ID: DOC-MGR

Metodologia de Gesto de Risco - 2013

Data: 27-05-2013

Verso:4.0

METODOLOGIA DE GESTO DE
RISCO DO MS/DATASUS

ID: DOC-MGR

Metodologia de Gesto de Risco - 2013

Data: 27-05-2013

Verso:4.0

Sumrio
GLOSSRIO................................................................................................................................................................................................................ 3
APRESENTAO ....................................................................................................................................................................................................... 5
1.

INTRODUO ........................................................................................................................................................................................ 6

2.1.

ABNT NBR ISO/IEC GUIDE 73 ............................................................................................................................................................... 7

2.2.

NC 02 GSI/PR ......................................................................................................................................................................................... 7

2.3.

ABNT NBR ISO/IEC 27005:2008 ............................................................................................................................................................ 7

2.4.

AS/NZS 4360 OU ISO/IEC 31000:2006 ................................................................................................................................................... 8

3.

METODOLOGIA PROPOSTA ................................................................................................................................................................ 9

CICLO DE GESTO DE RISCO ........................................................................................................................................................................................... 9

3.1.

INVENTARIAR ............................................................................................................................................................................................. 9

3.2.

ANALISAR ................................................................................................................................................................................................. 9

3.3.

AVALIAR ................................................................................................................................................................................................. 10

3.4.

TRATAR .................................................................................................................................................................................................. 11
CRITRIOS PARA ACEITAO DO RISCO...................................................................................................................................................... 12

3.5.

PROCESSO DE GESTO DE RISCO ............................................................................................................................................................. 13

4.

CONSIDERAES FINAIS .................................................................................................................................................................. 18

ID: DOC-MGR

Metodologia de Gesto de Risco - 2013

Data: 27-05-2013

Verso:4.0

GLOSSRIO
AC Anlise de Conformidade.
Agente - Entidade humana que possui motivao, mtodo, conhecimento e oportunidade para
executar um ataque Organizao (ameaas intencionais); componente do ambiente ou da
natureza que provoca condies indesejveis, perigos ou desastres (ameaas acidentais). So
os sujeitos das Ameaas, definidos no nvel global da organizao. Por serem potencialmente
perigosos, so os elementos com os quais a alta direo se preocupa. Um Agente um dado
informativo que o usurio pode relacionar com as Ameaas consideradas.
Ameaa - Ao de origem humana (intencional ou acidental) ou ambiental, provocada por um
Agente, atravs de um determinado mecanismo, que explora a vulnerabilidade presente no Ativo
e provoca impactos Organizao. Exemplos: erros, omisses, acesso lgico no autorizado.
DATASUS Departamento de Informtica do SUS.
Escopo do Projeto - Uma "parte" da Estrutura Funcional definida no mdulo Organizao. Pode
compreender um Ativo especfico por exemplo, um servidor com seus vrios Componentes -,
um conjunto de Ativos de um mesmo Permetro, um Permetro inteiro, vrios Permetros, ou
mesmo, toda a Organizao. O Escopo pode conter um ou mais Permetros, Ativos e
Componentes.
Impacto - Conseqncia de um incidente de segurana sobre os Ativos e negcios da
Organizao. Pode ser tangvel (exemplo: perdas financeiras) ou intangvel (exemplo: perda de
credibilidade). Corresponde ao produto S (Severidade) x R (Relevncia do Ativo).
MS Ministrio da Sade.
PCN Plano de Continuidade de Negcios.
Probabilidade - Grau de possibilidade de que uma ou mais vulnerabilidades (na falta de
Controles) existentes num Ativo venham a ser exploradas por Ameaas, causando um incidente
de segurana.
PSR Probabilidade x Severidade x Relevncia.
Risco - combinao da probabilidade de que algum incidente ocorra e sua conseqncia
(impacto).

ID: DOC-MGR

Metodologia de Gesto de Risco - 2013

Data: 27-05-2013

Verso:4.0

Security Officer - Tambm conhecido como Gestor de Segurana, o gestor responsvel pela
definio, implementao e manuteno da poltica de segurana na organizao.
Segurana da Informao - Preservao da confidencialidade, integridade e disponibilidade da
informao.
Servios considera-se servio como sendo toda a infraestrutura de base tecnolgica e os
meios de acesso s informaes de sade.
Severidade - Medida do grau em que um Ativo ser afetado, caso as ameaas explorem a(s)
vulnerabilidade(s) nos aspectos Confidencialidade, Integridade e Disponibilidade.
Sistemas - componentes ou processos de alto nvel de elevada importncia estratgica ou que
possuem algum outro atributo merecedor de tratamento diferenciado dos demais processos do
MS/DATASUS por parte do executivo.
Vulnerabilidade - Fragilidade do Ativo que pode ser explorada por uma Ameaa (uma falha, um
defeito ou a falta de um Controle). Exemplos: Ausncia de atualizao de "patches" no sistema
operacional; proximidade rea com explosivos; falta de uma poltica de senhas.

