Você está na página 1de 156
Gestão de Riscos de TI NBR 27005 Edson Kowask Bezerra

Gestão de

Riscos de TI

NBR 27005

Edson Kowask Bezerra

A RNP – Rede Nacional de Ensino e Pesquisa – é qualificada como uma Organização Social (OS), sendo ligada ao Ministério da Ciência, Tecnologia e Inovação (MCTI) e responsável pelo Programa Interministerial RNP, que conta com a participação dos ministérios da Educação (MEC), da Saúde (MS) e da Cultura (MinC). Pioneira no acesso à Internet no Brasil, a RNP planeja e mantém a rede Ipê, a rede óptica nacional acadêmica de alto desempenho. Com Pontos de Presença nas 27 unidades da federação, a rede tem mais de 800 instituições conectadas. São aproximadamente 3,5 milhões de usuários usufruindo de uma infraestrutura de redes avançadas para comunicação, computação e experimentação, que contribui para a integração entre o sistema de Ciência e Tecnologia, Educação Superior, Saúde e Cultura.

Ministério da
Ministério da

Cultura

Ministério da

Saúde

Ministério da

Educação

Ministério da

Ciência, Tecnologia

e Inovação

Gestão de Riscos de TI NBR 27005 Edson Kowask Bezerra

Gestão de

Riscos de TI

NBR 27005

Edson Kowask Bezerra

Gestão de Riscos de TI NBR 27005 Edson Kowask Bezerra Rio de Janeiro Escola Superior

Gestão de

Riscos de TI

NBR 27005

Edson Kowask Bezerra

Rio de Janeiro

Escola Superior de Redes

2013

Copyright © 2013 – Rede Nacional de Ensino e Pesquisa – RNP Rua Lauro Müller, 116 sala 1103 22290-906 Rio de Janeiro, RJ

Diretor Geral

Nelson Simões

Diretor de Serviços e Soluções José Luiz Ribeiro Filho

Escola Superior de Redes

Coordenação

Luiz Coelho

Edição

Pedro Sangirardi

Coordenação Acadêmica de Segurança e Governança de TI Edson Kowask Bezerra

Equipe ESR (em ordem alfabética) Celia Maciel, Cristiane Oliveira, Derlinéa Miranda, Elimária Barbosa, Evellyn Feitosa, Felipe Nascimento, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, Renato Duarte e Yve Abel Marcial.

Capa, projeto visual e diagramação Tecnodesign

Versão

2.0.1

Este material didático foi elaborado com fins educacionais. Solicitamos que qualquer erro encon- trado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de conteúdo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas, a pessoas ou bens, originados do uso deste material. As marcas registradas mencionadas neste material pertencem aos respectivos titulares.

Distribuição

Escola Superior de Redes

Rua Lauro Müller, 116 – sala 1103 22290-906 Rio de Janeiro, RJ http://esr.rnp.br info@esr.rnp.br

Dados Internacionais de Catalogação na Publicação (CIP)

B574g

Bezerra, Edson Kowask Gestão de riscos de TI: NBR 27005 / Edson Kowask Bezerra. – Rio de Janeiro: RNP/ESR, 2013. 138 p. : il. ; 28 cm.

Bibliografia: p.137.

ISBN 978-85-63630-32-2

1. Tecnologia da informação - Técnicas de segurança. 2. Redes de computadores – Medidas de segurança. 3. Gestão de riscos de segurança da informação. I. Título.

CDD 005.8

Sumário

Escola Superior de Redes

A metodologia da ESR ix

Sobre o curso  x

A quem se destina x

Convenções utilizadas neste livro x

Permissões de uso xi

Sobre o autor xii

1. Introdução à Gestão de Riscos

Introdução 1

Exercício de nivelamento 1 – Introdução à gestão de riscos 2

Conceitos fundamentais 2

Exercício de fixação 1 – Conceitos fundamentais 5

Princípios da Gestão de Riscos 5

Normas de gestão de segurança e de riscos 7

Norma ABNT NBR ISO/IEC 27005:2008 9

Visão geral da gestão de riscos 10

Exercício de fixação 2 – Visão geral 12

Exercício de fixação 3 – PDCA 15

Fatores críticos para o sucesso 15

Áreas de conhecimento necessárias 16

de fixação 3 – PDCA  15 Fatores críticos para o sucesso  15 Áreas de conhecimento necessárias 

Roteiro de Atividades 1 19

Atividade 1.1 – Conhecendo os conceitos 19

Atividade 1.2 – Conhecendo a norma 19

Atividade 1.3 – Identificando o processo 20

Atividade 1.4 – Fatores críticos 20

2. Contexto da gestão de riscos

Introdução 21

Exercício de nivelamento 1 – Contexto 21

Processo de gestão de riscos de segurança da informação 21

Contexto  22

Estabelecimento do contexto 23

Contexto da norma ABNT NBR ISO/IEC 27005 23

Definindo o contexto 24

Itens para identificação 24

Exercício de fixação 1 – Definindo o contexto 25

Definindo escopo e limites 26

Exercício de fixação 2 – Definindo o escopo e limites 27

Critérios para avaliação de riscos 28

Critérios de impacto 28

Critérios para aceitação do risco  29

Exercício de fixação 3 – Definindo os critérios 31

Organização para a gestão de riscos 32

Roteiro de Atividades 2 33

Anexo A – Descrição da empresa 36

3. Identificação de riscos

Introdução 41

Exercício de nivelamento 1 – Identificação dos riscos 41

Processo de análise de riscos de segurança da informação 41

Identificação de riscos 42

Identificando os ativos 43

Identificando os ativos primários 45

41 Identificação de riscos  42 Identificando os ativos  43 Identificando os ativos primários  45 iv

Identificando os ativos de suporte e infraestrutura 46

Exercício de fixação 1 – Identificando os ativos 46

Identificando as ameaças 47

Exercício de fixação 2 – Identificando as ameaças 49

Identificando os controles existentes 49

Roteiro de Atividades 3 53

Anexo B – Infraestrutura 55

4. Análise de riscos: Vulnerabilidades e consequências

Introdução  59

Exercício de nivelamento 1 – Vulnerabilidades e consequências 59

Processo de análise de riscos de segurança da informação 60

Identificando as vulnerabilidades 60

Exercício de fixação 1 – Identificando vulnerabilidades 63

Identificação das consequências 63

Exercício de fixação 2 – Identificando as consequências 65

Roteiro de Atividades 4 67

Anexo C – Problemas relatados 69

5. Análise de Riscos: Avaliação das consequências

Introdução 83

Exercício de nivelamento 1 – Avaliação das consequências 83

Visão geral do processo de estimativa de risco 83

Metodologias 84

Metodologia de análise qualitativa 85

Metodologia de análise quantitativa 85

Exercício de fixação 1 – Metodologias 86

Estimativa de riscos 86

Avaliação das consequências 87

Roteiro de Atividades 5 89

1 – Metodologias  86 Estimativa de riscos  86 Avaliação das consequências  87 Roteiro de Atividades 5 89

6.

Análise de riscos: avaliação da probabilidade

Introdução 91

Exercício de nivelamento 1 – Avaliação da probabilidade 91

Visão geral do processo de avaliação de risco 92

Avaliação da probabilidade de ocorrência de incidentes 92

Exercício de fixação 1 – Avaliação da probabilidade 94

Determinação do nível de risco 94

Roteiro de Atividades 6 97

7. Avaliação de riscos

Introdução 101

Exercício de nivelamento 1 – Avaliação de riscos 101

Processo de avaliação de riscos de segurança da informação 101

Avaliação de riscos de segurança da informação 102

Exercício de fixação 1 – Avaliação de risco 103

Roteiro de Atividades 7 105

8. Tratamento e aceitação de riscos

Introdução 107

Exercício de nivelamento 1 – Tratamento e aceitação dos riscos 107

Visão geral do processo de tratamento do risco 107

Tratamento do risco 109

Riscos residuais 111

Modificação do risco 111

Retenção do risco 113

Ação de evitar o risco 113

Compartilhamento do risco 113

Exercício de fixação 1 – Tratamento de risco 114

Visão geral do processo de aceitação do risco 114

Aceitando o risco 115

Roteiro de Atividades 8 117

114 Visão geral do processo de aceitação do risco  114 Aceitando o risco  115 Roteiro de

9.

Comunicação e monitoramento dos riscos

Introdução 121

Exercício de nivelamento 1 – Comunicação e consulta dos riscos 121

Processo de comunicação e consulta do risco de segurança da informação 122

Comunicação e consulta do risco de segurança da informação 123

Exercício de fixação 1 – Comunicação e consulta dos riscos 124

Roteiro de Atividades 9 125

10.Monitoramento dos riscos

Introdução 127

Exercício de nivelamento 1 – Monitoramento de riscos 127

Processo de monitoramento e análise crítica de riscos de segurança da informação 127

Monitoramento e análise crítica dos fatores de risco 129

Exercício de fixação 1 – Monitoramento e análise crítica dos riscos 130

Monitoramento, análise crítica e melhoria do processo de gestão de riscos 130

Roteiro de Atividades 10 133

Conclusão 135

Bibliografia  137

melhoria do processo de gestão de riscos  130 Roteiro de Atividades 10 133 Conclusão  135 Bibliografia  137

Escola Superior de Redes

A Escola Superior de Redes (ESR) é a unidade da Rede Nacional de Ensino e Pesquisa (RNP)

responsável pela disseminação do conhecimento em Tecnologias da Informação e Comunica- ção (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competências em TIC para o corpo técnico-administrativo das universidades federais, escolas técnicas e unidades federais de pesquisa. Sua missão fundamental é realizar a capacitação técnica do corpo funcional das organizações usuárias da RNP, para o exercício de competências aplicá- veis ao uso eficaz e eficiente das TIC.

A ESR oferece dezenas de cursos distribuídos nas áreas temáticas: Administração e Projeto

de Redes, Administração de Sistemas, Segurança, Mídias de Suporte à Colaboração Digital e Governança de TI.

A ESR também participa de diversos projetos de interesse público, como a elaboração e

execução de planos de capacitação para formação de multiplicadores para projetos edu- cacionais como: formação no uso da conferência web para a Universidade Aberta do Brasil (UAB), formação do suporte técnico de laboratórios do Proinfo e criação de um conjunto de cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).

A metodologia da ESR

A filosofia pedagógica e a metodologia que orientam os cursos da ESR são baseadas na

aprendizagem como construção do conhecimento por meio da resolução de problemas típi- cos da realidade do profissional em formação. Os resultados obtidos nos cursos de natureza teórico-prática são otimizados, pois o instrutor, auxiliado pelo material didático, atua não apenas como expositor de conceitos e informações, mas principalmente como orientador do aluno na execução de atividades contextualizadas nas situações do cotidiano profissional.

A aprendizagem é entendida como a resposta do aluno ao desafio de situações-problema

semelhantes às encontradas na prática profissional, que são superadas por meio de análise, síntese, julgamento, pensamento crítico e construção de hipóteses para a resolução do pro- blema, em abordagem orientada ao desenvolvimento de competências.

Dessa forma, o instrutor tem participação ativa e dialógica como orientador do aluno para as atividades em laboratório. Até mesmo a apresentação da teoria no início da sessão de apren- dizagem não é considerada uma simples exposição de conceitos e informações. O instrutor busca incentivar a participação dos alunos continuamente.

exposição de conceitos e informações. O instrutor busca incentivar a participação dos alunos continuamente. ix

As sessões de aprendizagem onde se dão a apresentação dos conteúdos e a realização das atividades práticas têm formato presencial e essencialmente prático, utilizando técnicas de estudo dirigido individual, trabalho em equipe e práticas orientadas para o contexto de atua- ção do futuro especialista que se pretende formar.

