UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL

INSTITUTO DE INFORMTICA
CURSO DE ESPECIALIZAO EM TECNOLOGIAS, GERNCIA E
SEGURANA DE REDES DE COMPUTADORES

ADMILSON GONALVES JNIOR

Metodologias de Gerenciamento de Riscos

em Sistemas de Tecnologia da Informao e
Comunicao abordagem prtica para
conscientizao e implantao nas
organizaes

Trabalho de Concluso apresentado como

requisito parcial para a obteno do grau de
Especialista

Prof. Dr. Raul Fernando Weber

Orientador

Prof. Dr. Srgio Luis Cechin

Prof. Dr. Luciano Paschoal Gaspary
Coordenadores do Curso

Porto Alegre, dezembro de 2008.

UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL

Reitor: Prof. Carlos Alexandre Netto
Vice-Reitor: Prof. Rui Vicente Oppermann
Pr-Reitor de Ps-Graduao: Prof. Aldo Bolten Lucion
Diretor do Instituto de Informtica: Prof. Flvio Rech Wagner
Coordenadores do Curso: Profs. Srgio Luis Cechin e Luciano Paschoal Gaspary
Bibliotecria-Chefe do Instituto de Informtica: Beatriz Regina Bastos Haro

AGRADECIMENTOS

Agradeo acima de tudo a Deus que, com sua infinita misericrdia, permitiu a
realizao desta obra. Agradeo, com carinho, a minha esposa Eloisa Cludia por ter
permanecido sempre ao meu lado e por suas oraes, e aos meus filhos, Isaas e Isadora,
que, com sabedoria e pacincia, souberam esperar o papai. Por fim, agradeo empresa
TMSA - Tecnologia em Movimentao, em especial aos seus diretores e colaboradores,
cuja oportunidade e crdito foram fundamentais para a concluso deste trabalho.

SUMRIO

LISTA DE ABREVIATURAS E SIGLAS ................................................................... 6

LISTA DE FIGURAS..................................................................................................... 7
LISTA DE TABELAS .................................................................................................... 8
RESUMO......................................................................................................................... 9
ABSTRACT .................................................................................................................. 10
1 INTRODUO ....................................................................................................... 11
1.1 Segurana da Informao ................................................................................... 11
1.2 Gesto de Riscos e Governana de TIC ............................................................. 11
1.3 Definio de risco ................................................................................................. 15
2 GERENCIAMENTO DE RISCOS ....................................................................... 16
2.1 Viso Geral ........................................................................................................... 16
2.1.1 Fundamentos de sucesso ..................................................................................... 16
2.1.2 Abordagem reativa e proativa ............................................................................. 17
2.1.3 Papis principais ................................................................................................. 17
2.1.4 Etapas do processo .............................................................................................. 18
2.2 Avaliao de Riscos .............................................................................................. 21
2.2.1 Caracterizao do ambiente ................................................................................ 22
2.2.2 Identificao das Ameaas .................................................................................. 23
2.2.3 Identificao de Vulnerabilidades....................................................................... 24
2.2.4 Anlise de Controles ........................................................................................... 25
2.2.5 Definio de Probabilidades ............................................................................... 26
2.2.6 Anlise de Impacto ............................................................................................. 26
2.2.7 Definio dos Riscos .......................................................................................... 28
2.2.8 Recomendaes de Controle ............................................................................... 29
2.2.9 Documentao dos Resultados ........................................................................... 31
2.3 Mitigao de Riscos ............................................................................................. 32
2.3.1 Opes de Mitigao de Riscos .......................................................................... 32
2.3.2 Fluxo para execuo de Controles ...................................................................... 33
2.3.2.1 Priorizao de Aes ....................................................................................................... 34
2.3.2.2 Validao das Opes de Controle Recomendadas......................................................... 34
2.3.2.3 Realizao de uma Anlise de Custo-Benefcio.............................................................. 34
2.3.2.4 Seleo de Controles ....................................................................................................... 34
2.3.2.5 Delegao de Responsabilidades..................................................................................... 34
2.3.2.6 Desenvolvimento de um Plano de Ao.......................................................................... 34
2.3.2.7 Implantar controles selecionados .................................................................................... 34

2.4 Anlise e Melhoria Contnua .............................................................................. 35

3 CONCLUSO ......................................................................................................... 37
REFERNCIAS ........................................................................................................... 38
GLOSSRIO ................................................................................................................ 40

ANEXO A EXEMPLOS DE AMEAAS COMUNS ............................................... 43

ANEXO B EXEMPLOS DE VULNERABILIDADES ........................................... 46
ANEXO C CONTROLES E OBJETIVOS DE CONTROLES .............................. 50
APNDICE A ORGANIZAES DE RESPOSTA A INCIDENTES DE
SEGURANA ..................................................................................... 54
APNDICE B FERRAMENTAS DE AUDITORIA DE SEGURANA EM
SISTEMAS .......................................................................................... 55

LISTA DE ABREVIATURAS E SIGLAS

BCM

Business Continuity Management

BIA

Business Impact Analysis

COBIT

Control Objectives for Information and Related Technology

IBGC

Instituto Brasileiro de Governana Corporativa

IDS

Intrusion Detection System

IPS

Intrusion Prevention System

ITC

Information Technology and Communication

ITGI

IT Governance Institute

ITIL

Information Technology Infrastructure Library

MOF

Microsoft Operations Framework

NIST

National Institute of Standards and Technology

OCTAVE

Operationally Critical Threat, Asset and Vulnerability Evaluation

OGC

Office of Government Commerce

TIC

Tecnologia da Informao e Comunicao

LISTA DE FIGURAS

Figura 1.1: Estrutura da governana de TIC................................................................... 12

Figura 1.2: reas de foco da governana de TIC. .......................................................... 12
Figura 1.3: Alinhamento do processo de estimativa e controle de riscos (P09) do
domnio Planejamento e Organizao do COBIT 4.1 com o ITIL V3 e ISO/EIC 27002
........................................................................................................................................ 13
Figura 1.4: Modelo do processo do BCM. ..................................................................... 14
Figura 1.5: Fases do ciclo de vida dos servios de TIC e funes de gesto de servio 14
Figura 2.1: Viso geral das funes e responsabilidades no processo de gerenciamento
de riscos de segurana .................................................................................................... 18
Figura 2.2: Processo de gesto de riscos de segurana da informao. ......................... 19
Figura 2.3: As quatro fases do processo de gerenciamento de riscos de segurana ....... 20
Figura 2.7: Representao grfica dos impactos nos negcios. ..................................... 27
Figura 2.8: Planilha de anlise de risco: Impacto/Probabilidade.................................... 28
Figura 2.9: Classificao de riscos. ................................................................................ 29
Figura 2.10 Atividade de tratamento de riscos. .............................................................. 33
Figura 2.11 Viso geral da fase de suporte s decises do Security Risk Management
Guide. ............................................................................................................................. 33
Figura 2.12 Exemplo de fluxo de aceitao de riscos. ................................................... 35

LISTA DE TABELAS

Tabela 2.1: Exemplos de critrios de segurana..............................................................24

Tabela 2.2: Vantagens e desvantagens das abordagens quantitativa e qualitativa ..........27
Tabela 2.3: Organizao e classificaes de controles ....................................................30
Tabela A.1: Exemplos de ameaas comuns.....................................................................42
Tabela A.2: Exemplos de ameaas causadas por seres humanos ....................................43
Tabela B.1: Exemplos vulnerabilidades ..........................................................................46
Tabela C.1: Controles e objetivos de controles ...............................................................50

RESUMO

Este artigo tem o objetivo de demonstrar de forma prtica e aplicvel metodologias

de gerenciamento de riscos e como seus processos so teis para que uma organizao
tenha condies de estimar, tratar e avaliar os riscos que porventura possam afetar seus
negcios. Este documento visa organizar, de maneira objetiva, boas prticas de
gerenciamento de riscos, normas, padres, exemplos de controles, vulnerabilidades,
ameaas e referncias que podem ser utilizadas na conduo do processo de
gerenciamento de risco.
As organizaes tm demonstrado maior conscientizao em relao ao importante
papel que a tecnologia da informao e comunicao (TIC) desempenha para o
cumprimento dos objetivos do negcio. Alm disso, as leis de proteo de privacidade,
obrigaes financeiras e a Governana Corporativa tm exigido que as organizaes
gerenciem suas infra-estruturas de TIC com a cautela e a eficcia nunca antes vistas, de
forma a no colocar em risco a si prprias, seus scios, colaboradores, clientes,
fornecedores e sociedade, atravs do no cumprimento de responsabilidades legais e
contratuais.
Gerenciar a segurana de suas infra-estruturas, bem como o valor comercial que
geram tem se mostrado o principal desafio dos departamentos de TIC. Entretanto, as
atuais infra-estruturas de TIC apresentam altos nveis de integrao e compartilham
ambientes cada vez mais hostis, que exigem respostas rpidas e precisas diante de
incidentes que podem importar risco de danos s empresas. Na maioria das vezes, as
organizaes no esto preparadas o suficiente para reagir com efetividade s ameaas,
em outras palavras, no tempo hbil para evitar que seus negcios sejam prejudicados.
Caracterizada pela preservao da confidencialidade, integridade e disponibilidade
da informao, a segurana da informao protege os principais ativos de uma
organizao visando continuidade, a minimizao dos danos e maximizao das
oportunidades e investimentos do negcio.
A principal fonte que uma organizao tem para identificar seus requisitos de
segurana derivada da avaliao de riscos, que parte do processo geral e contnuo de
gerenciamento de riscos, cuja finalidade reduzir riscos a nveis aceitveis pela
organizao.
Palavras-Chave: gerenciamento de risco, segurana da informao, governana
corporativa, governana de tecnologia da informao e comunicao.

Risks Management Methodologies for Information Technology and

Communication Systems - practical approach for awareness and
implementation in the organizations

ABSTRACT

This article has the purpose to evidence of practical and applicable way a risks
management methodologies and how its processes are useful to an organization to
assess, to mitigate and to evaluate the risks that can affect your businesses. This
document intent organize best practices of risks management, including norms, patterns
examples of controls, vulnerabilities, threats and references that can be used in the
implementation of management of risk process.
The organizations have been concerned about important role of the information
technology and communication (ITC) to accomplish the business-oriented objectives.
Moreover, the privacy protection laws, financial obligations and the Corporative
Governance have demanded that the organizations manage its ITC infrastructures with
the caution and the effectiveness never before seen, in order to not place at risk itself,
partners, collaborators, customers, suppliers and society, through not accomplishment of
legal and contractual responsibilities.
Manage infrastructures security and the associated commercial values have become
the main challenge of the ITC departments. However, the high levels of integration and
the sharing of aggressive environments of current ITC infrastructures require fast and
necessary incidents response that can import risk of damages to the companies. Most of
the time, the organizations are not sufficiently prepared to react with effectiveness
against the threats, in other words, in the skillful time to prevent that its businesses are
injured.
Characterized for the preservation of information confidentiality, integrity and
availability, the information security protects the organization assets aiming at to the
continuity, reducing damages and increasing the business investments and
opportunities.
The main source that an organization has to identify security requirements is derived
from the risks assessment, which is part of general and continuous risks management
process, whose purpose is to reduce risks the acceptable levels for the organization.
Keywords: risk management, information security, corporative governance,
information
technology
and
communication
governance.

