento e outros recursos adequados necessrios para implementao
eficiente de todos os controles.
A equipe que implementar os controles dever registrar seu progresso em um relatrio ou srie
de relatrios que ser posteriormente enviado Equipe de gerenciamento de riscos de
segurana e ao Comit de orientao de segurana.
O Centro de Orientaes de Segurana (SGC) da Microsoft, em
www.microsoft.com/security/guidance/default.mspx, oferece um conjunto organizado e
completo de documentos que abordam diversos tpicos relacionados segurana. As
orientaes desse site podem ajud-lo a implementar os controles selecionados de sua lista
priorizada.
Observao: grande parte desta seo foi retirada do site de viso geral de contedo de
segurana da Microsoft: http://go.microsoft.com/fwlink/?LinkId=20263. Consulte esse site para
obter as mais recentes orientaes prescritivas de segurana da Microsoft.
O restante dessa seo organizado com base no modelo de defesa em profundidade da
Microsoft (ilustrado abaixo). Da mesma forma que os modelos publicamente disponveis so
usados por outras organizaes, o modelo multicamadas da Microsoft organiza os controles em
diversas categorias abrangentes. As informaes em cada seo consistem em recomendaes
e links de orientao prescritiva e documentos oficiais que descrevem os controles para
proteo de todas as camadas de uma rede. A orientao prescritiva oferece uma ajuda passo
a passo para o planejamento e a implantao de uma soluo de ponta a ponta. Essa
orientao foi testada e validada de forma abrangente em ambientes de clientes. Os
documentos oficiais e artigos geralmente oferecem boas referncias tcnicas para os recursos
dos produtos ou peas de uma soluo geral; eles talvez no ofeream a amplitude das
informaes encontradas na orientao prescritiva.
Observao: o item "Segurana fsica" do grfico a seguir no tem uma seo correspondente
neste captulo que recomende os recursos sobre o tpico; a Microsoft ainda no publicou
orientaes detalhadas sobre o assunto.

Figura 6.2 Modelo de defesa em profundidade
Defesas da rede
Uma arquitetura de rede bem feita e propriamente implementada fornece servios altamente
disponveis, seguros, escalonveis, gerenciveis e confiveis. Voc pode ter diversas redes em
sua organizao, mas deve avali -las individualmente para garantir que so seguras ou que as
redes de valor elevado fiquem protegidas contra redes que no so seguras. Implementar
defesas internas da rede envolve prestar ateno aos detalhes do design da rede, segurana
da rede sem fio e, possivelmente, usar a segurana do protocolo da Internet (IPSec) para
garantir que somente computadores confiveis tenham acesso aos recursos essenciais da rede.
Orientao prescritiva
Para obter uma orientao prescritiva sobre segurana de rede com firewalls, consulte o
Windows Server System Reference Architecture Enterprise Design for Firewalls, parte do
Windows Server System Reference Architecture, em www.microsoft.com/technet/
itsolutions/techguide/wssra/raguide/Firewall_Services_SB_1.mspx (site em ingls).
Para obter orientao prescritiva adicional, consulte o Captulo 15, "Protegendo sua rede" em
Aprimorando a segurana dos aplicativos da Web: Ameaas e contramedidas, em
http://msdn.microsoft.com/library/default.asp?url=/library/en-us
/dnnetsec/html/threatcounter.asp.
Para obter orientao prescritiva sobre como implementar LANs sem fio seguras (WLANs)
usando EAP e certificados digitais, consulte Protegendo LANs sem fio: Servios de Certificados
do Windows Server 2003 em http://go.microsoft.com/fwlink/?LinkId=14843.
Para obter orientao prescritiva sobre como implementar LANs sem fio seguras (WLANs)
usando PEAP e senhas, consulte Protegendo LANs sem fio com PEAP e senhas em
http://go.microsoft.com/fwlink/?LinkId=23459.
Para obter orientao prescritiva sobre como usar segmentao de redes para aprimorar o
desempenho e a segurana, consulte Windows Server System Reference Architecture:
Enterprise Design, parte do Windows Server System Reference Architecture, em
www.microsoft.com/technet/itsolutions/techguide
/wssra/raguide/Network_Architecture_1.mspx (site em ingls)
Documentos oficiais e artigos
Informaes sobre a implantao do IPSec esto disponveis no Captulo 6, "Overview of IPSec
Deployment", do "Deploying Network Services", um dos volumes includos no Microsoft
Windows Server 2003 Deployment Kit, em www.microsoft.com/technet/prodtechnol
/windowsserver2003/proddocs/deployguide/dnsbj_ips_agqq.asp (site em ingls).
Informaes adicionais sobre o IPSec esto disponveis no documento oficial "Using Microsoft
Windows IPSec to Help Secure an Internal Corporate Network Server", em
www.microsoft.com/downloads/details.aspx?FamilyID=a774012a-ac25-4a1d-8851-
b7a09e3f1dc9&DisplayLang=en (site em ingls).
Para obter uma abordagem mais ampla da segmentao de redes e os problemas que podem
ser eliminados por um projeto de rede slido, consulte "Enterprise Design for Switches and
Routers", parte do Windows Server System Reference Architecture, em
www.microsoft.com/technet/itsolutions/techguide
/wssra/raguide/Network_Devices_SB_1.mspx (site em ingls)
Para obter uma viso geral dos diferentes tipos de firewalls disponveis e como so
normalmente usados, consulte "Firewalls", em
www.microsoft.com/technet/security/topics/network/firewall.mspx.
Mais informaes sobre o controle de quarentena de acesso rede podem ser encontradas nos
seguintes documentos oficiais:

Documento oficial "Network Access Quarantine Control in Windows Server 2003", em
www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx (site em
ingls).