ID: DOC-MGR

Metodologia de Gesto de Risco - 2013

Data: 27-05-2013

Verso:4.0

APRESENTAO
Este documento apresenta a metodologia proposta para a Gesto de Riscos dos ativos do
DATASUS.
importante lembrar que antes de desenvolver um Plano de Gesto dos Riscos
Corporativos (processo de identificar e tratar os riscos da organizao de forma sistemtica e
contnua), a organizao deve considerar o processo de gesto de risco contido na Poltica
de Gesto de Risco, alm da metodologia proposta neste documento.

ID: DOC-MGR

Metodologia de Gesto de Risco - 2013

Data: 27-05-2013

Verso:4.0

1. INTRODUO
funo do Ministrio da Sade dispor de todas as condies para a promoo, proteo e
recuperao da sade, reduzindo as enfermidades, controlando as doenas endmicas e
parasitrias, melhorando a vigilncia sade e dando qualidade de vida ao brasileiro.
E devido a estas atribuies, o Ministrio da Sade impe-se o desafio de garantir o direito
do cidado ao atendimento sade e prover condies para que esse direito esteja ao
alcance da populao, independente da condio social.
Tendo como base que a informao fundamental para a democratizao da Sade e o
aprimoramento de sua gesto, a informatizao das atividades do Sistema nico de Sade
(SUS), dentro das diretrizes tecnolgicas adequadas, essencial para a descentralizao
das atividades de sade, viabilizao e controle social sobre a utilizao dos recursos
disponveis.
Para alcanar tais objetivos, foi atribuda ao Departamento de Informtica do SUS DATASUS, criado pelo Decreto 100 de 16.04.1991, a responsabilidade de coletar, processar,
prover e disseminar informaes sobre sade alm de representar papel importante como
centro tecnolgico de suporte tcnico e normativo sobre a Gesto de Segurana da
Informao para a montagem dos sistemas de informtica e informao da Sade.

ID: DOC-MGR

Metodologia de Gesto de Risco - 2013

Data: 27-05-2013

Verso:4.0

2. METODOLOGIAS
A metodologia proposta para a Gesto de Riscos utiliza como base as seguintes normas:
ISO/IEC GUIDE 73, Norma Complementar - NC 02 do Gabinete de Segurana Institucional
da Presidncia da Republica, a ABNT NBR ISO/IEC 27005:2008 e AS/NZS 4360:2004 ou
ISO/IEC 31000:2006.

2.1. ABNT NBR ISO/IEC GUIDE 73

Norma genrica que fornece um vocabulrio bsico para desenvolver entendimentos
comuns sobre a Gesto de Riscos.

2.2. NC 02 GSI/PR
Norma Complementar do Gabinete de Segurana Institucional da Presidncia da Republica
que define a metodologia de Gesto de Segurana da Informao e Comunicaes a ser
utilizada pelos rgos e entidades da Administrao Pblica Federal, direta e indireta. Essa
norma traz as melhores prticas no gerenciamento de riscos por meio do processo de
melhoria contnua, estabelecido pela norma ABNT NBR ISO/IEC 27001:2006 e denominado
ciclo PDCA (Plan-Do-Check-Act). PLANEJAR FAZER CHECAR AGIR.

2.3. ABNT NBR ISO/IEC 27005:2008

Norma brasileira que fornece diretrizes para o processo de Gesto de Riscos de Segurana
da Informao de uma organizao. Nela esto contempladas apenas diretrizes que devem
ser utilizadas pelas organizaes para definir uma abordagem do processo de gesto de
riscos adequada ao seu negcio.

ID: DOC-MGR

Metodologia de Gesto de Risco - 2013

Data: 27-05-2013

Verso:4.0

2.4. AS/NZS 4360 ou ISO/IEC 31000:2006

Norma internacional que traz as melhores prticas no gerenciamento de riscos e
proporciona o entendimento para criao do Framework e estabelecimento de contextos
na identificao, anlise, avaliao, tratamento, monitorao e comunicao de riscos.

Figura 1 - Processo de Gesto de Riscos.

Foram considerados quatro critrios para a escolha das metodologias, sendo:
a) Simplicidade nos modelos de gesto.
b) Coerncia com as prticas de qualidade adotadas em rgos pblicos brasileiros.
c) Compatibilidade com a cultura de Gesto de Segurana da Informao em uso nas
organizaes pblicas e privadas brasileiras.
d) Flexibilidade. Todas as etapas do ciclo de Gesto de Riscos podem ser aplicadas
aos vrios nveis da organizao: estratgico, ttico e operacional.

ID: DOC-MGR

Metodologia de Gesto de Risco - 2013

Data: 27-05-2013

Verso:4.0

3. METODOLOGIA PROPOSTA
A Metodologia de Gesto de Risco do DATASUS adota o ciclo composto pelas etapas
apresentadas na Poltica de Gesto de Risco, inventariar, analisar, avaliar e tratar os riscos
por meio de aplicao de controles de segurana.

Ciclo de Gesto de Risco

Figura 1: Ciclo de Gesto de Riscos.

3.1. Inventariar
A etapa corresponde ao conjunto de aes necessrias para levantamento,
detalhamento e estruturao dos componentes de negcio, das ameaas e dos ativos
(processos, tecnologias, ambientes e pessoas) que podem impactar os objetivos,
misso e atividades finalsticas do negcio.

3.2. Analisar
o processo de identificao de ameaas, vulnerabilidades e de avaliao do risco.
operacionalizada no sistema por meio de uma Anlise de Componente designado no
Escopo de um Projeto de Anlise. O nvel de Risco do Componente determinado
conforme as respostas desta investigao.

ID: DOC-MGR

Metodologia de Gesto de Risco - 2013

Data: 27-05-2013

Verso:4.0

A Anlise de Risco a forma mais adequada para identificar e compreender os riscos

existentes na organizao. Envolve as consideraes sob as fontes de risco, a
probabilidade de ocorrncia de um dano, a severidade do ativo, suas consequncias
positivas e negativas e relevncia do ativo de informao. A Anlise contribui para as
decises estratgicas sobre os riscos e da forma mais adequada e rentvel de
tratamento, aps avaliao.

Sugere-se utilizar a Tabela 1 - Tabela explicativa da Gesto de Risco como fonte de

orientao de riscos durante a fase de anlise.

Tabela 1 - Tabela explicativa da Gesto de Risco.

Assim, todos os projetos de anlise de riscos do MS/DATASUS devem ser criados como
projetos, ter escopo definido e possuir um grupo de responsvel (eis) para otimizar o
ciclo de Gesto de Riscos. Por esse mtodo, os processos de avaliao, tratamento e
comunicao tornam-se mais simples, prticos e rpidos.
Caso seja necessrio analisar o mesmo escopo, o autor da anlise de risco deve criar
uma anlise de acompanhamento. Dessa forma, preserva-se o histrico das anlises e
verifica-se a evoluo nos controles dos ativos.
Maiores informaes esto disponibilizadas no Manual de utilizao do software De
Gesto de Risco.

3.3. Avaliar
O objetivo da Avaliao de Risco tomar decises sobre qual risco necessita de
tratamento ou aceitao, bem como sua prioridade, com base nos resultados obtidos na
Anlise de Risco. Essa avaliao compara os riscos previamente identificados e

10

ID: DOC-MGR

Metodologia de Gesto de Risco - 2013

Data: 27-05-2013

Verso:4.0

estimados durante o processo de Anlise, com os critrios de riscos estabelecidos e

definidos pela organizao, quando considerado o contexto do ativo em anlise.
As decises estratgicas devem considerar o contexto mais amplo do risco analisado e
incluir o exame da tolerabilidade dos riscos a serem assumidos. Em algumas
circunstncias, a avaliao de risco requer uma anlise mais aprofundada.
Para tanto, com as informaes sobre os processos de negcio da organizao e os
ativos que suportam, importante na avaliao:
Priorizar os riscos os ativos que possurem os maiores nveis de risco PSR, sero
priorizados em termos de recursos e protees.
Ter maior conhecimento sobre os riscos e avaliar as melhores protees disponveis
no mercado para implementao, respeitando o custo-benefcio determinado pelos
gestores.

3.4. Tratar
O tratamento do risco pode ser iniciado quando nas fases de anlise e avaliao forem
fornecidas informaes suficientes para determinar as aes necessrias para reduzir os
riscos a nveis aceitveis. Esta fase envolve a identificao dos controles previamente
avaliados, alm da preparao e implementao das aes em planos de tratamento.
Esses planos visam reduo dos riscos para os nveis aceitveis e podem ter opes
no tratamento de eventos internos e externos.
Na gesto de tratamento dos riscos avaliados importante estabelecer critrios de risco
e considerar a tabela PSR (Probabilidade x Severidade x Relevncia) sugerida para os
eventos em tratamento.
NVEL

PSR

Muito Alto

De 60 a 125

Alto

De 32 a 50

Mdio

De 18 a 30

Baixo

De 08 a 16

Muito Baixo

De 01 a 06
Tabela 2 - Tabela de Riscos de Tratamento.

11

ID: DOC-MGR

Metodologia de Gesto de Risco - 2013

Data: 27-05-2013

Verso:4.0

O DATASUS considera para clculo do risco o ndice PSR que representa o grau de
risco associado ausncia de um controle.
Sendo calculado pela equao Risco = Probabilidade x Severidade x Relevncia, onde
os fatores da Probabilidade e Severidade so pontuados durante as anlises tcnicas e
a Relevncia pontuada considerando-se a relevncia do ativo para o negcio.

Aps identificar o nvel de Risco, convm que as opes de tratamento sejam

selecionadas considerando o custo esperado para a implementao e os benefcios
previstos.
Opes de tratamento do risco:

Reduo do risco implementar protees que reduzam o risco do ativo, atravs de

controles.

Reteno do risco (aceitao) no h implementao de controles, caso o nvel do

risco atenda aos critrios de aceitao do risco.

Evitar o risco implementar controles aos riscos considerados elevados, ou no

aceitveis.

Transferncia do risco a deciso de compartilhar os riscos com outras

entidades. A implementao do tratamento pode ser feita por um seguro que cubra
as conseqncias ou pela mudana do ativo para outro Datacenter que cobra
eventuais prejuzos.

Critrios para aceitao do risco

Conforme recomendao da Norma Complementar, NC 02/IN01/DSIC/GSIPR, do
Departamento de Segurana da Informao e Comunicaes, do Gabinete de
Segurana Institucional da Presidncia da Repblica, o DATASUS identifica os nveis de
riscos aceitveis e os critrios para sua aceitao, considerando as decises da direo
e o seu planejamento estratgico.
Como risco aceitvel, o DATASUS considera os nveis que apresentarem PSR Baixo e
Muito Baixo da Tabela 2. Entretanto, devem ser analisados pela Direo os casos
especiais, quando a aceitao do risco justificvel. So casos especiais possveis:
atividades temporrias ou de curto prazo de tempo; implementao de controles que seu
custo supera o valor da consequncia causada pela ocorrncia do evento.

12

ID: DOC-MGR

3.5.

Metodologia de Gesto de Risco - 2013

Data: 27-05-2013

Verso:4.0

Processo de Gesto de Risco

Nvel Estratgico

Gesto de Riscos

Documento de
aceitao de
riscos

Declarao de
Aplicabilidade

1 Comunicar reas

11 Aprovar Plano de
Tratamento e
Riscos Residuais
ou aceitos

e pessoas
envolvidas no
escopo

12

Nvel Ttico

Definir projeto responsveis,

prazos e impactos

3
Contexto

Nvel Operacional

Inventariar ativos e
caractersticas

Formular plano de
metas

Revisar ameaas,
probabilidades e
criticidade dos
ativos

Criar
questionrios de
anlise e enviar
aos responsveis

Consolidar
resultados/ verificar
pendncias

Executar
anlises nos
ativos
selecionados

8
Gerar Relatrios
de anlise de
riscos

Avaliar
Riscos / Gerar
Relatrio de
riscos aceitos
e residuais

10

Gerar Plano
de
Tratamento
de riscos

13
Executar a
implantao dos
controles

Figura 2: Processo Gesto de Riscos.

13

ID: DOC-CGSIG-CSIC-002

Projeto: Elaborao da Metodologia de Data: 29/11/2011 Verso: .1.0

Gesto de Riscos - utilizando o software Risk
Manager.

Atividade
Descrio

Responsvel

1. Comunicar reas envolvidas

O nvel estratgico deve comunicar as reas e pessoas envolvidas no escopo sobre as
atividades a serem executadas, incluindo perodo de execuo, resultados esperados e
custos (opcional).
Comunicar reas envolvidas: gestor de SIC ou representante do nvel decisrio do
escopo.

Entrada

Relatrio de contexto e escopo (processo de gesto integrada).

Sada

Comunicado oficial informando as reas e pessoas envolvidas sobre as aes de

segurana a serem executadas sob o escopo.

Atividade

2. Definir projeto: responsveis prazos e impactos

Para a execuo da gesto de riscos, necessrio que o nvel ttico identifique os

responsveis pelas atividades, como inventrio, atualizao do software de gesto de
riscos, comunicao entre reas. Tambm deve ser definido um cronograma para
acompanhamento das aes e impactos que podem ocorrer nas atividades cotidianas
durante a execuo do ciclo de gesto de riscos.
Responsvel Definir caractersticas do projeto: gestor de SIC e nvel ttico das reas envolvidas.
Descrio

Entrada

Relatrio de contexto e escopo, organogramas, resultados de reunies entre as reas

abrangidas pelo escopo.

Sada

Cronograma de atividades com prazos e responsveis por cada atividade subsequente.

Atividade

3. Inventariar ativos

Para que a execuo do ciclo de gesto de riscos seja realizada de acordo com os
objetivos estratgicos, necessrio que todos os ativos sob o escopo sejam
inventariados. Essa atividade pode ser executada por meio de reunies entre as equipes
da CSIC e os responsveis pelos ativos. A partir disso, necessrio que os ativos e suas
caractersticas (incluindo dependncias e ligaes) sejam cadastrados em sistema
especfico de gesto de riscos. Essa lista de ativos deve ser revalidada ao final da
atividade, garantindo que o escopo possui todos os ativos necessrios para indicar os
ndices de riscos corretos.
Responsvel Identificao e validao dos ativos: equipe de risco - CSIC junto aos responsveis pelos
ativos.
Listagem das caractersticas dos ativos: responsveis pelos ativos (nvel operacional).
Cadastro dos ativos e suas caractersticas: equipe de risco - CSIC.
Declarao do contexto e escopo; objetivos estratgicos; descrio dos ativos e
Entrada
respectivas caractersticas.
Descrio

Sada

Listagem dos ativos, suas caractersticas, dependncias e responsveis. Cadastro das

informaes no sistema de gesto de riscos.

Arquivo:
MetodologiaGestoRiscos

Modelo: MetodologiaGestoRisco

Pg.: 14/18

ID: DOC-CGSIG-CSIC-002

4. Revisar ameaas probabilidades e criticidade dos ativos

Atividade

Descrio

Projeto: Elaborao da Metodologia de Data: 29/11/2011 Verso: .1.0

Gesto de Riscos - utilizando o software Risk
Manager.

Aps definir as caractersticas principais para a execuo do ciclo de gesto de riscos, o

nvel ttico da rea deve, com auxlio dos responsveis pelos ativos do escopo,
determinar as ameaas, probabilidades e criticidade dos ativos de acordo com os
objetivos de negcio ou particularidades das reas, departamentos, sistemas ou
processos contextualizados no processo de gesto integrada. Esta atividade pode ser
executada com o auxlio de um sistema de gesto de riscos.

Definir ameaas: equipe de risco - CSIC.

Definir probabilidades: equipe de risco - CSIC e responsveis pelos ativos do escopo.
Definir criticidade dos ativos: responsveis pelos ativos, reas, departamentos, sistemas
Responsvel ou processos.

Entrada

Ativos, suas caractersticas, dependncias e responsveis. Cadastro das informaes no

sistema de gesto de riscos.

Sada

Atualizao do inventrio no sistema de gesto de riscos.

Atividade
Descrio

5. Criar questionrios de anlise e enviar aos responsveis

O mtodo sugerido para a execuo das anlises de riscos composto pela criao de
questionrios ou checklists que contenham as melhores prticas de mercado para cada
um dos ativos do escopo e suas particularidades. Os questionrios devem conter a
severidade dos impactos associados aos controles sugeridos, assim como sua
probabilidade de ocorrncia e as recomendaes de fabricantes ou padres
reconhecidos no mercado.
Aps o desenvolvimento dos questionrios, estes devem ser encaminhados para cada
responsvel respectivo.

Responsvel Criao e envio dos questionrios: equipe de risco CSIC.

Entrada

Sada

Questionrio criado para cadastramento em sistema de gesto de riscos.

Questionrios desenvolvidos para cada caracterstica dos ativos do escopo e envio dos
questionrios.

Atividade

6. Executar as anlises nos ativos selecionados

As anlises de riscos devem ser realizadas por meio da avaliao dos controles
sugeridos nos questionrios comparados s evidncias encontradas nos ativos. Essa
atividade deve ser desenvolvida pela equipe de risco da CSIC com apoio dos
responsveis pelos ativos do escopo. Cada questionrio deve ser cadastrado no sistema
especfico de gesto de riscos, onde os ndices de risco sero calculados para o ativo,
sistema ou processo definido no escopo. Os ndices de risco devem seguir a orientao
desta metodologia definida e aprovada pelo nvel decisrio.
Responsvel Realizar as anlises de riscos: equipe de risco - CSIC.
Acompanhar as anlises: responsveis pelos ativos.
Descrio

Arquivo:
MetodologiaGestoRiscos

Modelo: MetodologiaGestoRisco

Pg.: 15/18

ID: DOC-CGSIG-CSIC-002

Projeto: Elaborao da Metodologia de Data: 29/11/2011 Verso: .1.0

Gesto de Riscos - utilizando o software Risk
Manager.

Entrada

Questionrios respondidos com as caractersticas dos ativos do escopo, cronograma de

execuo, escopo de atuao, inventrio dos ativos.

Sada

Listagem de ativos e ndices de riscos para cada ativo, sistema ou processo.

Atividade
Descrio

7. Consolidar resultados e verificar pendncias

Aps a anlise de riscos nos ativos do escopo, necessrio que os resultados sejam
consolidados de forma a auxiliar o entendimento sobre as ameaas as quais os objetivos
estratgicos tm maior ou menor probabilidade de ocorrncia. Essa consolidao deve
considerar as ligaes ou dependncias entre ativos, sistemas e processos, de acordo:
com o escopo ou contexto definido. Tambm necessrio que as possveis pendncias
sejam avaliadas e registradas como entrada para o prximo ciclo de anlise crtica e
melhoria do processo de gesto integrada.

Responsvel Consolidar os resultados: Equipe CSIC.

Verificar e registrar pendncias: Gestor de Segurana da Informao e Comunicaes.
Listagem de ativos e ndices de riscos para cada ativo, sistema ou processo.
Entrada
Sada

Resultados consolidados de acordo com os objetivos definidos no escopo de atuao.

Atividade

8. Gerar relatrios de anlise de riscos

Ao consolidar os resultados, torna-se necessrio que sejam gerados relatrios contendo

histrico de execuo, resultados obtidos, ameaas mais significativas, ndices de riscos
por ativo, priorizao de controles e sugestes de correo. Essa atividade pode ser
realizada com o auxlio de um sistema de gesto de riscos.
Responsvel Gerar relatrios de anlise de riscos: equipe de risco - CSIC.
Descrio

Entrada

Resultados consolidados de acordo com os objetivos definidos no escopo de atuao.

Sada

Relatrio de anlise de riscos e relatrio operacional de riscos.

Atividade
Descrio

9. Avaliar riscos / Gerar relatrios de riscos aceitos ou residuais

Aps listados os riscos e respectivos controles para minimizao, necessrio que
sejam avaliados os riscos de acordo com o mtodo autorizado pelos nveis decisrios.
importante que todos os riscos identificados devam ser avaliados juntamente com os
controles sugeridos para o tratamento destes riscos. Essa viso auxiliar o nvel
estratgico na tomada de decises, uma vez que os nveis inferiores identificam os
custos e impactos no tratamento dos riscos.

Responsvel Avaliar os riscos: equipe de risco - CSIC em conjunto com as equipes tticas
Arquivo:
MetodologiaGestoRiscos

Modelo: MetodologiaGestoRisco

Pg.: 16/18

ID: DOC-CGSIG-CSIC-002

Projeto: Elaborao da Metodologia de Data: 29/11/2011 Verso: .1.0

Gesto de Riscos - utilizando o software Risk
Manager.

Entrada

responsveis pelos ativos do escopo.

Gerar relatrios de riscos aceitos ou residuais: equipe de risco - CSIC, aps avaliao
dos riscos.
Relatrios de anlise de riscos e Relatrios Operacionais de Riscos.

Sada

Relatrio de riscos aceitos ou residuais (dependendo do tipo da anlise realizada

identificao ou validao dos controles implementados).

Atividade

10. Gerar plano de tratamento de riscos

Juntamente com o relatrio de riscos residuais ou aceitos, deve ser criado um plano de
tratamento com as sugestes de controles para a minimizao dos riscos provenientes
dos controles identificados como no implementados nas anlises. O plano de
tratamento deve incluir estimativas de custos, impactos nas atividades cotidianas,
procedimentos necessrios e prazos.
Responsvel Gerar plano de tratamento de riscos: equipe de risco - CSIC.
Descrio

Entrada

Relatrio Operacional de Riscos e Relatrio de riscos aceitos ou residuais.

Sada

Plano de tratamento de riscos.

Atividade

11. Aprovar plano de tratamento e riscos residuais ou aceitos

O plano de tratamento deve ser aprovado pela alta gesto e gestor dos ativos que
definir ou ajustar as atividades de acordo com restries que porventura existam como
oramento disponvel ou priorizao de atividades externas gesto de riscos. Com isso,
ser atualizado o plano com as devidas justificativas para a no implantao dos
controles sugeridos, assim como atualizar tambm os relatrios de riscos residuais ou
aceitos na mesma proporo. Essa atividade visa garantir a comunicao e cincia de
todos os envolvidos dos riscos existentes e dos riscos a serem tratados.
Responsvel Aprovar plano de tratamento e riscos residuais ou aceitos: Alta Gesto e nvel ttico
considerando o escopo ou contexto de execuo.
Descrio

Entrada

Plano de tratamento de riscos e riscos residuais propostos pelo nvel ttico.

Sada

Plano de tratamento ajustado e aprovado. Relatrio de riscos aceitos ou residuais.

Atividade

12. Formular plano de metas

De acordo com o plano de tratamento aprovado, deve ser desenvolvido um plano de

metas para o nvel ttico, incluindo os indicadores que balizaro a avaliao das aes a
serem desenvolvidas pelo nvel operacional na implementao dos controles sugeridos e
aprovados. As metas devem considerar os objetivos estratgicos que delimitaram o
escopo inicialmente no processo de gesto integrada.
Responsvel Formular plano de metas: equipe de risco - CISC
Descrio

Arquivo:
MetodologiaGestoRiscos

Modelo: MetodologiaGestoRisco

Pg.: 17/18

ID: DOC-CGSIG-CSIC-002

Projeto: Elaborao da Metodologia de Data: 29/11/2011 Verso: .1.0

Gesto de Riscos - utilizando o software Risk
Manager.

Entrada

Plano de tratamento aprovado. Relatrio de contexto e escopo.

Sada

Plano de metas de tratamento para as reas e responsveis pelos ativos do escopo.

Atividade

13. Executar implantao dos controles selecionados

Essa atividade variante devido grande gama de reas que podero estar sob o
escopo. Cada tipo de ativo recebe um tratamento diferenciado de acordo com suas
particularidades ou caractersticas.
Os riscos identificados podem estar associados basicamente a 4(quatro) tipos de ativos
tecnolgicos, ambientais, humanos ou processuais. O plano de tratamento identificar os
controles aplicveis a cada um destes ativos como, por exemplo: campanhas de
conscientizao, normas tcnicas, procedimentos, implantao de circuitos fechados de
TV, alterao de configuraes de um sistema operacional ou ainda a classificao de
informaes. Todos estes so considerados controles de acordo com esse processo
sugerido.
A CSIC deve atuar indicando os controles e avaliando, periodicamente a implantao
deste controles.
Responsvel Executar a implantao dos controles selecionados: rea ou responsveis pelos ativos
sob escopo (tecnologia, ambiente, processos ou pessoas).
Descrio

Entrada

Plano de tratamento de riscos / Plano de metas.

Sada

Controles de reduo dos riscos implantados e indicadores gerados durante a

implementao.

4. CONSIDERAES FINAIS
A Metodologia de Gesto de Riscos apresentada neste documento deve complementar
os processos de Gesto de Segurana da Informao e Comunicaes, previstos na IN
01 GSI, de 13 de junho de 2008, a ser implementada pelos rgos e entidades da
Administrao Pblica Federal, direta e indireta.

Arquivo:
MetodologiaGestoRiscos

Modelo: MetodologiaGestoRisco

Pg.: 18/18