11

1 INTRODUO

1.1 Segurana da Informao

A informao um ativo que, como qualquer outro relevante para o negcio, tem
um valor para a organizao e necessita ser adequadamente protegido. Alm disso, as
dependncias dos sistemas de informao e servios, as tendncias e evolues
tecnolgicas da computao distribuda, as interconexes de redes pblicas e privadas e
o compartilhamento de recursos expem as organizaes s mais variadas fontes de
ameaas: fraudes eletrnicas, espionagem, sabotagem, vandalismo, fogo, inundao,
blackouts, cdigos maliciosos, hackers, ataques de DDoS, entre outras (ABNT, 2005)
A segurana da informao protege a informao contra ameaas no intuito de
garantir a continuidade, minimizar os danos e maximizar os investimentos e
oportunidades do negcio. A segurana da informao obtida pela utilizao de
controles: polticas, prticas, procedimento, estruturas organizacionais e infra-estruturas
de hardware e software. caracterizada pela preservao da confidencialidade,
integridade e disponibilidade da informao, e visa preservar a competitividade, o
faturamento, a lucratividade, o atendimento aos requisitos legais e a imagem da
organizao (ABNT, 2005).
Existem trs fontes principais para que uma organizao identifique seus requisitos
de segurana. A primeira o conjunto de princpios, objetivos e necessidades para o
processamento da informao que uma organizao tem que desenvolver para apoiar
suas operaes. A segunda a legislao vigente, os estatutos, as regulamentaes e as
clusulas contratuais que a organizao, seus parceiros, contratados e prestadores de
servio tm que atender. As duas anteriores so utilizadas como referncias para
desenvolver a principal fonte de requisitos de segurana, que derivada da avaliao de
riscos, processo responsvel por identificar as ameaas aos ativos, as vulnerabilidades
com suas respectivas probabilidades de ocorrncia e os impactos ao negcio (ABNT,
2005).

1.2 Gesto de Riscos e Governana de TIC

A governana de TIC, responsabilidade da alta direo, parte integrante da
governana corporativa. Consiste de estruturas organizacionais e de lideranas e de
processos que asseguram a sustentao das estratgias e objetivos da empresa atravs da
infra-estrutura tecnolgica (GULDENTOPS, 2003).

12

Figura 1.1: Estrutura da governana de TIC (GULDENTOPS, 2003).

Para grande parte das organizaes, a informao e a tecnologia associada
representam ativos valiosos. As organizaes bem sucedidas utilizam a tecnologia da
informao para dirigem e agregarem valores aos seus negcios. Estas empresas, em
virtude de atenderem regulamentaes e da dependncia de seus processos com a da
tecnologia da informao, reconhecem a necessidade de gerir os riscos associados.
Valor, risco e controle fazem parte do ncleo da governana de TIC (ADLER, 2007).

Figura 1.2: reas de foco da governana de TIC (ADLER, 2007).

A governana de TIC, cujo objetivo o efetivo retorno dos investimentos realizados
no aprimoramento da infra-estrutura e dos sistemas de informao e comunicao,
constituda por uma estrutura de relaes e processos com o objetivo de aditar valor ao
negcio atravs de um gerenciamento balanceado de riscos. (FAGUNDES, 2004).
O COBIT, framework referncia para prover Governana de TIC, formado por
uma estrutura de domnios, processos e atividades. O domnio de Planejamento e
Organizao constitudo, entre outros, pelo processo de estimativa e controle de
riscos. A Figura 1.3 mostra o alinhamento do processo de estimativa e controle de
riscos do COBIT 4.1 com o ITIL V3 e ISO/EIC 27002.

13

Figura 1.3: Alinhamento do processo de estimativa e controle de riscos (P09) do

domnio Planejamento e Organizao do COBIT 4.1 com o ITIL V3 e ISO/EIC 27002
(HARDY, 2008)
No possvel implantar o Gerenciamento de Continuidade de Servios de TIC, um
de processos das boas prticas de gerenciamento de servios do ITIL, sem uma concisa
definio dos requisitos do negcio. O ciclo de vida continuidade de negcio, tendo em
vista os aspectos de tecnologia, depende de um bom entendimento do processo de
Gerenciamento de Continuidade do Negcio (abreviado em ingls como BCM). O
estgio de anlise de requisitos e definio de estratgias, o segundo estgio do BCM
e fundamento para o processo de Gerenciamento de Continuidade de Servios de TIC
do ITIL, responsvel por definir como a organizao reagir a uma interrupo do
negcio ou desastre e os custos associados. Esse estgio possui processos de avaliao
de risco e anlise de impacto no negcio, comuns do ciclo contnuo de gerenciamento
de riscos (BARTLETT, 2003).

14

Figura 1.4: Modelo do processo do BCM (BARTLETT, 2003).

Como alternativa para as boas prticas do ITIL, o Microsoft Operations Framework
(MOF) consiste de atividades, princpios e boas prticas para o alcance da
confiabilidade nas solues e servios de TIC. O MOF tem o objetivo de criar um
ambiente onde negcio e tecnologia da informao e comunicao possam trabalhar
juntos em direo a maturidade operacional (BROEKARTS, 2008).
A camada de Gesto do ciclo de vida do MOF possui uma funo de gesto de
servio denominada Governana, Risco e Conformidade. Esta funo possui, entre
outros, o processo de avaliao, monitoramento e controle de riscos.

Figura 1.5: Fases do ciclo de vida dos servios de TIC e funes de gesto de servio
(BROEKARTS, 2008).

15

1.3 Definio de risco

Segundo o Guia de Orientao para Gerenciamento de Riscos Corporativos:
O termo risco proveniente da palavra risicu ou riscu, em latim, que
significa ousar (to dare, em ingls). Costuma-se entender risco como a
possibilidade de algo no dar certo, mas seu conceito atual envolve a
quantificao e qualificao da incerteza, tanto no que diz respeito s
perdas como aos ganhos, com relao ao rumo dos acontecimentos
planejados, seja por indivduos, seja por organizaes (LA ROCQUE, 2007,
p. 11) [grifo do autor].
Quando investidores compram aes, cirurgies realizam operaes,
engenheiros projetam pontes, empresrios abrem seus negcios e polticos
concorrem a cargos eletivos, o risco um parceiro inevitvel. Contudo, suas
aes revelam que o risco no precisa ser hoje to temido: administr-lo
tornou-se sinnimo de desafio e oportunidade (BEMSTEIN aput LA
ROCQUE, 2007, p. 11).
O risco inerente a qualquer atividade na vida pessoal, profissional ou nas
organizaes, e pode envolver perdas, bem como oportunidades (LA
ROCQUE, 2007, p. 11).

A estrutura lingstica Semntica proporciona ao termo risco outros significados:

ris.co sm (ital rischio) Possibilidade de perigo, incerto mas previsvel, que
ameaa de dano a pessoa ou a coisa. R. bancrio, Com: o que decorre do
negcio entre banqueiros ou entre o banco e os correntistas. R. profissional,
Dir: perigo inerente ao exerccio de certas profisses, o qual compensado
pela taxa adicional de periculosidade. A risco de, com risco de: em perigo de.
A todo o risco: exposto a todos os perigos. Correr risco: estar exposto a.
(MELHORAMENTOS, 1998, dicionrio eletrnico Babylon 6.0) [grifo do
autor]

Na rea de tecnologia da informao e comunicao, risco considerado como o

impacto negativo motivado pela explorao de uma vulnerabilidade, considerando a
possibilidade e o impacto da sua ocorrncia. O processo para identificar, mensurar e
planejar passos para reduzir um determinado risco a nveis aceitveis pela organizao
definido como Gerenciamento de Riscos (STONEBURNER, 2002).

16

2 GERENCIAMENTO DE RISCOS

2.1 Viso Geral

O gerenciamento de riscos um processo que tem como objetivo dar subsdios
organizao realizar sua misso institucional: possibilita segurana efetiva dos sistemas
de TIC, responsveis pelo processamento, armazenagem e transmisso de informaes;
cria uma base slida para as tomadas de deciso, principalmente no que se relaciona
com execuo coerente do oramento e no investimento em tecnologias necessrias para
mitigar riscos de impacto ou potencial impacto para o negcio; e permite que gestores
de equilibrem seus custos de proteo e desempenho dos sistemas de informao vitais
para o negcio (STONEBURNER, 2002).
Um fato importante que processo de gerenciamento de risco no deve ser
considerado apenas na rea de tecnologia da informao e comunicao, mas sim em
todas as outras unidades de negcio (STONEBURNER, 2002).
2.1.1

Fundamentos de sucesso

Elementos fundamentais devem estar presentes para garantir o sucesso de qualquer

iniciativa realizada por uma organizao. Para a implementao de um processo de
gerenciamento de riscos, essencial a presena de determinados componentes
(DILLARD, 2004):

Patrocnio executivo: total apoio da alta direo ao processo de gerenciamento

de riscos, de modo a reduzir a resistncia mudanas ou incredulidades em
relao aos possveis riscos;

Lista de interessados: membros da organizao diretamente interessados com o

sucesso do processo de gerenciamento de riscos, identificados de forma que
possam participar de cada etapa;

Maturidade corporativa: a maturidade corporativa relaciona-se com o processo

de gerenciamento de riscos, em outras palavras, quanto menor a experincia de
uma empresa em relao ao processo, mais radicais e rpidas podero ser as
mudanas;

Ambiente de comunicao: o processo de gerenciamento de riscos exige uma

abordagem de comunicaes abertas e honestas, tanto no mbito da equipe como
dos interessados. O ambiente de comunicao importante para que se evitem
mal-entendidos, resultando em desperdcio de tempo, recursos e at em solues
erradas;

17

Esprito de equipe: necessrio que a equipe de gerenciamento de riscos seja

colaborativa, tanto internamente quanto com cada um dos representantes das
diversas unidades de negcio envolvidas no processo;

Viso holstica: o escopo do gerenciamento de risco deve levar em conta a

organizao como um todo. O que bom para um setor, pode no ser bom para
outro. Isto no deve impactar no sucesso do processo;

Autoridade: alm da responsabilidade de identificar e controlar os riscos mais

graves para o negcio, a equipe de gerenciamento de riscos precisam de
autoridade suficiente para realizar as mudanas necessrias e cumprir metas.

2.1.2

Abordagem reativa e proativa

Quando ocorre determinado incidente de segurana, muitos profissionais de informtica

tendem a agir para conter a situao, descobrir as causas e reparar os danos no menor tempo
possvel. Tal abordagem dita reativa, depende de um estmulo causado por um incidente
para que aes sejam tomadas (DILLARD, 2004).
As respostas a incidentes so taticamente eficazes, principalmente se executada com
rigor para se descobrir as causas raiz. Como resultado, incidentes de segurana recentes
podem auxiliar na preveno de incidentes futuros (DILLARD, 2004).
A abordagem proativa de gerenciamento de riscos de segurana almeja a reduo da
probabilidade de um incidente com a utilizao de planos de controles. Ao contrrio da
abordagem reativa, a abordagem proativa no espera pelo surgimento de um incidente
(DILLARD, 2004).
Em hiptese alguma, as organizaes devem abandonar seus processos de respostas a
incidentes, pois a abordagem proativa diminui a chance, mas no evitam que determinados
incidentes possam ocorrer. Recomenda-se que as organizaes utilizem as duas
abordagens, aprimorando-as ao longo do tempo (DILLARD, 2004).
2.1.3

Papis principais

Os principais atores num processo de gerenciamento de riscos podem ser assim

definidos (STONEBURNER, 2002):

Patrocinador executivo: a alta direo, sob a qual est a responsabilidade final

de execuo da misso da empresa, deve garantir que os recursos necessrios so
efetivamente aplicados para atender os requisitos de negcio. Alm disso, devem
avaliar e integrar os resultados das atividades na avaliao de risco no processo
de deciso. Um programa de gesto de risco eficaz, que avalia e atenua riscos
potenciais ao negcio, exige o apoio e a participao da alta direo.

Diretor de TIC: responsvel pela tecnologia de informao interna de uma

organizao.

Gerentes de Sistemas e Tecnologia: responsveis pela gesto do departamento

de tecnologia da informao e comunicao e por garantir os controles
adequados segurana dos sistemas que esto sob suas responsabilidades. Estes
gerentes so responsveis tambm por garantir o processo de mudana nos
sistemas e infra-estrutura tecnolgica, compreendendo tais mudanas dentro do
processo de gerenciamento de riscos.