Documento oficial "Virtual Private Networking with Windows Server 2003: Overview" em
www.microsoft.com/windowsserver2003/techinfo/overview/vpnover.mspx (site em ingls).
Defesas do host
H dois tipos de hosts: clientes e servidores. Garantir a segurana de ambos os hosts com
eficincia requer um equilbrio entre o grau de proteo e o nvel de uso. Embora haja
excees, geralmente a segurana do computador aumenta na mesma proporo em que seu
uso diminui. As defesas do host incluem desabilitar os servios, remover direitos de usurio
especficos, manter o sistema operacional atualizado, bem como usar produtos antivrus e de
firewall distribudo.
O site Microsoft Patch Management apresenta ferramentas e guias para ajudar as organizaes
a testar, implantar e obter suporte a atualizaes. Consulte:
www.microsoft.com/technet/security/topics/patch/default.mspx (site em ingls)
Step-by-Step Guide to Securing Windows XP Professional with Service Pack 2 in Small and
Medium Businesses em http://go.microsoft.com/fwlink/?linkid=19453 (site em ingls).
Para orientao prescritiva sobre como proteger o Microsoft Windows XP, consulte o Guia
de Segurana do Windows XP, em http://go.microsoft.com/fwlink/?LinkId=14839.
Para obter orientaes prescritivas sobre o Microsoft Windows Server 2003, consulte o Guia
de Segurana do Windows Server 2003, em http://go.microsoft.com/fwlink/?LinkId=14845.
Ameaas e Contramedidas no Windows Server 2003 e no Windows XP um guia de referncia
para as principais configuraes e recursos de segurana que acompanha o Windows Server
2003 e o Windows XP. Ele fornece informaes detalhadas sobre o Guia de Segurana do
Windows Server 2003e est disponvel em http://go.microsoft.com/fwlink/?LinkId=15159.
Para obter orientaes prescritivas sobre segurana dos servidores com Windows 2000,
consulte o Windows 2000 Security Hardening Guide, em
www.microsoft.com/downloads/details.aspx
FamilyID=15E83186-A2C8-4C8F-A9D0-A0201F639A56&DisplayLang=en (site em ingls)
Os aplicativos e sistemas operacionais de servidor da Microsoft usam uma variedade de
protocolos de rede para se comunicarem entre si e com os computadores cliente que os
acessam, inclusive diversas portas TCP e UDP. Muitos desses protocolos esto documentados
no artigo 832017, "Port Requirements for Microsoft Windows Server System" do Microsoft
Knowledge Base em http://support.microsoft.com/?kbid=832017 (site em ingls).
O "Frequently Asked Questions About Antivirus Software" um artigo objetivo que oferece uma
viso geral de alto nvel dos softwares antivrus e sugestes sobre como adquirir, instalar e
manter esses tipos de produtos. Ele est disponvel em
www.microsoft.com/security/protect/antivirus.asp (site em ingls).
O "Frequently Asked Questions About Internet Firewalls" descreve a importncia de usar
firewalls, se apropriado instalar software de firewall em computadores de usurios finais e
como solucionar alguns dos problemas mais comuns relacionados a esse tipo de software. Ele
est disponvel em www.microsoft.com/security/protect/firewall.asp (site em ingls).
Defesas de aplicativos
As defesas de aplicativos so essenciais para o modelo de segurana. Os aplicativos existem
dentro do contexto geral do sistema, portanto voc deve considerar a segurana do ambiente
todo ao avaliar a segurana dos aplicativos. Todos os aplicativos devem ser completamente
testados com relao conformidade de segurana antes de serem executados em um
ambiente de produo. A implementao das defesas de aplicativos incluem uma arquitetura de
aplicativos adequada, alm de garantir que o aplicativo esteja sendo executado com a menor
quantidade de privilgio com o mnimo de exposio a ataques.
O Exchange 2003 Hardening Guide fornece informaes sobre segurana no Microsoft Exchange
2003 Server. Ele est disponvel em www.microsoft.com/downloads/details.aspx?
FamilyID=6a80711f-e5c9-4aef-9a44-504db09b9065&displaylang=en (site em ingls)
O Security Operations Guide for Exchange 2000fornece orientaes sobre a segurana do
Microsoft Exchange 2000 Server. Ele est disponvel em
www.microsoft.com/technet/security/prodtech/mailexch/opsguide/default.mspx (site em
ingls)
O Captulo 18, "Protegendo seu Servidor de Banco de Dados", do guia de solues Aprimorando
a Segurana dos Aplicativos da Web: Ameaas e Contramedidas inclui informaes prescritivas
sobre segurana do Microsoft SQL Server. Ele est disponvel em
http://msdn.microsoft.com/
library/default.asp?url=/library/en-us/dnnetsec/html/THCMCh18.asp.
O guia de solues Aprimorando a Segurana dos Aplicativos da Web: Ameaas e
Contramedidas fornece os fundamentos para projetar, desenvolver e configurar aplicativos da
Web ASP.NET. Ele est disponvel em http://msdn.microsoft.com/library/default.asp?url=/
library/en-us/dnnetsec/html/ThreatCounter.asp.
O guia Criando aplicativos ASP.NET seguros apresenta um cenrio prtico, dedicado ao design e
criao de aplicativos ASP.NET seguros para o Windows 2000 e a verso 1.0 do Microsoft .NET
Framework. Ele aborda os elementos-chave de autenticao, autorizao e comunicao segura
entre todas as camadas de aplicativos .NET Web distribudos. Ele est disponvel em
http://msdn.microsoft.com/library/
en-us/dnnetsec/html/secnetlpMSDN.asp?frame=true.
O documento oficial "Building and Configuring More Secure Web Sites" possui informaes
detalhadas sobre as lies que a Equipe de segurana da Microsoft aprendeu durante o
concurso de segurana online OpenHack 4 de 2002 patrocinado pela eWeek. A soluo
implantada para o concurso incluiu .NET Framework, Microsoft Windows 2000 Advanced Server,
IIS (Internet Information Services) verso 5.0 e SQL Server 2000. Esse aplicativo resistiu a
mais de 82.500 tentativas de ataque saindo ileso da competio. O documento est disponvel
em http://msdn.microsoft.com/library/en-us/dnnetsec/html/
openhack.asp (site em ingls)
Defesas de dados
Os dados so os recursos mais importantes das organizaes. Na estao de trabalho cliente,
os dados so geralmente armazenados localmente e ficam sujeitos a ataques. Os dados podem
ser protegidos de diversas maneiras, inclusive com o uso do servio de criptografia EFS
(Encrypting File Service) e com backups seguros freqentes.
Para obter informaes sobre o backup de dados em redes Windows 2000, consulte o guia
Backup and Restore Solution for Windows 2000based Data Centers em
www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/backuprest
default.mspx (site em ingls)
Para obter instrues passo a passo sobre como implementar o servio EFS, consulte o artigo
Step-by-Step Guide to Encrypting File System (EFS), disponvel em
www.microsoft.com/windows2000/techinfo/planning/security/efssteps.asp (site em ingls)
Incio da pgina
Analisando a eficcia do programa
A fase de anlise da eficcia do programa permite que a Equipe de gerenciamento de riscos de
segurana documente formalmente o estado atual do risco da organizao. Como os negcios
no param durante o ciclo de gerenciamento de riscos, essa fase tambm ajuda a demonstrar o
progresso de se gerenciar riscos a um nvel aceitvel com o passar do tempo. Para ajudar a
comunicar o progresso, esta seo introduz o conceito de um Carto de pontuao de riscos de
segurana como um indicador de alto nvel em uma organizao. O carto de pontuao ajuda
a demonstrar que o gerenciamento de riscos realmente integrado nas operaes de TI. O
conceito de "gerenciamento de riscos integrados" tambm um atributo importante para se
determinar o nvel de maturidade de riscos das organizaes, como descrito no Captulo 3,
"Viso geral do gerenciamento de riscos de segurana".

