Você está na página 1de 37

Curso On-Line

Segurana da Informao

Normas de Segurana da Informao 27005


Aula 6
Prof. M.Sc. Gleyson Azevedo
professor.gleyson@gmail.com
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

Roteiro

NBR 27005 Anlise/Avaliao de Riscos de Segurana da


Informao
NBR 27005 Tratamento do Risco de Segurana da
Informao
NBR 27005 Aceitao do Risco de Segurana da
Informao
NBR 27005 Comunicao do Risco de Segurana da
Informao
NBR 27005 Monitoramento e Anlise Crtica de Riscos de
Segurana da Informao
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27005


Anlise/Avaliao de Riscos

Avaliao de riscos
Entrada: uma lista de riscos com nveis de valores
designados e critrios para a avaliao de riscos.
Ao: convm que o nvel dos riscos seja comparado com
os critrios de avaliao de riscos e com os critrios para a
a aceitao do risco.
Diretrizes:

As decises tomadas durante a atividade de avaliao de


riscos so baseadas principalmente no nvel de risco
aceitvel.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27005


Anlise/Avaliao de Riscos

Avaliao de riscos

Diretrizes:

No entanto, convm que as consequncias, a


probabilidade e o grau de confiana na identificao e
anlise de riscos tambm sejam considerados.
Convm que os seguintes itens sejam considerados:

propriedades da segurana da informao se um


critrio no for relevante para a organizao (por
exemplo, a perda de confidencialidade), logo, todos
os riscos que provocam esse tipo de impacto podem
ser considerados irrelevantes.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27005


Anlise/Avaliao de Riscos

Avaliao de riscos

Diretrizes:

Convm que os seguintes itens sejam considerados


(cont.):

A importncia do processo de negcios ou da


atividade suportada por um determinado ativo ou
conjunto de ativos se o processo tiver sido julgado
de baixa importncia, convm que os riscos
associados a ele sejam menos considerados do que
os riscos que causam impactos em processos ou
atividades mais importantes.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27005


Anlise/Avaliao de Riscos

Avaliao de riscos

Diretrizes:

A avaliao de riscos usa o entendimento do risco obtido


atravs da anlise de riscos para a tomada de decises
sobre aes futuras.

Sada: uma lista de riscos ordenados por prioridade (de


acordo com os critrios de avaliao de riscos) e associados
aos cenrios de incidentes que os provocam.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27005 Tratamento do


Risco de Segurana da Informao

Descrio geral do processo de tratamento do risco


Entrada: uma lista de riscos ordenados por prioridade (de
acordo com os critrios de avaliao de riscos) e associados
aos cenrios de incidentes que o provocam.
Ao: convm que controles para reduzir, reter, evitar ou
transferir os riscos sejam selecionados e o plano de
tratamento do risco seja definido.
Diretrizes:

H quatro opes para o tratamento do risco: reduo


do risco, reteno do risco, evitar o risco e transferncia
do risco.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27005 Tratamento do


Risco de Segurana da Informao

Descrio geral do processo de tratamento do risco

Diretrizes:

Convm que as opes do tratamento do risco sejam


selecionadas com base no resultado da anlise/avaliao
de riscos, no custo esperado para implementao dessas
opes e nos benefcios previstos.
Em geral, convm que as consequncias adversas sejam
reduzidas ao mnimo possvel, independentemente de
quaisquer critrios absolutos.
As quatro opes para o tratamento do risco no so
mutuamente exclusivas.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27005 Tratamento do


Risco de Segurana da Informao

Descrio geral do processo de tratamento do risco


Diretrizes:
Algumas formas de tratamento do risco podem lidar com
mais de um risco de forma efetiva (por exemplo, o
treinamento e a conscientizao em segurana da
informao).
Se houver controles redundantes, e a remoo dos
mesmos for cogitada, convm que a segurana da
informao e os fatores de custo sejam levados em
considerao.
Devido influncia que os controles exercem uns sobre
os outros, a remoo pode reduzir a segurana com um
todo.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

10

NBR ISO/IEC 27005 Tratamento do


Risco de Segurana da Informao

Descrio geral do processo de tratamento do risco


Diretrizes:
Convm que as opes do tratamento do risco sejam
consideradas levando-se em conta:
como o risco percebido pelas partes afetadas;
as formas mais apropriadas de comunicao com as
partes.
Uma vez que o plano de tratamento do risco tenha sido
definido, os riscos residuais precisam ser determinados.
Isso envolve uma atualizao ou uma repetio da
anlise/avaliao de riscos, considerando-se os efeitos
previstos do tratamento do risco que foi proposto.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

11

NBR ISO/IEC 27005 Tratamento do


Risco de Segurana da Informao

Descrio geral do processo de tratamento do risco

Diretrizes:

Caso o risco residual ainda no satisfaa os critrios


para a aceitao do risco da organizao, uma nova
iterao do tratamento do risco pode ser necessria
antes de se prosseguir aceitao do risco.