18

Gerentes Funcionais: so os responsveis pela execuo do negcio e, por

possurem poder de deciso, tendem a contribuir diretamente no processo de
gerenciamento de riscos.

Gerentes de Segurana da Informao: so os responsveis pela gesto da

segurana da informao em suas organizaes, incluindo o gerenciamento de
risco. Atuam como apoio a alta direo na garantia de execuo das atividades
de segurana da informao.

Administradores de Sistemas e Infra-Estrutura: responsveis por atuar

diretamente nos sistemas e infra-estrutura de TIC das organizaes. Quando
uma mudana ocorre no ambiente de um sistema de TIC, os administradores
devem apoiar-se no processo de gerenciamento de risco para identificar
potenciais riscos e programar novos controles de segurana para salvaguardar
seus sistemas.

Instrutores de Noes de Segurana: responsveis por disseminar a cultura de

segurana da informao, regras de utilizao dos recursos e poltica de
segurana aos usurios de recursos de TIC. Este papel essencial para
minimizar riscos na infra-estrutura, j que a m utilizao do recurso pelo
usurio pode ser considerada como um risco em potencial.

Figura 2.1: Viso geral das funes e responsabilidades no processo de gerenciamento

de riscos de segurana (DILLARD, 2004).
2.1.4

Etapas do processo

O gerenciamento de riscos composto basicamente por trs macro-processos: a

avaliao, a mitigao e o monitoramento, anlise e melhoria contnua. A avaliao de
riscos inclui a identificao dos ativos e dos riscos associados, os impactos e medidas
preventivas. A mitigao de riscos refere-se priorizao, implantao e manuteno
das medidas preventivas para reduo de riscos, recomendadas pelo processo de
avaliao de riscos. E o processo de monitoramento, anlise e melhoria contnua
constitudo de um acompanhamento do ambiente para garantir a efetividade do
programa, propondo alteraes quando necessrio (STONEBURNER, 2002).

19

Dependendo da metodologia, o gerenciamento de riscos poder ter variaes nas

fases de seu processo, com maior ou menor detalhamento em cada subfase, mas todas
tm como objetivo a reduo do risco a um nvel aceitvel para o negcio.
A norma NBR ISO/EIC 27005:2008 prescreve que o gerenciamento de riscos pode
ser realizado iniciando-se com uma definio de contexto: determina os critrios bsicos
para a conduo do processo, o escopo, limites e a equipe de gesto de riscos de
segurana da informao; seguido por uma anlise/avaliao de riscos: etapa que
identifica, qualifica, quantifica e prioriza os riscos em funo dos critrios de avaliao
da organizao; tratamento de riscos: seleciona controles para reduzir, reter evitar ou
transferir os riscos priorizados na etapa anterior; aceitao de riscos: a deciso formal
de aceitar o risco; comunicao do riscos: comunicao das informaes de riscos entre
o tomador de deciso e os interessado; e monitoramento e anlise crtica dos riscos:
processo contnuo para identificar rapidamente mudanas contextuais na organizao
que possam afet-la futuramente (ABNT, 2008).

Figura 2.2: Processo de gesto de riscos de segurana da informao (ABNT, 2008).

O Security Risk Management Guide contextualiza um processo contnuo de quatro
fases (DILLARD, 2004):

Avaliao de riscos: planejamento da coleta de dados sobre riscos, ao de

coleta de dados e priorizao dos riscos;

Oferecendo suporte a deciso: definio dos requisitos funcionais; seleo de

solues de controle; reviso de solues existentes, estimativa de a reduo de
riscos, estimativa de o custo de solues e seleo das estratgias de mitigao;

Implantando controles: busca de solues completas e organizao da defesa em

profundidade.

20

Medindo a efetividade do programa: desenvolvimento de um indicador de riscos

e anlise da eficcia do programa

Figura 2.3: As quatro fases do processo de gerenciamento de riscos de segurana

(DILLARD, 2004).
A abordagem do OCTAVE, tcnica de planejamento e estimativa estratgica de
segurana baseada em risco, tem como alvo o risco organizacional e concentra-se na
estratgia e em questes prticas, e no somente em riscos tecnolgicos e questes
tticas. Quanto aplicado, o OCTAVE proporciona o nivelamento de trs pontos chave:
risco operacional, prticas de segurana e tecnologia (ALBERTS, 2003).
Os aspectos organizacionais, tecnolgicos e operacionais da avaliao de riscos de
segurana da informao so realizados pelo OCTAVE em trs fases: construo de
perfis de ameaas baseados em ativos: viso organizacional para definio dos ativos
crticos ao negcio e quais seus requisitos de segurana; identificao de
vulnerabilidades na infra-estrutura: avaliao da infra-estrutura de TIC e quais suas
condies em relao aos requisitos de segurana definidos; e desenvolvimento de
planos e estratgias de segurana: identificao de riscos aos ativos crticos e a criao
de estratgias de proteo e planos de mitigao de riscos (ALBERTS, 2003).

Figura 2.4: Fases do OCTAVE (ALBERTS, 2003).

21

2.2 Avaliao de Riscos

O processo de avaliao de riscos, o primeiro macro-processo do gerenciamento de
riscos de segurana da informao, utilizado para determinar a extenso das potenciais
ameaas e os riscos associados infra-estrutura de TIC. O produto deste processo ser
utilizado no processo seguinte, o de mitigao de riscos, na identificao de controles
para reduzir ou eliminar os riscos (STONEBURNER, 2002).
Uma avaliao de riscos pode ser realizada, em geral, por uma seqncia de nove
passos: caracterizao do ambiente, identificao de ameaas, identificao de
vulnerabilidades, anlise de controles, determinao de probabilidades, anlise de
impacto, definio dos riscos, recomendaes de controle e documentao dos
resultados. (STONEBURNER, 2002).

Figura 2.5: Processo de avaliao de risco (STONEBURNER, 2002).

22

O gerenciamento de riscos subordinado a um adequado planejamento de avaliao

de riscos. Falhas no alinhamento, escopo ou na obteno da aceitao da avaliao
reduz a eficcia das prximas fases. Por ser onerosa, a fase de avaliao de riscos
reclama por investimentos significativos de recursos e tempo, e depende da participao
ativa do interessado (DILLARD, 2004).
O risco calculado em funo da probabilidade de uma vulnerabilidade ser
explorada por uma ameaa e o resultado do impacto na organizao caso este evento
ocorra. Para que se possam determinar as possibilidades de ocorrncia de um evento
adverso no ambiente de TIC, as ameaas devem ser analisadas em conjunto com as
potenciais vulnerabilidades e os controles j existentes. O nvel do impacto definido
pela sua influncia no negcio e por sua vez no valor do bem ou recurso de TIC
atingido (STONEBURNER, 2002).
2.2.1

Caracterizao do ambiente

A caracterizao do ambiente responsvel por definir o escopo da avaliao de

riscos, assim como os limites operacionais, os recursos computacionais e as
informaes que constituem as fronteiras dos sistemas que sero contemplados no
processo de gerenciamento de riscos (STONEBURNER, 2002).
Nesta etapa, convm que sejam levantadas todas as informaes da organizao
relevantes ao estabelecimento do contexto, em especial, os critrios para a avaliao dos
riscos. Estes critrios devem considerar o valor estratgico do processo que trata as
informaes; a criticidade dos ativos; os requisitos legais, contratuais e regulatrios; as
exigncias de disponibilidade, confidencialidade e integridade da informao; as
expectativas dos interessados; e as conseqncias negativas para o mercado, para a
imagem e reputao da organizao (ABNT, 2008)
Inventariar os ativos, conhecer seus respectivos valores e importncia ao negcio
assegura proteo de forma efetiva, pois os nveis de cuidado sero proporcionais a
estes parmetros, alm de serem pr-requisitos fundamentais para o gerenciamento de
risco. Exemplos de ativos associados a sistemas so (ABNT, 2005):

Informao: bancos dados, arquivos, documentao de sistemas, manuais de

usurios, material de treinamento, procedimentos de suporte ou operao,
planos de contingncia, procedimentos de recuperao, informaes
armazenadas;

Softwares: aplicativos, sistemas, ferramentas de desenvolvimento, e

utilitrios;

Hardwares: equipamentos computacionais (processadores, monitores,

laptops, discos rgidos, impressoras, storages, autoloaders, nobreaks), ativos
de rede (roteadores, switches), equipamentos de apoio (geradores,
condicionadores de ar, iluminao);

Servios: contratos de apoio ou suporte, contratos de nveis de servio,

fornecimento de energia eltrica.

conveniente a identificao de um responsvel para cada ativo. Mesmo que o no

tenha direitos de propriedade sobre o ativo, o responsvel responder pela sua produo,
desenvolvimento, manuteno utilizao e segurana. Normalmente o responsvel a
pessoa mais adequada para definir o valor do ativo para a organizao (ABNT, 2008).

23

Para sistemas em fase de desenvolvimento, as informaes necessrias para o

processo caracterizao devem derivar das documentaes de requisitos
(STONEBURNER, 2002).
A coleta das informaes relacionadas com o ambiente de TIC pode ser realizada
por meio de questionrios especficos, entrevistas com pessoas chaves, reviso das
documentaes, uso de aplicao para rastrear o ambiente ou uma combinao de todas
elas (STONEBURNER, 2002).

Figura 2.6: Modelo de formulrio para coleta de dados (DILLARD, 2004).

Como produtos, a caracterizao do ambiente ter um inventrio de ativos,
classificados conforme sua importncia aos negcios da organizao e seus
responsveis, os sistemas e dados sensveis e quais sero as fronteiras do processo de
gerenciamento de riscos.
2.2.2

Identificao das Ameaas

Define-se ameaa como o potencial de uma fonte de ameaas explorar uma

vulnerabilidade (fraqueza) especfica. As fontes de ameaa podem ser criadas
intencionalmente ou so eventos aleatrios que desencadeiam acidentalmente uma
vulnerabilidade, e podem ter origem natural (enchentes, terremotos, tornados,
deslizamento de terra, tempestades de raios, etc.), humana (atos dolosos, negligentes,
imperitos ou imprudentes de uso de programas maliciosos, de acesso a dados sigilosos,
de mau uso dos sistemas, etc.) ou ambiental (falta de energia, poluio, substncias
qumicas, etc.). Quando no h vulnerabilidades associadas, a fonte de ameaa no
apresenta riscos (STONEBURNER, 2002).
O ANEXO A contm exemplos de ameaas tpicas que podem ser utilizados no
processo de identificao de ameaas, e uma viso geral de algumas ameaas causadas
especificamente por pessoas, suas possveis motivaes e aes que podem ocasionar
um ataque.
considervel que se analise o histrico de eventos que causaram incidentes de
segurana na organizao. Tais histricos podem ser adquiridos por intermdio de
entrevistas com os responsveis dos ativos, entrevistas com os usurios, anlise de
chamados de help-desk, experincias internas de incidentes e identificao de ameaas
anteriores (STONEBURNER, 2002).
Outras referncias para identificao de ameaas podem ser especialistas em
segurana da informao, peritos em segurana fsica, a mdia, acontecimentos
histricos, departamentos jurdicos, outras organizaes, organismos legais, autoridades
climticas, companhias de seguro e agncias ou instituies governamentais. O que

24

ameaa para uma organizao pode no ser para outra, desta forma, aspectos culturais e
relacionados ao ambiente precisam ser considerados (ABNT, 2008)
Uma lista de possveis fontes de ameaas que podem explorar vulnerabilidades na
infra-estrutura e nos sistemas o produto deste processo.
2.2.3

Identificao de Vulnerabilidades

O inventrio de ativos crticos ao negcio e uma lista de possveis fontes de ameaas

so parmetros para a identificao das vulnerabilidades associadas ao ambiente de
tecnologia da informao.
Vulnerabilidades so falhas ou fraquezas nos processos de segurana, nos projetos,
no desenvolvimento ou nos controles internos de um sistema, os quais, se explorados,
podem resultar em eventos no desejados (STONEBURNER, 2002).
O ANEXO B fornece exemplos de vulnerabilidades em diversas reas de segurana
e ameaas que poderiam explorar tais vulnerabilidades.
Mtodos proativos de testes podem ser utilizados para identificar vulnerabilidades
nos ambientes de tecnologia da informao e comunicao, pode-se citar (ABNT,
2008):

Sistemas de varredura e anlise de vulnerabilidades;

Testes e simulaes;

Testes de invaso de sistemas;

Auditorias em cdigos-fonte;

Listas de verificao e anlise crtica de segurana.