As sessões de aprendizagem desenvolvem-se em três etapas, com predominância de tempo para as atividades práticas, conforme descrição a seguir:

Primeira etapa: apresentação da teoria e esclarecimento de dúvidas (de 60 a 90 minutos).

O instrutor apresenta, de maneira sintética, os conceitos teóricos correspondentes ao tema

da sessão de aprendizagem, com auxílio de slides em formato PowerPoint. O instrutor levanta questões sobre o conteúdo dos slides em vez de apenas apresentá-los, convidando a turma

à reflexão e participação. Isso evita que as apresentações sejam monótonas e que o aluno se coloque em posição de passividade, o que reduziria a aprendizagem.

Segunda etapa: atividades práticas de aprendizagem (de 120 a 150 minutos). Esta etapa é a essência dos cursos da ESR. A maioria das atividades dos cursos é assíncrona e realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dúvidas e oferecer explicações complementares.

Terceira etapa: discussão das atividades realizadas (30 minutos).

O instrutor comenta cada atividade, apresentando uma das soluções possíveis para resolvê-la,

devendo ater-se àquelas que geram maior dificuldade e polêmica. Os alunos são convidados a comentar as soluções encontradas e o instrutor retoma tópicos que tenham gerado dúvidas, estimulando a participação dos alunos. O instrutor sempre estimula os alunos a encontrarem soluções alternativas às sugeridas por ele e pelos colegas e, caso existam, a comentá-las.

Sobre o curso

O curso apresenta os conceitos de gestão de riscos a partir da norma NBR ISO 27005. Define conceitos e trabalha a contextualização do ambiente, identificação e levantamento dos riscos através do conhecimento das ameaças, ativos, vulnerabilidades, probabilidade de ocorrência e impactos. São realizados a estimativa e o cálculo de risco e definido o tratamento mais adequado. Todo o trabalho é baseado em um estudo de caso, visando consolidar o conhecimento teórico. Ao final do curso o participante estará apto a realizar uma análise de risco qualitativa no ambiente da sua organização.

A quem se destina

Curso direcionado a gestores, técnicos e profissionais de informática ou áreas afins, que estão em busca do desenvolvimento de competências na realização de gestão e análise de riscos no ambiente de tecnologias da informação e comunicação (TIC). Profissionais de outras áreas podem participar desde que possuam conhecimentos de TIC, segurança da informação e normas ISO 27001 e 27002.

Convenções utilizadas neste livro

As seguintes convenções tipográficas são usadas neste livro:

Itálico Indica nomes de arquivos e referências bibliográficas relacionadas ao longo do texto.

usadas neste livro: Itálico Indica nomes de arquivos e referências bibliográficas relacionadas ao longo do texto.

Largura constante

Indica comandos e suas opções, variáveis e atributos, conteúdo de arquivos e resultado da saída de comandos. Comandos que serão digitados pelo usuário são grifados em negrito e possuem o prefixo do ambiente em uso (no Linux é normalmente # ou $, enquanto no Windows é C:\).

Conteúdo de slide

# ou $, enquanto no Windows é C:\). Conteúdo de slide Indica o conteúdo dos slides

Indica o conteúdo dos slides referentes ao curso apresentados em sala de aula.

Símbolo

referentes ao curso apresentados em sala de aula. Símbolo Indica referência complementar disponível em site ou

Indica referência complementar disponível em site ou página na internet.

Símbolo

disponível em site ou página na internet. Símbolo Indica um documento como referência complementar. Símbolo

Indica um documento como referência complementar.

Símbolo

Indica um documento como referência complementar. Símbolo Indica um vídeo como referência complementar. Símbolo

Indica um vídeo como referência complementar.

Símbolo

Indica um vídeo como referência complementar. Símbolo Indica um arquivo de aúdio como referência complementar.

Indica um arquivo de aúdio como referência complementar.

Símbolo

um arquivo de aúdio como referência complementar. Símbolo Indica um aviso ou precaução a ser considerada.

Indica um aviso ou precaução a ser considerada.

Símbolo

Indica um aviso ou precaução a ser considerada. Símbolo Indica questionamentos que estimulam a reflexão ou

Indica questionamentos que estimulam a reflexão ou apresenta conteúdo de apoio ao entendimento do tema em questão.

Símbolo

de apoio ao entendimento do tema em questão. Símbolo Indica notas e informações complementares como dicas,

Indica notas e informações complementares como dicas, sugestões de leitura adicional ou mesmo uma observação.

Permissões de uso

Todos os direitos reservados à RNP. Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. Exemplo de citação: BEZERRA, E. K. Gestão de Riscos de TI – NBR 27005. Rio de Janeiro: Escola Superior de Redes, RNP, 2013.

Comentários e perguntas

Para enviar comentários e perguntas sobre esta publicação:

Escola Superior de Redes RNP Endereço: Av. Lauro Müller 116 sala 1103 – Botafogo Rio de Janeiro – RJ – 22290-906 E-mail: info@esr.rnp.br

Endereço: Av. Lauro Müller 116 sala 1103 – Botafogo Rio de Janeiro – RJ – 22290-906

Sobre o autor

Edson Kowask Bezerra é profissional da área de segurança da informação e governança há mais de quinze anos, atuando como auditor líder, pesquisador, gerente de projeto e gerente técnico, em inúmeros projetos de gestão de riscos, gestão de segurança da infor- mação, continuidade de negócios, PCI, auditoria e recuperação de desastres em empresas de grande porte do setor de telecomunicações, financeiro, energia, indústria e governo. Com vasta experiência nos temas de segurança e governança, tem atuado também como palestrante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em segurança e governança. É professor e coordenador de cursos de pós-graduação na área de segurança da informação, gestão integrada, inovação e tecnologias web. Hoje atua como Coordenador Acadêmico de Segurança e Governança de TI da Escola Superior de Redes. Pos- sui a certificação CRISC da ISACA, além de diversas outras em segurança e governança.

Superior de Redes. Pos - sui a certificação CRISC da ISACA, além de diversas outras em

1

Capítulo 1 - Introdução à Gestão de Riscos

Introdução à Gestão de Riscos

objetivos

Conceituar e compreender ameaças, vulnerabilidades, probabilidade e riscos; conhecer e utilizar a norma de gestão de riscos; identificar as atividades do processo de gestão de riscos e os fatores críticos para o sucesso; identificar e definir as áreas necessárias para a gestão de riscos.

Ameaças, vulnerabilidades, probabilidade, riscos, segurança da informação e gestão de riscos.

conceitos

Introdução

q

1 A ação e interação dos objetivos com as incertezas originam o risco, que se apresenta no dia a dia de toda e qualquer atividade.

1 Muitas vezes, o risco não se apresenta visível, sendo necessárias ações para identificá-lo.

1 Outras vezes, o risco é fruto de ações repentinas que fogem ao controle humano, como em eventos de causas naturais.

Nas fases do ciclo de vida de qualquer atividade humana planejada, convivemos com duas cer- tezas básicas: daquilo que deve acontecer (os objetivos) e o que pode acontecer (as incertezas).

convivemos com duas cer- tezas básicas: daquilo que deve acontecer (os objetivos) e o que pode
convivemos com duas cer- tezas básicas: daquilo que deve acontecer (os objetivos) e o que pode

A ação e interação dos objetivos com as incertezas dão origem ao risco, que se apresenta no dia a dia de toda e qualquer atividade desenvolvida. Muitas vezes, o risco não se apresenta visível, sendo necessárias ações para identificá-lo; em outras situações o risco é proveniente de ações repentinas que fogem ao controle do ser humano, como no caso de eventos de causas naturais.

Diariamente vemos manchetes em publicações das mais diversas áreas que destacam, com ênfase, os problemas relacionados aos riscos tecnológicos de segurança da informação: roubos de mídias de backup e de notebooks, vazamento de números de cartões de crédito, manuseio impróprio de registros eletrônicos, roubo de identidade e quebra de propriedade intelectual.

Este capítulo abordará os conceitos fundamentais para a Gestão de Riscos e apresentará a norma ABNT NBR ISO/IEC 27005:2008 - Tecnologia da Informação – Técnicas de segurança – Gestão de riscos de segurança da informação.

27005:2008 - Tecnologia da Informação – Técnicas de segurança – Gestão de riscos de segurança da

Exercício de nivelamento 1 e Introdução à gestão de riscos

Como você avalia na sua organização o processo de gestão de riscos?

Gestão de Riscos de TI NBR 27005

Existem riscos para os trabalhos e atividades da sua organização?

Conceitos fundamentais

1 Norma ISO Guide 73:2009 Gestão de riscos – Vocabulário

q

2

Recomendações para uso em normas.

 

2

Apresenta as principais terminologias para uso nas atividades de gestão de riscos.

1 Esta terminologia deve ser combinada com os termos apresentados nas normas:

 

2

ABNT NBR ISO/IEC 27001.

2

ABNT ISO/IEC 27002.

1 Termos apresentados nas normas:

 

2

Segurança da Informação.

2

Ameaça.

2

Vulnerabilidade.

2

Risco.

2

Riscos de segurança da informação.

2

Identificação de riscos.

2

Impacto.

2

Estimativa de riscos.

2

Modificação do risco.

2

Comunicação do risco.

2

Ação de evitar o risco.

2

Retenção do risco.

2

Compartilhamento do risco.

É importante ter sempre em mente os seguintes conceitos:

Segurança da Informação é a proteção da informação de vários tipos de ameaças, visando garantir a continuidade do negócio, minimizar os riscos que possam comprometê-lo, maximizar o retorno sobre os investimentos e as oportunidades de negócio. A segurança da informação é obtida como resultado da implementação de um conjunto de controles, compreendendo políticas, processos, procedimentos, estruturas organizacionais e funções de hardware e software.

organizacionais e funções de hardware e software. A segurança da informação é obtida com a implementação

A segurança da informação é obtida com a implementação de controles que deverão ser

monitorados, analisados e continuamente melhorados, com o intuito de atender aos

Capítulo 1 - Introdução à Gestão de Riscos

objetivos do negócio, mitigando os riscos e garantindo os preceitos de segurança da organi- zação: Confidencialidade, Integridade, Disponibilidade e Autenticidade (CIDA).

1 Ameaça é todo e qualquer evento que possa explorar vulnerabilidades.

q

1 Causa potencial de um incidente indesejado, que pode resultar em dano para os sistemas, pessoas ou a própria organização.

   

1 As ameaças podem ser classificadas em:

2

Ameaças intencionais.

2

Ameaças da ação da natureza.

2

Ameaças não intencionais.

São exemplos de ameaças:

1 Erros humanos;

1 Falhas de hardware;

1 Falhas de software;

1 Ações da natureza;

1 Terrorismo;

1 Vandalismo, entre outras.

Vulnerabilidade é qualquer fraqueza que possa ser explorada para comprometer a segu- rança de sistemas ou informações. Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

Tabela 1.1

Exemplos de

vulnerabilidades

e ameaças.

Tabela 1.1 Exemplos de vulnerabilidades e ameaças. Para pensar Ameaça versus Vulnerabilidade Entende-se

Para pensar

Ameaça versus Vulnerabilidade

Entende-se que a ameaça é o evento ou incidente, enquanto a vulnerabilidade é a fragilidade que será explorada para que a ameaça se torne concreta. Ameaças podem assumir diversas formas, como furto de equipamentos, mídia e docu- mentos, escuta não autorizada, incêndio, inundação e radiação eletromagnética, até fenômenos climáticos e sísmicos. Por exemplo, um computador cuja senha seja do conhecimento de todos, sofre ameaças como roubo, destruição ou alteração de informações; a vulnerabilidade que permite que estas ameaças se concretizem é justamente a senha ser conhecida e compartilhada por todos.