Sada: o plano de tratamento de risco e os riscos residuais,


sujeitos deciso de aceitao por parte dos gestores da
organizao.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

12

NBR ISO/IEC 27005 Tratamento do


Risco de Segurana da Informao

Reduo do risco
Ao: convm que o nvel de risco seja reduzido atravs da
seleo de controles, para que o risco residual possa ser
reavaliado e ento considerado aceitvel.
Diretrizes:

conveniente que a escolha de controles leve em conta


os critrios para aceitao do risco assim como
requisitos legais, regulatrios e contratuais, bem como
custos e prazos para a implementao, alm de aspectos
tcnicos, culturais e ambientais.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

13

NBR ISO/IEC 27005 Tratamento do


Risco de Segurana da Informao

Reduo do risco

Diretrizes:

Em geral, os controles podem fornecer um ou mais dos


seguintes tipos de proteo: correo, eliminao,
preveno, minimizao do impacto, dissuaso,
deteco, recuperao, monitoramento e
conscientizao.
Durante a seleo de controles, importante pesar o
custo de aquisio, implementao, administrao,
operao, monitoramento e manuteno dos controles
em relao ao valor dos ativos sendo protegidos.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

14

NBR ISO/IEC 27005 Tratamento do


Risco de Segurana da Informao

Reduo do risco
Diretrizes:
Alm disso, convm que o retorno do investimento, na
forma de reduo de risco e da possibilidade de se
explorar novas oportunidades de negcio em funo da
existncia de certos controles, tambm seja
considerado.
Convm que vrias restries sejam levadas em
considerao durante a escolha e a implementao de
controles. So normalmente consideradas as seguintes:
temporais, financeiras, tcnicas, operacionais, culturais,
ticas, ambientais, legais, de uso, de recursos humanos,
ligadas integrao dos controles novos aos existentes.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

15

NBR ISO/IEC 27005 Tratamento do


Risco de Segurana da Informao

Reteno do risco
Ao: convm que as decises sobre a reteno dos risco,
sem outras aes adicionais, sejam tomadas tendo como
base a avaliao de riscos.
Diretrizes:

Se o nvel de risco atender aos critrios para a aceitao


do risco, no h necessidade de implementar controles
adicionais e pode haver a reteno do risco.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

16

NBR ISO/IEC 27005 Tratamento do


Risco de Segurana da Informao

Ao de evitar o risco
Ao: convm que a atividade ou condio que d origem a
um determinado risco seja evitada.
Diretrizes:
Quando os riscos identificados so considerados
demasiadamente elevados e quando os custos de
implementao de outras opes de tratamento do risco
excederem os benefcios, pode-se decidir que o risco
seja evitado completamente, seja atravs da eliminao
de uma atividade planejada ou existente (ou de um
conjunto de atividades), seja atravs de mudanas na
condies em que a operao da atividade ocorre.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

17

NBR ISO/IEC 27005 Tratamento do


Risco de Segurana da Informao

Transferncia do risco
Ao: convm que um determinado risco seja transferido
para outra entidade que possa gerenci-lo de forma mais
eficaz, dependendo da avaliao de riscos.
Diretrizes:
A transferncia do risco envolve a deciso de se
compartilhar certos riscos com entidades externas.
A transferncia do risco pode tambm criar novos riscos
ou modificar riscos existentes e j identificados.
Portanto, um novo tratamento do risco pode vir a ser
necessrio.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

18

NBR ISO/IEC 27005 Tratamento do


Risco de Segurana da Informao

Transferncia do risco
Diretrizes:
A transferncia pode ser feita por um seguro que cubra
as consequncias ou atravs da subcontratao de um
parceiro cujo papel seria o de monitorar o sistema de
informao e tomar medidas imediatas que impeam um
ataque antes que ele possa causar um determinado
nvel de dano ou prejuzo.
Note-se que, apesar de ser possvel transferir a
responsabilidade pelo gerenciamento do risco, no
normalmente possvel transferir a responsabilidade legal
pelas consequncias.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

19

NBR ISO/IEC 27005 Aceitao do


Risco de Segurana da Informao

Entrada: o plano de tratamento do risco e a


anlise/avaliao dos risco residual sujeito deciso dos
gestores da organizao relativa aceitao do mesmo.
Ao: convm que a deciso de aceitar os riscos seja feita
e formalmente registrada, juntamente com a
responsabilidade pela deciso (4.2.1 h da ABNT NBR
ISO/IEC 27001).
Diretrizes:
Convm que os planos de tratamento do risco
descrevam como os riscos avaliados sero tratados para
que os critrios de aceitao do risco sejam atendidos.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

20

NBR ISO/IEC 27005 Aceitao do


Risco de Segurana da Informao

Diretrizes:
importante que gestores responsveis faam um
anlise crtica e aprovem, se for o caso, os planos
propostos de tratamento de risco, os riscos residuais
resultantes e que registrem as condies as condies
associadas a essa aprovao.
Os critrios para a aceitao do risco podem ser mais
complexos do que somente a determinao se o risco
residual est, ou no, abaixo ou acima de um limite bem
definido.
H casos em que os tomadores de deciso podem ter
que aceitar riscos que no satisfaam os critrios
normais.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

21

NBR ISO/IEC 27005 Aceitao do


Risco de Segurana da Informao

Diretrizes:

Nesses casos, convm que o tomador de deciso


comente explicitamente sobre os riscos e inclua uma
justificativa para a sua deciso de passar por cima dos
critrios normais para a aceitao do risco.

Sada: uma lista de riscos aceitos, incluindo uma


justificativa para aqueles que no satisfaam os critrios
normais para aceitao do risco.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

22

NBR ISO/IEC 27005 Comunicao do


Risco de Segurana da Informao

Entrada: todas as informaes sobre os riscos obtidas


atravs das atividades de gesto de riscos.
Ao: convm que as informaes sobre riscos sejam
trocadas e/ou compartilhadas entre o tomador de deciso e
as outras partes interessadas.
Diretrizes:

A comunicao do risco uma atividade que objetiva


alcanar um consenso sobre como os riscos devem ser
gerenciados, fazendo uso para tal da troca e/ou partilha
das informaes sobre o risco entre os tomadores de
deciso e as outras partes interessadas.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

23

NBR ISO/IEC 27005 Comunicao do


Risco de Segurana da Informao

Diretrizes:

A comunicao do risco uma atividade que objetiva


alcanar um consenso sobre como os riscos devem ser
gerenciados, fazendo uso para tal da troca e/ou partilha
das informaes sobre o risco entre os tomadores de
deciso e as outras partes interessadas.
Convm que a organizao desenvolva planos de
comunicao dos riscos tanto para as operaes
rotineiras como tambm para situaes emergenciais.
Portanto, convm que essa atividade seja realizada
continuamente.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

24

NBR ISO/IEC 27005 Comunicao do


Risco de Segurana da Informao

Diretrizes:

A coordenao entre os principais tomadores de deciso


e as partes interessadas pode ser obtida mediante a
formao de uma comisso em que os riscos, a sua
priorizao, as formas adequadas de trat-los e a sua
aceitao possam ser amplamente discutidos.

Sada: entendimento contnuo do processo de gesto de


riscos de segurana da informao da organizao e dos
resultados obtidos.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

25

NBR ISO/IEC 27005 Monitoramento e


Anlise Crtica de Riscos de Segurana da
Informao

Monitoramento e Anlise Crtica dos Fatores de


Risco
Entrada: todas as informaes sobre os riscos obtidas
atravs de gesto de riscos.
Ao: convm que os riscos e seus fatores (isto , valores
dos ativos, impactos, ameaas, vulnerabilidades,
probabilidade de ocorrncias) sejam monitorados e
analisados criticamente, a fim de se identificar, o mais
rapidamente possvel, eventuais mudanas no contexto da
organizao e de se manter uma viso geral dos riscos.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

26

NBR ISO/IEC 27005 Monitoramento e


Anlise Crtica de Riscos de Segurana da
Informao

Monitoramento e Anlise Crtica dos Fatores de


Risco
Diretrizes:

O monitoramento constante necessrio para a que se


detectem as mudanas no risco e em seus fatores.
Convm que as organizaes assegurem que os
seguintes itens sejam monitorados constantemente:

novos ativos que tenham sido includos no escopo da


gesto de riscos;
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

27

NBR ISO/IEC 27005 Monitoramento e


Anlise Crtica de Riscos de Segurana da
Informao

Monitoramento e Anlise Crtica dos Fatores de


Risco
Diretrizes:

Convm que as organizaes assegurem que os


seguintes itens sejam monitorados constantemente
(cont.):
modificaes necessrias dos valores dos ativos;
novas ameaas que no tenham sido avaliadas;
vulnerabilidades novas ou ampliadas;
vulnerabilidades j identificadas, expostas a ameaas
novas ou ressurgentes;
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

28

NBR ISO/IEC 27005 Monitoramento e


Anlise Crtica de Riscos de Segurana da
Informao

Monitoramento e Anlise Crtica dos Fatores de


Risco
Diretrizes:

Convm que as organizaes assegurem que os


seguintes itens sejam monitorados constantemente
(cont.):

conseqncias ou impacto ampliado;

incidentes relacionados segurana da informao.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

29

NBR ISO/IEC 27005 Monitoramento e


Anlise Crtica de Riscos de Segurana da
Informao

Monitoramento e Anlise Crtica dos Fatores de


Risco
Diretrizes:

O resultado da atividade de monitoramento de riscos


pode fornecer os dados de entrada para a anlise crtica.