As listas de verificao de segurana podem conter padres bsicos de segurana de

um sistema ou infra-estrutura e podem ser utilizadas para identificar vulnerabilidades
nos ativos, procedimentos no automatizados, nos processos de transferncias de
informaes, nos processamentos e armazenamentos de dados nos ambientes de
tecnologia da informao. Estas listas normalmente contm critrios distribudos em
trs reas distintas de segurana: gerencial, operacional e tcnica. A definio de uma
lista de verificao pode ser feita norteada pelas boas prticas da indstria, por padres
conhecidos, pela necessidade de atendimento de legislaes ou contratos de negcio,
pela cultura e necessidades especficas de uma organizao (STONEBURNER, 2002).
Tabela 2.1: Exemplos de critrios de segurana
reas de Segurana

Critrios de Segurana
Capacidade de resposta a incidentes;
Anlise crtica dos controles e indicadores;

Segurana Gerencial

Avaliao de riscos;
Treinamentos tcnicos em segurana;
Definio e segregao de responsabilidades;
Planos de segurana de sistemas ou recursos;

25

Treinamento dos usurios;

Contratos de nvel de servio.
Controle de contaminao do ar;
Garantia da qualidade do fornecimento de energia;
Segurana Operacional

Metodologia de acesso e descarte de dados;

Identificao e distribuio externa de dados;
Medidas de proteo das instalaes;
Controle de umidade e temperatura.
Comunicaes e ativos relacionados;
Criptografia dos dados e entre comunicaes;
Controle de acesso arbitrrio;
Sistemas de autenticao e identificao;

Segurana Tcnica

IDS's;
Auditoria de sistemas;
Monitoramento do ambiente de rede;
Sistema de antivrus;
Atualizao de sistemas.
Fonte: STONEBURNER, 2002, p. 18.

Os APNDICES A e B apresentam respectivamente exemplos de organizaes

responsveis por responder a incidentes de segurana e de ferramentas de auditoria de
segurana em sistemas.
O resultado deste processo de identificao uma relao de vulnerabilidades que
podem ser exploradas por fontes de ameaas.
2.2.4

Anlise de Controles

Este passo tem como objetivo avaliar os controles existentes ou planejados para
minimizar ou eliminar chances de uma ameaa explorar determinada vulnerabilidade.
Para que se evitem custos e retrabalhos, conveniente que os controles existentes
sejam identificados e avaliados quanto sua a eficcia. Controles existentes podem ser
considerados ineficazes, insuficientes ou no-justificveis, devendo estes ser avaliados
quanto a sua substituio ou manuteno no ambiente (ABNT, 2008).
Informaes de controles podem ser obtidas: pela anlise de documentos dos
processos de gesto de segurana da informao; juntamente com responsveis pela
segurana da informao, responsveis pelas instalaes, segurana predial ou usurios;
e pela averiguao da efetividade de funcionamento dos controles utilizados (ABNT,
2008).
O produto da anlise de controle uma lista de controles utilizados para reduzir a
probabilidade de uma ameaa explorar uma vulnerabilidade ou de reduzir o dano
causado por um evento no desejado.

26

2.2.5

Definio de Probabilidades

A produo de um ndice que indique as chances de uma vulnerabilidade ser

explorada deriva da capacidade e do estmulo das fontes de ameaas, da natureza da
vulnerabilidade e da existncia e da efetividade de controles existentes
(STONEBURNER, 2002).
Probabilidades so ditas altas quando a fonte de ameaa est altamente estimulada,
capaz de exercer a ameaa e no existem controles preventivos, ou se existem no so
efetivos. Probabilidades so ditas mdias quando a fonte de ameaa est motivada,
capaz de exercer a ameaa, mas os controles utilizados so efetivos, ou seja, no
permitem o sucesso da fonte de ameaa. E por fim, probabilidades so ditas baixas
quando as fontes de ameaas carecem de motivao e os controles so efetivos na
preveno da explorao da vulnerabilidade (STONEBURNER, 2002).
notrio afirmar que a definio de probabilidades um tanto subjetiva, pois
depende de fatores variados. Uma vulnerabilidade pode ser mais ou menos provvel de
ser explorada dependendo do ambiente, do tipo do ativo, da localizao geogrfica, dos
controles existentes, dos estmulos das fontes das ameaas.
Para uma definio refinada de probabilidade conveniente considerar: experincias
passadas e estatsticas de ocorrncia de ameaas; as motivaes, competncias e
ferramentas disponveis para a realizao de atos intencionais, bem como a percepo
de vulnerabilidade em ativos valiosos; os fatores geogrficos e os eventos climticos; as
situaes que poderiam produzir erros humanos; e a anlise de efetividade dos controles
atuais (ABNT, 2008).
Da definio de probabilidades resulta uma lista de classificao das
vulnerabilidades quanto s suas chances de explorao.
2.2.6

Anlise de Impacto

A anlise de impacto o passo principal do processo de avaliao de riscos e tem

como objetivo determinar o resultado do impacto no negcio no caso de uma ameaa ter
sucesso na explorao de uma determinada vulnerabilidade (STONEBURNER, 2002).
Como pr-requisito, necessrio conhecer o objetivo, a criticidade, e sensibilidade
dos sistemas e dos dados. Estas informaes podem ser obtidas em relatrios existentes
na organizao como, por exemplo, no relatrio de avaliao de ativos crticos ou no
relatrio de Anlise de Impacto no Negcio (abreviado na lngua inglesa como BIA). O
BIA tem como objetivo dar uma viso, qualitativa e/ou quantitativa, de quo crtico
sensvel um ativo para a organizao (STONEBURNER, 2002).
No ITIL, o propsito do BIA identificar os processos crticos do negcio e os
potencias danos ou perdas que uma organizao pode ter se houver interrupes destes
processos. O BIA tambm procura identificar: a forma do dano ou perda considerando
reduo de rendimentos, custos adicionais, influncias negativas na reputao e perda
de vantagens competitivas; os servios, incluindo os servios de TIC, vitais para que o
negcio possa continuar num nvel mnimo aceitvel; o tempo de recuperao dos
nveis mnimos dos servios vitais; e o tempo que todos os processos de negcio devem
ser restabelecidos no caso de uma falha (BARTLETT, 2003).
Na ausncia informaes detalhas a respeito da criticidade dos ativos, a avaliao do
impacto nos negcios pode ser realizada tendo como fundamento os requisitos de
segurana atuais e as definies de nvel de impacto dos responsveis pelos ativos.

27

A Figura 2.1 mostra uma representao grfica de uma anlise de impacto, que varia
conforme aplicao de planos de contingncia no decorrer do tempo:

Figura 2.7: Representao grfica dos impactos nos negcios (BARTLETT, 2003).
O impacto adverso de um evento pode ser descrito como a perda e/ou degradao da
integridade, disponibilidade ou confidencialidade da informao. Impactos tangveis
podem ser mensurados quantitativamente utilizando-se uma unidade de medida
conhecida, como: perda de desempenhos, custos de manuteno ou tempo gasto para
corrigir problema.
Outros, de difcil mensurao, podem ser definidos
qualitativamente como alto, mdio ou baixo impacto, classificados conforme grandeza
dos custos pela perda dos ativos ou recursos, significncia do dano em relao misso
ou reputao da empresa, ou prejuzos a vida humana (STONEBURNER, 2002).
As abordagens quantitativa e qualitativa apresentam benefcios e inconvenincias
que precisam ser consideradas na avaliao de riscos. A organizao deve optar pelo
uso individual ou por combinao de ambas, conforme seus requisitos e nveis de
exigncia.
Tabela 2.2: Vantagens e desvantagens das abordagens quantitativa e qualitativa
Quantitativa

Vantagens

Qualitativa

Os riscos e os ativos so
avaliados de acordo com o
impacto financeiro;

Permite a visibilidade e a
compreenso da
classificao de riscos;

Os resultados facilitam o
gerenciamento de riscos
graas ao retorno do
investimento em segurana;

Maior facilidade de
chegar a um consenso;

Os resultados podem ser

expressos usando uma
terminologia de
gerenciamento por valores
ou percentuais;
A preciso tende a aumentar
com o passar do tempo,
medida que a organizao
coleta registros histricos

No necessrio
quantificar a freqncia
da ameaa;
No necessrio
determinar os valores
financeiros dos ativos;
Maior facilidade de
envolver pessoas que
no sejam especialistas
em segurana ou

28

dos dados e ganha

experincia.

computadores.

Os valores do impacto
atribudo ao risco podem ser
baseados na opinio
subjetiva dos participantes;

Riscos graves podem

no ser diferenciados o
suficiente;

O processo para atingir

resultados confiveis e um
consenso pode ser
demorado;
Desvantagens

Os clculos podem ser

complexos e demorados;
Os resultados so
apresentados em termos
monetrios e podem ser
difceis de serem
interpretados por pessoas
sem conhecimento tcnico;

Dificuldade de justificar
o investimento na
implementao de
controles, pois no h
valores bsicos para
realizar a anlise de
custo/benefcio;
Os resultados dependem
da qualidade da equipe
de gerenciamento de
riscos formada.

O processo exige experincia

e conhecimento, portanto
pode ser difcil explic-lo
aos participantes.
Fonte: DILLARD, 2004, p. 3.
A extenso dos impactos de incidentes adversos ao negcio o resultado do
processo de anlise de impacto.
2.2.7

Definio dos Riscos

A definio dos riscos pode ser expressa por uma combinao de trs argumentos: a
possibilidade de explorao de uma vulnerabilidade; o impacto ao negcio devido
ocorrncia de um evento adverso; e pela efetividade do controles de segurana
utilizados para reduzir ou eliminar riscos (STONEBURNER, 2002).
O nvel e a escala do risco podem ser demonstrados a partir de uma matriz, onde os
argumentos supracitados so cruzados de modo a mensurar um determinado risco. A
Figura 2.8 mostra um exemplo bsico de uma classificao de risco levando em conta a
abordagem qualitativa do impacto ao negcio e da probabilidade de ocorrncia de um
evento indesejado.

Figura 2.8: Planilha de anlise de risco: Impacto/Probabilidade (DILLARD, 2004).

29

Dependendo da necessidade de maior granularidade, as classificaes podem ser

mais detalhadas, adaptando-se necessidade da organizao.
A Figura 2.9 mostra um exemplo de tabela com maior nvel de detalhamento na
qualificao dos parmetros de probabilidade de incidente e no impacto ao negcio.
Levando em considerao uma escala de 0 a 8, os riscos podem variar de uma
classificao de muito baixo a muito alto, respectivamente.

Figura 2.9: Classificao de riscos (ABNT, 2008).