Vulnerabilidade

Ameaça

Falta de treinamento de funcionários

Erros humanos

Interrupção no servidor por queima da fonte

Falha de hardware

Sistema aplicativo aceita qualquer valor nos seus campos

Falha de software

Inundação da sala em virtude das fortes chuvas

Ações da natureza

Explosão provocada intencionalmente no terminal de ônibus

Terrorismo

Máquina ATM virada e pichada

Vandalismo

provocada intencionalmente no terminal de ônibus Terrorismo Máquina ATM virada e pichada Vandalismo 3

Gestão de Riscos de TI NBR 27005

Os conceitos a seguir dizem respeito às atividades após a identificação dos riscos e relacio- nadas ao seu tratamento.

1 Risco: combinação da probabilidade (chance da ameaça se concretizar) de um evento indesejado ocorrer e de suas consequências para a organização. É a incerteza resultante da combinação da probabilidade de ocorrência de um evento e suas consequências. A pergunta “Qual o risco?” levanta dúvidas a respeito da ocorrência de algo incerto ou inesperado. Em segurança da informação, esta incerteza reside nos aspectos tecno- lógicos envolvidos, nos processos executados e, principalmente, nas pessoas que em algum momento interagem com a tecnologia e se envolvem com os processos.

1 Riscos de segurança da informação: possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, assim prejudicando a organização.

1 Identificação de riscos: processo para localizar, listar e caracterizar elementos de risco. Por menor que seja a probabilidade de ocorrência de um risco, pode ser que determinada incerteza ocorra e explore uma vulnerabilidade, concretizando uma ameaça. Para se pre- parar para isso é necessário conhecer os riscos de todo o ambiente, através da realização de um processo formalizado de identificação de riscos.

1 Impacto: mudança adversa no nível obtido dos objetivos de negócios. Consequência ava- liada dos resultados com a ocorrência de um evento em particular, em que determinada vulnerabilidade foi explorada, uma ameaça ocorreu e o risco se concretizou. Qual foi o impacto deste evento nos negócios? Quanto se perdeu? A organização será responsabili- zada? Haverá multas? Ações legais serão impetradas? Haverá danos de imagem?

Imagine as seguintes situações hipotéticas:

1. Em uma faculdade, um usuário com acesso às informações dos alunos deixou sua senha escrita num papel após renová-la. O que pode ocorrer? Qual o impacto?

2. Em plena preparação para o vestibular de uma determinada instituição, as provas vazaram. Qual o impacto se este vazamento ocorreu seis meses antes da realização do vestibular? E se ocorreu nas 48 horas que antecedem a realização do vestibular?

Exemplos de impactos: perdas financeiras, paralisação de serviços essenciais, perda de confiança dos clientes, pane no fornecimento de energia e falhas de telecomunicações, entre tantos outros.

1 Estimativa de riscos: processo utilizado para atribuir valores à probabilidade e conse- quências de um risco. A estimativa de riscos permite quantificar ou descrever de forma qualitativa um risco, permitindo às organizações priorizar os riscos de acordo com os critérios estabelecidos.

1 Ações de modificação do risco: ações tomadas para reduzir a probabilidade, as conse- quências negativas, ou ambas, associadas a um risco.

1 Comunicação do risco: troca ou compartilhamento de informações sobre o risco entre o tomador de decisão e outras partes interessadas.

1 Ação de evitar o risco: decisão de não se envolver ou agir de forma a mitigar uma situação de risco.

1 Retenção do risco: aceitação do ônus da perda ou do benefício do ganho associado a um determinado risco.

ou do benefício do ganho associado a um determinado risco. 1 Compartilhamento do risco : compartilhamento

1 Compartilhamento do risco: compartilhamento com outra entidade do ônus da perda ou do benefício do ganho associado a um risco.

Capítulo 1 - Introdução à Gestão de Riscos

Exercício de fixação 1 e Conceitos fundamentais

Durante uma apresentação sobre os conceitos de gestão de riscos para a alta direção da sua organização, você foi questionado sobre duas possíveis ameaças existentes e seus riscos. Como você responderia?

Em função da sua resposta para a alta direção, lhe pediram para explicar os possíveis impactos relacionados a estes riscos. Como você responderia?

Princípios da Gestão de Riscos

Princípios da gestão de riscos:

1 A gestão de riscos cria e protege valor.

1 A gestão de riscos é parte integrante de todos os processos organizacionais.

1 A gestão de riscos é parte da tomada de decisões.

1 A gestão de riscos aborda explicitamente a incerteza.

1 A gestão de riscos é sistemática, estruturada e oportuna.

1 A gestão de riscos baseia-se nas melhores informações disponíveis.

1 A gestão de riscos é feita sob medida.

1 A gestão de riscos considera fatores humanos e culturais.

1 A gestão de riscos é transparente e inclusiva.

1 A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças.

1 A gestão de riscos facilita a melhoria contínua da organização.

q

Para a gestão de riscos ser eficaz, convém que uma organização, em todos os níveis, atenda aos princípios descritos a seguir.

a. A gestão de riscos cria e protege valor.

A gestão de riscos contribui para a realização demonstrável dos objetivos e para a melhoria do desempenho, referente à segurança e saúde das pessoas, à conformidade legal e regula- tória, à aceitação pública, à proteção do meio ambiente, à qualidade do produto, ao geren- ciamento de projetos, à eficiência nas operações, à governança e à reputação.

qualidade do produto, ao geren - ciamento de projetos, à eficiência nas operações, à governança e

Gestão de Riscos de TI NBR 27005

b. A gestão de riscos é parte integrante de todos os processos organizacionais.

A gestão de riscos não é uma atividade autônoma separada das principais atividades e

processos da organização. A gestão de riscos faz parte das responsabilidades da adminis- tração e é parte integrante de todos os processos organizacionais, incluindo o planejamento estratégico e todos os processos de gestão de projetos e gestão de mudanças.

c. A gestão de riscos é parte da tomada de decisões.

A gestão de riscos auxilia os tomadores de decisão a fazer escolhas conscientes, priorizar

ações e distinguir entre formas alternativas de ação.

d. A gestão de riscos aborda explicitamente a incerteza.

A gestão de riscos explicitamente leva em consideração a incerteza, a natureza dessa incer-

teza, e como ela pode ser tratada.

e. A gestão de riscos é sistemática, estruturada e oportuna.

Uma abordagem sistemática, oportuna e estruturada para a gestão de riscos contribui para

a

eficiência e para os resultados consistentes, comparáveis e confiáveis.

f.

A gestão de riscos baseia-se nas melhores informações disponíveis.

As entradas para o processo de gerenciar riscos são baseadas em fontes de informação, tais como dados históricos, experiências, retroalimentação das partes interessadas, obser- vações, previsões e opiniões de especialistas. Entretanto, convém que os tomadores de decisão se informem e levem em consideração quaisquer limitações dos dados ou mode- lagem utilizados, ou a possibilidade de divergências entre especialistas.

g. A gestão de riscos é feita sob medida.

A gestão de riscos está alinhada com o contexto interno e externo da organização e com o

perfil do risco.

h. A gestão de riscos considera fatores humanos e culturais.

A gestão de riscos reconhece as capacidades, percepções e intenções do pessoal interno e

externo, que podem facilitar ou dificultar a realização dos objetivos da organização.

i.

A gestão de riscos é transparente e inclusiva.

O

envolvimento apropriado e oportuno de partes interessadas e, em particular, dos toma-

dores de decisão em todos os níveis da organização assegura que a gestão de riscos perma- neça pertinente e atualizada. O envolvimento também permite que as partes interessadas sejam devidamente representadas e tenham suas opiniões levadas em consideração na determinação dos critérios de risco.

j. A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças.

A gestão de riscos continuamente percebe e reage às mudanças. À medida que acontecem

eventos externos e internos, o contexto e o conhecimento modificam-se, o monitoramento

e a análise crítica de riscos são realizados, novos riscos surgem, alguns se modificam e outros desaparecem.

e a análise crítica de riscos são realizados, novos riscos surgem, alguns se modificam e outros

Capítulo 1 - Introdução à Gestão de Riscos

k. A gestão de riscos facilita a melhoria contínua da organização.

Convém que as organizações desenvolvam e implementem estratégias para melhorar a sua maturidade na gestão de riscos, juntamente com todos os demais aspectos da sua organização.

Estes princípios da gestão dos riscos devem ser os norteadores desta nobre ativi- dade no dia a dia das organizações.

desta nobre ativi- dade no dia a dia das organizações. Normas de gestão de segurança e

Normas de gestão de segurança e de riscos

1 Norma ABNT NBR ISO/IEC 27001:2006

1 Norma ABNT NBR ISO/IEC 27002:2005

q

ISO/IEC 27001:2006 1 Norma ABNT NBR ISO/IEC 27002:2005 q A área de segurança da informação possui

A área de segurança da informação possui um conjunto de normas para serem utilizadas nas mais diversas organizações, a fim de permitir uma padronização dos requisitos e proce- dimentos para a implementação de um SGSI.

ABNT

Norma ABNT NBR ISO/IEC 27001:2006

Fundada em 1940, a Associação Brasileira de Normas Técnicas é o órgão responsável pela normalização técnica no país, fornecendo a base necessária ao desenvolvimento tecno- lógico brasileiro. É uma entidade privada, sem fins lucrativos.

2

Tecnologia da Informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos

2

Apresenta e descreve os requisitos que devem ser implementados no estabeleci- mento de um Sistema de Gestão de Segurança da Informação (SGSI).

1 Norma ABNT NBR ISO/IEC 27002:2005

2

Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação

2

Apresenta as melhores práticas para uma gestão adequada da segurança da informação.

l
l

Saiba mais

As normas descritas acima são apresentadas no curso Gestão de Segu- rança da Informação – NBR 27001 e 27002, oferecido pela Escola Superior de Redes.

Podendo ser aplicadas a qualquer ambiente de uma organização (particularmente ao ambiente de TI), estas normas destacam a necessidade das organizações de possuírem uma gestão de riscos estruturada, com a padronização de processos e requisitos de gestão de riscos.

Em 1995, a comissão de padronização da Austrália e Nova Zelândia lançou a primeira norma tratando do tema: AS/NZS 4360 – Gestão de Risco. Genérica, a norma estabelece um processo de gestão de riscos amplamente aceito, tendo sido atualizada em 1999 (AS/NZS 4360:1999). Em 1996, a International Organization for Standardization (ISO) criou um grupo de trabalho baseado na AS/NZS 4360 para criar um projeto de gestão de risco, que passou por diversos problemas e só foi concluído em 2009.

ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes:

1 Norma que fornece os princípios e diretrizes genéricas para qualquer indústria ou setor.

1 Criada para ser aplicada a qualquer ambiente ou organização.

ABNT ISO GUIDE 73:2009 Gestão de Riscos – Vocabulário:

1 Norma que apresenta as definições de termos genéricos relativos à gestão de riscos.

1 Referência de conceitos ligados à gestão de risco.

q

de termos genéricos relativos à gestão de riscos. 1 Referência de conceitos ligados à gestão de

Gestão de Riscos de TI NBR 27005

q

Gestão de Riscos de TI NBR 27005 q ISO/IEC 31010:2009 Gestão de riscos – Técnicas de

ISO/IEC 31010:2009 Gestão de riscos – Técnicas de avaliação de riscos:

1 Norma que deve ser trabalhada em apoio à norma “ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes”.

1 Descreve as diversas técnicas e ferramentas de análise de risco, e não foi ainda tradu- zida pela ABNT.

Em 2009 é lançada pela ISO e imediatamente pela Associação Brasileira de Normas Téc- nicas (ABNT) a norma ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes. Esta norma fornece os princípios e diretrizes genéricas para qualquer indústria ou setor. No mesmo ano foi lançada a norma ABNT ISO GUIDE 73:2009 Gestão de Riscos – Vocabu- lário. Ela apresenta as definições de termos genéricos relativos à gestão de riscos. Quando se pretende fazer referência a um conceito de gestão de riscos, deve ser utilizada a defi- nição da norma ABNT ISO GUIDE 73:2009 Gestão de Riscos – Vocabulário. Segundo a ABNT:

“Este guia fornece as definições de termos genéricos relativos à gestão de riscos. Destina-se

a incentivar uma compreensão mútua e consistente, uma abordagem coerente na descrição

das atividades relativas à gestão de riscos e a utilização de terminologia uniforme de gestão de riscos em processos e estruturas para gerenciar riscos”.

Em 2012, foi lançada em português a norma “ABNT NBR ISO/IEC 31010:2012 Gestão de riscos – Técnicas para o processo de avaliação de riscos” deve ser trabalhada em apoio à norma “ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes”. A norma descreve as

diversas técnicas e ferramentas de análise de risco, fornecendo orientações sobre a seleção

e aplicação de técnicas sistemáticas para o processo de avaliação de riscos.

Este grupo de normas da série 31000 visa atender a qualquer tipo de ambiente de uma organização. Proporcionam, portanto, uma concepção ampla e genérica da gestão de riscos, sendo aplicadas para avaliar e tratar qualquer tipo de risco corporativo. Durante o desen- volvimento destas normas, foi publicada em 2008, pelo grupo de trabalho específico de tecnologia da informação, a norma “ABNT NBR ISO/IEC 27005: 2008 Tecnologia da Infor- mação – Técnicas de Segurança – Gestão de riscos de segurança da informação”. Esta norma foi desenvolvida com base nos estudos da ISO 31000:2009, e portanto atende aos seus requisitos e ao seu processo de gestão de risco. A ISO/IEC 27005 faz parte do conjunto de normas da série de 27000, sobre o Sistema de Gestão de Segurança da Informação (SGSI), onde são incluídas ainda as normas ISO/IEC 27001 e ISO/IEC 27002. Esta norma apresenta as melhores práticas e possibilita o aprofundamento em aspectos exclusivos da segurança da informação, enquanto a ISO 31000 é mais genérica e contempla todos os setores.

a ISO 31000 é mais genérica e contempla todos os setores. O enfoque deste curso está

O enfoque deste curso está na norma “ABNT NBR ISO/IEC 27005: 2008 Tecnologia da Informação – Técnicas de Segurança – Gestão de riscos de segurança da infor- mação”. Os conceitos, processos e atividades apresentados se adequam ao que propõe a norma “ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e dire- trizes”, podendo ser aplicados em qualquer outra área que não a de TI.

Gestão de Riscos – Princípios e dire- trizes”, podendo ser aplicados em qualquer outra área que

Capítulo 1 - Introdução à Gestão de Riscos

O quadro abaixo apresenta um resumo comparativo entre estas normas:

Norma

Título

Objetivo

Observação

27001

Tecnologia da infor- mação – Técnicas de segurança – Sistemas de gestão de segu- rança da informação – Requisitos

Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criti- camente, manter e melhorar um SGSI docu- mentado no contexto dos riscos de negócio globais da organização. Especifica requisitos para a implementação de controles de segu- rança personalizados para as necessidades individuais de organizações ou de suas partes. Cobre todos os tipos de organização (empre- endimentos comerciais, agências governamen- tais, organizações sem fins lucrativos, entre diversas outras).

Trata mais especifica- mente de diretrizes e princípios para um sistema de gestão de segurança da infor- mação.

27002

Tecnologia da infor- mação – Técnicas de segurança – Código de prática para a gestão de segurança da infor- mação

Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação. Os obje- tivos definidos nesta norma estabelecem dire- trizes gerais para as metas e melhores práticas para a gestão da segurança da informação.

Voltada para controles de segurança.

27005

Tecnologia da infor- mação – Técnicas de segurança – Gestão de riscos de segu- rança da informação

Apresenta um sistema de gestão de riscos de segurança da informação com foco em tecno- logia da informação.

Esclarece como geren- ciar riscos de segu- rança da informação.

31000

Gestão de riscos – Princípios e diretrizes

Norma que apresenta princípios e diretrizes básicas para a gestão de riscos em geral em qualquer tipo de ambiente.

Editada em 2009, deste ano em diante as demais normas de gestão de riscos devem estar alinhadas a ela.

31010

Gestão de riscos — Técnicas para o processo de avaliação de riscos

Descreve as diversas técnicas e ferramentas de análise de riscos.

Editada em 2012.

GUIDE 73

Gestão de risos – Vocabulário

Apresenta as definições de termos genéricos relativos à gestão de riscos.

Editada em 2009.

Tabela 1.2

Resumo

comparativo entre

as normas.

Norma ABNT NBR ISO/IEC 27005:2008

q

ABNT NBR ISO/IEC 27005:2008 – Tecnologia da Informação – Técnicas de Segurança –

Gestão de riscos de segurança da informação

1 Apresenta as diretrizes para o gerenciamento dos riscos de segurança da informação.

1 Emprega os conceitos da norma ABNT NBR ISO 27001:2005.

1 Emprega os conceitos da norma ABNT NBR ISO 27001:2005. A norma “ABNT NBR ISO/IEC 27005:2008

A norma “ABNT NBR ISO/IEC 27005:2008 – Tecnologia da Informação – Técnicas de Segu-

rança – Gestão de riscos de segurança da informaçãofoi publicada em julho de 2008 e

apresenta as diretrizes para o gerenciamento dos riscos de segurança da informação.

Emprega os conceitos da norma ABNT NBR ISO 27001:2005, que especifica os requisitos de

sistemas de gestão da segurança da informação.

da norma ABNT NBR ISO 27001:2005, que especifica os requisitos de sistemas de gestão da segurança

Gestão de Riscos de TI NBR 27005

Esta norma descreve todo o processo necessário para a gestão de riscos de segurança da informação e as atividades necessárias para a perfeita execução da gestão. Apresenta prá- ticas para gestão de riscos da segurança da informação. As técnicas nela descritas seguem

o conceito, os modelos e os processos globais especificados na norma ABNT NBR ISO/IEC

27001, além de apresentar a metodologia de avaliação e tratamento dos riscos requeridos pela mesma norma.

Partindo do princípio de que a gestão de riscos é um processo cíclico e contínuo, a norma está dividida em sessões e anexos. As sessões contêm as informações do processo e das atividades necessárias para a sua execução. Existem 12 sessões ao todo: as sessões de 1

a 4 tratam das referências e da estrutura da norma, e as sessões 5 e 6 apresentam a visão

geral do processo de gestão de riscos. As sessões a partir da 7 tratam especificamente do processo de gestão de riscos. Os seis anexos são identificados de A a F e trazem informações adicionais e exemplos.

Nas sessões de 7 a 12 as atividades de gestão são apresentadas de acordo com a seguinte estrutura:

1 Entrada: refere-se aos insumos e premissas necessárias para a realização da atividade.

1 Ação: descrição da atividade, sempre acompanhada do “convém”.

1 Diretrizes para implementação: diretrizes necessárias para a realização da ação, isto é,

o detalhamento de como a ação pode ser realizada. Estas diretrizes devem ser adaptadas a cada tipo de organização. Também estão acompanhadas do “convém”.

1 Saída: apresenta os resultados que devem ser alcançados e que vão servir para gerar evidências.

Este curso utiliza o processo de gestão de riscos normatizado contido na norma ABNT NBR ISO/IEC 27005.

Visão geral da gestão de riscos

É

1 necessária uma abordagem sistemática de gestão de riscos que varia de organi- zação para organização assim como o nível de risco aceitável de cada uma.

1 Risco aceitável é o grau de risco que a organização está disposta a aceitar para con- cretizar os seus objetivos.

1 Necessidade de aumentar a capacidade de gerir o risco e otimizar o retorno.

1 abordagem de gestão de riscos de segurança da informação deve ser:

A

2

Contínua.

2

Realizada no tempo apropriado.

2

Repetitiva.

2

Própria ao ambiente da organização.

2

Ajustada ao processo de gestão de riscos corporativos.

2

Alinhada com os requisitos de negócios.

2

Apoiada pela alta direção.

q

Gestão de riscos são atividades formalizadas e coordenadas para controlar e dirigir um con- junto de instalações e pessoas com relações e responsabilidades, entre si e externamente, no que se refere a riscos nos negócios sob a ótica da segurança da informação.

entre si e externamente, no que se refere a riscos nos negócios sob a ótica da

Capítulo 1 - Introdução à Gestão de Riscos

Definição do contexto;

1 Análise/Avaliação de riscos;

1 Tratamento do risco;

1 Aceitação do risco;

1 Comunicação do risco;

1 Monitoramento e análise crítica;

1 Ciclo de melhoria contínua PDCA.

A Tabela 1.3 mostra as principais atividades de gestão de riscos da segurança da informação.

Tabela 1.3 Principais atividades de gestão de riscos da segurança da informação.

l
l

Saiba mais

Dica de leitura:

BERNSTEIN, Peter. Desafio aos deuses: a fas- cinante história do risco. Editora Campus, 1997.

Processo do SGSI

Processo de gestão de riscos de segurança da informação

 

1 Definição do contexto

1 Análise/Avaliação de riscos

PLANEJAR

1 Definição do plano de tratamento do risco

1 Aceitação do risco

EXECUTAR

Implementação do plano de tratamento do risco

VERIFICAR

Monitoramento contínuo e análise crítica de riscos

AGIR

Manutenção e melhoria do processo de gestão de riscos de segu- rança da informação

Em seu livro “Desafio aos deuses: a fascinante história do risco”, Peter Bernstein nos pre-

senteia com uma detalhada análise histórica da evolução do controle e previsão dos riscos

pela humanidade, desde a Grécia antiga. Segundo o autor, somos possuidores de elevado

potencial técnico para a prevenção das perdas e ganhos, mesmo que o comportamento dos

agentes seja imprevisível. Nas suas palavras:

os nossos esforços, os seres humanos não possuem o conhecimento completo sobre as leis

que definem a ordem do mundo objetivamente existente”. Portanto, o autor nos desquali-

fica como “previsores perfeitos” do futuro.

aconteça o que acontecer e apesar de todos

Bernstein diz ainda que “Quando investidores compram ações, cirurgiões realizam opera-

ções, engenheiros projetam pontes, empresários abrem seus negócios e políticos concorrem

a cargos eletivos, o risco é um parceiro inevitável. Contudo, suas ações revelam que o risco

não precisa ser tão temido: administrar o risco é sinônimo de desafio e oportunidade”.

O risco faz parte de nosso cotidiano, de modo que precisamos conhecê-lo para poder tratá-

-lo e dele extrair novas oportunidades.

É inquestionável a importância do papel que a tecnologia da informação exerce na socie-

dade para que esta alcance seus objetivos. A integração do ambiente tecnológico, caracte-

rizado pela complexidade e interdependência, produz contextos muitas vezes hostis que

propiciam ataques cada vez mais frequentes à segurança da informação, exigindo respostas

cada vez mais rápidas das organizações. A este quadro vêm somar-se novas obrigações

legais, de proteção de privacidade e governança corporativa, gerando a necessidade das

organizações gerenciarem mais efetivamente sua infraestrutura de tecnologia.