Figura 6.3 O processo de gerenciamento de riscos de segurana da Microsoft: fase de
anlise da eficcia do programa
Dados iniciais necessrios para a fase de anlise da eficcia do
programa
A lista a seguir resume alguns dos dados iniciais das fases anteriores que so necessrias para
a fase de anlise da eficcia do programa:

Lista priorizada dos riscos que precisam ser atenuados. Se voc seguiu os procedimentos
descritos no Captulo 4, "Avaliando os riscos", essas informaes foram gravadas na planilha
do Microsoft Excel chamada GGRSFerramenta3-Priorizao de riscos detalhada.xls na
pasta Ferramentas e Modelos criada quando voc descompactou este guia e os arquivos
relacionados.

A lista priorizada das solues de controle selecionada pelo Comit de orientao de
segurana. Caso tenha seguido os procedimentos descritos no Captulo 5, "Oferecendo
suporte s decises" a Equipe de gerenciamento de riscos de segurana registrou essas
informaes ao apresentar seus resultados ao Comit de orientao de segurana.

Os relatrios sobre a implantao dos controles criados pelos Proprietrios da atenuao
durante a fase de implementao de controles. Esses relatrios descrevem o progresso da
implantao das solues de controle selecionadas.
Participantes da fase de anlise da eficcia do programa
Os principais participantes da fase de anlise da eficcia do programa so os membros do
Grupo de segurana de informaes. Eles so responsveis por desenvolver o Carto de
pontuao de riscos de segurana (explicado abaixo), verificar se os controles foram
implementados e esto atenuando os riscos conforme o esperado e monitorar o ambiente de
sistemas de informao a fim de detectar alteraes que possam adulterar o perfil de riscos da
organizao. O Grupo de segurana de informaes fornece relatrios contnuos ao Comit de
orientao de segurana. Alm disso, os Proprietrios da atenuao auxiliam a Equipe atravs
da comunicao das alteraes importantes infra-estrutura de computao e dos detalhes
sobre os eventos de segurana. Para reiterar, o processo de anlise da eficcia do programa
inclui as seguintes funes, definidas no Captulo 3, "Viso geral do gerenciamento de riscos de
segurana":

Equipe de gerenciamento de riscos de segurana (o Grupo de segurana de informaes, o
Facilitador de avaliao de riscos e o Secretrio de avaliao de riscos)

Proprietrios da atenuao (Arquitetura de TI, Engenharia de TI e Operaes de TI)

Comit de orientao de segurana (Patrocinador executivo, Proprietrios de empresas,
Arquitetura e Engenharia de TI)
Essas atribuies so resumidas na lista a seguir:

Segurana de informaes Cria relatrios resumidos para o Comit de orientao de
segurana com relao a eficcia das solues de controle que foram implantadas e com
relao s alteraes no perfil de riscos da organizao. Alm disso, cria e mantm o Carto
de pontuao de riscos de segurana da organizao.

Auditoria interna Valida a eficcia da soluo de controle.

Engenharia de TI Comunica as alteraes prestes a serem realizadas Equipe de

Arquitetura de TI Comunica as alteraes planejadas Equipe de gerenciamento de
riscos de segurana.

Operaes de TI Comunica os detalhes de eventos de segurana Equipe de
Ferramentas fornecidas para a fase de anlise da eficcia do
programa
No h ferramentas relacionadas fase de anlise da eficcia do programa includas neste
guia.
Resultados necessrios para a fase de anlise da eficcia do
programa
Durante esta fase, a Equipe de gerenciamento de riscos de segurana cria rela trios sobre o
andamento do perfil de riscos de segurana da organizao. A tabela a seguir resume esses
elementos-chave; eles tambm so descritos nas sees subseqentes deste captulo.
Tabela 6.2: Resultados necessrios para a fase de suporte s decises
Informaes a serem coletadas Descrio
Alteraes consideradas Relatrios explicando alteraes em estgio
de planejamento que sero feitas ao
ambiente de sistemas de informao
Alteraes aprovadas Relatrios explicando alteraes prestes a
serem iniciadas que sero feitas ao ambiente
de sistemas de informao
Eventos de segurana Relatrios que detalham eventos de
segurana no planejados que afetaram o
ambiente de sistemas de informao
Resumo da eficcia da soluo de controle Relatrios que resume o grau de atenuao
de riscos das solues de controle
Alteraes ao perfil de riscos da organizao Relatrio que mostra como as ameaas
anteriormente identificadas foram alteradas
devido a novas ameaas, novas
vulnerabilidades ou alteraes ao ambiente
de sistemas de informao da organizao.
Carto de pontuao de riscos de segurana Carto de pontuao resumido que ilustra o
perfil atual de riscos da organizao
Desenvolvendo o carto de pontuao de riscos de segurana de
sua organizao
O Carto de pontuao de riscos de segurana uma ferramenta importante que ajuda a
expressar o grau de sujeio a riscos da organizao. Ele tambm ajuda a demonstrar o
progresso do gerenciamento de riscos com o passar do tempo, alm de ser um dispositivo
essencial de comunicao para demonstrar a importncia e o valor do gerenciamento de riscos
para a organizao. O carto de pontuao deve fornecer um resumo do nvel de riscos
gerncia executiva. Ele no foi projetado para resumir a exibio ttica detalhada dos riscos
identificados durante a fase de avaliao dos riscos.
Observao: no se deve confundir o Carto de pontuao de riscos de segurana com os
Cartes de pontuao de TI descritos em outros documentos da Microsoft. Desenvolver um
Carto de pontuao de TI pode ser uma forma eficaz de medir o progresso de uma
organizao com relao ao ambiente geral de sistemas de informao. O Carto de pontuao
de riscos de segurana tambm so valiosos para tal finalidade, mas so especficos a uma
parte do ambiente dos sistemas de informao: segurana.
O Carto de pontuao de riscos de segurana ajuda a Equipe de gerenciamento de riscos de
segurana alcanar um nvel aceitvel de riscos em toda a organizao ao destacar reas
problemticas e alocar os futuros investimentos de TI para essas reas. Mesmo que os
elementos do carto de pontuao sejam classificados como de alto risco, talvez seja possvel
aceit-los, dependendo de sua organizao. O carto de pontuao pode ser usado para ajudar
a detectar as decises a um nvel alto, bem como ajudar a consultar tais decises em ciclos
futuros do processo de gerenciamento de riscos.
A figura a seguir representa um Carto de pontuao de riscos de segurana simples
organizado pelas camadas de defesa em profundidade como descrito no Captulo 4, "Avaliando
os riscos". Personalize o carto de pontuao conforme necessrio para a sua organizao. Por
exemplo, algumas organizaes podem organizar o risco por unidades comerciais ou ambientes
exclusivos de TI. (Um ambiente de TI um conjunto de ativos de TI que compartilham um
proprietrio e uma finalidade de negcios comum.) No caso de uma empresa bastante
descentralizada, possvel ter diversos Cartes de pontuao de riscos de segurana.