Aps a definio dos riscos possvel obter-se a classificao dos riscos conforme
seu nvel de relevncia para a continuidade dos negcios.
2.2.8

Recomendaes de Controle

A fase de recomendaes de controle tem como objetivo identificar os controles de

segurana ou solues alternativas que podem ser utilizados pela organizao para
reduzir ou eliminar riscos. Devem ser consideradas as opes recomendadas ou
compatveis, questes culturais da organizao, dificuldades operacionais de
implantao, as que fornecem confiabilidade e segurana e, principalmente, as que tm
melhor relao custo x benefcio para o negcio (STONEBURNER, 2002).
O processo de identificao de controles pode ser desafiador, especialmente se os
envolvidos possurem vivncia limitada no assunto. Duas abordagens podem ser
empregadas: a primeira consiste em um debate informal, enquanto a segunda
fundamenta-se na organizao e classificao de controles. A equipe de gerenciamento
de riscos de segurana deve usar uma combinao dessas duas abordagens (DILLARD,
2004).
Na abordagem atravs de debate informal, os controles podem ser identificados
depois de respondidas perguntas como (DILLARD, 2004):

Que medidas a organizao poderia tomar para resistir ou prevenir a ocorrncia

de riscos?

O que a organizao poderia fazer para recuperar-se de um evento adverso?

Que medidas a organizao pode tomar para detectar a ocorrncia de riscos?

Como o controle pode ser auditado e monitorado para garantir sua efetividade?

Existem outras aes que podem ser tomadas para gerenciar o risco?

O segundo mtodo de recomendao de controles sustenta-se na classificao do

controle em organizacional, operacional e tecnolgico, e ainda em subdivises como
preveno, deteco/recuperao e gerenciamento de riscos. Os controles

30

organizacionais definem como os colaboradores de uma organizao devem executar

suas tarefas. Os controles operacionais normatizam a utilizao dos recursos de
tecnologia da informao e comunicao, e incluem tambm as protees ambientais e
fsicas.
Enquanto que controles tecnolgicos compreendem o planejamento
arquitetnico, engenharia, hardwares, softwares e firmwares, ou seja, os componentes
tecnolgicos usados para construir os sistemas de informao da organizao
(DILLARD, 2004).
A Tabela 2.3 apresenta uma relao de controle classificados conforme classificao
acima explicada. O ANEXO C apresenta uma relao no exaustiva de controles e
objetivos de controles que podem ser utilizados nos sistemas de gerenciamento de
segurana da informao de uma organizao de forma a prevenir-se de riscos.
Tabela 2.3: Organizao e classificaes de controles
Organizacional
Definio de funes e
responsabilidades;

Preveno de riscos

Separao de tarefas e
restries de privilgios;
Documentao de planos e
procedimentos de
segurana;
Treinamentos de
segurana e campanhas de
conscientizao de
usurios;
Sistemas e processos para
fornecimento e
cancelamento de usurios;
Processos para conceder
acessos a contratados,
fornecedores, parceiros e
clientes.

Operacional

Tecnolgico

Proteo das instalaes

computacionais atravs de
meios fsicos;

Autenticao: processo
de validao de
credenciais;

Proteo fsica dos

sistemas de usurios
finais;

Autorizao: processo
de concesso de acesso
a determinadas
informaes, servios
ou funcionalidades;

Sistemas de fornecimento
de energia redundantes;
Sistemas de proteo
contra incndio;
Sistemas de controle de
temperatura e umidade;
Controle de acesso mdia
e procedimentos de
descarte;
Sistemas de backup e com
opo de armazenamento
externo.

No-repdio: tcnica
usada para impedir
negao de autoria;
Controle de acesso:
mecanismo para limitar
o acesso com base na
identidade ou na
participao em grupos
predefinidos;
Comunicaes
protegidas por sesses
criptografadas.

31

Gerenciamento de riscos

Deteco/Recuperao de riscos

Aplicao contnua do
processo gesto de riscos;
Anlises contnuas de
verificao dos controles;
Auditorias peridicas de
configurao e integridade
dos sistemas;
Investigao de histrico
pessoal e profissional dos
futuros funcionrios;

Segurana fsica,
defendendo a organizao
contra invasores que
tentam acessar suas
instalaes;
Segurana ambiental,
protegendo a organizao
contra ameaas ambientais
como inundaes e
incndios.

Sistemas de auditoria e
monitorao de
sistemas;
Programas antivrus;
Ferramentas de
verificao de
integridade de sistemas.

Estabelecimento de
rodzio de tarefas para
identificar aes malintencionadas.
Planejamento de resposta a
incidentes, possibilitando
rpida reao e
recuperao de violaes
de segurana,
minimizando o impacto e
impedindo o alastramento
a outros sistemas;
Planejamento de
continuidade dos negcios,
permitindo que a
organizao se recupere de
eventos catastrficos que
afetam uma grande parte
da infra-estrutura de TIC.

Ferramentas de
administrao de
segurana de sistemas
operacionais e
aplicativos comerciais;
Criptografia;
Identificao de
usurios e processos
exclusivos;
Protees inerentes ao
sistema, desenvolvidas
dentro dos sistemas
para proteger as
informaes nele
processadas ou
armazenadas.

Fonte: DILLARD, 2004, p. 6.

O resultado desta fase ser entrada para o processo de mitigao de risco, onde os
controles aqui recomendados sero avaliados, priorizados e executados.
2.2.9

Documentao dos Resultados

Convm que os resultados at ento encontrados sejam formalmente documentados.

Os dados coletados em todas as etapas do processo de avaliao de riscos serviro de
apoio nas decises gerenciais do negcio, na elaborao de polticas, procedimentos,
oramentos e mudanas operacionais e gerenciais dos sistemas.
O relatrio de avaliao de riscos no possui a caractersticas de apontar erros e sim
de sistematizar de maneira analtica os riscos inerentes ao negcio, justificando
investimentos e reduzindo potenciais perdas ou danos. Seu contedo demonstra as
ameaas e vulnerabilidades, a medida dos riscos identificados, e fornece recomendaes

32

de controle que podem ser implantados pelo processo de mitigao de riscos.

(STONEBURNER, 2002).

2.3 Mitigao de Riscos

A mitigao de riscos, sustentada por uma anlise de custo-benefcio, tem o encargo
de analisar e priorizar os controles recomendados pelo processo de avaliao de riscos,
alm de planej-los e p-los em prtica com o objetivo de eliminar ou reduzir eventos
que possam causar impacto adverso aos negcios da organizao (STONEBURNER,
2002).
2.3.1

Opes de Mitigao de Riscos

Os riscos podem ser tratados conforme as seguintes opes (ABNT, 2008):

Ao de evitar risco: evitar o risco eliminando suas causas ou conseqncias;

Reduo do risco: limitar o risco atravs de controles que reduzam ou eliminam

o impacto gerado pela explorao de uma vulnerabilidade;

Reteno do risco: aplicar controles de correes tendo como base o

conhecimento da vulnerabilidade, falha ou defeito;

Transferncia do risco: transferir o risco pelo uso de outras opes que

compensam a perda. A transferncia pode ser feita por um seguro que cubra as
conseqncias do risco ou atravs da subcontratao de um parceiro cujo papel
seria o de monitorar o ambiente de TIC e tomas medidas imediatas que impeam
dano ou prejuzo. Transfere-se a responsabilidade pelo gerenciamento do risco,
mas no a responsabilidade legal pelas conseqncias.

33

Figura 2.10: Atividade de tratamento de riscos (ABNT, 2008).

2.3.2

Fluxo para execuo de Controles

As estratgias para tratar os riscos definem em quais as circunstncias e quais

controles devem ser utilizados para proteger a organizao dos riscos. Prioriza-se a
utilizando de controles sempre focando aqueles que devero mitigar os riscos
prioritrios - de maior impacto e probabilidade e com melhor relao custo-benefcio.

Figura 2.11: Viso geral da fase de suporte s decises do Security Risk Management
Guide (DILLARD, 2004).
A metodologia de mitigao de risco abaixo descreve uma abordagem de como uma
organizao pode proceder para escolher e utilizar controles (STONEBURNER, 2002):

34

2.3.2.1Priorizao de Aes
Entrada: os nveis dos riscos definidos na etapa de avaliao de riscos.
Ao: organizar as aes, dando
impacto/probabilidade seja significativa.

prioridade

aos

riscos

cuja

relao

Sada: aes priorizadas, da maior para a menor prioridade.

2.3.2.2Validao das Opes de Controle Recomendadas
Entrada: os controles recomendados no processo de avaliao de riscos.
Ao: analisar a aplicabilidade e a efetividade dos controles recomendados e
selecionar os que so mais apropriados para tratar os riscos.
Sada: lista dos controles aplicveis.
2.3.2.3Realizao de uma Anlise de Custo-Benefcio
Entrada: Lista de controles aplicveis
Ao: realizar um estudo de viabilidade tcnica e financeira para demonstrar o custo
de desenvolvimento e utilizao de controles, novos ou aprimorados, em quais
circunstncias eles poderiam ser utilizados e quais os impactos ao negcio caso se opte
ou no por sua utilizao.
Sada: relatrio de viabilidade tcnico-financeira dos controles aplicveis.
2.3.2.4Seleo de Controles
Entrada: relatrio de viabilidade financeira dos controles aplicveis.
Ao: seleo dos controles que combinam elementos tcnicos, operacionais e
gerenciais, dentre os que possuem uma relao custo-benefcio aceitveis, e que garante
a adequada segurana do ambiente de TIC.
Sada: controles selecionados.
2.3.2.5Delegao de Responsabilidades
Entrada: controles selecionados.
Ao: definir pessoas, internas ou externas a organizao, conformes suas
experincias e conhecimentos, para implantar e gerenciar os controles selecionados.
Sada: lista de responsveis e seus respectivos controles.
2.3.2.6Desenvolvimento de um Plano de Ao
Entrada: riscos e seus respectivos nveis de risco, aes e suas respectivas
priorizaes, controles recomendados e selecionados, lista de responsveis, data de
incio, previso de concluso, e condies de manuteno.
Ao: criar um plano de ao.
Sada: plano de ao de proteo.
2.3.2.7Implantar controles selecionados
Entrada: plano de ao de proteo.

35

Ao: implantar os controles selecionados conforme definido no planto de ao de

proteo.
Sada: riscos residuais.
Os riscos residuais, resultantes da ao de controles aprimorados ou novos (reduo
de falhas ou defeitos, incluso de dispositivos pontuais, reduo da grandeza do
impacto), devem ser analisados pela organizao, nos termos de reduo da
probabilidade de ocorrncia ou impacto da ao de ameaas, para serem aceitos
(STONEBURNER, 2002)

Figura 2.12: Exemplo de fluxo de aceitao de riscos (STONEBURNER, 2002).

Aceitar um risco, conforme critrios pr-definidos, pode ser mais complexo que uma
mera indicao se ele est, ou no, dentro dos limites determinados. Em alguns casos, o
risco residual pode no atender aos critrios de aceitao, mas a deciso de conform-lo,
ou no, pode ser influenciada por situaes momentneas, como por exemplo, a
inviabilidade tcnico-financeira da implantao de um controle. Diante de tais
circunstncias, cabem duas decises: revisar os critrios de aceitao ou justificar de
forma explcita a deciso de sobrep-los (ABNT, 2008).
Convm que a deciso de aceite dos riscos seja realizada e formalmente registrada,
constando os responsveis e as justificativas de anuncia de cada risco residual, em
especial daqueles que no satisfaam os critrios normais de aceitao (ABNT, 2008).

2.4 Anlise e Melhoria Contnua

Em geral, o ambiente de tecnologia da informao e comunicao est em constante
evoluo dentro das empresas e isto significa que novos riscos, ou aqueles
anteriormente tratados, podem afetar os negcios. Deste modo, gerenciamento de risco
um processo evolutivo, que requer melhorias contnuas durante o clico de vida de uma
organizao. Deve ter uma agenda especfica, o qual deve ser preventivamente
repetido, mas deve ser flexvel o suficiente para ser executado sempre que grandes
mudanas forem realizadas, as quais resultaro em novas polticas, novas tecnologias e
por conseqncia novas vulnerabilidades (STONEBURNER, 2002).