Para enfrentar estas novas ameaças e demandas as organizações devem desenvolver uma

atitude proativa, antecipando-se em conhecer suas fraquezas e vulnerabilidades. Isto pode

ser obtido através da adoção de um processo formal de gerenciamento de riscos de segu-

rança da informação, que permita à organização estabelecer um nível aceitável de risco.

de riscos de segu- rança da informação, que permita à organização estabelecer um nível aceitável de

Gestão de Riscos de TI NBR 27005

Para isso é necessária uma abordagem sistemática de gestão de riscos, que irá variar de acordo com o negócio de cada organização, assim como o nível de risco aceitável estabele- cido pela direção de cada organização.

Risco aceitável é o grau de risco que a organização está disposta a aceitar para a concretização dos seus objetivos estratégicos.

para a concretização dos seus objetivos estratégicos. Exercício de fixação 2 e Visão geral Na sua

Exercício de fixação 2 e Visão geral

Na sua organização, qual seria o “risco aceitável” na realização das suas atividades? Explique.

Aumentar a capacidade de gerir o risco e otimizar o retorno são ações integrantes de uma abordagem sismica, que proporciona um processo formal para a melhoria da capacidade de identificação e avaliação dos riscos. Esta abordagem deve estar de acordo com os obje- tivos da organização, atendendo às suas necessidades específicas de acordo com os requi- sitos de segurança da informação. Para isso, a abordagem de gestão de riscos de segurança da informação deve ser:

1 Contínua;

1 Realizada no tempo apropriado;

1 Repetitiva;

1 De acordo com o ambiente da organização;

1 Ajustada ao processo de gestão de riscos corporativos;

1 Alinhada com os requisitos de negócios;

1 Apoiada pela alta direção.

Partindo do conceito amplo de que o processo de gestão é composto de atividades coordenadas e formalizadas para controlar e dirigir uma organização – formada por suas instalações e pessoal, com relações e responsabilidades entre si e com agentes externos –, pode-se inferir que a gestão de riscos é composta de atividades formalizadas e coordenadas para controlar e dirigir um conjunto de instalações e pessoas com relações e responsabilidades, entre si e com o ambiente externo, no que se refere a riscos nos negócios sob a ótica da segurança da informação.

entre si e com o ambiente externo, no que se refere a riscos nos negócios sob

Capítulo 1 - Introdução à Gestão de Riscos

A Figura 1.1 apresenta uma visão do processo de gestão de riscos de segurança da infor-

mação segundo a norma ABNT NBR ISO/IEC 27005.

Figura 1.1 Processo de gestão de riscos de segurança da informação.

DEFINIÇÃO DO CONTEXTO PROCESSO DE AVALIAÇÃO DE RISCOS IDENTIFICAÇÃO DE RISCOS ANÁLISE DE RISCOS AVALIAÇÃO
DEFINIÇÃO DO CONTEXTO
PROCESSO DE AVALIAÇÃO DE RISCOS
IDENTIFICAÇÃO DE RISCOS
ANÁLISE DE RISCOS
AVALIAÇÃO DE RISCOS
PONTO DE DECISÃO 1
Avaliação satisfatória
Não
Sim
TRATAMENTO DO RISCO
PONTO DE DECISÃO 2
Tratamento satisfatório
Não
Sim
ACEITAÇÃO DO RISCO
COMUNICAÇÃO E CONSULTA DO RISCO
MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES

O processo tem seis grandes grupos de atividades:

1 Definição do contexto;

1 Análise/Avaliação de riscos;

1 Tratamento do risco;

1 Aceitação do risco;

1 Comunicação do risco;

1 Monitoramento e análise crítica.

Como pode ser visto na Figura 1.1, o ciclo de vida da gestão de riscos de segurança da infor-

mação é iterativo, onde a gestão se desenvolve de maneira incremental, através de uma

sucessão de iterações, e cada iteração libera uma entrega (saída) para a seguinte, minimi-

zando tempo e esforço.

Definição do contexto

Dentro do processo, a definição do contexto é responsável pela definição do ambiente,

escopo, critérios de avaliação, entre outras definições.

do contexto é responsável pela definição do ambiente, escopo, critérios de avaliação, entre outras definições. 13

Gestão de Riscos de TI NBR 27005

Esta etapa é essencial para a equipe que realiza a gestão de risco conhecer todas as infor-

mações sobre a organização.

Análise/Avaliação de riscos

A próxima iteração é de análise e avaliação de risco, que permitirá a identificação dos riscos

e a determinação das ações necessárias para reduzir o risco a um nível aceitável.

Tratamento do risco

A partir dos resultados obtidos na análise e avaliação do risco são definidos os controles

necessários para o tratamento do risco. A norma ABNT NBR ISO/IEC 27001 especifica os

controles que deverão ser implementados.

Aceitação do risco

Assegura os riscos aceitos pela organização, ou seja, os riscos que por algum motivo não

serão tratados ou serão tratados parcialmente. São os chamados riscos residuais, cujo

enquadramento nesta categoria deverá ser justificado.

Comunicação do risco

Nesta etapa é feita a comunicação do risco e da forma como será tratado, para todas as

áreas operacionais e seus gestores.

Monitoramento e análise crítica

São as atividades de acompanhamento dos resultados, implementação dos controles e de

análise crítica para a melhoria contínua do processo de gestão de riscos.

Todas estas etapas serão detalhadas nas próximas sessões.

A norma ABNT NBR ISO/IEC 27001 especifica que os controles implementados no escopo,

limites e contexto do Sistema de Gestão de Segurança da Informação (SGSI) devem estar

baseados no risco. Este requisito deve ser atendido através da aplicação do processo de

gestão de riscos de segurança da informação.

No ambiente de um SGSI, a definição do contexto, a análise e avaliação de riscos, o desen-

volvimento do plano de tratamento do risco e a aceitação do risco fazem parte da fase “Pla-

nejar” do ciclo de melhoria contínua PDCA. Já a fase “Executar” do SGSI é a implementação

de controles para conduzir os riscos ao nível aceitável pela organização. A fase “Verificar”

do SGSI, por sua vez, inclui as ações de revisão. Finalmente, a fase “Agir” compreende as

ações necessárias para execução, incluindo a reaplicação do processo de gestão de riscos de

segurança da informação.

Podemos resumir da seguinte forma as principais atividades de Gestão de riscos de segu-

rança da informação:

Processo do SGSI

Processo de gestão de riscos de segurança da informação

PLANEJAR

Definição do contexto Análise/Avaliação de riscos Definição do plano de tratamento do risco Aceitação do risco

EXECUTAR

Implementação do plano de tratamento do risco

do plano de tratamento do risco Aceitação do risco EXECUTAR Implementação do plano de tratamento do

Capítulo 1 - Introdução à Gestão de Riscos

Processo do SGSI

Processo de gestão de riscos de segurança da informação

VERIFICAR

Monitoramento contínuo e análise crítica de riscos

AGIR

Manutenção e melhoria o processo de Gestão de Riscos de Segu- rança da Informação

Figura 1.2 Processo de gestão de riscos e o modelo PDCA.

A J E R N A L P Manutenção Definição e melhoria do contexto P
A
J
E
R
N
A
L
P
Manutenção
Definição
e melhoria
do contexto
P
do processo
L
A
Monitoramento
Análise/Avaliação
e análise
de riscos
N
crítica
E
J
A
Implementar
o plano de
tratamento
Definição
do plano de
tratamento
R
Aceitação
R
do risco
I
G
A
Exercício de fixação 3 e
PDCA
P
L
A
N
R
E
J
A
A
C
R
I
F
I
R
E
V
P
L
A
N
E
J
A
R
R
A
T
U
C
E
X
E

Explique como a fase planejar (PDCA) do processo do SGSI é executado no processo de

gestão de riscos de segurança da informação.

Fatores críticos para o sucesso

1 Redução das surpresas operacionais e prejuízos.

1 Identificação de oportunidades de crescimento e melhorias.

1 Racionalização do capital estabelecendo uma ordem de prioridades de investimento.

1 Prá-atividade com o uso dos recursos computacionais nos negócios.

1 Envolvimento e participação da alta direção no processo.

1 Comunicação e treinamento.

1 Definição de objetivos.

1 Papéis e responsabilidades definidos.

1 Integração com as atividades de gestão de segurança da informação.

q

1 Papéis e responsabilidades definidos. 1 Integração com as atividades de gestão de segurança da informação.

Gestão de Riscos de TI NBR 27005

A gestão de riscos de segurança da informação é implementada pelas organizações na

busca por vantagens competitivas para os negócios. É fundamental demonstrar, para as partes interessadas, uma postura de segurança na gestão dos riscos relacionados à pro- teção dos ativos e informações.

Os fatores críticos para o sucesso estão relacionados aos benefícios que devem ser alcan- çados pelas organizações, a depender da natureza de cada organização. Para atingir tais benefícios é preciso realizar as etapas que envolvem os fatores críticos para o sucesso. Como exemplos destes fatores podemos mencionar os listados a seguir.

Envolvimento e participação da alta direção no processo

É essencial para o sucesso de qualquer projeto que a direção esteja envolvida e comprometida com o seu desenvolvimento e sucesso de acordo com os objetivos estratégicos definidos.

Comunicação e treinamento

Todo o processo precisa ser comunicado a todas as partes envolvidas antes do seu início, durante o seu desenvolvimento e após sua conclusão, com a apresentação dos resultados alcançados e metas atingidas. Em um processo de gestão de riscos todos os participantes devem ser envolvidos, e para isso é necessária a realização de campanhas de conscienti- zação e treinamentos.

Definição de objetivos

O estabelecimento de objetivos contribui decisivamente com o alcance das metas da gestão

de riscos.

Papéis e responsabilidades definidas

Todos os integrantes das partes envolvidas devem conhecer as suas atribuições e responsa- bilidades durante todo o processo de gestão de riscos de segurança da informação.

Integração com a gestão de segurança da informação

As atividades de gestão de riscos devem estar totalmente integradas às atividades do SGSI.

No desenvolvimento deste curso serão explorados os fatores críticos de sucesso perten- centes a cada etapa da gestão de riscos de segurança da informação.

Áreas de conhecimento necessárias

Os profissionais envolvidos nas atividades de análise de risco possuem um perfil com conhecimento em diversas áreas:

1 Técnico.

1 Negócios.

1 Legislação.

1 Processos.

q

Para a melhor aplicação do processo de gestão de riscos, é importante que os profissionais envolvidos possuam um perfil com conhecimento de áreas diversas, permitindo a identifi- cação das ameaças e vulnerabilidades em qualquer ambiente organizacional.

Na equipe encarregada da realização da análise de risco preferencialmente devem ser encontrados os seguintes perfis:

equipe encarregada da realização da análise de risco preferencialmente devem ser encontrados os seguintes perfis: 16

1

Técnico: contribui no atendimento das demandas das diversas áreas técnicas da organi- zação, incluindo as áreas de hardware, software, sistemas operacionais, infraestrutura e aplicações web, entre outras.

Capítulo 1 - Introdução à Gestão de Riscos

1 Negócios: auxilia a equipe no entendimento preciso dos negócios da organização e seus múltiplos processos, além de ter importância no cálculo dos impactos.

1 Legislação: perfil voltado ao entendimento dos aspectos legais e normativos com os quais a organização analisada necessita se alinhar.

1 Processos: permite a compreensão dos processos e através de sua análise identifica pos- síveis ameaças e vulnerabilidades, contribuindo com a elaboração de planos de gestão e tratamento de riscos.

Estes são alguns exemplos de perfis ou conhecimentos necessários para a análise de risco.