Figura 6.4 Exemplo do Carto de pontuao de riscos de segurana
O Carto de pontuao de riscos de segurana tambm pode ser parte de um "painel de
controle" de TI mais abrangente, que mostre as principais estatsticas das Operaes de TI. A
prtica de medir e comunicar as estatsticas de TI em um painel de controle tambm uma
prtica recomendada da Microsoft. Para obter mais informaes, consulte "Measuring IT Health
with the IT Scorecard" em www.microsoft.com/technet/itsolutions/msit/busint/scoretcs.mspx
(site em ingls)
Analisando a eficcia do controle
Aps a implantao dos controles, importante garantir que eles estejam oferecendo a
proteo esperada e que eles continuem a ser usados. Por exemplo, seria uma surpresa
desagradvel descobrir que houve grave violao de segurana, pois o mecanismo de
autenticao da rede privada virtual (VPN) permitiu que usurios no autenticados acessassem
a rede da empresa devido m configurao durante a implantao. Seria uma descoberta
ainda pior se os invasores ganhassem acesso a recursos internos pois algum engenheiro de
rede reconfigurou um firewall de modo a permitir protocolos adicionais sem aprovao prvia
atravs do processo de controle de alteraes da organizao.
De acordo com estudos de gerenciamento de segurana de informaes da Agncia de
Prestao de Contas do Governo dos EUA em organizaes no federais lderes (GAO/AIMD-98-
68), o teste direto foi o mtodo mais freqente para verificao eficiente do grau de reduo de
riscos alcanado pelos controles. H diversas abordagens para realizar esses testes incluindo
ferramentas automatizadas de avaliao de vulnerabilidade, avaliaes manuais e teste de
invaso.
Em uma avaliao manual, um membro da equipe de TI verifica que cada controle esteja
implementado e funcionando corretamente. Isso pode ser muito demorado, maante e
propenso a erros, se houver muitos sistemas a verificar. A Microsoft lanou uma ferramenta de
avaliao de vulnerabilidade gratuita e automatizada chamada MBSA (Microsoft Baseline
Security Analyzer). O MBSA pode examinar sistemas locais e remotos para determinar que
hotfixes essenciais de segurana esto faltando (se houver algum), bem como uma variedade
de outras configuraes de segurana importantes. Mais informaes sobre o MBSA esto
disponveis em www.microsoft.com/technet/security/tools/mbsahome.mspx (site em ingls)
Embora o MBSA seja gratuito e muito til, existem outras ferramentas de avaliao
automatizadas de diversos fornecedores.
A outra abordagem mencionada anteriormente foi o teste de invaso. Em um teste de invaso,
uma ou mais pessoas so autorizadas a realizar testes automticos e manuais para determinar
se conseguem invadir na rede da organizao, de diversas formas. Algumas organizaes
realizam testes de invaso usando seus prprios especialistas internos em segurana, enquanto
outros contratam especialistas. Independente de quem realize os testes de invaso, o Grupo de
segurana de informaes deve ser responsvel por gerenciar o processo e acompanhar os
resultados. Enquanto o teste de invaso uma abordagem eficiente, nem sempre ele revela
uma grande variedade de vulnerabilidades, pois ele no to completo quando uma avaliao
de vulnerabilidades propriamente implementada. Portanto, recomendvel que voc
complemente os testes de invaso com outras metodologias.
Observao: para obter mais informaes sobre o teste de invaso, consulte o livro Assessing
Network Security , escrito por membros da Equipe de segurana da Microsoft Ben Smith,
David LeBlanc e Kevin Lam (Microsoft Press, 2004).
Voc tambm pode verificar a conformidade por outros meios. O Grupo de segurana de
informaes deve incentivar todos da organizao a fornecer um feedback. Ou
(opcionalmente), a equipe pode instituir um processo mais formal em que cada unidade
comercial deva enviar relatrios peridicos de conformidade. Como parte do processo de
resposta a incidentes de segurana, o Grupo de segurana de informaes cria seus prprios
relatrios que documentam os sintomas que originaram ou causaram o problema, quais os
dados expostos, quais sistemas foram comprometidos e como o ataque aconteceu. Muitas
coisas podem causar um incidente de segurana, incluindo cdigos maliciosos como worms ou
vrus; usurios internos que acidentalmente violam as polticas; usurios internos que expem
informaes confidenciais deliberadamente; invasores externos que trabalham para
organizaes concorrentes ou governos estrangeiros e desastres naturais. As etapas realizadas
pelo Grupo de segurana de informaes tambm devem ser documentadas.
A eficcia do Grupo de segurana de informaes tambm pode ser acompanhada de diversas
outras formas, como:

O nmero de incidentes de segurana abrangentes que afetaram organizaes similares mas
foram atenuados pelos controles recomendados pela Equipe de segurana.

O tempo necessrio para restaurar completamente os servios de computao aps
incidentes de segurana.

A quantidade e a qualidade de contatos dos usurios.

O nmero de comunicaes apresentadas internamente.

O nmero de aulas de treinamento oferecidas internamente.

O nmero de avaliaes realizadas.

O nmero de conferncias de segurana de computadores assistidas.

O nmero e a qualidade de discursos pblicos assistidos.

As certificaes profissionais conseguidas e mantidas.
Reavaliao de ativos e riscos de segurana novos e alterados
Para ser eficiente, o gerenciamento de riscos de segurana precisa ser um processo contnuo
em vez de um projeto temporrio. A reavaliao peridica do ambiente atravs dos processos
descritos no Captulo 4, "Avaliando os riscos", o primeiro passo para se comear um ciclo
novo. A Equipe de gerenciamento de riscos de segurana deve reutilizar e atualizar as listas de
ativos, vulnerabilidades, controles e outras propriedades intelectuais desenvolvidas durante o
projeto inicial de gerenciamento de riscos.
A Equipe pode usar seus recursos de forma mais eficiente, concentrando-se nas alteraes ao
ambiente operacional da organizao. Caso nenhum ativo tenha sido alterado desde a ltima
reviso, no necessrio revis-lo nos mnimos detalhes desta vez. A equipe pode determinar
onde se concentrar, reunindo informaes atuais, precisas e relevantes sobre as alteraes que
afetam os sistemas de informaes da organizao. Os eventos internos que exigem uma
apurao mais cuidadosa incluem a instalao de novos hardwares e softwares nos
computadores; novos aplicativos desenvolvidos internamente; reorganizaes corporativas;
aquisies e fuses corporativas; bem como liquidaes de partes da organizao. Tambm
recomendvel revisar a lista de riscos existente para determinar se houve alteraes. Alm
disso, examinar os registros de auditoria de segurana pode trazer idias sobre outras reas a
investigar.
A equipe tambm deve alertar sobre alteraes feitas fora da organizao que podem afetar a
segurana de informaes. Veja alguns exemplos:

Revisar os sites e lista de distribuio de fornecedores para obter informaes sobre novas
atualizaes e nova documentao de segurana.

Monitorar sites e lista de distribuio de terceiros para obter informaes sobre novas
pesquisas de segurana e anncios sobre vulnerabilidades de segurana.

Assistir a conferncias e simpsios que abordam os tpicos de segurana de informaes.

Participar de treinamentos sobre segurana de informaes.

Atualizar-se atravs de leitura de livros sobre segurana de computadores e de rede.

Ficar atento aos anncios de novos mtodos e ferramentas de ataque.
Incio da pgina
Resumo
Durante a fase de implementao de controles, os Proprietrios de atenuao implantaram as
solues de controle que o Comit de orientao de segurana escolheu durante a fase de
suporte s decises. Os Proprietrios de atenuao tambm forneceram relatrios sobre seu
progresso com relao s solues de controle Equipe de gerenciamento de riscos de
segurana. A quarta fase do processo de gerenciamento de riscos de segurana da Microsoft
dominada por atividades contnuas que sero realizadas at que a Equipe de gerenciamento de
riscos de segurana inicie o ciclo seguinte com uma nova avaliao de segurana. Essas
atividades contnuas incluem relatrios detalhados explicando as alteraes ao ambiente de
sistemas de informaes em planejamento; documentao das alteraes ao ambiente de
sistemas de informaes prestes a iniciar; e explicao de eventos de segurana no
planejados que afetaram o ambiente de sistemas de informaes.
Essa fase tambm incluiu relatrios da Equipe de gerenciamento de riscos de segurana que
resumem a que grau as solues de controle atenuaram os riscos, e um relatrio mostrando
ameaas identificadas alteradas devido a novas ameaas, novas vulnerabilidades ou alteraes
ao ambiente de sistemas de informaes da organizao. Finalmente, essa fase inclui criao e
manuteno do Carto de pontuao de riscos de segurana que demonstra o perfil atual de
riscos da organizao.
Incio da pgina
Concluso do guia
Este guia apresentou a abordagem da Microsoft ao gerenciamento de riscos de segurana. Ele
uma abordagem proativa que pode ajudar organizaes pequenas, mdias e grandes a reagir
aos riscos de segurana que ameaam o seu sucesso. Um processo formal de gerenciamento de
riscos de segurana permite que as empresas operem de maneira mais eficiente com um nvel
conhecido e aceitvel de riscos de negcios, alm de oferecer um caminho claro e consistente
para que organizem e priori zem seus limitados recursos a fim de gerenciar riscos. Voc
descobrir os benefcios do uso do gerenciamento de riscos quando implementar controles
eficientes em termos de custo que reduzam os riscos a um nvel aceitvel.
A definio de risco aceitvel e a abordagem de gerenciamento de riscos variam de acordo com
a organizao. No h uma resposta correta nem incorreta; h diversos modelos de
gerenciamento de riscos sendo usados atualmente. Cada modelo equilibra de modo diferente a
sua preciso, recursos, tempo, complexidade e subjetividade. Investir em um processo de
gerenciamento de riscos baseado em um mtodo de trabalho slido e funes e
responsabilidades bem definidas prepara a organizao para que possa determinar suas
prioridades, planejar a atenuar ameaas e criar uma estratgia de resposta a ameaas e
vulnerabilidades futuras que comprometam os negcios.
O processo de gerenciamento de riscos de segurana da Microsoft usa padres da indstria
para apresentar diversos modelos reconhecidos de gerenciamento de riscos em um processo de
quatro fases iterativo que busca equilibrar custo e eficcia. Durante um processo de avaliao
de riscos, etapas de qualificao identificam rapidamente os riscos mais graves. Deve ser
seguido por um processo quantitativo baseado em funes e responsabilidades definidas. Essa
abordagem oferece mnimos detalhes e leva a uma compreenso completa dos riscos mais
importantes. Juntas, as etapas de qualificao e quantificao do processo de avaliao de
riscos fornecem a base necessria para que decises importantes sejam tomadas quanto aos
riscos e como atenu-los de acordo com um processo de negcios inteligente. Agora que voc
j leu o guia todo, est pronto a iniciar o processo; volte ao Captulo 4, "Avaliando os riscos"
para comear.

Incio da pgina
7 de 12
Apndice A: Avaliaes de riscos ad hoc
descreve a fase de avaliao de riscos como uma atividade agendada
do programa de gerenciamento de riscos. A fase de avaliao de riscos
define as etapas para identificar e priorizar os cenrios de riscos
conhecidos da empresa. O resultado uma lista de prioridades de risco
que apresenta um nvel resumido e um nvel detalhado. A avaliao de
riscos agendada tambm serve para fornecer informaes s fases
remanescentes do programa de gerenciamento de riscos. Embora a
avaliao de riscos agendada seja de grande valor para esse processo,
os riscos enfrentados pela empresa mudam e evoluem continuamente,
como parte normal dos negcios. Sendo assim, a Equipe de
gerenciamento de riscos de segurana necessita de um processo
definido que permita identificar e analisar os riscos, qualquer que seja
a fase do ciclo de gerenciamento de riscos. Esperar para analisar novos
riscos at a prxima fase de anlise de riscos agendada no seria uma
prtica sensata.
A necessidade imediata de entender novos riscos pode surgir a
qualquer momento. Por exemplo, pode tornar-se aparente uma falta
de consenso quanto gravidade do risco associado a uma nova
ameaa potencial ainda no compreendida. Quando isso ocorre, os
diversos interessados no programa podem oferecer opinies e solues
de atenuao contraditrias. A Equipe de gerenciamento de riscos de
segurana deve documentar sua posio em relao ao risco, alm de
ajudar a conduzir o processo de suporte s decises, da mesma forma
que o faz no programa de gerenciamento de riscos. provvel que a
Equipe de gerenciamento de riscos de segurana seja solicitada a criar
requisitos funcionais para um dado cenrio, e esses requisitos no
podem, nem devem, ser desenvolvidos sem antes obter uma
compreenso de todos os elementos do risco. Essa situao indica a
necessidade de uma avaliao de riscos ad hoc imediata. Seja
cuidadoso ao lidar com solicitaes de avaliao de riscos que tentem
usar o processo de avaliao de riscos a fim de j ustificar solues ou
implementaes preconcebidas. A avaliao de riscos deve resultar em
uma anlise imparcial sobre os riscos associados ao determinado
problema.
Durante o processo de gerenciamento de riscos de segurana da
Microsoft, vrios cenrios so avaliados e sua prioridade, estabelecida.
Na avaliao de riscos ad hoc, os riscos so analisados caso a caso. A
avaliao de riscos ad hoc se concentra em um nico cenrio de risco,
por exemplo "Quais so os riscos incorridos ao conceder o acesso sem

Neste artigo
Viso geral
Riscos de Segurana
segurana
riscos
suporte s decises
eficcia do programa
riscos ad hoc
Apndice C: Ameaas
comuns
Apndice D:
Vulnerabilidades
Agradecimentos

fio a parceiros de negcios convidados"? ou "Quais so os riscos
incorridos ao permitir que dispositivos mveis se conectem aos
recursos da empresa"?. A avaliao de riscos ad hoc utiliza a
metodologia discutida no processo; contudo, a priorizao do risco e
da sua soluo em relao a outros riscos da empresa no uma
etapa obrigatria. Uma priorizao formal poder ser necessria
apenas quando o custo da soluo de atenuao for alto. Em geral,
uma comparao aos riscos similares capaz de fornecer informaes
suficientes priorizao da avaliao de riscos ad hoc. Obviamente, os
resultados da avaliao ad hoc sero incorporados ao processo formal,
conforme apropriado.
O modelo de discusso de risco includo na seo Ferramentas deste
guia pode ser usado tambm na avaliao de riscos ad hoc. Contudo,
possvel que a coleta de dados exija somente a pesquisa em vez de
reunies com os participantes do programa. A Equipe de
gerenciamento de riscos de segurana deve responder as questes-
chave no modelo, porm a prpria equipe pode ser capaz de fornecer
essas repostas. Por exemplo, se a equipe estiver tentando
compreender os riscos associados aos dispositivos mveis, investigar a
taxa de perda dos dispositivos pode ser uma informao necessria.
Essa informao pode ser descoberta por meio de pesquisa externa ou
atravs de outras equipes de TI responsveis pela manuteno.
A avaliao de riscos ad hoc pode ser estruturada em um documento
da seguinte forma:

Resumo executivo. Esse resumo deve apresentar uma viso geral da
avaliao e deve poder ser extrado da avaliao de riscos como um
documento independente.

Lista de suposies relacionadas ao escopo e objetivos da avaliao
de riscos ad hoc.

Uma descrio do ativo sendo protegido e o seu valor aos negcios.

Uma declarao de risco bem definida, conforme descrito no
processo de gerenciamento de riscos de segurana, que aborde as
seguintes questes:

Contra que riscos voc deseja proteger o ativo?

De que forma a perda ou a exposio pode ocorrer?

Qual a extenso da exposio potencial em relao ao ativo?

O que est sendo feito atualmente para reduzir a probabilidade
de ocorrncia do risco ou atenuar o seu impacto caso as
medidas de proteo falhem?

Qual o risco geral? Inclua uma declarao similar a "H uma
alta probabilidade de que o ataque comprometeria a integridade
de ativos digitais de mdio impacto, o que representa um alto
risco organizao."

Que medidas podem ser tomadas para reduzir a probabilidade
no futuro?

Qual seria o risco geral caso controles potenciais fossem
implementados?

Uma nica avaliao de riscos pode conter diversos cenrios de
ameaa. No exemplo da soluo de acesso sem fio a parceiros
convidados, um cenrio pode representar o risco de um dos
convidados atacar outro convidado; um segundo cenrio pode
demonstrar um ataque externo a um dos convidados; um terceiro
cenrio pode representar um convidado que abuse do acesso e ataque
um alvo na Internet. Voc deve desenvolver uma declarao de risco
para cada cenrio aplicvel.
Quando os riscos forem compreendidos, poder bastar apenas
informar sobre a sua existncia. possvel tambm que o resultado
desejado seja uma declarao dos requisitos funcionais da Equipe de
gerenciamento de riscos de segurana. Se os requisitos funcionais
forem gerados, eles devero ser associados aos riscos especficos a
que se referem. Um documento de avaliao de riscos com requisitos
funcionais de segurana uma ferramenta eficaz para ajudar a
empresa a compreender o risco e encontrar a melhor soluo de
atenuao.

Incio da pgina
8 de 12
Apndice B: Ativos comuns de sistemas de informaes
Este apndice relaciona os ativos de sistemas de informaes
comumente encontrados em organizaes de vrios portes. Ele no
pretende apresentar uma lista exaustiva, e provvel que essa lista
no represente todos os ativos no ambiente exclusivo de sua
organizao. Portanto, essencial que voc personalize a lista durante
o processo de avaliao de riscos de seu projeto. Ela fornecida
Tabela 1: Ativos comuns de sistemas de informaes
Classe do
ativo
Ambiente
geral de TI
Nome do ativo Classificao
do ativo
Descrio
resumida do
seu ativo
Definio mais
detalhada (se
necessria)
Classificao
do valor do
ativo, consulte
a guia de
definio de
grupo (1-5)
Tangvel Infra-
estrutura
fsica
Centrais de dados 5
Tangvel Infra-
estrutura
fsica
Servidores 3
Tangvel Infra-
estrutura
fsica
Computadores de
mesa
1
Tangvel Infra-
estrutura
fsica
Computadores
mveis
3
Tangvel Infra-
estrutura
fsica
PDAs 1
Tangvel Infra-
estrutura
fsica
Telefones celulares 1

Neste artigo
Viso geral
Riscos de Segurana
segurana
riscos
suporte s decises
eficcia do programa
riscos ad hoc
Apndice C: Ameaas
comuns
Apndice D:
Vulnerabilidades
Agradecimentos

Tangvel Infra-
estrutura
fsica
Aplicativo de
software de
servidor
1
Tangvel Infra-
estrutura
fsica
Aplicativo de
software de usurio
final
1
Tangvel Infra-
estrutura
fsica
Ferramentas de
desenvolvimento
3
Tangvel Infra-
estrutura
fsica
Roteadores 3
Tangvel Infra-
estrutura
fsica
Comutadores de
rede
3
Tangvel Infra-
estrutura
fsica
Mquinas de fax 1
Tangvel Infra-
estrutura
fsica
Sistemas de
telefonia PBX
3
Tangvel Infra-
estrutura
fsica
Mdia removvel
(por exemplo, fitas,
disquetes, CD-
ROMs, DVDs,
unidades de disco
rgido portteis,
dispositivos de
armazenamento de
placa PCMCIA,
dispositivos de
armazenamento
USB etc.)
1
Tangvel Infra-
estrutura
fsica
Fontes de
alimentao
3
Tangvel Infra-
estrutura
Sistema de
alimentao
3
fsica ininterrupta (no-
break)
Tangvel Infra-
estrutura
fsica
Sistemas de
combate a incndio
3
Tangvel Infra-
estrutura
fsica
Sistemas de ar
condicionado
3
Tangvel Infra-
estrutura
fsica
Sistemas de
filtragem de ar
1
Tangvel Infra-
estrutura
fsica
Outros sistemas de
controle ambiental
3
Tangvel Dados de
intranet
Cdigo-fonte 5
Tangvel Dados de
intranet
Dados de recursos
humanos
5
Tangvel Dados de
intranet
Dados financeiros 5
Tangvel Dados de
intranet
Dados de
marketing
5
Tangvel Dados de
intranet
Senhas de
funcionrios
5
Tangvel Dados de
intranet
Chaves de
criptografia
privadas de
funcionrios
5
Tangvel Dados de
intranet
Chaves de
criptografia de
sistema de
computador
5
Tangvel Dados de
intranet
Cartes inteligentes 5
Tangvel Dados de
intranet
Propriedade
intelectual
5
Tangvel Dados de
intranet
Dados de requisitos
de regulamentao
(GLBA, HIPAA, CA
SB1386, Diretiva
de proteo de
dados da UE etc.)
5
Tangvel Dados de
intranet
Nmeros da
previdncia social
de funcionrios
5
Tangvel Dados de
intranet
Nmeros do
documento de
identificao de
funcionrios
5
Tangvel Dados de
intranet
Planos estratgicos 3
Tangvel Dados de
intranet
Relatrios de
crdito de consumo
do cliente
5
Tangvel Dados de
intranet
Registros mdicos
do cliente
5
Tangvel Dados de
intranet
Identificadores
biomtricos dos
funcionrios
5
Tangvel Dados de
intranet
Dados de contatos
de negcios dos
funcionrios
1
Tangvel Dados de
intranet
Dados de contatos
pessoais dos
funcionrios
3
Tangvel Dados de
intranet
Dados de pedidos
de compra
5
Tangvel Dados de
intranet
Projeto da infra-
estrutura de rede
3
Tangvel Dados de
intranet
Sites internos 3
Tangvel Dados de Dados etnogrficos 3
intranet dos funcionrios
Tangvel Dados de
extranet
Dados de contrato
de parceiros
5
Tangvel Dados de
extranet
Dados financeiros
de parceiros
5
Tangvel Dados de
extranet
Dados de contato
de parceiros
3
Tangvel Dados de
extranet
Solicitao de
colaborao de
parceiros
3
Tangvel Dados de
extranet
Chaves de
criptografia de
parceiros
5
Tangvel Dados de
extranet
Relatrios de
crdito de parceiros
3
Tangvel Dados de
extranet
Dados de pedidos
de compra de
parceiros
3
Tangvel Dados de
extranet
Dados de contrato
de fornecedores
5
Tangvel Dados de
extranet
Dados financeiros
de fornecedores
5
Tangvel Dados de
extranet
Dados de contato
de fornecedores
3
Tangvel Dados de
extranet
Solicitao de
colaborao de
fornecedores
3
Tangvel Dados de
extranet
Chaves de
criptografia de
fornecedores
5
Tangvel Dados de
extranet
Relatrios de
crdito de
fornecedores
3
Tangvel Dados de
extranet
Dados de pedidos
de compra de
3
fornecedores
Tangvel Dados de
Internet
Aplicativo de
vendas na Web
5
Tangvel Dados de
Internet
Dados de
marketing do site
3
Tangvel Dados de
Internet
Dados de carto de
crdito de clientes
5
Tangvel Dados de
Internet
Dados de contato
de clientes
3
Tangvel Dados de
Internet
Chaves de
criptografia
pblicas
1
Tangvel Dados de
Internet
Comunicados
imprensa
1
Tangvel Dados de
Internet
Documentos oficiais 1
Tangvel Dados de
Internet
Documentao do
produto
1
Tangvel Dados de
Internet
Materiais de
treinamento
3
Intangvel Reputao 5
Intangvel Credibilidade
pblica
3
Intangvel Moral dos
funcionrios
3
Intangvel Produtividade
dos
funcionrios
3
Servios de TI Envio de
mensagens
Email/agendamento
(por exemplo, o
Microsoft
Exchange)
3
mensagens
Mensagens
instantneas
1
mensagens
Microsoft Outlook
Web Access (OWA)
1
Servios de TI Infra-
estrutura
principal
Microsoft Active
Directory
3
estrutura
principal
Sistema de nomes
de domnio (DNS)
3
estrutura
principal
DHCP 3
estrutura
principal
Ferramentas de
gerenciamento
empresarial
3
estrutura
principal
Compartilhamento
de arquivos
3
estrutura
principal
Armazenamento 3
estrutura
principal
Acesso dial-up
remoto
3
estrutura
principal
Telefonia 3
estrutura
principal
Acesso VPN (Virtual
Private Networking)
3
estrutura
principal
Microsoft WINS
(Windows
Internet Naming
Service)
1
Servios de TI Outra infra-
estrutura
Servios
colaborativos (por
exemplo, o
Microsoft
1
SharePoint)

Incio da pgina
9 de 12
Este apndice relaciona as ameaas capazes de afetar diversos tipos
de organizaes. Essa lista no exaustiva e, por ser esttica, poder
ficar desatualizada. Sendo assim, essencial remover as ameaas que
no sejam relevantes sua organizao e adicionar as novas ameaas
identificadas durante a fase de avaliao do projeto. Ela fornecida
Tabela C.1: Ameaas comuns
Ameaa Exemplo
Descrio resumida da ameaa Exemplo especfico
Incidente catastrfico Incndio
Incidente catastrfico Inundao
Incidente catastrfico Terremoto
Incidente catastrfico Forte tempestade
Incidente catastrfico Ataque terrorista
Incidente catastrfico Tumultos/agitaes pblicas
Incidente catastrfico Deslizamentos de terras
Incidente catastrfico Avalanche
Incidente catastrfico Acidente industrial
Falha mecnica Interrupo na energia eltrica
Falha mecnica Falha de hardware
Falha mecnica Falhas da rede
Falha mecnica Falha nos controles ambientais
Falha mecnica Acidente de construo
Pessoa bem-intencionada Funcionrios desinformados
Pessoa bem-intencionada Usurio desinformado
Pessoa mal-intencionada Hacker, cracker
Pessoa mal-intencionada Criminoso ciberntico

Neste artigo
Viso geral
Riscos de Segurana
segurana
riscos
suporte s decises
eficcia do programa
riscos ad hoc
Apndice C: Ameaas
comuns
Apndice D:
Vulnerabilidades
Agradecimentos

Pessoa mal-intencionada Espionagem industrial
Pessoa mal-intencionada Espionagem patrocinada pelo
governo
Pessoa mal-intencionada Engenharia social
Pessoa mal-intencionada Funcionrio atual descontente
Pessoa mal-intencionada Antigo funcionrio descontente
Pessoa mal-intencionada Terrorista
Pessoa mal-intencionada Funcionrio negligente
Pessoa mal-intencionada Funcionrio desonesto
(subornado ou vtima de
chantagem)
Pessoa mal-intencionada Cdigo de comunicao mvel
mal-intencionado

Incio da pgina
10 de 12
Este apndice relaciona as vulnerabilidades capazes de afetar diversos
tipos de organizaes. Essa lista no exaustiva e, por ser esttica,
poder ficar desatualizada. Sendo assim, essencial remover as
vulnerabilidades que no sejam relevantes sua empresa e adicionar
as novas vulnerabilidades identificadas durante a fase de avaliao de
riscos do projeto. Ela fornecida apenas como referncia e serve de
ponto inicial para auxiliar no comeo do processo em sua empresa.
Tabela D.1: Vulnerabilidades
Classe de
vulnerabilidade
Vulnerabilidade Exemplo
Classe de
vulnerabilidade
resumida
Breve descrio da
vulnerabilidade
Exemplo especfico
(se aplicvel)
Fsica Portas destrancadas
Fsica Acesso desprotegido
s salas de
computador

Fsica Sistemas de combate
a incndio
insuficientes

Fsica Edifcios mal
projetados

Fsica Edifcios mal
construdos

Fsica Materiais inflamveis
usados na construo

Fsica Materiais inflamveis
usados no
acabamento

Fsica Janelas destrancadas
Fsica Paredes suscetveis a
um assalto fsico

Fsica As paredes internas

Neste artigo
Viso geral
Riscos de Segurana
segurana
riscos
suporte s decises
eficcia do programa
riscos ad hoc
Apndice C: Ameaas
comuns
Apndice D:
Vulnerabilidades
Agradecimentos

no fecham
totalmente o cmodo
no teto e no cho
Natural Prdio construdo
sobre uma falha
geolgica

Natural Prdio localizado em
uma zona de
inundao

Natural Prdio localizado em
uma rea de
avalanche

Hardware Patches ausentes
Hardware Firmware
desatualizado

Hardware Sistemas mal
configurados

Hardware Sistemas sem
segurana fsica

Hardware Protocolos de
gerenciamento
permitidos atravs de
interfaces pblicas

Software Software antivrus
desatualizado

Software Patches ausentes
Software Aplicativos mal
escritos
CSS (Cross site
scripting)
escritos
Incluso de cdigo
SQL
escritos
Pontos fracos do
cdigo, como
estouros de buffer
Software Pontos fracos
intencionais
Portas dos fundos do
fornecedor
destinadas ao
gerenciamento ou
recuperao do
sistema
intencionais
Spyware, como
programas de
registro de teclas
Software Ponto fraco
intencional
Cavalos de Tria
intencionais

Software Erros de configurao Processos manuais
resultantes em
configuraes
inconsistentes
Software Erros de configurao Sistemas sem
proteo avanada
auditoria
monitorao
Mdia Interferncia eltrica
Comunicaes Protocolos de rede
no criptografados

Comunicaes Conexes a redes
mltiplas

Comunicaes Protocolos
desnecessrios
permitidos

Comunicaes Falta de filtragem
entre segmentos da
rede

Humanas Procedimentos mal
definidos
Falta de preparo para
responder aos
incidentes
definidos
Processos manuais
definidos
Falta de planos de
recuperao de
desastr es
definidos
Testes dos sistemas
de produo
definidos
Violaes no
comunicadas
definidos
Controle de alterao
mal executado
Humanas Roubo de credenciais

Incio da pgina
11 de 12
Agradecimentos
O grupo MSS (Microsoft Solutions for Security) e o SCOE (Security
Center of Excellence) da Microsoft gostariam de reconhecer e
agradecer equipe que produziu o Guia de Gerenciamento de Riscos
de Segurana As seguintes pessoas foram diretamente responsveis
ou contriburam substancialmente na redao, desenvolvimento e teste
desta soluo.
Autores
Kurt Dillard, MSS
Jared Pfost, SCOE
Colaboradores na criao de contedo
Price Oden, Corporate IT Security
Jeff Williams, Services Privacy Officer
Testadores
Dan Hitchcock, Corporate IT Security Audit and Compliance
Mehul Mediwala, Infosys Technologies
Pete Narmita, Corporate IT Security
Price Oden, Corporate IT Security
Jason Wong, Point B Solutions Group, LLC
Editor
Wendy Cleary, S&T Onsite
Gerente de lanamento
Flicka Crandell, MSS
Gerente de programa
Karl Grunwald, MSS
Colaboradores
Chase Carpenter, MSS
Brian Fielder, Equipe de segurana nacional dos EUA
Michael Glass, Volt
John Howie, SCOE
Maxim Kapteijns, MCS Worldwide Offerings
Chrissy Lewis, Sieme ns Business Services Inc
Keith Proctor, EUA-Premier
Bill Reid, MSS
Lee Walker, SCOE
Revisores
Shanti Balaraman, US-Premier
Rich Bennack, EUA, GTSC Security
Mathieu Groleau, Microsoft, Canad
Alan Hakimi, EUA, COE Corp
Ellen McDermott, EUA - Arquiteta de segurana

Neste artigo
Viso geral
Riscos de Segurana
segurana
riscos
suporte s decises
eficcia do programa
riscos ad hoc
Apndice C: Ameaas
comuns
Apndice D:
Vulnerabilidades
Agradecimentos

Marco Nuijen, Microsoft, Pases Baixos
David Smith, Microsoft Services
Brad Warrender, Microsoft Services
John Weigelt, Microsoft, Canad
Jessica Zahn, EUA-MSCOM Pub Internacional
Brian Shea, Bank of America
Perante a solicitao da Microsoft, o Instituto Nacional de Padres e
Tecnologia (NIST) do Departamento de Comrcio dos Estados Unidos
tambm participou da reviso deste documento da Microsoft e
proporcionou comentrios que foram incorporados nas verses
publicadas.

Incio da pgina
12 de 12

Gerenciamento de Risco

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Gerenciamento de Risco

Enviado por

Direitos autorais:

Formatos disponíveis

Centro de orientaes de segurana

Guia de Gerenciamento de Riscos de Segurana

(Operationally Critical Threat, Asset, and Vulnerability

Você também pode gostar