36

A reavaliao peridica do ambiente atravs dos processos avaliao de riscos o

primeiro passo para se comear um novo ciclo. A equipe de gesto de riscos de
segurana deve reutilizar e atualizar as listas de ativos, vulnerabilidades, controles e
outras propriedades intelectuais desenvolvidas durante o projeto inicial de
gerenciamento de riscos (DILLARD, 2004).
A equipe pode determinar onde se concentrar, reunindo informaes atuais, precisas
e relevantes sobre as alteraes que afetam os sistemas de informaes da organizao.
Os eventos internos que exigem uma apurao mais cuidadosa incluem a instalao de
novos hardwares e softwares nos computadores; novos aplicativos desenvolvidos
internamente; reorganizaes corporativas; aquisies e fuses corporativas; bem como
liquidaes de partes da organizao. Tambm recomendvel revisar a lista de riscos
existente para determinar se houve alteraes. Alm disso, examinar os registros de
auditoria de segurana pode trazer idias sobre outras reas a investigar (DILLARD,
2004).
Alm disso, necessrio que se verifique se os critrios utilizados para medir o risco
ainda so coerentes com os objetivos do negcio, estratgias e polticas da organizao
(ABNT, 2008).
O sucesso do gerenciamento de riscos ir depender do compromisso da alta direo,
de total apoio e participao da equipe de tecnologia da informao e comunicao, da
competncia e da experincia do time de gesto de riscos em aplicar com efetividade a
metodologia, da conscincia e cooperao dos usurios em cumprir os procedimentos e
da melhoria contnua na validao e estimativa dos riscos.

37

3 CONCLUSO

A dependncia tecnolgica das organizaes nos tempos atuais fez com que um
ramo da Governana Corporativa migrasse para dentro dos departamentos de
informtica. A sustentabilidade dos negcios atravs dos pilares da infra-estrutura
tecnolgica incumbncia da Governana de TIC, que tem no Gerenciamento de Riscos
em Segurana em Segurana da Informao seu balizador de decises e guia de aes
de segurana.
O processo de gerenciamento de riscos em sistemas de tecnologia de informao e
comunicao responsabilidade direta da alta direo, que tem a misso de fazer com
que organizao atenda s expectativas da sociedade que dela depende.
O sucesso do ciclo de gerenciamento de riscos subordinado intrnseco cultura
organizacional. So papeis dos acionistas o apoio e o fomento ao programa de gesto de
riscos de segurana. Cada unidade de negcio, departamento e usurio pea
fundamental de um processo que necessita ser continuamente multiplicado e melhorado.
Este artigo focou-se em destacar, seno indicar, as boas prticas de gerenciamento
de riscos disponveis, e organiz-las de tal forma que possibilite sua aplicao dentro
das organizaes. Foram disponibilizadas, tambm, farta documentao de apoio nos
ANEXOS e APNDICES, visando auxiliar s equipes de gesto de riscos.

38

REFERNCIAS

ABNT. ABNT NBR ISO/EIC 27005:2008 : Tecnologia da Informao : Tcnicas de

Segurana : Gesto de Riscos de Segurana da Informao. Rio de Janeiro, 2008.
ABNT. ABNT NBR ISO/IEC 27002:2005 : Tecnologia da Informao : Cdigo de
Prtica para a Gesto da Segurana da Informao. Rio de Janeiro, 2005.
ABNT. ABNT NBR ISO/IEC 27001:2006 : Tecnologia da Informao : Tcnicas de
Segurana da Informao : Sistemas de Gesto de Segurana da Informao :
Requisitos. Rio de Janeiro, 2006.
ADLER, M. et al. COBIT 4.1. Rolling Meadows: IT Governance Institute, 2007. 213
p. Disponvel em: <http://www.isaca.org/ContentManagement/ContentDisplay.cfm?
ContentID=39279>. Acesso em: nov. 2008.
ALBERTS, C. et al. Introduction to the OCTAVE Approach. Pittsburgh: Carnegie
Mellon University, 2003. 37 p. Disponvel em: <www.cert.org/octave/
approach_intro.pdf>. Acesso em: nov. 2008.
BARTLETT, J. et. al. ITIL Service Delivery v.2.0. Norwich: TSO - The Stationery
Office, 2003.
BROEKARTS, A. et al. Microsoft Operations Framework (MOF) 4.0. [S.l.]:
Microsoft Corporation, 2008.
Disponvel em: <http://technet.microsoft.com/enus/library/cc506049.aspx>. Acesso em: nov. 2008.
CERT.BR. Cartilha de Segurana para Internet, verso 3.1. So Paulo, 2006. 117 f.
Disponvel em: <http://cartilha.cert.br/download/ cartilha-seguranca-internet.pdf>.
Acesso em: nov. 2008.
DILLARD, K.; PFOST, J.; RYAN, S. Security Risk Management Guide. [S.l.]:
Microsoft Corporation, Oct. 2004. Disponvel em: <http://technet.microsoft.com/enus/library/cc163143.aspx>. Acesso em: out. 2008.
FAGUNDES, E. COBIT Um kit de ferramentas para a excelncia na gesto de TI.
[S.l.:
s.n.],
2004.
6
f.
Disponvel
em:
<http://www.efagundes.com/Artigos/Arquivos_pdf/ cobit.pdf>. Acesso em: out. 2008.
GULDENTOPS, E. et al. Board Briefing on IT Governance. 2nd ed. Rolling
Meadows: ITGI - IT Governance Institute, 2003. 66 p. Disponvel em: <http:/
/www.isaca.org/ContentManagement/ContentDisplay.cfm?ContentID=39649>. Acesso
em: nov. 2008.
HARDY, G. et al. Aligning CobiT 4.1, ITIL V3 and ISO/IEC 27002 for Business
Benefit. Rolling Meadows: ITGI - IT Governance Institute, 2008. 131 p. Disponvel
em:
<

39

http://www.isaca.org/ContentManagement/ContentDisplay.cfm?ContentID=46288
Acesso em: nov. 2008.

>.

LA ROCQUE, E. et al. Guia de Orientao para o Gerenciamento de Riscos

Corporativos. So Paulo: IBGC Instituto Brasileiro de Governana Corporativa,
2007. 48 f. (Srie de Cadernos de Governana Corporativa 3). Disponvel em:
<http://www.audicaixa.org.br/arquivos_auditoria/GerenciamentoRiscosCorporativosIBGC.pdf >. Acesso em: nov. 2008.
MICHAELIS: moderno dicionrio da Lngua Portuguesa. So Paulo: Melhoramentos,
1998. Dicionrio eletrnico Babylon 6.0.
STONEBURNER, G.; GOGUEN, A.; FERINGA, A. Risk Management Guide for
Information Technology Systems. Gaithersburg: NIST - National Institute of
Standards and Technology, July 2002. 54 p. (Special Publication 800-30). Disponvel
em: <http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf>. Acesso em: out.
2008.

40

GLOSSRIO

Ao de evitar risco: deciso de no se envolver ou agir de forma a se retirar de uma

situao de risco.
Aceitao do risco: deciso de aceitar o risco residual.
Anlise de risco: uso sistemtico de informaes para autenticar fontes e estimar o
risco.
Antivrus: programa ou software especificamente desenvolvido para detectar, anular e
eliminar de um computador vrus e outros tipos de cdigo malicioso.o sigilo de
comunicaes pessoais e comerciais
Ataque: tentativa, bem ou mal sucedida, de acesso ou uso no autorizado a um
programa ou computador. Tambm so considerados ataques as tentativas de negao
de servio.
Ativo: qualquer coisa que tenha valor par a organizao.
Blackouts: falha na gerao de energia eltrica.
Boato: e-mail que possui contedo alarmante ou falso e que, geralmente, tem como
remetente ou aponta como autora da mensagem alguma instituio, empresa importante
ou rgo governamental. Atravs de uma leitura minuciosa deste tipo de e-mail,
normalmente, possvel identificar em seu contedo mensagens absurdas e muitas
vezes sem sentido.
Bot: programa que, alm de incluir funcionalidades de worms, sendo capaz de se
propagar automaticamente atravs da explorao de vulnerabilidades existentes ou
falhas na configurao de softwares instalados em um computador, dispe de
mecanismos de comunicao com o invasor, permitindo que o programa seja controlado
remotamente. O invasor, ao se comunicar com o bot, pode orient-lo a desferir ataques
contra outros computadores, furtar dados, enviar spam, etc.
Botnets: redes formadas por diversos computadores infectados com bots. Podem ser
usadas em atividades de negao de servio, esquemas de fraude, envio de spam, etc.
Cavalo de tria: programa, normalmente recebido como um "presente" (por exemplo,
carto virtual, lbum de fotos, protetor de tela, jogo, etc), que alm de executar funes
para as quais foi aparentemente projetado, tambm executa outras funes normalmente
maliciosas e sem o conhecimento do usurio.
Cdigo malicioso: termo genrico que se refere a todos os tipos de programa que
executam aes maliciosas em um computador. Exemplos de cdigos maliciosos so os
vrus, worms, bots, cavalos de tria, rootkits, etc.

41

Confidencialidade: propriedade de que a informao no esteja disponvel ou revelada

a indivduos, entidades ou processos no autorizados.
Criptografia: cincia e arte de escrever mensagens em forma cifrada ou em cdigo.
parte de um campo de estudos que trata das comunicaes secretas. usada, dentre
outras finalidades, para: autenticar a identidade de usurios; autenticar transaes
bancrias; proteger a integridade de transferncias eletrnicas de fundos, e proteger o
sigilo de comunicaes pessoais e comerciais
DDoS: do ingls Distributed Denial of Service. Ataque de negao de servio
distribudo, ou seja, um conjunto de computadores utilizado para tirar de operao um
ou mais servios ou computadores conectados Internet.
Disponibilidade: propriedade de estar acessvel e utilizvel sob demanda por uma
entidade autorizada.
Engenharia social: mtodo de ataque onde uma pessoa faz uso da persuaso, muitas
vezes abusando da ingenuidade ou confiana do usurio para obter informaes que
podem ser utilizadas para ter acesso no autorizado a computadores ou informaes.
Estimativa de riscos: processo utilizado para atribuir valores probabilidades e
conseqncias de um risco.
Exploit: programa ou parte de um programa malicioso projetado para explorar uma
vulnerabilidade existente em um software de computador.
Identificao de riscos: processo para localizar, listar e caracterizar elementos do risco.
IDS: do ingls Intrusion Detection System. Programa, ou um conjunto de programas,
cuja funo detectar atividades maliciosas ou anmalas.
Impacto: mudana adversa no nvel obtido dos objetivos de negcio
Incidente de segurana: um nico ou uma srie de eventos indesejados ou inesperados
que tenham uma grande probabilidade de comprometer as operaes do negcio e
ameaar a segurana da informao.
Integridade: propriedade de salvaguarda da exatido e completeza de ativos.
Invaso: ataque bem sucedido que resulte no acesso, manipulao ou destruio de
informaes em um computador.
IP spoofing: tcnica que consiste em mascarar (spoof) pacotes IP utilizando endereos
de remetentes falsificados.
ITIL Information Technology Infrastructure Library: conjunto de melhores
prticas para o Gerenciamento de Servios de TIC. O ITIL foi desenvolvido no final dos
anos 80 pela Central Computer and Telecommunications Agency (CCTA, hoje OGC),
rgo do Governo Britnico. A criao foi motivada pela insatisfao com o custo e a
qualidade dos servios de TI fornecidos ao Governo Britnico, pela dependncia crtica
dos servios de TI e pela necessidade de independncia de fornecedores.
Malware: do ingls malicious software, veja cdigo malicioso.
Negao de servio: atividade maliciosa onde o atacante utiliza um computador para
tirar de operao um servio ou computador conectado Internet.
NIST National Institute of Standards and Technology: fundada em 1901, NIST
uma agncia federal no-reguladora ligada ao Departamento de Comrcio Norte