O tipo da organização e seus objetivos de negócios indicarão os perfis realmente importantes

para compor a equipe de trabalho. Não existe a necessidade de um profissional para cada

perfil citado, pois os conhecimentos podem ser encontrados em um mesmo profissional.

A quantidade de profissionais alocados será determinada pelo escopo da análise e prazo.

Leitura complementar

1 Sessões 4, 5 e 6 da norma ABNT NBR ISO/IEC 27005.

1 Item 4 da Norma Complementar Gestão de Riscos de Segurança da Informação e Comuni- cações – GRSIC, do DSIC/GSI/PR: http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf

1 Enterprise Risk Management: Past, Present and Future:

http://www.casact.org/education/erm/2004/handouts/kloman.pdf

1 Interdisciplinary Risk Management:

http://www.riskinfo.com/rmr/rmrjun05.htm

1 Quatro dicas para uma geso de riscos eficiente:

http://cio.uol.com.br/gestao/2009/07/03/quatro-dicas-para-a-boa-gestao-de-riscos/

1 AS/NZS 4360:

http://www.standards.org.au/

1 História da AS/NZS 4360:

http://www.riskinfo.com/rmr/rmrsept00.htm

4360: http://www.standards.or g .au/ 1 Histór i a d a AS/NZS 4360 : http://www.riskinfo.com/rmr/rmrsept00.htm 17

Gestão de Riscos de TI NBR 27005

Capítulo 1 - Roteiro de Atividades

Capítulo 1 - Roteiro de Atividades Roteiro de Atividades 1 Atividade 1.1 – Conhecendo os conceitos

Roteiro de Atividades 1

Atividade 1.1 – Conhecendo os conceitos

Para cada conceito a seguir, explique e apresente um exemplo baseado na organização em

que você trabalha. Justifique sua resposta:

Conceito

Definição

Exemplo

Justificativa

Riscos de segurança da informação

     

Identificação de riscos

     

Impacto

     

Compartilhamento do risco

     

Evitar o risco

     

Comunicação do risco

     

Estimativa do risco

     

Tratamento do risco

     

Aceitação do risco

     

Atividade 1.2 – Conhecendo a norma

Descreva como está organizada a norma ABNT NBR ISO/IEC 27005, citando suas sessões.

Explique como estão estruturadas as atividades das sessões 7 a 12 da norma

ABNT NBR ISO/IEC 27005.

suas sessões. Explique como estão estruturadas as atividades das sessões 7 a 12 da norma ABNT

Atividade 1.3 – Identificando o processo

Gestão de Riscos de TI NBR 27005

Descreva a sequência das etapas do processo de gestão de riscos.

Atividade 1.4 – Fatores críticos

O que é a gestão de riscos de segurança da informação e como ela se aplica na sua organização?

Quais são os fatores críticos de sucesso? Dê exemplos baseados na sua organização.

Em sua opinião qual a importância de entendermos a gestão de risco para o exercício das nossas atividades cotidianas?

O que foi aprendido

1 Conceito de gestão de risco.

1 Visão geral da gestão de risco.

1 Fatores críticos de sucesso.

foi aprendido 1 Conceito de gestão de risco. 1 Visão geral da gestão de risco. 1

q

foi aprendido 1 Conceito de gestão de risco. 1 Visão geral da gestão de risco. 1

2

Contexto da gestão de riscos

objetivos

Conceituar e definir o contexto do ambiente da gestão de riscos; identificar o escopo e as atividades de definição de critérios no processo de gestão de riscos.

Contexto, escopo, limites e critérios.

conceitos

Introdução

Ao iniciar qualquer tipo de trabalho, a primeira atividade a ser feita é conhecer o ambiente em que o trabalho será desenvolvido, as pessoas que de alguma forma irão interagir, o que será desenvolvido; em resumo, “conhecer o terreno” para saber conduzir o andamento dos trabalhos.

Nas atividades que envolvem gestão de riscos de segurança da informação a definição do con- texto é a parte inicial e tem como objetivo permitir o conhecimento do ambiente da organização.

Exercício de nivelamento 1 e Contexto

No seu entendimento qual o contexto atual da sua organização?

Processo de gestão de riscos de segurança da informação q 1 Conhecer a sequência das
Processo de gestão de riscos de segurança da informação
q
1 Conhecer a sequência das fases da gestão de riscos.
1 Ter acesso a toda a documentação da organização.
Na sessão anterior foi apresentada a visão geral do processo de gestão de riscos. É neces-
sário que o conhecimento da sequência das fases do processo faça parte do dia a dia dos
profissionais envolvidos com a gestão de riscos.
Capítulo 2 - Contexto da gestão de riscos
DEFINIÇÃO DO CONTEXTO PROCESSO DE AVALIAÇÃO DE RISCOS IDENTIFICAÇÃO DE RISCOS ANÁLISE DE RISCOS AVALIAÇÃO
DEFINIÇÃO DO CONTEXTO
PROCESSO DE AVALIAÇÃO DE RISCOS
IDENTIFICAÇÃO DE RISCOS
ANÁLISE DE RISCOS
AVALIAÇÃO DE RISCOS
PONTO DE DECISÃO 1
Avaliação satisfatória
Não
Sim
TRATAMENTO DO RISCO
PONTO DE DECISÃO 2
Tratamento satisfatório
Não
Sim
ACEITAÇÃO DO RISCO
COMUNICAÇÃO E CONSULTA DO RISCO
MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES

Figura 2.1

Definição do

contexto.

Para realizar esta atividade, os profissionais deverão ter acesso a toda documentação sobre a

organização, permitindo assim o amplo conhecimento sobre as especificidades da organização.

Contexto

É necessário entender o significado conceitual de “contexto” e sua aplicação na gestão de

riscos. Ao buscar o seu significado nos dicionários, encontra-se, entre outras definições,

que contexto é um substantivo masculino que significa “inter-relação de circunstâncias que

acompanham um fato ou uma situação”.

Assim, ao nos referirmos a “contexto” queremos na verdade tratar da totalidade de circunstân-

cias que possibilitam, condicionam ou determinam a realização de um texto, projeto, ativi-

dade ou mesmo de um evento de segurança da informação. Em outras palavras, contexto é o

conjunto de circunstâncias que se relacionam de alguma forma com um determinado aconteci- mento. É
conjunto de circunstâncias que se relacionam de alguma forma com um determinado aconteci-
mento. É a situação geral ou o ambiente a que está sendo referido um determinado assunto.
Chamamos de contextualização a atividade de mapear todo o ambiente que envolve
o evento em análise. No processo de gestão de riscos esta é a primeira atividade a
ser desempenhada.
Gestão de Riscos de TI NBR 27005

Capítulo 2 - Contexto da gestão de riscos

Segundo a norma ABNT NBR ISO 31000:2009 o contexto pode ser analisado sob dois aspectos:

q

o contexto pode ser analisado sob dois aspectos: q 1 Contexto Externo: é o ambiente externo
o contexto pode ser analisado sob dois aspectos: q 1 Contexto Externo: é o ambiente externo

1 Contexto Externo: é o ambiente externo no qual a organização se situa e busca atingir seus objetivos (ambiente cultural, financeiro, regulatórios, tecnológico, econômico, competitivo, entre outros).

1 Contexto Interno: é o ambiente interno no qual a organização busca atingir seus objetivos (governança, estrutura organizacional, políticas, objetivos, capacidades, sistemas de informação, cultura organizacional, normas, diretrizes, entre outras).

Estabelecimento do contexto

q

De acordo com a norma ABNT NBR ISO/IEC 31000, no momento em que a organização estabelece seu contexto ela:

1 Articula seus objetivos.

1 Define parâmetros internos e externos.

1 Define o escopo e os critérios de risco para todo o processo de gestão de riscos.

de risco para todo o processo de gestão de riscos. De acordo com a norma ABNT

De acordo com a norma ABNT NBR ISO/IEC 31000, no momento que a organização estabe- lece seu contexto ela articula seus objetivos, definindo parâmetros internos e externos que devem ser levados em consideração para gerenciar o risco, e define o escopo e os critérios de risco para todo o processo de gestão de riscos.

Contexto da norma ABNT NBR ISO/IEC 27005

Seção 7 da ABNT NBR ISO/IEC 27005: trata as atividades desenvolvidas durante a fase de contexto da gestão de riscos.

q

   

1 Apresentações da organização.

1 Entrevistas.

1 Questionários:

2

Seção 7.1 – Considerações iniciais.

2

Seção 7.2 – Critérios básicos.

2

Seção 7.3 – Escopo e limites.

2

Seção 7.4 – Organização para gestão de riscos de segurança da informação.

1 Anexo A – Informativo.

 

A seção 7 da norma ABNT NBR ISO/IEC 27005 trata das atividades que devem ser desen-

volvidas durante a fase de contexto da gestão de riscos. Essas atividades devem ser desenvolvidas pela equipe responsável pela gestão de riscos, sendo realizadas por meio de interações com os profissionais da organização avaliada através de:

1 Apresentações da organização;

1 Entrevistas com diretores, gerentes, técnicos e usuários;

1 Questionários.

A seção 7 desta norma está organizada da seguinte forma:

1 Seção 7.1 – Considerações iniciais: finalidade de realizar a contextualização;

1 Seção 7.2 – Critérios básicos: critérios de avaliação;

finalidade de realizar a contextualização; 1 Seção 7.2 – Critérios básicos: critérios de avaliação; 23

1

Seção 7.3 – Escopo e limites: importância da definição do escopo e os limites da gestão

Gestão de Riscos de TI NBR 27005

de riscos;

1 Seção 7.4 – Organização para gestão de riscos de segurança da informação: organização

e responsabilidades do processo de gestão de riscos;

1 Anexo A – Informativo: detalhes para a definição do escopo e restrições que podem

impactar nos trabalhos.

Definindo o contexto

q

que podem impactar nos trabalhos. Definindo o contexto q 1 Suporte a SGSI. 1 Conformidade legal.

1

Suporte a SGSI.

1 Conformidade legal.

1 Plano de continuidade de negócios.

1 Plano de resposta a incidentes.

Ao iniciar o trabalho de gestão de riscos deve-se primeiramente fazer um levantamento de

todas as informações relevantes sobre o ambiente onde será executada a análise de riscos.

Deve estar claro ainda o entendimento sobre as atividades da organização e os propósitos

que a levaram à gestão de riscos de segurança da informação.

São exemplos destes propósitos:

1 Suporte a SGSI: a organização optou por implementar um SGSI e para isso deve realizar

a gestão de risco de segurança da informação como requisito obrigatório.

1 Conformidade legal: atendimento a uma determinação legal ou normatizadora.

Ex: bancos, operadoras de cartão de crédito.

1 Plano de Continuidade de Negócios: necessário para a preparação do plano que visa

estruturar o modo como a organização enfrentará um evento catastrófico. Para que não

ocorra um impacto significativo ao negócio é necessária a realização do processo de

gestão de riscos.

1 Plano de resposta a incidentes: para que a organização possa ter seu plano de res-

postas a incidentes é necessário o conhecimento de seus riscos e vulnerabilidades.

De modo geral, o entendimento dos propósitos da implantação da gestão de riscos possibi-

lita uma visão da importância desta atividade para os negócios da organização. Na norma

ABNT NBR ISO/IEC 27005 o propósito faz parte das diretrizes para implementação da ativi-

dade de definição do contexto: vide 7.1 – Considerações gerais.

do contexto: vide 7.1 – Considerações gerais. Itens para identificação Ao analisar o ambiente da

Itens para identificação

Ao analisar o ambiente da organização, a equipe de analistas deve identificar os elementos

que caracterizam a organização e contribuem para o seu desenvolvimento. Na análise da

organização devem constar pelo menos os seguintes itens:

Tabela 2.1 Itens para análise da organização.

