0

FACULDADE ESTCIO DE S DE SERGIPE

GERENCIAMENTO DE RISCOS EM SEGURANA DA INFORMAO

Aracaju
2015

ADAUTO CAVALCANTE MENEZES

GERENCIAMENTO DE RISCOS EM SEGURANA DA INFORMAO

Projeto de Pesquisa apresentado ao

Curso de Ps-Graduao em Governana
de Tecnologia da Informao da
Universidade Estcio de S como
requisito parcial aprovao na Disciplina
Metodologia da Pesquisa.

Aracaju
2015
1) GERENCIAMENTO DE RISCOS EM SEGURANA DA INFORMAO

2) GERENCIAMENTO DE RISCOS EM SEGURANA DA INFORMAO

APLICADO AO INSTITUTO FEDERAL DE SERGIPE
3) DELIMITAO DO TEMA
Estudar e apontar solues preliminares relacionadas a Gerenciamento
de Riscos em Segurana da Informao aplicado ao Instituto Federal de
Sergipe.
4) PROBLEMA
Nesta era digital, as organizaes usam a informao automatizada,
tecnologia da informao para processar as suas informaes provendo um
melhor suporte ao seu negcio. As informaes esto protegidas? Existe um
programa para recuperao imediata em caso de interrupes nos sistemas
ou perda dos dados?
5) HIPTESE
Fatores econmicos, ambientais, polticos, tecnolgicos, infraestrutura,
pessoas e qualidade so alguns dos fatores externos que influenciam a
operacionalizao, tornando necessrio a implementao de um programa de
gerenciamento de riscos. Para que o programa de segurana de tecnologia
da informao venha a ter sucesso, torna-se necessrio que o gerenciamento
de riscos seja eficaz. O gerenciamento de riscos desempenha um papel
crtico na proteo de ativos da informao de uma organizao.
6) OBJETIVOS
6.1 GERAL
Estudar e demonstrar a finalidade do gerenciamento de risco em uma
organizao, definir mtodos de como proteger a organizao e sua
capacidade de realizar a sua misso, e no apenas os seus ativos de TI.
6.2 ESPECFICOS
Estudar o gerenciamento de riscos em tecnologia da informao,
aplicar um questionrio ao Diretor de Tecnologia da Informao do Instituto

Federal de Sergipe, confrontar a reviso bibliogrfica com a realidade atual do

Instituto Federal de Sergipe.
7) JUSTIFICATIVA
Com a evoluo da tecnologia e a presena da TI cada vez mais intensa
no mundo dos negcios, torna-se necessrio devido cuidado com os ativos da
corporao. A TI atua como pilar de sustentao das operaes empresariais,
une entes distantes de cadeias de fornecimento e, cada vez mais, liga empresas
a clientes. O empresariado encara cada vez mais como um recurso essencial
para o sucesso, desta forma, se faz necessrio prever os problemas antes
mesmos de acontecer, trabalhando com um diagnstico eficaz e contribuindo
com a disponibilidade dos recursos essenciais para o negcio.
8) REVISO DA LITERATURA
Segundo Ferreira e Arajo 2008, a avaliao e anlise de riscos so os
primeiros passos para a gesto de riscos. Para determinar a probabilidade de
um evento, as ameaas existentes que cercam o ambiente de tecnologia da
informao devem ser analisadas, bem como as vulnerabilidades potenciais e
controles de segurana implementados e disponveis.
O impacto o resultado de um dano causado por uma ameaa que
explorou uma vulnerabilidade. De acordo com Stoneburner e Feringa 2012 a
metodologia de avaliao de riscos aborda nove passos que devem ser
seguidos:
Passo 1 - Caracterizao dos sistemas
Passo 2 - Identificao das ameaas
Passo 3 - Identificao das vulnerabilidades
Passo 4 - Anlise dos controles de segurana
Passo 5 - Determinao da probabilidade
Passo 6 - Anlise de impacto
Passo 7 - Determinao do risco
Passo 8 - Recomendaes dos controles

Passo 9 - Documentao dos resultados

8.1 Caracterizao dos sistemas

Stoneburner e Feringa 2012, recomenda neste passo, que as

limitaes dos sistemas so identificadas por meio dos recursos e
informaes que os constituem. Caracterizar um sistema informatizado ajuda
na definio do escopo e abrangncia, delineia os limites para autorizaes e
fornece informaes essenciais para definir o risco.
Identificar riscos em sistemas informatizados requer uma grande
compreenso do seu ambiente de processamento e de sua finalidade. Os
responsveis pela conduo da avaliao de riscos devem coletar as
seguintes informaes relacionadas aos sistemas sob anlise.
8.2 Identificao das ameaas

Ameaa a possibilidade de um invasor ou evento inesperado explorar

uma vulnerabilidade. Vulnerabilidade uma fraqueza que pode ser
acidentalmente utilizada ou intencionalmente explorada. Este passo pretende
identificar de forma efetiva as fontes de ameaas e sua formao, destacando
as ameaas potenciais que so aplicveis ao ambiente avaliado.
8.3 Identificao das vulnerabilidades
Vulnerabilidade a falha ou fraqueza no sistema de procedimentos de
segurana, projeto, implementao, ou controles internos que poderiam ser
exercidos (acidentalmente ou intencionalmente acionado) e resultar em uma
violao de segurana ou uma violao da poltica de segurana do sistema
de informao. O objetivo deste passo desenvolver uma relao das
vulnerabilidades do sistema que podem ser exploradas pelas potenciais
fontes de ameaa.
8.4 Anlise dos controles de segurana

objetivo

desta

etapa

analisar

os

controles

que

foram

implementados, ou esto previstos para implementao pela organizao,

para minimizar ou eliminar a probabilidade de uma ameaa ou vulnerabilidade
no sistema. Os controles de segurana incluem a utilizao de mtodos
tcnicos e no tcnicos. Os controles tcnicos so aqueles que so
incorporados hardware, software ou firmware (por exemplo, acesso
mecanismos de controle, mecanismos de identificao e autenticao,
mtodos de criptografia, software de deteco de intruso). Controles notcnicos so controles gerenciais e operacionais, tais como as polticas de
segurana, procedimentos operacionais, pessoal, fsico e ambiental.
As categorias de controle para ambos os mtodos podem ser
classificadas como preventivas e investigativas.
Preventiva Inibem as tentativas de violao as polticas de segurana
e incluem mecanismos de controle de acesso, criptografia e autenticao.
Investigativo Alertar as violaes, ou tentativas, das polticas de
segurana e incluem trilhas de auditoria e mecanismos de deteco de
intrusos. Uma boa tcnica para analisar os controles de segurana, seria o
desenvolvimento de checklists de segurana, afinal pode ser muito til para
analisar a eficcia dos controles de segurana utilizados.

8.5 Determinao da probabilidade

Para determinar uma classificao geral de ocorrncia que uma

potencial vulnerabilidade pode ser explorada, os fatores a seguir devem ser
considerados:
Motivao da ameaa
Natureza da vulnerabilidade
Existncia e eficcia dos controles.

8.6 Anlise de impacto

Antes de iniciar uma analise de impacto necessrio ter em mos as

informaes que foram levantadas na etapa de caracterizao dos sistemas.
Os resultados determinam o impacto na organizao caso os sistemas sejam
comprometidos.
A melhor forma para determinar o grau de risco relacionar em
detalhes quais seriam os impactos para a organizao, se uma ameaa
conseguir explorar uma vulnerabilidade. Caso a avaliao de impacto nunca
tiver sido realizada, a criticidade dos sistemas pode ser determinada no nvel
de proteo necessria para manter a confidencialidade, integridade e
disponibilidade. (Fontes, 2008, p.103).
8.7 Determinao do risco
Avaliar o nvel de risco dos sistemas, o objetivo desta etapa. A
determinao do risco de uma ameaa ou vulnerabilidade especfica pode ser
expressada da seguinte forma:
Probabilidade de ocorrncia.
O nvel de impacto causado pelo sucesso da explorao de uma
vulnerabilidade.
A eficcia dos controles de segurana.
8.8 Recomendaes dos controles
Durante esta etapa, selecionaremos os controles de segurana que
sero utilizados para minimizar os riscos identificados que podero, se
explorados, afetar as operaes da organizao. O objetivo dos controles que
sero recomendados para reduzir o nvel de risco que os sistemas esto
expostos

at

um

nvel

aceitvel. Os

considerados e recomendados:
Eficcia das opes recomendadas

seguintes

fatores

devem

ser

Legislao e regulamentao
A poltica organizacional
Impacto operacional
Segurana e confiabilidade

Ferreira e Arajo 2008 comenta que as recomendaes de controle so os

resultados do processo de avaliao de risco e contribui para o processo de
mitigao de risco, durante o qual a segurana processual e tcnica
recomendada de controle so avaliados, priorizados e implementados. Devese notar que nem todos os possveis controles recomendados pode ser
aplicado para reduzir a perda.
8.9 Documentao dos resultados
Uma vez que a avaliao do risco foi concluda (ameaas e
vulnerabilidades identificadas, riscos avaliados, e os controles fornecidos
recomendado), os resultados devem ser documentados. O relatrio de
avaliao de risco um relatrio de gesto que auxiliar a alta
administrao com o negcio, em tomadas de decises. (Fontes, 2008,
p.61).

9) METODOLOGIA
Aplicao de questionrio ao Diretor de Tecnologia da Informao do Instituto
Federal de Sergipe, anlise dos dados em confronto com a pesquisa
bibliogrfica, reviso bibliogrfica.
10) CRONOGRAMA

Dezemb
ro 2014

Janeiro
2015

Fevereiro
2015

Maro
2015

Abril
2015

Maio
2015

Junho
2015

Agosto
2015

Escolha do
tema
Levantamento
bibliogrfico
Fichamento
de textos
selecionadas

X
X
X

Pesquisa de
Campo

X
X

Avaliao dos
dados
Finalizao do
projeto
Entrega do
TCC

X
X
X
X

11) REFERNCIAS
FERREIRA, Fernando Nicolau Freitas; ARAJO, Marcio Tadeu, Poltica de
segurana da informao: Guia prtico para embalagem e implementao.
Rio de Janeiro: Cincia Moderna, 2008.
FONTES, Edison. Praticando a Segurana da Informao. Rio de Janeiro:
Brasport, 2008.
FONTES, Edison. Segurana da informao: o usurio faz a diferena. So
Paulo, SP:Saraiva, 2006.
STONEBURNER, G.; GOGUEN, A.; FERINGA, A. Risk Management Guide For
Information Technology Systems, National Institute of Standards and
Technology, 2012. Disponvel em: < http://www.security-science.com/pdf/riskmanagement-guide-for-information-technology-systems.pdf > Acesso: 14 fev.
2015.