42

Americano que tem como misso promover a competitividade e a inovao industrial

americana atravs de avanos cientficos, padres e tecnologias para melhorar a
economia e qualidade de vida.
Phishing: tambm conhecido como phishing scam. Mensagem no solicitada que se
passa por comunicao de uma instituio conhecida, como um banco, empresa ou site
popular, e que procura induzir usurios ao fornecimento de dados pessoais e financeiros
ou instalao de cdigos maliciosos.
Reduo do risco: aes tomadas para reduzir a probabilidade, as conseqncia
negativas, ou ambas, associadas a um risco.
Reteno do risco: aceitao do nus da perda ou do benefcio do ganho associado a
um determinado risco. No contexto dos riscos da segurana da informao, somente as
conseqncia negativas so consideradas.
Risco residual: riscos remanescentes aps o tratamento de riscos.
Riscos de segurana da informao: a possibilidade de uma ameaa explorar
vulnerabilidades de recursos num ambiente de TIC de forma que venha a prejudicar a
organizao.
Rootkit: conjunto de programas que tem como finalidade esconder e assegurar a
presena de um invasor em um computador comprometido.
Segurana da informao: preservao da confidencialidade, integridade e
disponibilidade da informao; adicionalmente, outras propriedades, tais como
autenticidade, responsabilidade, no repdio e confiabilidade.
Transferncia do risco: compartilhamento com outra entidade do nus da perda ou
benfico do ganho associado a um risco. No contexto dos riscos da segurana da
informao, somente as conseqncia negativas so consideradas.
Tratamento do risco: processo de seleo e implementao de medidas para modificar
um risco.
Vrus: programa ou parte de um programa de computador, normalmente malicioso, que
se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de
outros programas e arquivos de um computador. O vrus depende da execuo do
programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao
processo de infeco.
Vulnerabilidade: falha no projeto, implementao ou configurao de um software ou
sistema operacional que, quando explorada por um atacante, resulta na violao da
segurana de um computador.
Worm: programa capaz de se propagar automaticamente atravs de redes, enviando
cpias de si mesmo de computador para computador. Diferente do vrus, o worm no
embute cpias de si mesmo em outros programas ou arquivos e no necessita ser
explicitamente executado para se propagar. Sua propagao se d atravs da explorao
de vulnerabilidades existentes ou falhas na configurao de softwares instalados em
computadores.

43

ANEXO A EXEMPLOS DE AMEAAS COMUNS

A Tabela A.1 contm exemplos de ameaas tpicas que pode ser utilizada no
processo de avaliao de ameaas. Ameaas podem ser: (I) intencionais, que indica as
aes intencionais direcionadas contra os ativos da informao; (A) acidentais, que
indica as aes de origem humana que podem comprometer acidentalmente e os ativos
da organizao; ou de origem (N) natural ou ambiental, que indica incidentes que no
so provocados pela ao dos seres humanos (ABNT, 2008):
Tabela A.1: Exemplos de ameaas comuns
Tipo

Dano Fsico

Eventos naturais

Paralisao de
servios essenciais
Distrbio causado
por radiao

Comprometimento
da informao

Ameaa
Fogo
gua
Poluio
Acidente grave
Destruio de equipamento ou mdia
Poeira, corroso ou congelamento
Fenmeno climtico
Fenmeno ssmico
Fenmeno vulcnico
Fenmeno meteorolgico
Inundao
Falha do condicionador de ar
Interrupo no suprimento de energia
Falha do equipamento de telecomunicaes
Radiao eletromagntica
Radiao trmica
Pulsos eletromagnticos
Interceptao de sinais
Espionagem distncia
Escuta no autorizada
Furto de mdia ou documentos
Furto de equipamentos
Recuperao de mdia reciclada ou descartada
Divulgao indevida
Dados de fones no confiveis
Alterao do hardware
Alterao do software
Determinao da localizao

Origem
A, I, N
A, I, N
A, I, N
A, I, N
A, I, N
A, I, N
N
N
N
N
N
A, I
A, I, N
A, I
A, I, N
A, I, N
A, I, N
I
I
I
I
I
I
A, I
A, I
I
A, I
I

44

Falhas tcnicas

Aes no
autorizadas

Comprometimento
de funes

Falha de equipamento
Defeito de equipamento
Saturao do sistema de informao
Defeito de software
Violao das condies de uso do sistema de
informao que possibilitam sua manuteno
Uso no autorizado de equipamento
Cpia ilegal de software
Uso de cpias de software falsificadas ou ilegais
Comprometimento dos dados
Processamento ilegal dos dados
Erro durante o uso
Forjamento de direitos
Abuso de diretos
Repdio de aes
Indisponibilidade de recursos humanos
Fonte: ABNT, 2008, p. 39-40.

A
A
A, I
A
A, I
I
I
A, I
I
I
A
A, I
I
I
A, I, N

A Tabela A.2 representa fontes de ameaas representadas por seres humanos,

motivaes e suas possveis conseqncias (ABNT, 2008):
Tabela A.2: Exemplos de ameaas causadas por seres humanos
Fontes de
ameaa

Hacher, cracker

Criminosos
digitais

Motivao
Desafio
Egocentrismo
Protesto
Rebeldia
Status
Dinheiro

Destruio de informaes
Acesso a dados sigilosos
Divulgao ilegal de informaes
Ganho monetrio
Alteraes no autorizadas de
dados

Possveis Conseqncias

Terroristas

Chantagem
Destruio
Vingana
Explorao
Ganho poltico

Hacking;
Engenharia social;
Negao de servio;
Pichao de sites;
Invaso de sistemas,
infiltraes;
Acesso no autorizado.
Atos virtuais
fraudulentos
(interceptao de
dados, ataque homemno-meio, IP spoofing,
etc.);
Intruso de sistemas.
Suborno por
informao;
Ataques a sistemas
(negao de servio);
Ataques com bombas;
Guerra de informao;
Ataques a sistemas
(negao de servio
distribudo);

45

Cobertura da mdia

Espies

Pessoas: mal
treinadas,
insatisfeitas, malintencionadas,
negligentes,
imprudentes,
desonestas,
demitidas.

Vantagem competitiva
Espionagem econmica

Curiosidade
Egocentrismo
Informaes para servio de
Inteligncia
Ganhos financeiros
Vingana
Aes no intencionais ou omisses
(erro na entrada de dados, erro na
programao).

Fonte: ABNT, 2008, p. 40-41.

Invaso e dominao
de sistemas;
Alterao de sistemas.
Garantir vantagem de
um posicionamento
defensivo;
Garantir uma vantagem
poltica;
Explorao econmica;
Furto de informaes;
Violao da
privacidade das
pessoas;
Engenharia social;
Invaso de sistemas;
Invaso de privacidade;
Acessos no
autorizados em
sistemas (acesso a
informao restrita, de
propriedade exclusiva,
e/ou relativa
tecnologia).
Agresso a funcionrio;
Chantagem;
Busca de informao
sensvel;
Abuso dos recursos
computacionais;
Fraudes;
Furto de ativos;
Suborno de
informao;
Incluso de dados
falsos;
Corrupo de dados;
Interceptao de
informao;
Desvio de informao;
Uso de programas ou
cdigos maliciosos;
Sabotagens;
Invaso de sistemas;
Acessos no
autorizados a sistemas.

46

ANEXO B EXEMPLOS DE VULNERABILIDADES

A Tabela B.1 fornece exemplos de vulnerabilidades e possveis ameaas em diversas

reas de segurana e pode servir de auxlio durante o processo de avaliao das ameaas
e vulnerabilidades do ambiente de TIC (ABNT, 2008).
Tabela B.1: Exemplos vulnerabilidades
Tipos

Hardware

Exemplos de vulnerabilidades
Manuteno insuficiente ou instalao
defeituosa de mdia de armazenamento

Falta de uma rotina de substituio

peridica
Sensibilidade umidade, poeira ou
sujeira
Sensibilidade radiao
eletromagntica
Inexistncia de um controle de
mudanas de configurao
Sensibilidade a variaes de voltagem
Sensibilidade a variaes de
temperatura
Armazenamento no protegido
Descuidado durante o descarte
Utilizao de cpias no controladas

Software

Inexistncia de procedimentos de teste

de softwares.
Falhas conhecidas no software
No execuo do logout ao se deixar
uma estao de trabalho
Descarte ou reutilizao de mdia de
armazenamento sem a execuo dos
procedimentos apropriados de remoo
dos dados

Exemplos de ameaas
Violao das condies de
uso do sistema de
informao que
possibilitam sua
manuteno
Destruio de
equipamento ou mdia
Poeira, corroso,
congelamento.
Radiao eletromagntica
Erro durante o uso
Interrupo do suprimento
de energia
Fenmeno meteorolgico
Furto de mdia ou
documentos
Furto de mdia ou
documentos
Furto de mdias ou
documentos
Abuso de direitos
Abuso de diretos
Abuso de direitos
Abuso de direitos

47

Inexistncia de uma trilha de auditoria

Atribuio errnea de direitos de acesso
Software amplamente distribudo
Utilizar programas aplicativos com um
conjunto errado de dados
Interface de usurio complexa
Inexistncia de documentao
Parmetros Incorretos
Datas incorretas
Inexistncia de mecanismos de
autenticao e identificao
Tabelas de senhas desprotegidas
Gerenciamento mal feito de senhas
Servios desnecessrios habilitados

Rede

Software novo ou imaturo

Especificaes confusas o incompletas
para os desenvolvedores
Inexistncia de um controle eficaz de
mudana
Download e uso no controlado de
software
Inexistncia de cpias de segurana
Inexistncia de mecanismos de proteo
fsica no prdio, portas e janelas
Inexistncia de relatrios de
gerenciamento
Inexistncia de evidncias que
comprovem o envio ou recebimento de
mensagens
Linhas de Comunicao desprotegidas
Trfego sensvel desprotegido
Junes de cabeamento mal feitas
Ponto nico de falha

Recursos
humanos

No identificao e no autenticao do
emissor ou receptor
Arquitetura insegura da rede
Transferncias de senhas em claro
Gerenciamento de rede inadequado,
quanto configurao de roteamentos
Conexes de redes pblicas
desprotegidas
Ausncia de recursos humanos

Abuso de direitos
Abuso de diretos
Comprometimento dos
dados
Comprometimento dos
dados
Erro durante uso
Erro durante uso
Erro durante uso
Erro durante uso
Forjamento de direitos
Forjamento de diretos
Forjamento de direitos
Processamento ilegal de
dados
Defeito de software
Defeito de software
Defeito de software
Alterao do software
Alterao do software
Furto de mdia ou
documentos
Uso no autorizado de
equipamento
Repdio de aes

Escuta no autorizada
Escuta no autorizada
Falha do equipamento de
telecomunicao
Falha do equipamento de
telecomunicao
Forjamento de diretos
Espionagem distncia
Espionagem a distncia
Saturao do sistema de
informao
Uso no autorizado de
equipamento
Indisponibilidade de
recursos humanos

48

Local ou
instalaes

Procedimentos de recrutamento
inadequados
Treinamento insuficiente em segurana
Uso incorreto de software e hardware
Falta de conscientizao em segurana
Inexistncia de mecanismos de
monitoramento
Trabalho no supervisionado de pessoal
de limpeza ou de terceirizados
Inexistncia de polticas pra o uso
correto de meios de telecomunicao e
de troca de mensagens
Uso inadequado de mecanismos de
controle de acesso fsico a locais
sensveis
Localizao em rea suscetvel a
inundaes
Fornecimento de energia instvel

Indisponibilidade de
recursos humanos
Erro durante o uso
Erro durante o uso
Erro durante o uso
Processamento ilegal dos
dados
Furto de mdia ou
documentos
Uso no autorizado de
recurso
Destruio de
equipamento ou mdia
Inundao