Itens para identificação

Exemplo de questionamentos

Propósito principal da

Qual a finalidade da empresa? Quais seus objetivos?

organização

O negócio

Qual o seu negócio? Qual a finalidade do que é produzido / desenvolvido?

A missão

Qual a sua missão? Para que ela existe? O que ela se propõe a fazer? Para quem?

Capítulo 2 - Contexto da gestão de riscos

Itens para identificação

Exemplo de questionamentos

A

visão de futuro

Qual sua visão de futuro? O que se espera dela no tempo?

Os valores

Quais os seus valores? Como eles são evidenciados?

A

estrutura organizacional

Como ela está organizada e estruturada? E a segurança das informações? E as responsabilidades pela segurança?

O

organograma

Qual o seu organograma? “Quem é quem e em que setor trabalha”? Há área de segurança da informação?

As estratégias

Quais são as suas principais estratégias de negócios? E de segurança da informação?

Os produtos

Quais são os seus produtos? Qual o principal produto de alavancagem dos negócios?

Os parceiros

Quem são seus parceiros? Como são escolhidos? Como contribuem? Como é o relacionamento da segurança da informação com eles? Quais as obrigações da segurança da informação?

Os terceiros

Quem são os terceiros? Como são escolhidos? Como contribuem? Como é o rela- cionamento da segurança da informação com eles? Como é o contrato? Quais as obrigações da segurança da informação?

As instalações

Como está dividida a organização? Onde estão os servidores? Há algum mecanismo de prevenção de incêndio? Como é feita a proteção física? Como são os acessos?

Os funcionários

Como são contratados? Há treinamento de segurança da informação? Como são contratados?

Exercício de fixação 1 e Definindo o contexto

Qual a finalidade da sua organização? Explique.

Qual deve ser um dos propósitos que devem levar a gestão de riscos de segurança da infor-

mação na sua organização? Justifique.

dos propósitos que devem levar a gestão de riscos de segurança da infor - mação na

Gestão de Riscos de TI NBR 27005

Definindo escopo e limites

1 Escopo é descrição dos limites do projeto, sua abrangência, seus resultados e entregas. É a finalidade da gestão de riscos.

q

   

1 Devem ser considerados:

2

Os objetivos e políticas da organização.

2

Estrutura e funções da organização.

2

Processos de negócios.

2

Ativos.

2

Expectativas.

2

Restrições.

1 As restrições afetam a organização e determinam o direcionamento da segurança da informação.

 

1 Algumas destas restrições podem causar impactos no escopo e a equipe tem que estar preparada para identificá-las e determinar a influência que terão no escopo. Exemplos de restrições:

2

Restrições técnicas.

2

Restrições financeiras.

2

Restrições ambientais.

2

Restrições temporais (tempo é um fator determinante).

2

Restrições organizacionais.

1 O anexo A da norma ABNT NBR ISO/IEC 27005 apresenta e detalha estas restrições.

 

1 Exemplos de escopo e limites:

2

Uma aplicação de TI.

2

A infraestrutura de TI.

2

Um processo de negócio.

2

O departamento de TI.

2

Uma filial.

2

O sistema de internet banking de uma instituição financeira.

2

O serviço de e-mail da organização.

2

O processo de controle de acesso físico da organização.

2

O datacenter da organização.

2

A infraestrutura que atende aos serviços ADSL de uma operadora.

2

O serviço de callcenter.

2

O sistema logístico de distribuição de provas de concurso público nacional.

2

A intranet da organização.

público nacional. 2 A intranet da organização. Para lidar com a complexidade da definição do escopo,

Para lidar com a complexidade da definição do escopo, é recomendável escrevê-la por tópicos, tendo a certeza de que todos os pontos foram incluídos e que não existem dúvidas, principalmente entre o entendimento da equipe de gestão de riscos e a organização.

e que não existem dúvidas, principalmente entre o entendimento da equipe de gestão de riscos e

Capítulo 2 - Contexto da gestão de riscos

É importante que a organização defina o escopo e os limites da gestão de riscos de segurança da informação. Mas o que é escopo?

Escopo é a maneira como são descritos os limites do projeto, sua abrangência, seus resul-

tados e suas entregas. É a finalidade, o alvo, o intento ou propósito da gestão de riscos. Se

o escopo for nebuloso, ou deixar margem para interpretação, será difícil para a equipe de

gestão de riscos identificar os limites do seu trabalho. Portanto, o escopo deve ser claro,

bem definido e entendido pela equipe de trabalho e pela organização. Desta forma, com

o escopo e os limites identificados, a equipe de análise e a organização estarão aptos a

levantar os ativos, pessoas, processos e instalações que serão envolvidas na atividade de análise e avaliação dos riscos.

Ao definir o escopo, a organização deverá levar em conta os objetivos que devem ser alcançados com a análise/avaliação (propósitos). Para isso devem ser considerados:

1 Os objetivos e políticas da organização;

1 Estrutura e funções da organização;

1 Processos de negócios;

1 Ativos;

1 Expectativas;

1 Restrições.

É importante considerar as restrições que afetam a organização e determinam o direciona-

mento da segurança da informação. Algumas destas restrições podem causar impactos no escopo, de modo que a equipe precisa estar preparada para identificá-las e determinar a influência que terão no escopo. Alguns exemplos de restrições:

1 Restrições técnicas;

1 Restrições financeiras;

1 Restrições ambientais;

1 Restrições temporais (tempo é um fator determinante);

1 Restrições organizacionais.

Existem muitas outras restrições, que irão variar em função do tipo ou do negócio da orga- nização, assim como também irá variar a influência destas restrições na gestão de riscos.

O anexo A da norma ABNT NBR ISO/IEC 27005 apresenta e detalha estas restrições, sendo

uma leitura obrigatória para um melhor entendimento. Estes são apenas alguns exemplos bem objetivos. É preciso avaliar a complexidade do escopo e fazer um detalhamento dos seus objetivos, para que não haja dúvida a respeito da sua amplitude.

Exercício de fixação 2 e Definindo o escopo e limites

Quais propósitos devem ser considerados na sua organização para definição do escopo? Justifique.

escopo e limites Quais propósitos devem ser considerados na sua organização para definição do escopo? Justifique.

Cite uma restrição técnica e uma restrição organizacional possível de existir na sua organização? Justifique.

Gestão de Riscos de TI NBR 27005

Critérios para avaliação de riscos

1 Os critérios fazem parte do método da gestão de riscos.

1 Os critérios são a forma e o valor (pesos) com que os riscos e impactos serão valorados.

q

(pesos) com que os riscos e impactos serão valorados. q A palavra critério, do grego kritérion
(pesos) com que os riscos e impactos serão valorados. q A palavra critério, do grego kritérion

A palavra critério, do grego kritérion pelo latim critério, significa estabelecer um padrão que serve de base para que coisas e pessoas possam ser comparadas e julgadas.

Os critérios para avaliação de riscos servem para avaliar os riscos de segurança e devem considerar:

1 O valor estratégico do processo;

1 A criticidade dos ativos;

1 O histórico de ocorrências de eventos de segurança;

1 O valor do ativo para o processo;

1 A probabilidade de ocorrências e outros, de acordo com a organização e escopo.

Os critérios também serão utilizados para definir as prioridades para o tratamento dos riscos.

Exemplo:

Em um ambiente que possui uma sala usada como depósito de papel e com um precário sistema de prevenção e combate a incêndios, o risco de um incêndio pode ser ALTO.

No desenvolvimento dos critérios é importante que:

1. Definir a quantidade de níveis necessários para o critério;

2. Definir o nome do nível;

3. Definir os valores de cada nível;

4. Fazer uma descrição detalhada de cada nível. Colocar o máximo de informações do que abrange aquele nível a fim de permitir que qualquer outra pessoa possa entender cada nível do critério e aplica-lo de forma igualitária e uniforme.

Critérios de impacto

Impacto é a mudança adversa no nível obtido nos objetivos de negócios. Os critérios de impacto servem para mensurar o montante dos danos ou custos à organização causados pela ocorrência de um evento de segurança da informação. Geralmente estão relacionados a perdas financeiras. Devem considerar, entre outros:

1 O comprometimento das operações;

entre outros: 1 O comprometimento das operações; 1 O descumprimento de prazos; 1 Os danos de

1 O descumprimento de prazos;

1 Os danos de reputação e imagem;

Capítulo 2 - Contexto da gestão de riscos

1 Violações de requisitos legais e regulatórios;

1 Severidade e criticidade;

1 O comprometimento da confidencialidade, integridade e disponibilidade;

1 Outros, de acordo com a organização e escopo.

Exemplo

Se na ocorrência de um incêndio os prejuízos foram apenas locais, restritos a uma sala, o impacto pode ser classificado como BAIXO. Na situação do incêndio ter se alastrado, e não ter sido possível controlá-lo, de modo a ter destruído diversas salas, equipamentos e docu- mentos importantes, o impacto pode ser classificado como ELEVADO.

Critérios para aceitação do risco

Servem para a organização definir o seu nível ou a sua escala de aceitação dos riscos. Dependem das políticas, metas e objetivos da organização, sendo definidos com a partici- pação da alta direção da organização. Devem considerar:

1 Aspectos legais e regulatórios;

1 Finanças;

1 Aspectos sociais;

1 Repercussão na imagem;

1 Aspectos operacionais;

1 Negócios;

1 Tecnologias.

1 Outros, de acordo com a organização e planejamento futuro dos negócios.

Exemplo:

A empresa definiu que todo risco MUITO BAIXO que possuir IMPACTO BAIXÍSSIMO ou que possa causar perdas financeiras abaixo de R$ 10 mil será classificado como RISCO ACEITÁVEL e não será tratado com prioridade.

Tabela 2.2 Exemplo de critério de probabilidade.

Tabela 2.3 Exemplo de critério de abrangência.

Exemplos de critérios:

Nível

Definição

Frequente

> 0,92

Provável

> 0,65 e < = 0,92

Ocasional

> 0,39 e < = 0,65

Remoto

> 0,15 e < = 0,39

Improvável

> = 0 e < =0,15

Valor

Definição

1

Apenas na rede local.

2

Restringe-se ao setor, departamento ou gerência.

3

Atinge parte do site onde está o ativo.

local. 2 Restringe-se ao setor, departamento ou gerência. 3 Atinge parte do site onde está o

Gestão de Riscos de TI NBR 27005

Valor

Definição

4

As consequências incidem sobre todo o site/filial onde está o ativo.

5

O ativo tem consequências sobre toda a organização.

Nível de risco

Valor

Descrição

Extremo

5

De acordo com a organização

Altíssimo

4

De acordo com a organização

Alto

3

De acordo com a organização

Médio

2

De acordo com a organização

Baixo

1

De acordo com a organização

Irrelevante

0,5

De acordo com a organização

Figura 2.4 Exemplo de critério de nível de risco.

Outro ponto importante é a definição dos critérios (7.2 Critérios básicos). Os critérios fazem parte do método com o qual será feita a gestão de riscos. Em outras palavras, os critérios são a forma e o valor (pesos) com que serão valorados os riscos e os impactos. Para identificar o maior ou menor risco, e o mais alto ou mais baixo impacto, é preciso definir os critérios. Critério é um padrão que serve de base para que coisas e pessoas possam ser comparadas e julgadas.

A definição de critérios de risco envolve decidir sobre:

1 A natureza e os tipos de consequências a serem incluídos e a forma como serão medidos.

1 A maneira pela qual as probabilidades serão representadas.

1 O modo como um nível de risco será determinado.

1 Os critérios que nortearão a decisão pelo tratamento do risco.

1 Os parâmetros para definir quando um risco é aceitável e/ou tolerável.

1 Se as combinações de riscos serão tomadas em consideração.

Os critérios podem ser baseados em fontes como:

1 Os objetivos acordados do processo;

q

1 Os critérios identificados no caderno de encargos;

1 As fontes de dados;

1 Critérios geralmente aceitos pela indústria, como níveis de integridade, segurança (melhores práticas);

1 O apetite de risco da organização;

1 Os requisitos legais cumpridos pela organização;

1 Outros através de informações técnicas de equipamentos específicos ou aplicações.

Os critérios a serem adotados devem ser determinados em comum acordo entre a equipe de gestão de riscos e a organização. Caso a organização já possua critérios para outros sis- temas de gestão, estes poderão ser adaptados a depender da demanda, facilitando o enten- dimento dos critérios de gestão de riscos por parte da organização, pois serão semelhantes aos já utilizados por outros sistemas de gestão implementados.

por parte da organização, pois serão semelhantes aos já utilizados por outros sistemas de gestão implementados.

Capítulo 2 - Contexto da gestão de riscos

Nível de risco

Valor

Descrição

   

1 Não ocorrem lesões, mortes na força de trabalho e/ou de pessoas externas à empresa. Podem ocorrer casos de primeiros socorros ou tratamento médico (sem afastamento).

Desprezível

1

1 Sem danos ou com danos insignificantes aos equipamentos e/ou instalações.

1 Os sistemas de TI ficaram fora de operação por até 5 minutos.

 

1 Lesões leves na força de trabalho, ausência de lesão.

Levemente

1 Danos leves aos equipamentos ou instalações, controláveis e/ou de baixo custo de reparo.

prejudicial

2

1 Os sistemas de TI ficaram fora de operação por até 30 minutos.

 

1 Lesões de gravidade moderada na força de trabalho ou em pessoas externas à empresa.

1 Lesões leves em pessoas externas à empresa. Danos severos a

Prejudicial

3

equipamentos e/ou instalações.

1 Os sistemas de TI ficaram fora de operação acima de 30 minutos. Emissão de nota fiscal por sistema alternativo. Necessidade de recu- perar backup.

 

1 Provoca morte ou lesões graves em uma ou mais pessoas (na força d e trabalho e/ou em pessoas externas à empresa).

Extremamente

1 Danos irreparáveis a equipamentos ou instalações (reparação lenta ou impossível).

prejudicial

5

1 Acionado site alternativo. Perda de dados e informações. Clientes sem atendimento total.

Tabela 2.5

Exemplos de

critérios de

impacto.

Cabe ressaltar que estes exemplos provavelmente não se aplicam a qualquer tipo de

organização, mas àquelas para as quais foram desenvolvidos. Entretanto, fornecem uma

ideia sobre a criação de critérios aplicados às atividades de gestão de riscos. No decorrer

deste curso serão desenvolvidos critérios durante a realização das atividades.

Exercício de fixação 3 e Definindo os critérios

Que critérios já existem atualmente na sua organização? Justifique.

Considerando o ambiente da sua organização, faça a descrição dos níveis “baixo” e

“altíssimo” da Tabela 2.5? Justifique.

da sua organização, faça a descrição dos níveis “baixo” e “altíssimo” da Tabela 2.5? Justifique. 31

Gestão de Riscos de TI NBR 27005

Organização para a gestão de riscos

1 A definição dos papéis e responsabilidades é importante para o sucesso do processo de gestão de riscos.

q

1 Devem ser definidos:

   

2

O processo de gestão de risco adequado à organização.

2

As partes interessadas.

2

Os papéis e responsabilidades das partes envolvidas, internas e externas à organização.

2

As relações necessárias entre a organização, suas partes interessadas e outros projetos.

2

A cadeia de comunicação e de decisões.

2

Os registros que devem ser mantidos.

2

Outros registros que atendam a particularidades específicas de cada tipo de organização.

1 Todas estas atividades devem gerar evidências para a aplicação dos processos de gestão de riscos.

 

A definição dos papéis e responsabilidades é um fator importante para o sucesso do processo de gestão de riscos. Para tal isto deve estar formalmente definida, comunicada, documentada e aprovada pelos gestores da alta administração.

Deve ficar claro para todos os envolvidos que o conjunto destas atividades deve gerar evidências que auxiliem para uma aplicação adequada dos processos de gestão de riscos. Sendo assim, é importante que todas as informações e dados sejam documentados para o caso de uma futura auditoria.

Leitura complementar

1 Sessão 7 da norma ABNT NBR ISO/IEC 27005.

1 Sessões 5, 6 e 7 da norma ABNT NBR ISO/IEC 27002.

1 Capítulo 5 do livro “O risco de TI” (Desenvolvendo o processo de governança de risco), de George Westerman e Richard Hunter: Harvard Business School Press, 2008.

o processo de governança de risco), de George Westerman e Richard Hunter: Harvard Business School Press,

Capítulo 2 - Roteiro de Atividades

Capítulo 2 - Roteiro de Atividades Roteiro de Atividades 2 Visão geral da atividade Serão realizadas

Roteiro de Atividades 2

Visão geral da atividade

Serão realizadas as atividades necessárias para a “Definição do contexto”. A figura a seguir

apresenta graficamente a localização destas atividades no processo de gestão de riscos.

Figura 2.2 Atividades para a “Definição do contexto”.

DEFINIÇÃO DO CONTEXTO PROCESSO DE AVALIAÇÃO DE RISCOS IDENTIFICAÇÃO DE RISCOS ANÁLISE DE RISCOS AVALIAÇÃO
DEFINIÇÃO DO CONTEXTO
PROCESSO DE AVALIAÇÃO DE RISCOS
IDENTIFICAÇÃO DE RISCOS
ANÁLISE DE RISCOS
AVALIAÇÃO DE RISCOS
PONTO DE DECISÃO 1
Avaliação satisfatória
Não
Sim
TRATAMENTO DO RISCO
PONTO DE DECISÃO 2
Tratamento satisfatório
Não
Sim
ACEITAÇÃO DO RISCO
COMUNICAÇÃO E CONSULTA DO RISCO
MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES

A realização desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC

27005, do material de apoio fornecido e ainda pela vivência e experiência em sua organização.

Para esta atividade, o aluno deve se valer do Anexo A (Descrição da Empresa), que permitirá

a criação de uma empresa fictícia ou ainda auxiliar em algumas observações sobre sua orga-

nização. A planilha desta atividade é composta de perguntas básicas para o entendimento

do contexto organizacional.

A sequência das atividades será:

1. Leitura da Seção 7 e do Anexo A da norma ABNT NBR ISO/IEC 27005;

2. Leitura do Anexo A (Descrição da Empresa) deste caderno de atividades;

3. Explicação e demonstração pelo instrutor da planilha de análise de risco.

Empresa) deste caderno de atividades; 3. Explicação e demonstração pelo instrutor da planilha de análise de

4.

Execução das atividades da planilha:

Gestão de Riscos de TI NBR 27005

a.

Exercícios da guia “Definir Contexto”

O

objetivo desta atividade é, através de respostas a algumas perguntas, desenvolver no aluno

o

entendimento do que deve ser pensado, planejado e verificado ao definirmos o contexto.

Devem ser respondidas as perguntas que permitirão que a equipe de análise de risco identi- fique e compreenda o contexto do ambiente onde será desenvolvida a análise.

Para cada tópico deverão ser colocadas à direita as observações ou justificativas correspondentes.

Só passe para a guia seguinte após concluir.

b. Exercícios da guia “Restrições”

Esta atividade conduz ao entendimento da importância da identificação das restrições existentes.

Nesta guia serão inseridas as restrições aplicáveis à organização, de acordo com o Anexo A da ABNT NBR ISO/IEC 27005.

A coluna “Restrições” apresenta uma lista baseada na norma, cabendo ao aluno escolher as

que se aplicam e escrever a justificativa.

aluno escolher as que se aplicam e escrever a justificativa. Figura 2.3 Análise das restrições. Existem

Figura 2.3

Análise das

restrições.

Existem restrições que afetam a organização e restrições que afetam o escopo da gestão de riscos.

Só passe para a guia seguinte após concluir.

a.

Exercícios da guia “Escopo”

O

objetivo desta atividade é, através de respostas a algumas perguntas, desenvolver no

aluno o entendimento do que deve ser pensado, planejado e verificado ao definirmos o escopo e seus limites.

Esta guia apresenta exercícios para que a equipe de análise tenha um perfeito entendi- mento do escopo e seus limites. Para cada tópico deverão ser colocadas à direita as observa- ções correspondentes.

Só passe para a guia seguinte após concluir.

b. Exercícios da guia “Critérios”

Esta guia apresenta um exercício para permitir a definição dos critérios que serão traba- lhados durante toda a análise de risco.

Aqui a equipe de análise de risco da organização onde é realizado o trabalho, definirá os cri- térios que conduzirão os trabalhos durante todo o processo. É importante que estes critérios sejam factíveis e válidos para o ambiente do escopo da gestão de riscos e para a organização.

que estes critérios sejam factíveis e válidos para o ambiente do escopo da gestão de riscos

Capítulo 2 - Roteiro de Atividades

Critérios a serem definidos:

1 Probabilidade – representa o percentual de chance de um evento ocorrer;

1 Relevância do ativo – importância do ativo para os negócios/serviços da organização;

1 Severidade das consequências – grau das consequências sofridas por um ativo em

relação aos serviços/negócios (disponibilizados pelo ativo ou que passam por ele) ao ser

atacado ou parar de funcionar;

1 Impacto – índice para mensurar o montante dos danos ou custos à organização causados

pela ocorrência de um evento de segurança da informação;

1 Critério de risco – define o nível ou sua escala de aceitação dos riscos e depende das

Tabela 2.6

Definição de

critérios.

políticas, metas e objetivos da organização.

IMPACTO

Nível

Descrição

Desprezível

De acordo com a organização - DEFINA

Baixo

De acordo com a organização - DEFINA

Significativo

De acordo com a organização - DEFINA

Importante

Afetam a imagem da organização e causam interrupção de 12 horas nos negócios. A empresa deixa de funcionar/produzir por 12 horas.

Desastre

De acordo com a organização - DEFINA

Cada critério é composto por nível e descrição. Para cada um deles a equipe de análise

deverá definir seus critérios.

Para a atividade, as descrições que possuem a palavra DEFINA deverão ser comple-

tadas pela equipe e alguns níveis poderão ser alterados. Os critérios definirão as

demais atividades no decorrer do curso.

definirão as demais atividades no decorrer do curso. 5. Verificação e correção pelo instrutor. Ao concluir

5. Verificação e correção pelo instrutor.

Ao concluir o Roteiro de Atividades 2, a equipe de análise conhecerá o ambiente da organi-

zação. O escopo da análise estará definido, assim como os critérios de análise que nortearão

todos os trabalhos da gestão de risco.

análise estará definido, assim como os critérios de análise que nortearão todos os trabalhos da gestão

Anexo A – Descrição da empresa

A empresa

Com sede na cidade de Brasília, um escritório comercial situado em Campinas e outro escritório no Rio de Janeiro, a KWX Indústria Gráfica e Serviços LTDA atua no mercado desde 1998. Atualmente conta com aproximadamente 230 funcionários. Possui equipamentos de alta tecnologia e o objetivo de produzir e distribuir produtos e serviços com padrão de quali- dade internacional, atendendo ao mercado de empresas do setor educacional.

A empresa detém uma pequena fatia do mercado nacional, c