Sada: alinhamento contnuo da gesto de riscos com os


objetivos de negcios da organizao e com os critrios
para aceitao do risco.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

30

NBR ISO/IEC 27005 Monitoramento e


Anlise Crtica de Riscos de Segurana da
Informao

Monitoramento, Anlise Crtica e Melhoria do


Processo de Gesto de Risco
Entrada: todas as informaes sobre os riscos obtidas
atravs das atividades de gesto de riscos.
Ao: convm que o processo de gesto de riscos de
segurana da informao seja continuamente monitorado,
analisado criticamente e melhorado.
Diretrizes:
Convm que a organizao se certifique que o processo
de gesto de riscos de segurana da informao e as
atividades relacionadas permaneam apropriadas nas
circunstncias presentes.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

31

NBR ISO/IEC 27005 Monitoramento e


Anlise Crtica de Riscos de Segurana da
Informao

Monitoramento, Anlise Crtica e Melhoria do


Processo de Gesto de Risco
Diretrizes:

O monitoramento da gesto de riscos pode resultar em


modificao ou acrscimo da abordagem, metodologia
ou ferramentas utilizadas, dependendo:

das mudanas identificadas;

da iterao da anlise/avaliao de riscos;

do objetivo do processo de gesto de riscos de


segurana da informao;
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

32

NBR ISO/IEC 27005 Monitoramento e


Anlise Crtica de Riscos de Segurana da
Informao

Monitoramento, Anlise Crtica e Melhoria do


Processo de Gesto de Risco
Diretrizes:
O monitoramento da gesto de riscos pode resultar em
modificao ou acrscimo da abordagem, metodologia
ou ferramentas utilizadas, dependendo (cont.):
do objeto de interesse do processo de gesto de
riscos de segurana da informao.
Sada: garantia permanente da relevncia do processo de
gesto de riscos de segurana da informao para os
objetivos de negcios da organizao ou a atualizao do
processo.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

33

Exerccios
1. (Analista Administrativo Tecnologia da Informao Anlise de
Negcios ANATEL/2009 CESPE) Julgue o item subsequente acerca
dos conceitos de segurana da informao.
1 [84] A anlise de vulnerabilidades aplicvel no contexto da figura emprega
tcnicas automatizadas e manuais, que variam amplamente, sendo o tipo de
ameaa sob anlise um fator mais correlacionado a essa variao que o tipo do
ativo sob anlise.
2. (Analista Administrativo Informtica ANTAQ/2009 - CESPE) Julgue
o item abaixo.
1 [76] A anlise de vulnerabilidades, quando realizada no arcabouo de uma
atividade de anlise de riscos, precedida, usualmente, da anlise de ameaas,
mas antecede a anlise de controles, podendo cada controle inexistente ser
traduzido em uma vulnerabilidade existente.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

34

Exerccios
3. (Analista de Sistemas Suporte de Processos de Negcios IPEA/2008
- CESPE) Com relao segurana em redes de computadores, julgue
os itens a seguir.
1 [66] As ameaas e vulnerabilidades mais freqentes e controles implementados
so insumos para o clculo das probabilidades de ocorrncia das falhas de
segurana expressas em fatores exgenos sem levar em conta as potenciais
conseqncias da perda de confidencialidade, integridade ou disponibilidade da
informao ou de outros ativos.
4. (Informtica Anlise de Sistemas MC/2008 CESPE) Acerca de
segurana da informao, julgue os itens subseqentes.
1 [52] A anlise de riscos parte da gerncia de riscos e nela podem ser realizadas
as seguintes atividades: identificar os recursos (assets), determinar os valores
dos recursos, identificar vulnerabilidades e ameaas (threat), quantificar a
probabilidade de cada ameaa ocorrer, estimar as perdas associadas s
ameaas, estimar a freqncia de ocorrncia das ameaas, reduzir, transferir ou
aceitar riscos.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

35

Exerccios
5. (Analista Desenvolvimento de Sistemas SERPRO/2008 CESPE)
Acerca dos conceitos de gerncia de riscos, julgue os itens que se
seguem.
1 [55] Para que haja segurana da informao, as ameaas devem ser identificadas
e devem ser tomadas medidas de segurana para se reduzir o risco ou a
probabilidade de ocorrerem incidentes.
2 [57] O impacto causado por um incidente de segurana proporcional ao tipo de
vulnerabilidade encontrada em um ativo, ou seja, quanto maior a
vulnerabilidade, maior o impacto, e vice-versa.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

36

Gabarito das Questes


1. 1E
2. 1C
3. 1E
4. 1C*
5. 1C-2E

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

37