Interrupo de suprimento
de energia
Inexistncia de mecanismos de proteo Furto de equipamentos
fsica no prdio portas e janelas
Inexistncia de um procedimento
Abuso de direitos
formal para o registro de remoo de
usurios
Inexistncia de processo formal para a
Abuso de direitos
anlise crtica dos direitos de acesso
Provises de segurana insuficientes o
Abuso de direitos
inexistentes em contratos com clientes
e/ou terceiros
Inexistncia de procedimentos de
Abuso de direitos
monitoramento das instalaes de
processamento de informaes
Inexistncia de auditorias peridicas
Abuso de direitos
Inexistncia de procedimentos para a
Abuso de direitos
Organizao identificao e anlise/avaliao de
riscos
Inexistncia de relatos de falha nos
Abuso de direitos
arquivos de auditoria das atividades de
administradores e operaes
Resposta inadequada do servio de
Violao das condies de
manuteno
uso do sistema de
informao
Acordo de nvel de servio (SLA)
Violao das condies de
inexistncia ou ineficaz
uso do sistema de
informao
Controle de mudanas inexistente ou
Violao das condies de
ineficaz
uso do sistema de
informao

49

Procedimento e controle de sistemas de

gerenciamento de segurana
inexistentes
Atribuio inadequada das
responsabilidades pela segurana da
informao
Plano de continuidade de servios
inexistente
Poltica de uso de e-mail inexistente
Ausncia de registros de auditoria
(logs)
Processo disciplinar no caso de
incidentes de segurana inexistente
Poltica de uso de recursos de
informtica inexistente
Inexistncia de controle de ativos fora
da organizao
Inexistncia de procedimentos de
direitos de propriedade intelectual
Fonte: ABNT, 2008, p. 42-45.

Comprometimento dos
dados
Repdio de aes

Falha nos servios

Erro durante o uso
Erro durante o uso
Furto de equipamentos ou
dados
Furto de equipamentos ou
dados
Furto de equipamentos ou
dados
Uso de cpias de
aplicativos falsificadas ou
ilegais.

50

ANEXO C CONTROLES E OBJETIVOS DE

CONTROLES

Este anexo apresenta uma relao no exaustiva de controles e objetivos de

controles que podem ser utilizados no gerenciamento de segurana da informao de
uma organizao de forma preventiva contra riscos aos negcios.
Tabela C.1: Controles e objetivos de controles
POLTICA DE SEGURANA
Poltica de segurana da informao
Objetivo: prover uma orientao e apoio da direo para a segurana da
informao de acordo com os requisitos do negcio e com as leis e regulamentaes
relevantes.
Controle
Documento da
poltica de
segurana da
informao

Um documento da poltica de segurana da informao

deve ser aprovado pela direo, publicado e comunidades para
todos os funcionrios e partes externas relevantes. O
documento dever ser analisado criticamente a intervalos
planejados ou quando mudanas significativas ocorrerem.

ORGANIZANDO A SEGURANA DA INFORMAO

Infra-estrutura da segurana da informao
Objetivo: gerenciar a segurana da informao dentro da organizao.
Controle
Compromisso da
direo com a
segurana da
informao

A direo deve apoiar ativamente a segurana da

informao dentro da organizao, por meio de um claro
direcionamento, demonstrando o seu comprometimento,
definindo atribuies de forma explcita e conhecendo as
responsabilidades pela segurana da informao.
Controle

Acordos de
confidencialidade

Os requisitos para confidencialidade ou acordos de no

divulgao que reflitam as necessidades da organizao
para a proteo da informao devem ser identificados e
analisados criticamente, de forma regular.
GESTO DE ATIVOS

51

Responsabilidades pelos ativos

Objetivo: alcanar e manter a proteo adequada dos ativos da organizao.
Controle
Inventrio dos
ativos

Todos os ativos devem ser claramente identificados e

um inventrio de todos os ativos importantes deve ser
estruturado e mantido.

Classificao da informao
Objetivo: assegurar que a informao receba um nvel adequado de proteo.
Controle
Recomendaes
de classificao

A informao deve ser classificada em termos do seu

valor, requisitos legais, sensibilidade e criticidade para a
organizao.

SEGURANA EM RECURSOS HUMANOS

Antes da contratao
Objetivo: assegurar que os funcionrios, fornecedores e terceiros entendam suas
responsabilidade e estejam de acordo com os seus papis para reduzir o risco de
roubos, fraude ou mal uso de recursos.
Controle
Papis e
responsabilidades

Os papis e responsabilidades pela segurana da

informao de funcionrios, fornecedores e terceiros devem
ser definidos e documentados de acordo com a poltica de
segurana da informao da organizao.
Controle

Termos e
condies de
contratao

Como parte das suas obrigaes contratuais, os

funcionrios, fornecedores e terceiros devem concordar e
assinar os termos e condies de sua contratao para o
trabalho, os quais devem declarar as suas responsabilidades
e da organizao para a segurana da informao.

Durante a contratao
Objetivo: assegurar que os funcionrios, fornecedores e terceiros esto
conscientes das ameaas e preocupaes relativas segurana da informao, suas
responsabilidades e obrigaes, e esto preparados para apoiar a poltica de
segurana da informao durante seus trabalhos para reduzir riscos operacionais.
Controle
A direo deve solicitar aos funcionrios, fornecedores
Responsabilidades
e
terceiros
que pratiquem a segurana da informao de
da direo
acordo com o que foi definido nas polticas e
procedimentos da organizao.
Conscientizao,
educao e

Controle
Todos os funcionrios, e onde quando pertinente

52

treinamento

fornecedores e terceiros, devem receber treinamentos de

conscientizao
das
polticas
e
procedimentos
organizacionais, inclusive quando estas so atualizadas.
Controle

Processo
disciplinar

Deve existir um processo disciplinar formal para os

funcionrios que tenham cometido uma violao de
segurana da informao.

Encerramento ou mudana da contratao

Objetivo: assegurar que os funcionrios, fornecedores e terceiros deixem a
organizao ou mudem de trabalho de forma ordenada.
Controle
Encerramento de
atividades

A responsabilidade para realizar o encerramento ou a

mudana de um trabalho devem ser claramente definidas e
atribudas.
Controle

Devoluo de
ativos

Todos os funcionrios, fornecedores e terceiros devem

devolver todos os ativos da organizao que estejam em sua
posse aps o encerramento de suas atividades, do contrato
ou acordo.
Controle

Retirada de
direitos de acesso

O direto de acesso de todos os funcionrios,

fornecedores e terceiros s informaes e recursos devem
ser retirados aps o encerramento das atividades, contratos
ou acordos, ou devem ser ajustados conforme as novas
atividades.
SEGURANA FSICA E DO AMBIENTE

reas seguras
Objetivo: prevenir acesso fsico no autorizado, danos e interferncias com as
instalaes e informaes da organizao.
Controle
Controle de
entrada fsica

As reas seguras devem ser protegidas por controles

apropriados de entrada para assegurar que somente pessoas
autorizadas tenham acesso.
Controle

Proteo contra
Devem ser projetadas e aplicadas protees fsicas
ameaas externas e do contra incndio, exploses, perturbaes da ordem pblica
meio ambiente
e outras formas de desastres naturais ou causados pelo
homem.
Segurana de equipamentos
Objetivo: impedir perdas, danos, furto ou comprometimento de ativos e

53

interrupo das atividades da organizao.

Controle
Utilidades

Segurana do
cabeamento

Os equipamentos devem ser protegidos contra falta de

energia e outras interrupes causadas por falhas das
utilidades.
Controle
O cabeamento de energia e telecomunicaes devem ser
protegidos contra interrupes e danos.

Planejamento e aceitao dos sistemas

Objetivo: minimizar o risco de falhas nos sistemas.
Controle
Aceitao de
sistemas

Devem ser estabelecidos critrios de aceitao para

novos sistemas, atualizaes e novas verses, seguidos de
testes antes da validao.
CONTROLES DE ACESSO

Computao mvel e trabalho remoto

Objetivo: garantir a segurana da informao quando utilizadas tecnologias de
computao mvel e recursos de trabalho remoto.
Controle
Trabalho remoto

Uma poltica, planos operacionais e procedimentos

devem ser desenvolvidos para atividades de trabalho
remoto.

Controle de acesso ao sistema operacional

Objetivo: prevenir acesso no autorizado aos sistemas operacionais.
Sistema de
gerenciamento de
senhas
Desconexo por
inatividade

Controle
Sistemas de gerenciamento de senhas devem ser
interativos e garantir senhas de qualidade.
Controle
Terminais inativos devem ser desconectados aps
perodo definido de inatividade.

Gerenciamento de acesso ao usurio

Objetivo: assegurar acesso de usurio autorizado e prevenir acesso no
autorizado a sistemas de informao.
Controle
Anlise crtica dos
O gestor deve conduzir a intervalos regulares a anlise
direitos de acesso
crtica dos direitos de acesso dos usurios por meio de um
processo formal.
Fonte: ABNT, 2006, p. 14-30.

54

APNDICE A ORGANIZAES DE RESPOSTA A

INCIDENTES DE SEGURANA

Este APNDICE fornece exemplos de organizaes pblicas e privadas que tem

como objetivo receber, analisar, registrar e responder a incidentes de segurana
envolvendo redes conectadas Internet no mundo, e que podero servir de referncias
para pesquisas de vulnerabilidades em sistemas.
Estas organizaes exercem atividades como: atendimento a incidentes de
segurana; coordenao de grupos de segurana novos ou j existentes; disseminao de
informaes na rea de segurana em redes; divulgao de recomendaes e alertas;
testes e recomendao de ferramentas de segurana; estabelecimento de trabalho
colaborativo com outras entidades, como as polcias, provedores de acesso e servios de
Internet e backbones; oferecimento treinamentos na rea de resposta a incidentes de
segurana; entre outros. Abaixo, segue uma lista no exaustiva contendo o nome e suas
respectivas URLs, acessadas em novembro de 2008:

CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de

Segurana no Brasil <www.cert.br>

US-CERT - United States

<http://www.us-cert.gov>

CAIS - Centro de
<http://www.rnp.br/cais>

SecurityFocus - The Largest Community of Security Professionals Available

Anywhere <http://www.securityfocus.com>

National Vulnerability Database <http://nvd.nist.gov>

Common Vulnerabilities and Exposures <http://cve.mitre.org>

Secunia <http://www.secunia.com>

Computer

Atendimento

Emergency
a

Readiness

Incidentes

de

Team

Segurana

55

APNDICE B FERRAMENTAS DE AUDITORIA DE

SEGURANA EM SISTEMAS

As ferramentas de auditoria de segurana, ou simplesmente testes de segurana,

so mtodos proativos que podem identificar eficazmente vulnerabilidades conhecidas.
Dentre as diversas solues do mercado, so apresentadas a seguir duas opes deste
tipo de ferramenta que podem ser teis para detectar vulnerabilidade em ambientes de
TIC:
Network Software Inspector - SNI, do Secunia, possibilita segurana completa do
ambiente e viso geral das atualizaes crticas dos sistemas da corporao. Localiza as
vulnerabilidades que afetam a infra-estrutura, e fornece uma definio detalhada e
concisa
das
vulnerabilidades
e
ameaas
relacionadas
<http://secunia.com/vulnerability_scanning/network>.

56

Nessus, da Tenable Network Security, a ferramenta de deteco de

vulnerabilidades caracterizada pela alta velocidade de deteco, auditorias na
configurao de sistemas, perfis de ativos, descoberta de dados sensveis e anlise de
vulnerabilidade do ambiente de TIC. Pode ser distribudo por toda a empresa, dentro de
DMZs e em redes fisicamente separadas < http://www.nessus.org/nessus>: