Segurança da Informação

Gestão de Risco
Gestão de Risco – conceitos iniciais

Uma das premissas básicas da Segurança da Informação

é o fato de que não existe segurança total ou completa.

O que torna algo seguro ou não

está muito mais ligado à gestão de uma série de fatores
do que à compra ou implementação de uma solução definitiva.
Gestão de Risco – conceitos iniciais

Fatores a serem gerenciados:

Ativos,
Ameaças, Vulnerabilidades,
Impacto e Risco.

Porém a gestão efetiva e em larga escala desses fatores

é um processo extremamente trabalhoso e complicado.
 Gestão de Risco – conceitos iniciais
 É por meio deste processo que os riscos são identificados e tratados
de forma sistemática e contínua.
 Gestão de Risco – conceitos iniciais
Terminologias

 Ativo
É tudo aquilo que tenha valor e que necessita de algum tipo de proteção.

 Escopo
Conjunto de ativos, ameaças e vulnerabilidades que serão cobertos pelo
Sistema de Gestão de Risco.
 Gestão de Risco – conceitos iniciais
Terminologias

 Ameaça
Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos,
consequentemente a organização.

Quando uma ameaça se concretiza, ela recebe o nome de incidente.

 Vulnerabilidade
As vulnerabilidades criam situações que podem ser exploradas por uma
ameaça.
 Gestão de Risco – conceitos iniciais
Terminologias

 Proteção

São práticas, procedimentos ou mecanismos

que podem proteger os ativos contra ameaças,
reduzir ou eliminar vulnerabilidades,
limitar o impacto de um incidente ou ajudar na sua detecção,
facilitando a correção e a recuperação dos estragos causados.
 Gestão de Risco – conceitos iniciais
Terminologias

 Risco
Probabilidade de ocorrência de um incidente (ameaça) combinada com as
consequências (impacto) que ele causará.

Sua escala é dada por meio da combinação de dois fatores:

1º - a probabilidade de ocorrência da ameaça

medida através da combinação da sua frequência
com a avaliação de vulnerabilidades.

2º - as consequências trazidas pela ocorrência do incidente (o impacto).

 Gestão de Risco – conceitos iniciais
Terminologias

 Risco
A Gestão de Risco prevê quatro atividades ligadas à forma como lidamos
com o risco, ou seja:

 Avaliação de Risco
 Tratamento de Risco
 Aceitação de Risco
 Comunicação de Risco
Gestão de Risco – conceitos iniciais

Os riscos não podem ser completamente eliminados,

e a porção de risco excedente, após todas as medidas tomadas,
é chamada de Risco Residual.

O principal objetivo da Gestão de Risco é trazer o risco residual

para dentro de patamares aceitáveis.

Esses patamares são definidos pelo critério de risco adotado pela

organização. É o risco que a organização definiu como sendo tolerável.
 Gestão de Risco – conceitos iniciais
Terminologias

 Gestão de Riscos
Contempla uma série de atividades relacionadas
à forma como a organização lida com o risco.

Ela cobre todo o ciclo de vida de tratamento do risco, desde a sua

identificação até a sua comunicação as partes envolvidas.

 Análise e Avaliação
 Tratamento
 Aceitação
 Comunicação
 Gestão de Risco – conceitos iniciais
Terminologias  Análise e Avaliação
 Tratamento
 Aceitação
 Gestão de Riscos
 Comunicação

A Análise é um processo dividido em duas partes: Análise de Risco

(processo de identificação de ameaças) e Estimativa de Risco.

A Identificação de Ameaças é feita através de buscas em bases de informação

que possam servir como fonte sobre os diversos tipos de ameaças existentes para
os ativos que estamos avaliando.

A Estimativa de Risco irá atribuir valores aos componentes do risco,

basicamente às consequências (impactos) e probabilidades (ameaças +
vulnerabilidades).
 Gestão de Risco – conceitos iniciais
Terminologias  Análise e Avaliação
 Tratamento
 Aceitação
 Gestão de Riscos
 Comunicação

A fase seguinte, Avaliação, compreende o processo de comparar os riscos

que foram previamente identificados e estimados com os critérios de risco
definidos pela organização.

A partir disso, decidimos se tratamos ou aceitamos o risco em questão.

 Gestão de Risco – conceitos iniciais
Terminologias  Análise e Avaliação
 Tratamento
 Aceitação
 Gestão de Riscos
 Comunicação

É a segunda fase da G.R., onde selecionamos e implementamos medidas de

forma a reduzir os riscos que foram previamente identificados.

Medidas que visam trazer os níveis de risco para patamares aceitáveis.

 Gestão de Risco – conceitos iniciais
Terminologias  Análise e Avaliação
 Tratamento
 Gestão de Riscos  Aceitação
 Comunicação

A Aceitação ocorre quando o custo de proteção contra um determinado risco

não vale a pena.

Ocorre quando o custo de proteção é maior que o custo do próprio ativo que
está sendo protegido.
 Gestão de Risco – conceitos iniciais
Terminologias  Análise e Avaliação
 Tratamento
 Aceitação
 Gestão de Riscos
 Comunicação

É o último componente da G.R.

É a ação de compartilhar informações sobre o risco com todas as partes

envolvidas.

Quando comunicamos os riscos às partes envolvidas estamos compartilhando

a responsabilidade a respeito deles.
 Gestão de Risco – tarefas do projeto

Em linhas gerais, o projeto é dividido em macro fases, ou seja:

 Definição de escopo
 Identificação das ameaças
Análise e
Avaliação  Estimar a probabilidade de ocorrência das ameaças
De Riscos  Estimar o impacto das ameaças
 Identificar ativos de maior risco

Tratamento de  Avaliar as melhores proteções

Riscos  Implementar as proteções
 Gestão de Risco – tarefas do projeto
Análise e Avaliação de Risco

1. Definição do Escopo

 O escopo consiste basicamente em definir a justificativa do projeto

(a razão pela qual ele está sendo executado).

 Quanto maior o escopo, maior a probabilidade de insucesso.

 Os ativos podem ser agrupados em categorias para facilitar a definição do

escopo.

 Por Processo de Negócio  Por Tipo de Ativo

 Por Localidade Física  Mista
 Gestão de Risco – tarefas do projeto

Categorização Como é feito Vantagem Desvantagem

Por Processo de Primeiro é feito um Grande alinhamento Impossível de ser
negócio mapeamento dos da AAR com o executado caso a
processos de negócio, já que os empresa não possua
negócio, ativos são os processos
posteriormente, selecionados de mapeados.
escolhemos os ativos acordo com os Encarece em muito o
que suportam cada processos mais projeto.
um deles. importantes

Por Localidade Selecionam-se todos O levantamento de Não há alinhamento

Física os ativos constante ativos pode ser feito da lista de ativos
em um local de forma bastante com os processo de
rápida negócio
 Gestão de Risco – tarefas do projeto

Categorização Como é feito Vantagem Desvantagem

Por Tipo de Ativo Dá-se focos a ativos Especialmente eficaz Negligencia ativos
de um determinado quando a AAR é importantes, levando
tipo, geralmente feita pela TI e terá a um alinhamento
ativos de TI foco menor com o
predominantemente negócio
técnico

Mista Combinam-se os Varia de acordo com Varia de acordo com

critérios acima, de a abordagem a abordagem
acordo com a
necessidade
 Gestão de Risco – tarefas do projeto
Análise e Avaliação de Risco

2. Identificação das ameaças

 Depois de fechado o escopo, o passo seguinte é identificar as possíveis ameaças às

quais estão sujeitos cada um dos ativos.

 Tenha foco nas ameaças mais comuns

O conjunto de ameaças que assola um ativo tende ao infinito.
Não existe forma de cobrir todas as situações, nem é necessário fazer isso.
 Gestão de Risco – tarefas do projeto
Análise e Avaliação de Risco

3. Estimar a probabilidade de ocorrência das ameaças

Essa probabilidade pode ser analisada, basicamente, através de dois fatores:

Frequência e Vulnerabilidade.

A Frequência representa o número de vezes esperado no qual uma ameaça tentará

causar algum prejuízo a um ativo.

A Vulnerabilidade é a ausência de um mecanismo de proteção ou uma falha em um

mecanismo de proteção existente.
 Gestão de Risco – tarefas do projeto
Análise e Avaliação de Risco

4. Estimar o impacto das ameaças

• Antes que possamos finalmente calcular o risco, devemos avaliar o impacto

que a concretização da ameaça naquele determinado ativo irá causar.

• Diferentes ameaças causarão diferentes impactos.

• Quanto maior o impacto que isoladamente cada uma dessas ameaças pode
causar, maior o impacto ao qual o ativo está sujeito e, maior o risco total
deste ativo.
 Gestão de Risco – tarefas do projeto
Análise e Avaliação de Risco

5. Identificar ativos de maior risco

• Os ativos sujeitos aos maiores níveis de risco serão priorizados em termos

de recursos e proteções.

• Entre comprar um sistema de redundância para servidores e desenvolver

uma norma de acesso físico a um datacenter, muitas organizações tenderão
a priorizar a segunda opção, não por causa do risco e sim por causa do
custo.
 Gestão de Risco – tarefas do projeto
Tratamento de Risco

1. Avaliar as melhores proteções

• Todos os ativos estão sujeitos a algum tipo de risco.

• Porém é muito pouco provável que uma organização tenha recursos

disponíveis para trazer todos os riscos para patamares aceitáveis.

• Por conta disso, devemos priorizar os maiores riscos.

 Gestão de Risco – tarefas do projeto
Tratamento de Risco

2. Implementar as proteções

• Nesta etapa, que na realidade pode durar vários meses, são implementadas
as proteções escolhidas.

• Algumas delas envolverão várias atividades, normalmente demandando um

projeto em separado para elas.
Análise e Avaliação de Risco

 Durante o processo de Análise e Avaliação de Risco é que serão feitos

todos os levantamentos em relação às ameaças, vulnerabilidades,
probabilidades e impacto aos quais os ativos estão sujeitos.

 Torna-se o processo mais trabalhoso, mais crítico e de maior duração da G.R.

 Todas as informações identificadas aqui irão embasar decisões

estratégicas e táticas relacionadas a segurança.
 Análise e Avaliação de Risco

Ameças MB BA ME AL MA
Vulnerabilidades MB BA ME AL MA MB BA ME AL MA MB BA ME AL MA MB BA ME AL MA MB BA ME AL MA
A MB 1 2 3 4 5 2 4 6 8 10 3 6 9 12 15 4 8 12 16 20 5 10 15 20 25
T BA 2 4 6 8 10 4 8 12 16 20 6 12 18 24 30 8 16 24 32 40 10 20 30 40 50
I ME 3 6 9 12 15 6 12 18 24 30 9 18 27 36 45 12 24 36 48 60 15 30 45 60 75
V AL 4 8 12 16 20 8 16 24 32 40 12 24 36 48 60 16 32 48 64 80 20 40 60 80 100
O MA 5 10 15 20 25 10 20 30 40 50 15 30 45 60 75 20 40 60 80 100 25 50 75 100 125
S

Risco = Am x Vul x Val$

Níveis MB BA ME AL MA
Probabilidade de Ameaça 1 2 3 4 5 Alto Risco (45 a 125)
Probabilidade de Vulnerabilidade 1 2 3 4 5 Médio Risco (15 a 44)
Valor do Ativo 1 2 3 4 5 Baixo Risco (0 a 14)
Tratamento do Risco
Tratamento do Risco

 Uma vez finalizada a fase em que identificamos os riscos

aos quais a organização está sujeita, a fase seguinte é o tratamento.

 O Critério de Risco define quais são os níveis máximos que uma organização está
disposta a tolerar.

 Toda vez que um determinado risco

estiver acima deste nível
ele deverá ser tratado.
Aceitação do Risco
Aceitação do Risco

 Quando não somos capazes de encontrar formas eficazes para reduzir o risco, levando
em consideração todas as questões financeiras envolvidas, devemos simplesmente
aceitar o risco.

 A aceitação do risco implica saber que ele existe e que não foi resolvido.

 Os prejuízos que podem ser trazidos por ele podem mesmo ocorrer.

 Mas esses riscos também devem ser monitorados.

 Análise e Avaliação do Risco

Tratamento do Risco Aceitação do Risco

Comunicação do Risco
Comunicação do Risco

 O último passo da gestão de Risco envolve a sua comunicação.

 É de vital importância para qualquer organização conhecer os riscos aos quais ela está
sujeito, bem como ter uma idéia de quais riscos foram tratados.

 Como vimos em “Gestão de Pessoas”: Conscientizar os usuários das ferramentas e

sobre os riscos envolvidos em relação ao seu uso.