GEstão de Risco em TI PDF

RESERVADO
METODOLOGIA DE GESTO DE RISCOS DE SEGURANA DA

INFORMAO
Desenvolvimento de metodologia e ferramenta de software
pblico de arquitetura aberta para gesto de riscos de
segurana da informao na Administrao Pblica Federal
Relatrio RM2
Fundao de Apoio Capacitao em TI Facti

Termo de Execuo Descentralizada MPOG n 25/2014
Processo MPOG n 04300.004903/2014-40
Processo Administrativo CTI n 01241.000189/2014-74
Termo de Dispensa de Licitao CTI n 98/2014
Termo de Contrato de Prestao de Servios CTI n 250/2014
Entidades Participantes
Secretaria de Logstica e Tecnologia da Informao SLTI/MPOG
Centro de Tecnologia da Informao Renato Archer do Ministrio da
Cincia, Tecnologia e Inovao CTI/MCTI
Fundao de Apoio Capacitao em Tecnologia da Informao Facti
Maio de 2015
SLTI OE1:RM2
RESERVADO
Pgina 1 de 140
RESERVADO
Ttulo do documento
Cdigo do Documento
Objetivo Especfico
Verso
29/05/2015
19/06/2015
30/07/2015
Autor
CTI/Facti
CTI/Facti
CTI/Facti
Metodologia de gesto de riscos de segurana da

informao
RM2
OE1
Data da ltima Modificao 30/07/2015
Controle de Verso do Documento

Modificaes
Verso inicial
Inseridos diagramas BPMN e Templates
Atividades, tarefas e fluxos revisados
Controle de Distribuio
Este documento tem sua distribuio restrita s pessoas diretamente envolvidas
nas atividades desenvolvidas no Desenvolvimento de metodologia e ferramenta
de software pblico de arquitetura aberta para gesto de riscos de segurana da
informao na Administrao Pblica Federal de acordo com o Termo de
Execuo Descentralizada MPOG n 25/2014, o Processo MPOG n
04300.004903/2014-40, o Processo Administrativo CTI n 01241.000189/2014-74
Termo de Dispensa de Licitao CTI n 98/2014, Termo de Contrato de Prestao
de Servios CTI n 250/2014 e que dele precisem saber. Este documento no
pode ser redistribudo. Este documento no pode ser reproduzido em todo ou em
parte. As informaes contidas neste documento somente podero ser divulgadas
a terceiros mediante prvia e expressa autorizao da Secretaria de Logstica e
Tecnologia da Informao do Ministrio do Planejamento, Oramento e Gesto
SLTI/MPOG.
Controle de Distribuio
Data
SLTI OE1:RM2
Nome
Rubrica
RESERVADO
Pgina 2 de 140
RESERVADO
Lista de Figuras
Figura 1. Nveis de atuao para a gesto de riscos. ........................................... 21
Figura 2. Nveis de atuao para a gesto de riscos e elementos da
organizao .................................................................................................................. 23
Figura 3. Processo da MGR-SISP ............................................................................ 26
Figura 4. Subprocesso Estabelecer Contexto......................................................... 42
Figura 5. Atividade Definir os Papis e as Responsabilidades ............................ 43
Figura 6. Template do registro de Papis, descries e Responsabilidades .... 45
Figura 7. Template do registro de Profissionais e Papis..................................... 45
Figura 8. Atividade Definir os Objetivos, Escopo e as Restries da GRSI ...... 47
Figura 9. Template para o registro de objetivos, escopo, premissas e restries
........................................................................................................................................ 49
Figura 10. Atividade Realizar Pr-anlise da organizao ................................... 52
Figura 11. Modelo de questionrio de pr-anlise da organizao..................... 54
Figura 12. Modelo de apresentao de resultados da pr-anlise da
organizao .................................................................................................................. 54
Figura 13. Atividade Realizar Pr-anlise das unidades da organizao .......... 58
Figura 14. Formulrio com os resultados da pr-anlise de unidades da
organizao .................................................................................................................. 60
Figura 15. Exemplo do Formulrio ............................................................................ 60
Figura 16. Atividade Definir Critrios ........................................................................ 61
Figura 17. Formulrio para a parametrizao da avaliao de consequncias 67
Figura 18. Formulrio para a parametrizao da avaliao de probabilidades 68
Figura 19. Formulrio para a parametrizao de critrio de tratamento e de
aceitao de riscos ...................................................................................................... 68
Figura 20. Subprocesso Identificar Riscos .............................................................. 69
Figura 21. Atividade Identificar Ativos ...................................................................... 72
Figura 22. Template do Mapa de Riscos - Ativos................................................... 75
Figura 23. Exemplo de Mapa de Riscos - Ativos .................................................... 75
Figura 24. Atividade Identificar Ameaas ................................................................ 77
Figura 25. Template do Mapa de Riscos - Ativos, Ameaas ................................ 79
Figura 26. Exemplo de Mapa de Riscos - Ativos, Ameaas ................................. 79
Figura 27. Atividade Identificar Controles ................................................................ 81
Figura 28. Template do Mapa de Riscos - Ativos, Ameaas e Controles .......... 83
Figura 29. Exemplo de Mapa de Riscos - Ativos, Ameaas e Controles ........... 84
SLTI OE1:RM2
RESERVADO
Pgina 3 de 140
RESERVADO
Figura 30. Atividade Identificar Vulnerabilidades ................................................... 85

Figura 31. Template do Mapa de Riscos Ativos, Ameaas, Controles e
Vulnerabilidades........................................................................................................... 88
Figura 32. Exemplo de Mapa de Riscos Ativos, Ameaas, Controles e
Vulnerabilidades........................................................................................................... 89
Figura 33. Subprocesso Estimar Riscos .................................................................. 90
Figura 34. Atividade Identificar e Avaliar consequncias ...................................... 95
Figura 35. Template do Mapa de Riscos Ativos, Ameaas e Consequncias 97
Figura 36. Exemplo de Mapa de Riscos Ativos, Ameaas e Consequncias 98
Figura 37. Atividade Avaliar Probabilidades .......................................................... 101
Figura 38. Template do Mapa de Riscos Ativos, Ameaas, Consequncias e
Probabilidades ............................................................................................................ 103
Figura 39. Exemplo de Mapa de Riscos Ativos, Ameaas, Consequncias e
Probabilidades ............................................................................................................ 103
Figura 40. Atividade Estimar Nvel de Risco ......................................................... 105
Figura 41. Template do Mapa de Riscos Ativos, Ameaas, Consequncias,
Probabilidades e Riscos ........................................................................................... 107
Figura 42. Exemplo de Mapa de Riscos Ativos, Ameaas, Consequncias,
Probabilidades e Riscos ........................................................................................... 107
Figura 43. Subprocesso Avaliar Riscos ................................................................. 108
Figura 44. Atividade Classificar Riscos .................................................................. 110
Riscos Ordenados e Classificados ......................................................................... 113
Riscos Ordenados e Classificados ......................................................................... 113
Figura 47. Subprocesso Tratar Riscos ................................................................... 115
Figura 48. Atividade Estimar Recursos .................................................................. 118
Figura 49. Template do Mapa de Riscos Ativos, Ameaas, Riscos Ordenados,
Controles e Estimativas para tratamento ............................................................... 121
Figura 50. Exemplo de Mapa de Riscos Ativos, Ameaas, Riscos Ordenados,
Controles e Estimativas para tratamento ............................................................... 122
Figura 51. Atividade decidir sobre alternativas de resposta aos riscos ............ 123
Figura 52. Template do Mapa de Riscos Ativos, Ameaas, Riscos, Controles
e Informaes de Tratamento .................................................................................. 126
Figura 53. Exemplo de Mapa de Riscos Ativos, Ameaas, Riscos, Controles e
Informaes de Tratamento ..................................................................................... 127
Figura 54. Atividade Implementar Respostas aos Riscos................................... 128
SLTI OE1:RM2
RESERVADO
Pgina 4 de 140
RESERVADO
Figura 55. Template do PTR - Plano de Tratamento de Riscos ........................ 132

Figura 56. Exemplo de PTR - Plano de Tratamento de Riscos ......................... 132
Figura 57. Subprocesso Monitorar Riscos............................................................. 135
Figura 58. Subprocesso Monitorar Riscos ............................................................. 137
SLTI OE1:RM2
RESERVADO
Pgina 5 de 140
RESERVADO
Sumrio
1
Apresentao do documento .............................................................................. 8
Introduo ......................................................................................................... 9
Termos e definies .......................................................................................... 11
Normas e regulamentaes relacionadas .......................................................... 14
MGR-SISP: Escopo de aplicao e principais caractersticas ............................... 17
Forma de estruturao e de representao ....................................................... 24
Viso geral da metodologia .............................................................................. 25

7.1 Subprocesso Estabelecer Contexto (EC) ................................................................. 27
7.1.1 Atividade definir os papis e as responsabilidades ........................................... 27
7.1.2 Atividade definir os objetivos, o escopo e as restries da GRSI ...................... 27
7.1.3 Atividade realizar pr-anlise da organizao................................................... 28
7.1.4 Atividade realizar pr-anlise de unidades da organizao ............................. 29
7.1.5 Atividade definir critrios ................................................................................... 30
7.2 Subprocesso Identificar Riscos (IR) ........................................................................ 31
7.2.1 Atividade identificar ativos ................................................................................. 32
7.2.2 Atividade identificar ameaas ............................................................................. 32
7.2.3 Atividade identificar controles ............................................................................ 33
7.2.4 Atividade identificar vulnerabilidades ............................................................... 33
7.3 Subprocesso Estimar Riscos (ER) ........................................................................... 34
7.3.1 Atividade avaliar consequncias ......................................................................... 34
7.3.2 Atividade avaliar probabilidades ........................................................................ 35
7.3.3 Atividade estimar nvel de risco.......................................................................... 35
7.4 Subprocesso Avaliar Riscos (AR) ............................................................................ 35
7.4.1 Atividade classificar os riscos.............................................................................. 36
7.5 Subprocesso Tratar Riscos (TR) ............................................................................. 36
7.5.1 Atividade estimar custos e prazos ...................................................................... 37
7.5.2 Atividade decidir sobre alternativas de resposta ao risco ................................ 37
7.5.3 Atividade implementar a resposta aos riscos .................................................... 38
7.6 Subprocesso Comunicar Riscos (CR) ...................................................................... 38
7.6.1 Atividade mapear e estabelecer comunicaes com as partes interessadas... 38
7.6.2 Atividade compartilhar com os tomadores de deciso informaes, resultados
e sadas de todas as atividades ........................................................................................ 38
7.6.3 Atividade Avaliar e validar informaes estratgicas. ...................................... 39
7.7 Subprocesso Monitorar Riscos (MR) ...................................................................... 39
7.7.1 Atividade monitorar a implementao do tratamento de risco ....................... 39
SLTI OE1:RM2
RESERVADO
Pgina 6 de 140
RESERVADO
7.7.2
7.7.3
Atividade monitorar os riscos. ............................................................................ 39

Atividade monitorar alteraes que impactam no resultado da anlise de risco
40
Detalhamento da metodologia ......................................................................... 41

8.1 Subprocesso estabelecer contexto (EC) ................................................................. 41
8.1.1 Atividade 1. Definir os papis e as responsabilidades ...................................... 42
8.1.2 Atividade 2. Definir os objetivos, o escopo e as restries da GRSI ................. 45
8.1.3 Atividade 3. Realizar pr-anlise da organizao .............................................. 50
8.1.4 Atividade 4. Realizar pr-anlise de unidades da organizao ........................ 54
8.1.5 Atividade 5. Definir critrios ............................................................................... 60
8.2 Subprocesso Identificar Riscos (IR) ........................................................................ 69
8.2.1 Atividade 1. Identificar ativos ............................................................................. 70
8.2.2 Atividade 2. Identificar ameaas ......................................................................... 75
8.2.3 Atividade 3. Identificar controles........................................................................ 80
8.2.4 Atividade 4. Identificar vulnerabilidades ........................................................... 84
8.3 Subprocesso Estimar Riscos (ER) ........................................................................... 89
8.3.1 Atividade 1. Identificar e avaliar consequncias ............................................... 90
8.3.2 Atividade 2. Avaliar probabilidades.................................................................... 98
8.3.3 Atividade 3. Estimar nvel de risco ................................................................... 104
8.4 Subprocesso Avaliar Riscos (AR) .......................................................................... 108
8.4.1 Atividade 1. Classificar os riscos ....................................................................... 109
8.5 Subprocesso Tratar Riscos (TR) ........................................................................... 114
8.5.1 Atividade 1. Estimar recursos para o tratamento de riscos............................ 116
8.5.2 Atividade 2. Decidir sobre alternativas de reposta aos riscos ........................ 122
8.5.3 Atividade 3. Implementar a reposta aos riscos ................................................ 127
8.6 Subprocesso Comunicar Riscos (CR) .................................................................... 133
8.7 Subprocesso Monitorar Riscos (MR) .................................................................... 136
Consideraes Finais....................................................................................... 138
10
Referncias .................................................................................................. 139
SLTI OE1:RM2
RESERVADO
Pgina 7 de 140
RESERVADO
1 Apresentao do documento
Este documento situa-se no contexto do projeto Desenvolvimento de
metodologia e ferramenta de software pblico de arquitetura aberta para gesto
de riscos de segurana da informao na Administrao Pblica Federal
(APF). Este projeto iniciativa da SLTI/MP e encontra-se em execuo no CTI
Centro de Tecnologia da Informao Renato Archer/MCTI, por intermdio da
fundao de apoio, Facti. O documento refere-se Meta Fsica RM2,
componente do Objetivo Especfico OE1: Elaborao da Metodologia Pblica
de Gesto de Riscos de Segurana da Informao.
O documento apresenta a Metodologia de Gesto de Riscos de
Segurana da Informao do SISP (MGR-SISP). A metodologia visa a
padronizar e sistematizar a gesto de riscos de segurana da informao na
APF. Almeja-se assim atingir nveis satisfatrios de segurana da informao, e
ao mesmo tempo racionalizar os investimentos, pela priorizao de aes e por
evitar redundncias na gesto de riscos.
A MGR-SISP compatvel com iniciativas anteriores voltadas segurana
da informao na APF, como a Norma Complementar n 04/IN01/DSIC/GSIPR,
que estabelece diretrizes para o processo de Gesto de Riscos de Segurana
da Informao e Comunicaes.
Os rgos da APF apresentam grande variedade no tocante s
caractersticas, aos requisitos, e ao nvel maturidade em segurana da
informao. Deste modo, a MGR-SISP estabelece atividades de pr-analise,
visando a direcionar a implantao da metodologia em cada organizao
especfica. Busca-se tambm o respaldo de padres bem aceitos, como
ISO/IEC 27005, IT Grundschutz BSI Standard 100-2 e NIST SP 800-39, que
forneceram elementos para a definio da MGR-SISP, descrita neste
documento.
SLTI OE1:RM2
RESERVADO
Pgina 8 de 140
RESERVADO
2 Introduo
Uma abordagem sistemtica para a gesto da segurana da informao
importante para que as organizaes identifiquem possveis ameaas ao seu
negcio e estabeleam medidas de proteo eficazes. A misso da
organizao e os seus objetivos principais devem ser a base para o
estabelecimento de prticas para a promoo da segurana da informao.
Um elemento importante nos esforos voltados segurana da informao
abordar os riscos de maneira efetiva e no tempo certo. A gesto de riscos
deve integrar o sistema de gesto de segurana da informao, e deve ser
alinhada s prticas gerais de gesto de riscos da organizao.
A gesto de riscos de segurana da informao deve ser um processo
contnuo, bem estruturado e sistemtico. O objetivo deste processo de
assegurar uma proteo adequada para os elementos de valor da organizao,
tais como: pessoas; informaes; processos de negcio; e solues de
tecnologia da informao e comunicao. Esta proteo necessria para
evitar prejuzos a esses elementos de valor, que podem ocorrer como
consequncia de violaes de segurana.
Ao longo das atividades do processo de gesto de riscos devem ser
estabelecidos o contexto, o escopo e os objetivos da gesto; devem ser
identificados os riscos existentes, a probabilidade que estes de fato ocorram,
assim como a extenso e gravidade dos efeitos negativos produzidos. Pode-se
deste modo decidir sobre aes preventivas a serem tomadas para reduzir os
riscos para nveis aceitveis. Este processo importante tambm para gerar
informaes que permitam a comunicao e a tomada de decises sobre as
prioridades para a alocao de recursos de segurana da informao: busca-se
racionalizar o uso de recursos, evitando protees redundantes, e privilegiando
a proteo dos recursos vitais.
SLTI OE1:RM2
RESERVADO
Pgina 9 de 140
RESERVADO
Este documento apresenta a primeira verso da Metodologia de Gesto

de Riscos de Segurana da Informao do SISP (MGR-SISP). No contexto
deste documento a Gesto de Riscos de Segurana da Informao referida
pela sigla GRSI, ou em alguns pontos, apenas como Gesto de Riscos. A
aplicao da MGR-SISP em organizaes ser apoiada por uma ferramenta
computacional (a ser desenvolvida), referida como ferramenta de apoio
MGR-SISP, ou em alguns pontos, simplesmente como Ferramenta de Apoio.
O restante deste documento esta organizado do seguinte modo. A Seo 3
apresenta termos e definies fundamentais; a Seo 4 lista as normas e
legislaes relacionadas; a Seo 5 trata do escopo de aplicao e das
principais caractersticas da metodologia; a Seo 6 descreve a forma de
estruturao e de representao das descries das sees seguintes. As
Sees 7 e 8 descrevem a metodologia, primeiro apresentando uma viso
geral, e segundo detalhando os subprocessos, as atividades e as informaes
tratadas. Por fim, a Seo 9 apresenta as consideraes finais e a Seo 10
traz as referncias bibliogrficas.
SLTI OE1:RM2
RESERVADO
Pgina 10 de 140
RESERVADO
3 Termos e definies
Aceitao do risco: Deciso de aceitar risco residual.
Ameaa: Elemento que tem potencial para comprometer ativos atravs da
explorao das vulnerabilidades.
Anlise do risco: Estimar o risco baseado na probabilidade e seu
respectivo impacto.
Ataque: Evento decorrente da explorao de uma vulnerabilidade por uma
ameaa.
Ativo: Qualquer elemento que tenha valor para a organizao.
Confidencialidade: Garantia de que a informao seja legvel somente
para pessoas autorizadas.
Controle: Forma de gerenciar o risco, incluindo polticas, procedimentos,
diretrizes, prticas ou estruturas organizacionais, que podem ser de natureza
administrativa, tcnica, de gesto ou legal. Controle tambm pode ser utilizado
como um sinnimo para proteo ou contramedida.
Criptografia: Mtodos para prover sigilo da informao.
Disponibilidade: Garantia de que os usurios autorizados obtenham
acesso informao sempre que necessrio.
Estimativa
de
risco:
processo
utilizado
para
atribuir
valores
probabilidade e consequncia de um risco.

Identificao do risco: Processo de localizar, listar e caracterizar
elementos de risco.
Impacto: Mudana adversa no nvel obtido dos objetivos de negcio.
SLTI OE1:RM2
RESERVADO
Pgina 11 de 140
RESERVADO
Incidentes de segurana da informao: Evento, ou srie de eventos

indesejados ou inesperados, que tenham uma grande probabilidade de
comprometer as operaes do negcio e ameaar a segurana da informao.
Integridade: Garantia de que a informao no foi alterada de maneira
no autorizada ou desconhecida.
Mapa de Riscos: Informaes relacionadas cada risco, definidas no
decorrer das atividades de cada subprocesso tais como: ativos, ameaas,
controles, vulnerabilidades, consequncias, probabilidades, nveis de risco, etc.
Probabilidade de ocorrncia: Fator do risco baseado na anlise da
probabilidade de que uma dada ameaa seja capaz de explorar uma dada
vulnerabilidade.
Reduo do risco: Aes tomadas para reduzir a probabilidade, as
consequncias negativas, ou ambas associadas a um risco.
Reteno do risco: Aceitao do nus da perda ou do benefcio do ganho
associado a um risco.
Risco: combinao da probabilidade de um evento e de suas
consequncias.
Risco de Segurana da Informao: potencial de que uma ameaa ir
explorar vulnerabilidades de um ativo, ou conjunto de ativos, e deste modo
causar um dano organizao.
Risco residual: Riscos remanescentes aps o tratamento do risco.
Sistema Estruturante: Sistema com suporte de tecnologia da informao
fundamental e imprescindvel para planejamento, coordenao, execuo,
descentralizao, delegao de competncia, controle ou auditoria das aes
do Estado, alm de outras atividades auxiliares, desde que comum a dois ou
mais rgos da Administrao e que necessitem de coordenao central.
SLTI OE1:RM2
RESERVADO
Pgina 12 de 140
RESERVADO
Transferncia do risco: Compartilhamento com outra entidade do nus

da perda ou do benefcio do ganho associado a um risco.
Vulnerabilidade: Falha ou descuido que quando explorada por uma
ameaa, resulta na violao da segurana.
SLTI OE1:RM2
RESERVADO
Pgina 13 de 140
RESERVADO
4 Normas e regulamentaes relacionadas

Norma Complementar n 02/IN01/DSIC/GSIPR, Metodologia de Gesto de
Segurana da Informao e Comunicaes. 2008.
Norma Complementar n 03/IN01/DSIC/GSIPR, Diretrizes para a
Elaborao de Poltica de Segurana da Informao e Comunicaes nos
rgos e Entidades da Administrao Pblica Federal. 2009.
Norma Complementar n 04/IN01/DSIC/GSIPR, e seu anexo, (Reviso 01).
Diretrizes para o processo de Gesto de Riscos de Segurana da Informao e
Comunicaes - GRSIC nos rgos e entidades da Administrao Pblica
Federal. 2013.
Norma Complementar n 05/IN01/DSIC/GSIPR, e seu anexo, Disciplina a
criao de Equipes de Tratamento e Respostas a Incidentes em Redes
Computacionais - ETIR nos rgos e entidades da Administrao Pblica
Federal. 2009
Norma Complementar n 06/IN01/DSIC/GSIPR, Estabelece Diretrizes para
Gesto de Continuidade de Negcios, nos aspectos relacionados Segurana
da Informao e Comunicaes, nos rgos e entidades da Administrao
Pblica Federal, direta e indireta APF. 2009
Norma Complementar n 07/IN01/DSIC/GSIPR, (Reviso 01) Estabelece
as Diretrizes para Implementao de Controles de Acesso Relativos
Segurana da Informao e Comunicaes, nos rgos e entidades da
Administrao Pblica Federal (APF), direta e indireta. 2014.
Norma Complementar n 08/IN01/DSIC/GSIPR, Estabelece as Diretrizes
para Gerenciamento de Incidentes em Redes Computacionais nos rgos e
entidades da Administrao Pblica Federal.
Norma Complementar n 09/IN01/DSIC/GSIPR, (Reviso 02) Estabelece
orientaes especficas para o uso de recursos criptogrficos em Segurana da
Informao e Comunicaes, nos rgos ou entidades da Administrao
Pblica Federal (APF), direta e indireta. 2014.
Norma Complementar n 10/IN01/DSIC/GSIPR, Estabelece diretrizes para
o processo de Inventrio e Mapeamento de Ativos de Informao, para apoiar a
Segurana da Informao e Comunicaes (SIC), dos rgos e entidades da
Administrao Pblica Federal, direta e indireta APF. 2012.
SLTI OE1:RM2
RESERVADO
Pgina 14 de 140
RESERVADO

avaliao de conformidade nos aspectos relativos Segurana da Informao
e Comunicaes (SIC) nos rgos ou entidades da Administrao Pblica
Federal, direta e indireta APF. 2012.
Norma Complementar n 12/IN01/DSIC/GSIPR, Estabelece diretrizes e
orientaes bsicas para o uso de dispositivos mveis nos aspectos referentes
Segurana da Informao e Comunicaes (SIC) nos rgos e entidades da
Administrao Pblica Federal (APF), direta e indireta. 2012.
a Gesto de Mudanas nos aspectos relativos Segurana da Informao e
Comunicaes (SIC) nos rgos e entidades da Administrao Pblica Federal,
direta e indireta (APF). 2012.
a utilizao de tecnologias de Computao em Nuvem, nos aspectos
relacionados Segurana da Informao e Comunicaes (SIC), nos rgos e
entidades da Administrao Pblica Federal (APF), direta e indireta. 2012.
Norma Complementar n 15/IN01/DSIC/GSIPR, Estabelece diretrizes de
Segurana da Informao e Comunicaes para o uso de redes sociais, nos
rgos e entidades da Administrao Pblica Federal (APF), direta e indireta.
2012.
Norma Complementar n 17/IN01/DSCI/GSIPR, Estabelece Diretrizes nos
contextos de atuao e adequaes para Profissionais da rea de Segurana
da Informao e Comunicaes (SIC) nos rgos e Entidades da
Administrao Pblica Federal (APF). 2013.
para as Atividades de Ensino em Segurana da Informao e Comunicaes
(SIC) nos rgos e Entidades da Administrao Pblica Federal (APF). 2013.
Norma Complementar n 19/IN01/DSIC/GSIPR, Estabelece Padres
Mnimos de Segurana da Informao e Comunicaes para os Sistemas
Estruturantes da Administrao Pblica Federal (APF), direta e indireta. 2014.
Norma Complementar n 20/IN01/DSIC/GSIPR, (Reviso 1) Estabelece as
Diretrizes de Segurana da Informao e Comunicaes para Instituio do
Processo de Tratamento da Informao nos rgos e entidades da
Administrao Pblica Federal (APF), direta e indireta.
SLTI OE1:RM2
RESERVADO
Pgina 15 de 140
RESERVADO

para o Registro de Eventos, Coleta e Preservao de Evidncias de Incidentes
de Segurana em Redes nos rgos e entidades da Administrao Pblica
Federal, direta e indireta.
Instruo Normativa GSI N 1, de 13 de junho de 2008. Disciplina a Gesto
de Segurana da Informao e Comunicaes na Administrao Pblica
Federal, direta e indireta, e d outras providncias.
Instruo Normativa GSI N 2, de 5 de fevereiro de 2013. Dispe sobre o
Credenciamento de segurana para o tratamento de informao classificada,
em qualquer grau de sigilo, no mbito do Poder Executivo Federal.
Instruo Normativa GSI N 3, de 6 de maro de 2013. Dispe sobre os
parmetros e padres mnimos dos recursos criptogrficos baseados em
algoritmos de Estado para criptografia da informao classificada no mbito do
Poder Executivo Federal.
Instruo Normativa SLTI/MP N 4, de 11 de setembro de 2014. Dispe
sobre o processo de contratao de Solues de Tecnologia da Informao
pelos rgos integrantes do Sistema de Administrao dos Recursos de
Tecnologia da Informao SISP do Poder Executivo Federal.
Decreto N 8.135, de 4 de novembro de 2013. Dispe sobre as
comunicaes de dados da administrao pblica federal direta, autrquica e
fundacional, e sobre a dispensa de licitao nas contrataes que possam
comprometer a segurana nacional.
Portaria Interministerial MP/MC/MD N 141, de 2 de maio de 2014. Dispe
que as comunicaes de dados da Administrao Pblica federal direta,
autrquica e fundacional devero ser realizadas por redes de
telecomunicaes e servios de tecnologia da informao fornecidos por
rgos ou entidades da Administrao Pblica Federal, incluindo empresas
pblicas e sociedades de economia mista da Unio e suas subsidirias,
observando o disposto nesta Portaria.
Guia de referncia para a Segurana das Infraestruturas Crticas da
Informao. Verso 01 Nov./2010.
Portaria N 14 CDN de 11 de maio de 2015. A Estratgia de Segurana
da Informao e Comunicaes e de Segurana Ciberntica da Administrao
Pblica Federal.
SLTI OE1:RM2
RESERVADO
Pgina 16 de 140
RESERVADO
5 MGR-SISP: Escopo de aplicao e principais caractersticas
Esta seo apresenta uma viso geral da Metodologia de Gesto de

Riscos de Segurana da Informao do SISP (MGR-SISP). apresentado o
escopo de aplicao da metodologia e destacada integrao desta iniciativa
com outras voltadas segurana da informao na APF. So descritos
aspectos organizacionais importantes para a implementao da metodologia,
assim como os trs nveis de atuao para a gesto de riscos e proteo:
organizao; processos de negcio; e ativos tecnolgicos.
A MGR-SISP voltada gesto de riscos de segurana da informao
com nfase na fase de operao. Isto , os alvos so rgos da APF que
possuem infraestrutura TIC j estabelecida e que esto em funcionamento.
No tratada diretamente a gesto de riscos no desenvolvimento de solues
TIC, embora isto seja possvel, por meio de extenses da metodologia.
A
MGR-SISP
compatvel
com
Norma
Complementar
04/IN01/DSIC/GSIPR, que estabelece diretrizes para o processo de Gesto de

Riscos de Segurana da Informao e Comunicaes, porm h um maior
detalhamento de processos, atividades e tcnicas a serem utilizados. Alm
disto, a existncia de uma ferramenta de apoio aplicao da metodologia
torna explcitos detalhes de como realizar as atividades de gesto, algo alm
de indicar o que deve ser realizado. Isto contribui para tornar efetiva a adoo
e a utilizao da metodologia.
A metodologia visa a ser uma plataforma integradora de iniciativas do
governo de aprimorar a segurana da informao na APF. O alvo contemplar
os aspectos de segurana, conceitos e prticas, tratados em Normas
Complementares (NC) e em Instrues normativas (IN) que sejam relacionadas
gesto de riscos de segurana da informao. Por exemplo, a metodologia
deve destacar a importncia do estabelecimento de: uma Poltica de
Segurana da Informao e Comunicaes (Norma Complementar n
SLTI OE1:RM2
RESERVADO
Pgina 17 de 140
RESERVADO
03/IN01/DSIC/GSIPR); direcionar o gestor de riscos a implementar de

Controles de Acesso (Norma Complementar n 07/IN01/DSIC/GSIPR); e
enfatizar que se respeitem diretrizes para o processo de Inventrio e
Mapeamento
de
Ativos
de
Informao
(Norma
Complementar
10/IN01/DSIC/GSIPR).
Outro ponto importante que a MGR-SISP pode sistematizar e padronizar
a gesto de riscos na APF, destacando boas prticas e o reuso de solues.
As medidas de segurana previstas contra as ameaas identificadas
(chamadas de protees, ou controles) so baseadas em padres bem aceitos
(como ISO/IEC 27005, IT Grundschutz BSI Standard 100-2 e NIST SP 800-39)
e permitem que se atinjam nveis satisfatrios de segurana da informao, e
ao mesmo tempo se racionalizem os investimentos, pela priorizao de aes
e por evitar redundncias.
Tendo como finalidade apoiar organizaes da APF, cujas naturezas,
caractersticas e objetivos apresentam variaes, almeja-se que a metodologia
seja adaptvel e customizvel. Em particular, busca-se oferecer apoio eficaz
para a gesto de riscos, independentemente do nvel de maturidade em
segurana da informao em que a organizao se encontra (em termos de
cultura e de prticas de segurana adotadas e institucionalizadas), e do nvel
de segurana requerido pela organizao (associado criticidade dos ativos de
informao da organizao).
Alguns requisitos mnimos, em termos de estrutura organizacional para a
segurana da informao, so esperados para a implementao da gesto de
riscos. Prev-se a definio de papis e o envolvimento de profissionais com
os seguintes perfis:
Representantes da Alta Administrao da organizao, que devem

aprovar pontos importantes relativos gesto de riscos e para prover os
recursos necessrios;
SLTI OE1:RM2
RESERVADO
Pgina 18 de 140
RESERVADO
Responsveis pela gesto de segurana da informao, que executaro

as atividades de gesto de riscos e coordenaro esforos para identificar e
estimar riscos, bem como propor melhorias necessrias para mitigar
riscos, alm de comunicar os resultados de anlises a todos os
interessados;
Responsveis por avaliar as informaes produzidas pela gesto de

riscos, acompanhar a realizao das melhorias necessrias, e zelar pela
fiel utilizao da metodologia;
Responsveis pelas reas da organizao nas quais a metodologia de

gesto de riscos ser implementada, que tem o papel de coletar as
informaes necessrias identificao e a estimao de riscos, e realizar
melhorias necessrias quando as anlises indicarem esta necessidade.
desejvel tambm que a organizao realize anlises internas, voltadas

a estabelecer as condies iniciais apropriadas para a implementao da
metodologia de gesto de riscos. Isto envolve, por exemplo:
Definir o propsito dos investimentos em segurana da informao. O

propsito deve estar associado misso e aos objetivos da organizao,
deve ser
documentado e aprovado por
Administrao
da
organizao.
representantes da
Tipicamente,
este
Alta
documento
denominado Poltica de Segurana da Informao da organizao [Norma

Complementar n 03/IN01/DSIC/GSIPR].
Para a gesto de riscos ser necessrio identificar os setores da

organizao (divises, departamentos, projetos, etc.) que tratam com
atividades e informaes que envolvem requisitos de segurana, isto ,
atividades e informaes para as quais importante que haja
disponibilidade; integridade; e confidencialidade. Para facilitar esta tarefa,
a organizao deve ter mapeados os seus processos de negcio e
informaes antes de implantar a MGR-SISP.
Identificar profissionais com os perfis adequados aos papis necessrios

implantao da gesto de riscos (citados acima). Importante destacar que
SLTI OE1:RM2
RESERVADO
Pgina 19 de 140
RESERVADO
a metodologia/ferramenta apoia os profissionais na identificao de

eventos adversos que podem ocorrer e causar danos a ativos, a pessoas,
ou organizao. Tambm auxilia na identificao de medidas de
proteo, alternativas para evitar esses eventos, ou reduzir o impacto
destes. Entretanto, a metodologia/ferramenta no substitui a expertise
humana, necessria para decidir sobre alternativas de tratamento e para
adaptar e implementar as medidas de segurana.
A gesto de riscos pode ocorrer em diferentes nveis de detalhamento,

abordando medidas de proteo mais gerais, aplicveis organizao como
um todo, ou a setores desta. Cada setor por sua vez pode ser decomposto em
processos de negcio e informaes, permitindo estabelecer protees mais
especficas, voltadas a estes processos e informaes. Caso necessrio, cada
processo de negcio pode ser decomposto nos ativos que o apoiam como:
equipamentos de hardware, redes, locais fsicos e software. Neste nvel mais
detalhado, as medidas de proteo so especficas para cada elemento (cada
componente de software, hardware, etc).
O conceito acima ilustrado na Figura 1 que mostra os trs nveis para a
gesto de riscos e para a adoo de medidas de proteo: gesto de aspectos
gerais da segurana de informao (1 Nvel); gesto de segurana da
informao voltada a processos de negcio e informaes especficas (2
Nvel); e gesto de segurana da informao para tratar cada elemento
tecnolgico da organizao (3 Nvel).
SLTI OE1:RM2
RESERVADO
Pgina 20 de 140
RESERVADO
1o Nvel
2o Nvel
Organizao
Processos de
Negcio
Ativos de
tecnologia
3o Nvel
Figura 1. Nveis de atuao para a gesto de riscos.

O conceito ilustrado na Figura 1 pode ser compreendido mais
concretamente a partir da anlise da Tabela 1. Esta tabela exemplifica, para
cada nvel de atuao (organizao, processos de negcio e ativos de
tecnologia), ameaas, vulnerabilidades associadas s ameaas, e controles
que podem aumentar o nvel de proteo dos ativos s ameaas.
SLTI OE1:RM2
RESERVADO
Pgina 21 de 140
RESERVADO
Nveis
Ameaa
Furto de equipamento
Nvel 1 Organizao
Vulnerabilidade
Controle/Proteo
Acesso de no autorizados
Implementar controle de
nas dependncias da
acesso nas dependncias da
organizao
organizao
Furto de documentos nas
Falta de poltica de mesa
Instituir uma poltica de mesa
mesas dos funcionrios
limpa
limpa
Interrupo de
Falta de Nobreak
Implementar um Nobreak
Ataque de negao de
Falta de monitoramento do
Implementar monitoramento
servio em um sistema
trfego de rede
de rede
Vazamento de
Os documentos trafegam em
Implementar criptografia nos
documentos sigilosos nos
texto em claro nos meios
documentos sigilosos
meios eletrnicos
eletrnicos
Falha no servio de
O servidor de Helpdesk tem
Implementar um servidor
HelpDesk
problemas de Hardware
Backup redundante
Tentativa de explorao
Servio de acesso remoto
Atualizao da aplicao de
de acesso ao servidor
vulnervel
acesso remoto
Tentativa de um atacante
Um atacante pode conectar
Implementar controle de
conectar-se na rede local
seu notebook na rede local
acesso lgico na rede local
Tentativa de um atacante
Servio de E-mail
Atualizar o servio de E-mail e
invadir um servidor de E-
desatualizado e sem
aplicar o Hardening no
mail
aplicaes de segurana
servidor
suprimento de energia
de voto eletrnico no dia

da eleio
Nvel 2 Processo de
negcio
Linux
Nvel 3 Ativos
de Tecnologia
(LAN)
Tabela 1. Ameaas, Vulnerabilidades e Controle, por nvel de atuao
SLTI OE1:RM2
RESERVADO
Pgina 22 de 140
RESERVADO
A Figura 2 ilustra a atuao da gesto de segurana nos diversos nveis.

No nvel 1: organizao como um todo, ou unidades da organizao
isoladamente; no nvel 2, no qual processos de negcio e informaes so o
alvo da gesto; e no nvel 3, que trata individualmente de ativos como:
servidores, computadores pessoais, notebooks, dispositivos de rede, servios,
etc.
Organizao
Nvel 1
Unidade 1
Processo de
Negcio 1
Unidade 2
Processo de
Negcio 2
Unidade N
Processo de
Negcio 1
Nvel 2
SERVIDOR UNIX
PC 1
SALA 1
LAN
EMAIL
Nvel 3
Figura 2. Nveis de atuao para a gesto de riscos e elementos da organizao
SLTI OE1:RM2
RESERVADO
Pgina 23 de 140
RESERVADO
6 Forma de estruturao e de representao

Esta seo apresenta a forma de estruturao da metodologia, com a
utilizao do conceito de processos e a notao BPMN.
A MGR-SISP associada a um processo, composto por subprocessos,
que por sua vez so decompostos em atividades e, se necessrio em tarefas.
Os subprocessos definem conjuntos de atividades, estruturadas para que
sejam atingidos os objetivos parciais especficos relacionados gesto de
riscos.
Cada atividade caracterizada pelos seguintes elementos: nome;
descrio; diagrama de fluxo de tarefas; tarefas e respectivos responsveis;
condio para ser realizada; informaes utilizadas; informaes produzidas;
condio para ser finalizada; e templates e exemplos.
Os subprocessos, as atividades e as tarefas so ordenados, ou seja, h
relaes de precedncia, sendo que os resultados produzidos por um
subprocesso ou atividade, so normalmente utilizados para a realizao de
subprocessos ou atividades seguintes.
H tambm situaes que envolvem a repetio de subprocessos ou de
atividades, isto , subprocessos ou atividades so realizadas mais de uma vez,
at que uma condio alvo seja atingida.
O processo, os subprocessos, e as atividades so modelados usando a
notao BPMN (Business Process Modeling Notation), um modelo grfico
amplamente utilizado para a modelagem, anlise, e simulao de processos.
SLTI OE1:RM2
RESERVADO
Pgina 24 de 140
RESERVADO
7 Viso geral da metodologia

Esta seo apresenta a metodologia MGR-SISP de maneira ampla, com
foco nos subprocessos da metodologia e suas atividades principais. A Seo 8
detalha cada atividade nos moldes descritos na Seo 6.
A MGR-SISP composta pelos seguintes subprocessos:
Estabelecer Contexto (EC);
Identificar Riscos (IR);
Estimar Riscos (ER);
Avaliar Riscos (AR);
Tratar Riscos (TR);
Comunicar Riscos (CR) e;
Monitorar Riscos (MR).
A Figura 3 ilustra o processo subjacente MGR-SISP. mostrado fluxo de

execuo dos subprocessos, destacando a execuo sequencial de:
Estabelecer Contexto; Identificar Riscos; Estimar Riscos; e Avaliar Riscos.
Em um primeiro ponto de deciso, depois do subprocesso Avaliar
Riscos, avaliada a necessidade de mais informaes, em termos de
abrangncia e de nvel de detalhe, situao na qual estes subprocessos so
reexecutados. O fluxo segue com o tratamento de riscos e em um segundo
ponto de deciso, caso o tratamento no seja suficiente, ou seja, o risco
residual superior ao aceitvel, ocorre a reexecuo dos subprocessos.
Embora no explicitado na Figura 3, previsto que a execuo de cada
subprocesso seja seguida de uma avaliao dos resultados produzidos. Esta
avaliao pode indicar a necessidade de revisar informaes ou reexecutar
atividades, aspecto detalhado na Seo 8.
SLTI OE1:RM2
RESERVADO
Pgina 25 de 140
RESERVADO
Figura 3. Processo da MGR-SISP
SLTI OE1:RM2
RESERVADO
Pgina 26 de 140
RESERVADO
7.1 Subprocesso Estabelecer Contexto (EC)

Este subprocesso trata de pontos a serem definidos nas etapas iniciais da
implementao e utilizao da metodologia de gesto de riscos e da
ferramenta em uma organizao. O subprocesso compreende as seguintes
atividades.
7.1.1 Atividade definir os papis e as responsabilidades

Isto envolve estabelecer responsveis pela realizao de atividades
voltadas GRSI. Por exemplo, so identificados os responsveis por definir
objetivos da segurana da informao; pelo gerenciamento das atividades de
gesto de riscos (planejar, iniciar e acompanhar atividades); pela realizao da
identificao e estimao de riscos; e pelo fornecimento das informaes
necessrias a gesto de riscos, por exemplo, sobre os ativos de informao de
cada unidade da organizao.
7.1.2 Atividade definir os objetivos, o escopo e as restries da GRSI

Definir o propsito da GRSI tendo em vista os objetivos estratgicos da
organizao. Tipicamente isto envolve a definio de uma poltica de
segurana da informao [Norma Complementar n 03/IN01/DSIC/GSIPR]. O
contedo da poltica de segurana da informao deve estar voltado a
aspectos importantes, como a misso e os objetivos da organizao. Deve
tambm focar com ateno a atuao da organizao em termos de servios
prestados sociedade e aos cidados.
Exemplos de objetivos para adoo da GRSI:
Garantir que sistemas estruturantes tenham padres mnimos de

Segurana da informao e de Comunicaes SIC [Norma Complementar
n 19/IN01/DSIC/GSPR];
Promover a alta confiabilidade para tratar informao em termos de

confidencialidade, integridade e disponibilidade;
SLTI OE1:RM2
RESERVADO
Pgina 27 de 140
RESERVADO
Garantir uma boa reputao para o pblico em geral;
Preservar o valor do investimento em tecnologia, informao, processos e

conhecimento;
Proteger o valor das informaes mais importantes;
Proteger a qualidade da informao utilizada para decises importantes;
Garantir a satisfao de requisitos legais e de regulao;
Reduzir o custo de incidentes de segurana;
Garantir a continuidade do trabalho.
necessrio explicitar as premissas e restries que podem afetar o

estabelecimento da GRSI, tais como: regulamentaes especficas; restries
financeiras; restries de prazo; restries tcnicas, etc.
7.1.3 Atividade realizar pr-anlise da organizao

Esta atividade visa a obter uma avaliao inicial, no detalhada, da
situao atual em segurana da informao na organizao. Esta avaliao
permite diagnosticar a maturidade da organizao em segurana da
informao e til para direcionar os passos seguintes da gesto de riscos. A
atividade consiste na utilizao de um questionrio que aborda de forma ampla
pontos de segurana da informao, incluindo questes sobre:
Aspectos gerais de segurana (backup, criptografia, proteo contra

malware, treinamentos, etc.);
Infraestrutura (arquivos de dados, salas de servidores, escritrios,

equipamentos mveis, etc.);
Sistemas de TI (servidores, clientes, etc.);
Redes (ambientes de redes, gerenciamento, topologia, VPN, LAN, logs de

eventos, etc.), e;
SLTI OE1:RM2
RESERVADO
Pgina 28 de 140
RESERVADO
Aplicaes (servidores web, bancos de dados, aplicaes web, servios de

e-mail, etc.).
7.1.4 Atividade realizar pr-anlise de unidades da organizao

necessrio definir o escopo da GRSI, que pode ser aplicada na
organizao como um todo, ou em partes (unidades ou setores) especficas.
Tipicamente as organizaes podem ser decompostas em: departamentos,
sees, ou projetos.
preciso decidir quais dessas unidades (departamentos, sees, ou
projetos) devem estar no escopo da gesto de riscos e quais ficam fora do
escopo. Alm disso, algumas unidades podem ser mais relevantes tendo em
vista a misso e os objetivos mais importantes da organizao. Estas unidades
devem ser priorizadas na realizao da anlise de riscos e na implementao
de aprimoramentos de segurana.
Esta pr-anlise foca cada unidade separadamente e visa a avaliar
processos de negcio, atividades, e informaes tratadas na unidade. Por meio
de um questionrio, responsveis pelas unidades so guiados a responder
sobre o nvel de criticidade (em temos de requisitos de disponibilidade;
integridade; e confidencialidade) das operaes da unidade, tendo em vista os
objetivos principais da organizao.
De modo geral o nvel de criticidade maior quando a unidade da
organizao
possui
processos
de
negcio,
atividades
informaes
associadas aos seguintes aspectos:
Sistema Estruturante;
Informaes pessoais;
Informaes classificadas (Lei Federal No 12527, 2011);
Obrigaes legais ou regulatrias;
Interesses econmicos e comerciais;
SLTI OE1:RM2
RESERVADO
Pgina 29 de 140
RESERVADO
Atividades que podem afetar a ordem pblica;
Polticas e estratgias de negcios e de operao;
Contratos com clientes e fornecedores;
Esta anlise estabelece em nvel macro (alto nvel) os requisitos de

segurana de cada setor da organizao.
Como resultado tem-se, para cada unidade, uma relao de processos de
negcio, atividades e informaes, associados aos respectivos nveis de
criticidade.
7.1.5 Atividade definir critrios

Trata da definio dos critrios bsicos a serem considerados para a
gesto de riscos. Isto inclui a definio de critrios e/ou tcnicas a serem
utilizados para anlise de riscos a ser realizada, bem como para a tomada de
decises.
Pontos a serem definidos:
Critrio para a avaliao de riscos e de impactos. Envolve estabelecer

como sero avaliados riscos e impactos para os ativos a serem tratados na
etapa de anlise de riscos. Essencialmente, questes chave so definidas
para direcionar a avaliao de riscos e de impactos. So tambm
configuradas tabelas de ponderao (do tipo probabilidade e impacto) a
serem aplicadas para as anlises semiquantitativas de risco dos ativos.
Por meio de questes sobre os requisitos de segurana do ativo em
anlise, o critrio de impacto deve guiar o gestor de riscos na avaliao de
o quo crtico o ativo, isto , qual o impacto para a organizao da
perda de segurana do ativo. A avaliao envolve tambm estabelecer o
quanto o ativo est exposto a riscos, em termos de probabilidades
estimadas de perda de segurana. Esta anlise dever ser feita (na etapa
de anlise de riscos) por meio de tabelas de ponderao, que consideram
SLTI OE1:RM2
RESERVADO
Pgina 30 de 140
RESERVADO
de forma conjunta os fatores descritos (tabelas do tipo probabilidade e

impacto).
Critrio para a avaliao e a aceitao de riscos. Consiste em definir regras

sobre o tratamento de riscos a ser realizado, dependendo dos valores de
risco apurados na etapa de estimativa de riscos. A organizao deve definir
abaixo de quais nveis os riscos podem ser aceitos sem tratamento (nvel
de tolerncia a riscos) e para quais nveis os riscos devem ser tratados,
transferidos, ou evitados.
7.2 Subprocesso Identificar Riscos (IR)

Como definido na Seo 3, entende-se um Risco de Segurana da
Informao como o potencial de que uma ameaa ir explorar vulnerabilidades
de um ativo, ou conjunto de ativos, e deste modo causar um dano
organizao. O conceito de Risco de Segurana da Informao referido
apenas como Risco, ou ainda como Cenrio de Incidente.
Este subprocesso trata da identificao de riscos na organizao, alm da
descrio dos riscos e das consequncias adversas resultantes. Busca-se
compreender possveis ameaas e vulnerabilidades existentes, alm de avaliar
a extenso e a adequao das protees utilizadas (controles). Esta etapa
direcionada pelos resultados da etapa anterior (Estabelecer Contexto), a saber:
propsito, premissas e escopo da GRSI; responsveis e papis; resultados das
pr-anlises; critrios para a avaliao de riscos e de impactos; e critrios para
a aceitao de riscos.
A identificao de riscos pode tratar todos as unidades da organizao
(departamentos, sees, ou projetos) ao mesmo tempo, com a execuo das
atividades
deste
subprocesso
sendo
realizadas
simultaneamente
por
responsveis em cada unidade. De outro modo, pode ser feita uma priorizao,
focando os esforos e recursos primeiro em setores mais crticos, e depois, nos
sucessivamente menos crticos. Importante destacar que existem ameaas e
SLTI OE1:RM2
RESERVADO
Pgina 31 de 140
RESERVADO
vulnerabilidades que impactam a organizao como um todo. Tratar essas

ameaas com protees adequadas tambm deve ser uma prioridade.
As atividades deste subprocesso e do subprocesso seguinte (Estimar
Riscos) geram informaes que so consolidadas no Mapa de Riscos. Este
mapa agrupa as informaes sobre riscos geradas de forma incremental em
cada atividade. A identificao de riscos realizada por meio das seguintes
atividades:
7.2.1 Atividade identificar ativos

Ativo tudo que tem valor para a organizao e que deve estar no escopo
da gesto de riscos. De modo geral, pode-se dizer que ativos primrios so:
processos de negcio; atividades; e informaes. Os ativos de suporte podem
incluir, por exemplo: Hardware; Software; Redes de Comunicao; Locais
Fsicos; Pessoas; e a Organizao como um todo.
Sugere-se uma abordagem top-down para a anlise e cadastro dos
ativos. Inicialmente devem ser cadastrados os processos de negcio; as
atividades; e as informaes. Isto deve ser realizado para cada unidade da
organizao que faa parte do escopo da GRSI.
Depois de cadastrados esses ativos primrios, devem ser cadastrados os
ativos de suporte aos bsicos. Este nvel maior de granularidade e de
detalhamento deve focar primeiro as unidades e processos de negcio
identificados como mais crticos nas pr-anlises realizadas. Cada ativo de
apoio vinculado ao processo de negcio em anlise deve ento ser cadastrado.
7.2.2 Atividade identificar ameaas

Ameaas tem o potencial de causar prejuzo aos ativos da organizao,
podendo ser de origem humana, ou natural, e serem causadas de forma
acidental ou proposital.
SLTI OE1:RM2
RESERVADO
Pgina 32 de 140
RESERVADO
Deve ser realizada a identificao de ameaas para cada ativo identificado

no escopo da gesto de riscos. Em geral um tipo de ativo (hardware, software,
informao, etc.) est sujeito a um subconjunto de ameaas, dentre todas as
ameaas existentes. Alm disso, uma mesma ameaa pode impactar vrios
ativos de certo tipo.
As ameaas que se aplicam ao ativo em anlise devem ser identificadas e
documentadas, para considerao em etapa posterior (Estimao de Riscos).
Como j destacado, uma ameaa existente para um ativo, caracteriza a
presena de um risco.
7.2.3 Atividade identificar controles

Ao se identificar as ameaas que podem existir em relao a um ativo ou
organizao, uma questo importante de como proteger o ativo e a
organizao contra as ameaas. Esta proteo necessria para evitar que
ameaas explorem as vulnerabilidades, causando danos ao ativo e ao seu
contexto.
Para auxiliar na identificao de possveis controles devem ser utilizados
catlogos de controles existentes, associados s ameaas (como os fornecidos
em IT-Grundschutz, ou ISO/IEC 27002).
O resultado desta anlise permite identificar, para cada ameaa e ativo, a
existncia (no estado atual da organizao) de controles para proteger o ativo e
a efetividade destes. Esta informao til para a tomada de decises em
etapas posteriores.
7.2.4 Atividade identificar vulnerabilidades

As vulnerabilidades podem ser exploradas por ameaas, levando a danos
para os ativos, ou para a organizao.
Esta atividade tem o propsito de identificar estas vulnerabilidades, que
podem estar associadas a diferentes reas como: organizao; processos e
SLTI OE1:RM2
RESERVADO
Pgina 33 de 140
RESERVADO
procedimentos; rotinas de gerenciamento; recursos humanos; ambiente fsico;

configurao dos sistemas de informao; hardware; software; equipamentos
de comunicao; ou parceiros externos.
Para auxiliar na identificao de vulnerabilidades devem ser utilizados
catlogos de vulnerabilidades (como os fornecidos em IT-Grundschutz, ou
ISO/IEC 27005).
A definio de vulnerabilidades uma consequncia do mapeamento das
ameaas ao ativo. Quando um ativo apresenta uma ameaa e no h controles
implementados
para
proteger
ativo
desta
ameaa,
tem-se
uma
vulnerabilidade exposta.
7.3 Subprocesso Estimar Riscos (ER)

Este subprocesso trata da estimao dos riscos identificados no
subprocesso anterior (IR).
A estimao de riscos realizada por meio das seguintes atividades.
7.3.1 Atividade avaliar consequncias

Nesta atividade so avaliadas as possveis consequncias de riscos
(ameaas que podem se tornar realidade e provocar danos em ativos). As
consequncias podem ter impacto em ativos, na organizao e em pessoas.
Esta anlise deve ser feita para cada ativo no escopo da GRSI e para cada
ameaa ao ativo. O resultado da anlise deve refletir a extenso do dano
causado pela perda de atributos de segurana (confidencialidade, integridade e
disponibilidade), associados ao ativo caso a ameaa se concretize (ocorra uma
violao de segurana).
Devem ser considerados impactos diretos (exemplo: custo de reposio e
atrasos devido a um equipamento roubado) e os indiretos (exemplo: violao
SLTI OE1:RM2
RESERVADO
Pgina 34 de 140
RESERVADO
de contratos devido aos atrasos, ou divulgao de informaes pessoais

presentes no equipamento roubado).
Como resultado a atividade deve gerar descries de consequncias dos
riscos e estimativas quantitativas da gravidade dessas consequncias.
7.3.2 Atividade avaliar probabilidades

Nesta atividade so avaliadas as probabilidades de riscos (isto , a
probabilidade de que as ameaas que se concretizam e provocam danos em
ativos). Assim como a avaliao de consequncias (atividade anterior), esta
anlise deve ser feita para cada ativo no escopo da GRSI e para cada ameaa
ao ativo.
A avaliao de probabilidade deve refletir o quo frequentemente a
ameaa ocorre e o quo facilmente as vulnerabilidades so exploradas no
ativo.
Como resultado a atividade deve gerar estimativas quantitativas de
probabilidade dos riscos.
7.3.3 Atividade estimar nvel de risco

Nesta atividade estimado o nvel de cada risco. Por meio de uma funo
matemtica obtida uma estimativa do nvel de cada risco em funo das
estimativas de consequncia e de probabilidade. Deste modo esta atividade
gera estimativas quantitativas do nvel de cada risco.
7.4 Subprocesso Avaliar Riscos (AR)

Este subprocesso trata da avaliao dos riscos identificados e estimados
no subprocesso anterior. O Mapa de Riscos utilizado neste subprocesso para
direcionar decises sobre o tratamento de riscos.
SLTI OE1:RM2
RESERVADO
Pgina 35 de 140
RESERVADO
Os resultados obtidos nas atividades do subprocesso Estimar Riscos so

confrontados aos critrios estabelecidos no subprocesso Estabelecer Contexto.
O objetivo identificar os riscos mais expressivos e estabelecer uma estratgia
de resposta a estes. A avaliao de riscos realizada por meio da seguinte
atividade:
7.4.1 Atividade classificar os riscos

Como j descrito, a ltima atividade da Estimativa de Riscos gera um Mapa
de Riscos e informaes relacionadas. Cada item do mapa define: ativo,
ameaa ao ativo, estimativa de consequncia, justificativa para a estimativa de
consequncia, estimativa de probabilidade, e nvel de risco.
Deve-se ento criar uma lista ordenada dos riscos de maior nvel para os
riscos de menor nvel, o que permite distinguir visualmente os riscos mais
relevantes.
Em seguida, devem ser aplicados os critrios de classificao, resultando
na atribuio de um nvel de gravidade qualitativo para cada risco (risco muito
baixo, risco baixo, risco moderado, risco alto, ou risco muito alto).
7.5 Subprocesso Tratar Riscos (TR)

Neste subprocesso todas as anlises realizadas e informaes obtidas so
utilizadas na tomada de deciso sobre como a organizao ir agir em relao
aos riscos. Alm disso, outros fatores podem influenciar nesta deciso, tais
como o custo e o tempo estimados para tratar os riscos.
Como explicitado no fluxo do processo de Gesto de Ricos, trata-se de um
ponto de deciso no qual o Gestor de Riscos deve decidir se as informaes
so suficientes para a tomada de decises. Caso sejam necessrias
informaes mais abrangentes, mais detalhadas, ou se forem identificadas
inconsistncias, pode ser necessrio reexecutar alguns subprocessos.
SLTI OE1:RM2
RESERVADO
Pgina 36 de 140
RESERVADO
O tratamento de riscos envolve a tomada de deciso sobre uma ou mais

opes de tratamento para cada risco identificado e estimado: reduo de
riscos; reteno (aceitao) de riscos; transferncia de riscos; ou evitar riscos.
O tratamento de riscos realizado por meio das seguintes atividades.
7.5.1 Atividade estimar custos e prazos

Depois de estabelecida a lista ordenada de riscos, assim como definidas
as classes de risco, podem ser consideradas restries que potencialmente
afetam as decises sobre o tratamento de riscos, entre elas custos e prazos.
Neste sentido, os riscos precisam passar por uma anlise preliminar a fim de
estimar a ordem de grandeza de custos e do prazo para o tratamento dos
riscos.
O resultado desta atividade a associao de uma Estimativa de Custo,
uma Estimativa de Esforo, uma Estimativa de Prazo e de restries, para cada
alternativa de tratamento de risco presente no Mapa de Riscos.
Deste modo a sada desta atividade o Mapa de Riscos atualizado, onde
cada linha apresenta as informaes: ativo; ameaa ao ativo; estimativa de
consequncia; justificativa para a estimativa de consequncia; estimativa de
probabilidade; nvel de risco; e para cada alternativa de tratamento de risco:
estimativa de custo para tratamento; estimativa de esforo; estimativa de prazo
para tratamento; restries.
7.5.2 Atividade decidir sobre alternativas de resposta ao risco

Nesta atividade cada risco relevante do Mapa de Riscos, produzida como
sada do subprocesso anterior (Estimar Riscos), analisado para determinar a
resposta adequada.
Como j destacado, devem ser tratados prioritariamente os riscos maiores,
e alguns riscos menores podem ser retidos, segundo o estabelecido nos
critrios de avaliao de riscos e de aceitao de riscos.
SLTI OE1:RM2
RESERVADO
Pgina 37 de 140
RESERVADO
Esta atividade trata de avaliar cada risco relevante do Mapa de Riscos e

decidir sobre o tratamento (reduzir, reter, transferir, ou evitar).
7.5.3 Atividade implementar a resposta aos riscos

Nesta atividade o Gestor de Riscos deve criar condies para que os
riscos sejam tratados. Para tanto devem ser criados Planos de Tratamento de
Riscos
(PTRs).
Nesta
atividade
importante
considerar
prioridades,
implementando antes respostas aos riscos avaliados como mais crticos.
7.6 Subprocesso Comunicar Riscos (CR)

Este subprocesso trata da comunicao dos riscos entre os envolvidos no
processo de GSRI. Tem por objetivo comunicar o desenvolvimento das
atividades e os resultados alcanados em todas as fases da gesto de riscos.
A comunicao do risco importante uma vez que o tomador de deciso
baseia-se nessas entradas de informaes para um bom entendimento dos
riscos e para decidir quais so as aes a serem tomadas.
As seguintes atividades so executadas neste subprocesso:
7.6.1 Atividade mapear e estabelecer comunicaes com as partes

interessadas
Nesta atividade o Gestor de Riscos faz o mapeamento de todos os
envolvidos na anlise de riscos, estabelece quais as responsabilidades de cada
um, e define pontos relacionados comunicao.
7.6.2 Atividade compartilhar com os tomadores de

informaes, resultados e sadas de todas as atividades
deciso
Para cada sada das atividades, o Gestor de Riscos comunica aos

tomadores de deciso e a outros envolvidos sobre os resultados.
SLTI OE1:RM2
RESERVADO
Pgina 38 de 140
RESERVADO
7.6.3 Atividade Avaliar e validar informaes estratgicas.

Esta atividade tem como objetivo avaliar e validar informaes que
precisam ser realizadas por um Representante da Alta Administrao. Caso
necessrio, as atividades podem ser reexecutadas para a realizao de
correes e de ajustes antes de passar para a prxima atividade.
7.7 Subprocesso Monitorar Riscos (MR)

Este subprocesso tem por objetivo monitorar todas as informaes obtidas
sobre os riscos mapeados no processo de gesto de riscos e acompanhar o
progresso das atividades com o propsito de verificar o desenvolvimento
destas.
As seguintes atividades so executas neste subprocesso:
7.7.1 Atividade monitorar a implementao do tratamento de risco

Nesta atividade o gestor de riscos acompanha os Planos de Tratamento de
Risco PTRs de modo a garantir que eles sejam efetivamente executados.
Caso algum problema ocorra, como por exemplo no respeitar o cronograma
programado de tratamento, cabe ao Gestor de Riscos contatar o responsvel
pelo PTR e atuar para solucionar o problema.
7.7.2 Atividade monitorar os riscos.

Devem ser monitorados todos os riscos que compem o Mapa de Riscos.
Os riscos aceitos (retidos), devem ser avaliados periodicamente para verificar
se h alteraes que justifiquem outro tratamento. No caso de riscos reduzidos,
ou
transferidos,
avaliar
periodicamente
efetividade
dos
controles
implementados pela execuo dos planos de tratamento.
SLTI OE1:RM2
RESERVADO
Pgina 39 de 140
RESERVADO
7.7.3 Atividade monitorar alteraes que impactam no resultado da

anlise de risco
Nesta atividade o Gestor de Riscos monitora qualquer mudana que
impacte na anlise de riscos, ou seja, desde a definio de contexto at os
riscos mapeados.
Deste modo, importante monitorar tudo aquilo que possa impactar na
classificao destes riscos como, por exemplo:
Novos ativos;
Valor dos ativos;
Novas ameaas e vulnerabilidades;
Incidentes de segurana.
Novas leis ou regulamentaes.
Cabe tambm ao Gestor de Riscos, continuamente monitorar, revisar e

aperfeioar o GSRI, visando assegurar que este processo permanea
adequado organizao.
SLTI OE1:RM2
RESERVADO
Pgina 40 de 140
RESERVADO
8 Detalhamento da metodologia
Esta
seo
detalha
metodologia,
fornecendo
informaes
complementares s da Seo 7. So descritos os subprocessos, suas

atividades, tarefas e as informaes envolvidas.
Cada subprocesso descrito resumidamente e mostrado o fluxo de
atividades, por meio de diagramas em notao BPMN. Tem-se ento a
descrio das atividades constituintes do subprocesso.
Para cada atividade fornecida uma descrio, so apresentadas as
tarefas que compem a atividade, os responsveis pela execuo das tarefas,
as informaes necessrias e condio de incio para a atividade, assim como
as informaes produzidas e condio de finalizao. As atividades tambm
so representadas por meio de diagramas em notao BPMN. Templates e
exemplos associados s atividades so apresentados.
8.1 Subprocesso estabelecer contexto (EC)

Descrio do subprocesso: Trata de pontos a serem definidos nas etapas
iniciais da implementao e utilizao da metodologia de gesto de riscos e da
ferramenta de apoio em uma organizao. As atividades do subprocesso so:
Definir os papis e as responsabilidades;
Definir os objetivos, o escopo e as restries da GRSI;
Realizar pr-anlise da organizao;
Realizar pr-anlise de unidades da organizao;
Definir critrios.
A Figura 4 mostra o fluxo do subprocesso.
SLTI OE1:RM2
RESERVADO
Pgina 41 de 140
RESERVADO
Figura 4. Subprocesso Estabelecer Contexto
8.1.1 Atividade 1. Definir os papis e as responsabilidades

Descrio da atividade: envolve estabelecer papis e responsveis pela
realizao de atividades voltadas GRSI. Devem ser identificados os papis
necessrios realizao de todas as atividades da gesto de riscos e devem
ser localizados profissionais que apresentam perfil adequado para assumir
esses papis. So previstos os seguintes papis:
Representantes da Alta Administrao. Responsveis por prover os

recursos
necessrios
gesto
de
riscos;
identificar
papis
responsabilidades; iniciar as atividades de gesto de riscos; aprovar

pontos importantes relativos gesto de riscos, como: objetivo, restries,
e aprimoramentos da MGR-SISP.
Gestores de Riscos. Responsveis por executar as atividades de gesto

de riscos e coordenar esforos para identificar e estimar riscos, bem como
propor melhorias necessrias para mitigar riscos, alm de comunicar os
resultados de anlises a todos os interessados.
SLTI OE1:RM2
RESERVADO
Pgina 42 de 140
RESERVADO
Auditores. Responsveis por avaliar as informaes produzidas pela

gesto de riscos, acompanhar a realizao das melhorias necessrias, e
zelar pela fiel utilizao da metodologia;
Responsveis por Unidades (ou Responsveis Tcnicos). Responsveis

pelas reas da organizao nas quais a metodologia de gesto de riscos
ser implementada, ou que devem prover informaes para a gesto de
riscos. Tm o papel de coletar as informaes necessrias identificao
e a estimao de riscos, e realizar melhorias necessrias quando as
anlises indicarem esta necessidade;
Proprietrios de Ativos. Responsveis por fornecer informaes sobre os

ativos que permitam a anlise de riscos e a tomada de decises sobre
controles a serem implementados.
A Figura 5 mostra o fluxo da atividade.
Figura 5. Atividade Definir os Papis e as Responsabilidades
Tarefas da atividade:
Tarefa 1.1: Identificar a estrutura atual de segurana da informao na

organizao e realizar as adequaes necessrias;
Responsvel: Representante da Alta Administrao.
SLTI OE1:RM2
RESERVADO
Pgina 43 de 140
RESERVADO
Tarefa 1.2: Identificar papis para a gesto de riscos.

A MGR-SISP define um conjunto de papeis e respectivas responsabilidades,
que vm pr-cadastrados na Ferramenta de Apoio. O Representante da Alta
Administrao deve identificar a adequao dos papis e realizar ajustes, se
necessrios.
Tarefa 1.3: Alocar os recursos humanos aos papis identificados.

Devem ser identificados os profissionais que assumiro os papis na GRSI, o
que inclui a identificao de Gestores de Riscos, Responsveis por Unidades
da Organizao e Proprietrios de Ativos.
Um Gestor de Riscos deve ser designado formalmente para a conduo das
prximas atividades da GRSI.
Condio para incio: Deciso para implementar a MGR-SISP tomada.

Informaes necessrias: Informaes sobre profissionais da organizao;
organograma.
Condio para ser finalizada: Papis para gesto de riscos definidos e
respectivos profissionais identificados.
Informaes produzidas: Papis para gesto de riscos e respectivos
profissionais.
Templates da atividade:
O template na Figura 6 ilustra o registro de Papeis, Descries e
Responsabilidades. O template na Figura 7 ilustra a associao de
profissionais especficos para os papeis, e destaca responsabilidades
especficas.
SLTI OE1:RM2
RESERVADO
Pgina 44 de 140
RESERVADO
Papis e Responsabilidades
Papel
Descrio do papel
Descrio das responsabilidades do papel
Papel 1
Descrio do papel 1
Responsabilidades do papel 1
Papel 2
Descrio do papel 2
Responsabilidades do papel 2
...
...
...
Responsvel pela informao:

Data:
Figura 6. Template do registro de Papis, descries e Responsabilidades
Profissionais, Papis e Responsabilidades

Nome do
profissional
Unidade
(Diviso)
Telefone
e-mail
Papel
Responsabilidades
especficas
Nome 1
Unidade 1
Telefone 1
e-mail 1
Papel 1
Responsabilidades
especficas 1
Nome 2
Unidade 2
Telefone 2
e-mail 2
Papel 2
Responsabilidades
especficas 2
...
...
...
...
...
...

Data:
Figura 7. Template do registro de Profissionais e Papis
8.1.2 Atividade 2. Definir os objetivos, o escopo e as restries da GRSI

Descrio da atividade: visa principalmente a definir os objetivos e o escopo
da GRSI tendo em vista os objetivos estratgicos da organizao. Tipicamente
esta informao parte de uma poltica de segurana da informao [Norma
Complementar n 03/IN01/DSIC/GSIPR].
O objetivo da GRSI deve ser voltado a aspectos importantes, como a misso e
os objetivos da organizao, alm de focar a atuao da organizao em
termos de servios prestados sociedade e aos cidados.
Os objetivos e restries devem ser a base para os passos posteriores da
gesto de riscos e para a tomada de decises.
SLTI OE1:RM2
RESERVADO
Pgina 45 de 140
RESERVADO
Exemplos de objetivos para adoo da GRSI:
Garantir que sistemas estruturantes, padres mnimos de Segurana da

informao
Comunicaes
SIC
[Norma
Complementar
19/IN01/DSIC/GSPR];
Promover alta confiabilidade para tratar informao em termos de

confidencialidade, integridade e disponibilidade;
Garantir uma boa reputao para o pblico em geral;
Preservar o valor do investimento em tecnologia, informao, processos e

conhecimento;
Proteger o valor das informaes mais importantes;
Proteger a qualidade da informao utilizada para decises importantes;
Garantir a satisfao de requisitos legais e de regulao;
Reduzir o custo de incidentes de segurana;
Garantir a continuidade do trabalho.
O escopo da GRSI deve ser definido explicitando quais unidades da

organizao (divises, setores, departamentos, etc.) devem ser tratados pela
gesto de riscos. Esta anlise deve focar na natureza das atividades e das
informaes em cada unidade, levando deciso de se h necessidade de
assegurar a segurana da informao nas unidades.
Importante notar mesmo as unidades que no tratam com informaes e
processos crticos tm influncia na segurana da informao, por exemplo s
relacionadas a Recursos Humanos, aspectos Jurdicos, etc.
Devem ser registradas quais as unidades esto no escopo da Gesto de
Riscos e quais esto fora do escopo. Justificativas dessas decises devem ser
documentadas.
Importante salientar que a atividade Realizar a pr-anlise de unidades da
organizao (Atividade 4 deste subprocesso) fornece bases mais slidas para
a definio do escopo. Caso a organizao tenha dificuldade em definir o
SLTI OE1:RM2
RESERVADO
Pgina 46 de 140
RESERVADO
escopo neste ponto, aconselhvel postergar esta definio para aps a

realizao da Atividade 4 deste subprocesso.
necessrio tambm explicitar as premissas e as restries que podem afetar
o estabelecimento da GRSI, tais como: regulamentaes especficas;
restries financeiras; restries de prazo; restries tcnicas, etc.
Esta atividade de responsabilidade da Alta Administrao da organizao.
Membros tcnicos, como um Gestor de Riscos, podem apoiar na realizao da
atividade que neste caso deve ser validada pela Alta Administrao.
Dependendo dos objetivos e da complexidade da organizao, esta atividade
deve considerar tambm o envolvimento de setores, como: segurana
patrimonial; jurdico; recursos humanos; financeiro; e de planejamento.
Figura 8. Atividade Definir os Objetivos, Escopo e as Restries da GRSI
SLTI OE1:RM2
RESERVADO
Pgina 47 de 140
RESERVADO
Tarefa 2.1: Definir os objetivos da GRSI.

Devem ser informados os objetivos genricos (de alto nvel, como os listados
na descrio da atividade) e os objetivos especficos da organizao (tais como
os relacionados aos seguintes pontos: informaes confidenciais; sistemas que
requerem alta disponibilidade; sistemas e informaes cruciais para a tomada
de decises, etc.).
Responsvel: Gestor de Riscos.
Tarefa 2.2: Identificar premissas e restries relativas GRSI.

Devem ser identificados os tipos de restries que se apliquem (tais como:
tcnicas, jurdicas, financeiras, de prazos, etc.) e devem ser descritos em
detalhes as restries e premissas, informando se necessrio valores, como de
prazo, ou de oramento.
Tarefa 2.3: Definir o escopo da GRSI.

Identificar as unidades dentro do escopo e tambm as que esto fora do
escopo. Devem ser identificados tambm os responsveis pelas unidades (um
ou mais responsveis).
Tarefa 2.4: Analisar e validar objetivos, as premissas e restries, e o escopo

da GRSI.
As informaes definidas nas tarefas anteriores so estratgicas e devem ser
avaliadas por um Representante da Alta Administrao.
Este representante deve avaliar as informaes e, caso sejam encontradas
inconsistncias, deve apontar a necessidade de reexecutar uma ou mais
tarefas anteriores da atividade.
Quando aprovadas as informaes o fato deve ser registrado.
SLTI OE1:RM2
RESERVADO
Pgina 48 de 140
RESERVADO
Condio para incio: Papis para gesto de riscos definidos e respectivos

profissionais identificados.
Informaes necessrias: Objetivos da organizao; regulamentaes
especficas; restries financeiras; restries de prazo; restries tcnicas;
informaes estratgicas de outros setores (exemplos: segurana patrimonial;
jurdico; recursos humanos; financeiro; e de planejamento).
Condio para ser finalizada: Objetivos, premissas e restries da GRSI
identificadas,
documentadas
validadas
por
representante
da
Alta
Administrao.
Informaes produzidas: Objetivos, premissas e restries, e escopo da
GRSI identificadas e documentadas.
Template da atividade:
A Figura 9 apresenta um template para o registro das informaes tratadas na
atividade.
Objetivos, Escopo, Premissas e Restries da GRSI
Objetivos da GRSI
Escopo da GRSI
Descrio dos Objetivos

Descrio do Escopo
Premissas da GRSI
Descrio das Premissas
Restries da GRSI
Descrio das Restries

Responsvel pela aprovao:
Data:
Figura 9. Template para o registro de objetivos, escopo, premissas e restries
SLTI OE1:RM2
RESERVADO
Pgina 49 de 140
RESERVADO
8.1.3 Atividade 3. Realizar pr-anlise da organizao

Descrio da atividade: visa a obter uma avaliao inicial e abrangente da
situao atual em segurana da informao na organizao.
Esta avaliao til para direcionar os passos seguintes na gesto de riscos,
por exemplo, para indicar pontos fracos a serem priorizados no tratamento. A
avaliao pode tambm ser reaplicada em situaes posteriores para se
verificar a evoluo na segurana da informao.
A atividade consiste na utilizao de um questionrio (estilo Checklist) que
aborda de forma ampla pontos de segurana da informao. Prope-se a
utilizao de uma classificao proposta originalmente por (YOO e outros,
2007) e referida em (Canongia e outros, 2010), que aborda abrangentemente
requisitos de segurana da informao.
O questionrio deve focar Itens de Controle e admitir para cada questo a
resposta da classificao de grau de implementao do Item de Controle entre
zero e cinco (grau variando de: controles no adotados, passando por:
controles
executados
documentados,
at
controles
analisados e
aprimorados).
Os itens de controle base abordam diferentes categorias:
Poltica de Proteo da Informao;
Gesto do Risco;
Gesto de Configurao;
Manuteno;
Proteo de Mdias;
Cultura;
Gesto de crise;
Proteo Fsica e Ambiental;
SLTI OE1:RM2
RESERVADO
Pgina 50 de 140
RESERVADO
Segurana do Pessoal;
Resposta a incidentes;
Auditoria e Rastreamento de Responsabilidades;
Controle de Acesso ao Sistema e Proteo das Comunicaes;
Aplicaes.
Cada categoria de controle da lista anterior associada a vrios itens de

controle, que focam em pontos especficos da categoria.
Para cada item de controle deve ser classificado o Grau de Implementao
(GI), que pode variar entre 0 e 5. Opes como No se Aplica (a pergunta
no faz sentido no contexto), ou No Avaliado (no sei responder) tambm
so opes de resposta. Valores baixos para GI significam um item de controle
no
implementado,
valores
mdios
significam
item
de
controle
em
implementao, valores altos significam item de controle implementado, j

valores muito altos significam item de controle em otimizao. Uma tabela
detalhando caractersticas de cada nvel de GI (de 0 a 5) deve ser fornecida
para facilitar a classificao.
O questionrio pode ser respondido pelo Gestor de Riscos, ou este pode
identificar outros profissionais mais aptos a responder sobre categorias
especficas controles.
A anlise das respostas obtidas permite a quantificao do nvel de maturidade
da organizao em cada uma das categorias abordadas.
SLTI OE1:RM2
RESERVADO
Pgina 51 de 140
RESERVADO
Figura 10. Atividade Realizar Pr-anlise da organizao
Tarefa 3.1: Identificar os profissionais que iro responder ao questionrio.

Devem ser identificados e comunicados os profissionais que iro responder ao
questionrio (um ou mais profissionais). O prprio gestor de riscos pode
tambm responder ao questionrio.
Tarefa 3.2: Responder ao questionrio.

Os profissionais designados respondem aos questionrios. Caso necessrio
estes devem ser orientados sobre as respostas possveis para cada questo.
Responsvel: Profissionais identificados.
Tarefa 3.3: Compilar as respostas e resumir os resultados.

Os resultados so gerados pela Ferramenta de Apoio MGR-SISP. No caso
de vrios questionrios respondidos, as respostas devem ser consolidadas.
Os resultados so analisados pelo Gestor de Riscos e so comunicados ao
Representante da Alta Administrao.
SLTI OE1:RM2
RESERVADO
Pgina 52 de 140
RESERVADO
Tarefa 3.4: Apreciar os resultados.

Os resultados consolidados devem ser apreciados pelos envolvidos em
tomadas de decises na GRSI. A cincia dos resultados deve ser registrada.
Caso conveniente, aes de divulgao podem ser realizadas.

Informaes necessrias: Polticas da organizao; procedimentos da
organizao; conhecimento de profissionais da organizao.
Condio
para
ser
finalizada:
Questionrios
respondidos,
respostas
compiladas e resumidas.
Informaes produzidas: Resultados da pr-anlise. Quantificao do nvel
de maturidade da organizao em segurana da informao em cada uma das
categorias abordadas. Identificao de pontos fortes e pontos para melhoria.
A Figura 11 mostra um modelo de questionrio de pr-anlise da organizao,
que aborda categorias de controle, cada uma associada a vrios itens de
controle a serem classificados por grau de implementao.
A Figura 12 mostra um formulrio de resultados da avaliao com os valores
de nvel de maturidade apurados para cada categoria de controle.
SLTI OE1:RM2
RESERVADO
Pgina 53 de 140
RESERVADO
Questionrio de pr-analise da organizao nvel de maturidade da organizao em segurana da informao

Categoria de Controle
Itens de Controle
Grau de Implementao
(1 a 5, ou NA: no se aplica)
Categoria 1 Item 1
Grau de Implementao Categoria 1 Item 1
Categoria 1 Item 2
Categoria 1
...
...
Mdia da Categoria
Mdia de valores de Grau de Implementao

Categoria 1 (Nvel de Maturidade)
Categoria 2 Item 1
Categoria 2 Item 2
Categoria 2
...
...
Mdia da Categoria
Mdia de valores de Grau de Implementao

Categoria 2 (Nvel de Maturidade)

Data:
Figura 11. Modelo de questionrio de pr-anlise da organizao

Resultados da pr-anlise da organizao nvel de maturidade da organizao em segurana da informao
Categorias de controle
Nvel de Maturidade
(Score obtido / Total de Itens varia entre 1 e 5)
Categoria 1
Nvel de Maturidade Mdia Categoria 1
Categoria 2
Nvel de Maturidade - Mdia Categoria 2
...
...
Mdia dos Nveis de Maturidade

Data:
Figura 12. Modelo de apresentao de resultados da pr-anlise da organizao
8.1.4 Atividade 4. Realizar pr-anlise de unidades da organizao

Descrio da atividade: nesta etapa realizada uma pr-anlise das
unidades da organizao. Neste contexto unidades representam as partes em
que uma organizao pode ser decomposta divises, departamentos,
setores, etc. Esta pr-anlise foca cada unidade separadamente e visa a
avaliar os processos de negcio, e as informaes tratadas na unidade. A
importncia para a organizao, dos processos de negcio e das informaes
tratados nas unidades, determina os requisitos de proteo dessas unidades.
SLTI OE1:RM2
RESERVADO
Pgina 54 de 140
RESERVADO
Algumas questes chave podem auxiliar nesta avaliao, por exemplo:
Existe algum sistema estruturante na organizao?
Quais processos de negcio existem e como eles esto associados aos

objetivos da organizao?
Quais processos de negcio dependem do funcionamento correto da

infraestrutura de tecnologia da informao?
Que informao tratada em cada processo de negcio?
Que informao especialmente importante e que requer proteo em termos

de confidencialidade, integridade e disponibilidade?
Quais condies externas que afetam a segurana da informao, como:

requisitos legais (leis e regulaes), fatores geogrficos, contexto social e
cultural,
requisitos
de
clientes,
parceiros,
ou
fornecedores,
padres
especficos?
O responsvel pela unidade da organizao o incumbido de prover esta

informao, contando com o apoio do Gestor de Riscos e de responsveis por
ativos na unidade (proprietrios de ativos, que no sejam o responsvel pela
unidade).
Nesta avaliao o responsvel pela unidade deve identificar os ativos primrios
da unidade. Ativos primrios so:
Processos de negcio e suas atividades;
Informaes.
Cada processo de negcio e informao no escopo da unidade deve ser

identificado e documentado por meio de uma breve descrio.
Tem-se ento a utilizao de um questionrio para avaliar o quo crtico para a
organizao cada processo de negcio, ou informao.
Este nvel de criticidade est associado gravidade e extenso do dano
organizao, a pessoas, ou a outras organizaes, consequncia de violaes
SLTI OE1:RM2
RESERVADO
Pgina 55 de 140
RESERVADO
de segurana nos ativos primrios. A classificao deve ser feita com respeito
a cada atributo separadamente:
Confidencialidade;
Integridade;
Disponibilidade.
Cada atributo pode assumir uma das classificaes (e respectivos pesos)

abaixo. As questes base para a anlise so do tipo: O impacto e a extenso
da perda de [Confidencialidade, Integridade, Disponibilidade] do ativo primrio
em anlise pode ser definido como:.
Muito
pouco
crtico.
(peso
1).
[Confidencialidade,
Integridade,
Disponibilidade] irrelevante para a organizao. Incidentes no causam

impactos;
Pouco crtico. (peso 2). A [Confidencialidade, Integridade, Disponibilidade]

pouco relevante para a organizao. Incidentes podem causar impactos muito
baixos;
Moderadamente
crtico.
(peso
5).
[Confidencialidade,
Integridade,
Disponibilidade] relevante para a organizao. Incidentes podem causar

impactos controlveis, mas no desprezveis;
Crtico. (peso 8). A [Confidencialidade, Integridade, Disponibilidade]

altamente relevante para a organizao. Incidentes podem causar problemas
de grande impacto e extenso;
Altamente crtico. (peso 10). A [Confidencialidade, Integridade, Disponibilidade]

fundamental para a organizao. Incidentes podem causar problemas cuja
gravidade coloca em risco pessoas e a organizao.
Depois de respondidos os questionrios para todas as unidades, e abordando

todos os ativos primrios, possvel apurar a seguinte informao: para cada
unidade, uma lista de ativos primrios e respectivos valores de criticidade para
cada um dos atributos, alm de valores totais.
SLTI OE1:RM2
RESERVADO
Pgina 56 de 140
RESERVADO
Esta informao til para se consolidar o escopo definido para a gesto de

riscos (atividade Definir os objetivos o escopo e as restries da GRSI). Deve
ser avaliado se os resultados desta pr-anlise esto condizentes com o
escopo definido, ou se so necessrias alteraes (aumentar ou diminuir o
escopo).
A Tabela 2 ilustra como essas informaes podem ser representadas. Podem
ser identificadas informaes sobre unidade UA da organizao. Para cada ativo
primrio ATi, so identificados os nveis de criticidade para Confidencialidade
(CATi), Integridade (IATi) e Disponibilidade (DATi). A criticidade total do ativo (TATi)
calculada por meio de uma funo F1 (por exemplo, o mximo entre os
valores). A criticidade total da unidade (TUUi) calculada por meio de uma
funo F2 (por exemplo, soma das criticidades dos ativos).
Ao se quantificar a criticidade dos ativos primrios de cada unidade,
estabelece-se a base para a tomada de decises estratgicas sobre
prioridades na gesto de riscos de segurana.
Unidade
UA
Criticidade
Ativo
Total Ativo
Total Unidade
Primrio
AT1
CAT1
IAT1
DAT1
TAT1=F1(CAT1, IAT1,
DAT1)
AT2
CAT2
IAT2
DAT2
TAT2=F1(CAT2, IAT2,
DAT2)
AT3
CAT3
IAT3
DAT3
TAT3=F1(CAT3, IAT3,
DAT3)
TUUA=F2(TAT1, TAT2,
TAT3)
Tabela 2. Informaes de resultado da pr-anlise para a unidade UA da

organizao
SLTI OE1:RM2
RESERVADO
Pgina 57 de 140
RESERVADO
Figura 13. Atividade Realizar Pr-anlise das unidades da organizao
Tarefa 4.1: Identificar profissionais que iro responder ao questionrio.

Os profissionais devem ser selecionados e comunicados.
Responsvel: Gestor de Riscos;
Tarefa 4.2: Responder ao questionrio.

Os profissionais selecionados devem responder ao questionrio e enviar as
respostas ao Gestor de Riscos.
Responsvel: Responsveis pelas unidades e responsveis por ativos na
unidade; apoio do Gestor de Riscos.
SLTI OE1:RM2
RESERVADO
Pgina 58 de 140
RESERVADO
Tarefa 4.3: Compilar as respostas e resumir os resultados.

Os resultados so gerados pela Ferramenta de Apoio MGR-SISP. Os
resultados so analisados pelo Gestor de Riscos e so comunicados ao
Representante da Alta Administrao
Tarefa 4.4: Apreciar os resultados.

Os resultados consolidados devem ser apreciados pelos envolvidos em
tomadas de decises na GRSI. A cincia dos resultados deve ser registrada.
Caso conveniente, aes de divulgao podem ser realizadas.

Informaes necessrias: Informaes sobre os ativos primrios de cada
unidade. Conhecimento dos responsveis pelos setores e responsveis por
ativos na unidade
Condio
para
ser
finalizada:
Questionrios
respondidos,
respostas
compiladas e resumidas.
Informaes produzidas: Resultados da pr-anlise de unidades da
organizao. Quantificao do nvel de criticidade dos ativos primrios tratados
em cada unidade da organizao.
Template e exemplo da atividade:
A Figura 14 ilustra um formulrio com os resultados da pr-anlise de unidades
da organizao que identifica: unidades, ativos primrios, valores de
criticidades definidos na anlise, totais de criticidade por ativo e por unidade.
A Figura 15 apresenta um exemplo deste mesmo formulrio.
SLTI OE1:RM2
RESERVADO
Pgina 59 de 140
RESERVADO
Resultados da pr-anlise de unidades da organizao Criticidade dos ativos primrios de cada unidade
Unidade
(Unidade
da
Organiza
o)
UA
...
Ativo Primrio
Criticidade
Total Ativo
(Criticidade total
do ativo mdia
de C,I,A)
Identificador
Descrio
C
(confidenci
alidade)
I
(integridad
e)
D
(disponibili
dade)
AT1
Descrio
C AT1
I AT1
D AT1
TAT1=(CAT1 + IAT1,
+ DAT1)/3
AT2
Descrio
C AT2
I AT2
D AT2
TAT2=(CAT2 + IAT2,
+ DAT2)/3
AT3
Descrio
C AT3
I AT3
D AT3
TAT3=(CAT3 + IAT3,
+ DAT3)/3
...
...
...
...
...
...
AT1
AT2
AT3
Total Unidade
(soma de
criticidades dos
ativos da
unidade)
TUUA=(TAT1+
+TAT2+TAT3)
...

Data:
Figura 14. Formulrio com os resultados da pr-anlise de unidades da

organizao
Resultados da pr-anlise de unidades da organizao Criticidade dos ativos primrios de cada unidade
Unidade
(Unidade
da
Organiza
o)
Ativo Primrio
Identifica
dor
AT1
Diviso de
Planejame
nto
Diviso de
Operaes
AT2
AT3
Criticidade
Descrio
Documento
preliminar de
planejamento
estratgico
Processo de
reserva de
salas /
equipamentos
Controle de
suprimentos
C
(confidenci
alidade)
I
(integridad
e)
D
(disponibili
dade)
10
Total Ativo
(Criticidade total
do ativo mdia
de C,I,D)
Total Unidade
(soma de
criticidades dos
ativos da
unidade)
7,6
10,2
2,6
10
10
8,3
8,3
Responsvel pela informao: Sr. Claudio

Data: 10/05/2015
Figura 15. Exemplo do Formulrio
8.1.5 Atividade 5. Definir critrios

Descrio da atividade: no processo de gesto de riscos so necessrios
critrios para avaliar o nvel dos riscos e para decidir sobre qual tratamento
deve ser realizado. Para tanto so utilizados critrios que sistematizam este
processo: critrios para a avaliao de riscos e de impactos, e critrios para a
SLTI OE1:RM2
RESERVADO
Pgina 60 de 140
RESERVADO
aceitao de riscos. Os critrios definidos nesta atividade so utilizados em

momentos posteriores do processo de gesto de riscos.
Figura 16. Atividade Definir Critrios
A metodologia MGR-SISP prope o uso de anlises semiquantitativas como

critrios, conforme descrito a seguir.
Tarefa 5.1: Parametrizar critrio de avaliao de consequncias.

Nesta tarefa so definidos critrios para avaliar o nvel das consequncias (ou
impactos) de riscos (ameaas que se concretizam e provocam danos em
ativos). As consequncias podem ter impacto em ativos, na organizao e em
pessoas, podendo ser impactos diretos, ou indiretos. Cada classe de
consequncia deve refletir a extenso do dano causado pela perda de atributos
SLTI OE1:RM2
RESERVADO
Pgina 61 de 140
RESERVADO
de segurana (confidencialidade, integridade e disponibilidade), associados ao

ativo, caso a ameaa se concretize.
As classes de consequncias previstas na MGR-SISP so as seguintes:
o
Consequncia Muito Baixa (MB);
Consequncia Baixa (B);
Consequncia Moderada (M);
Consequncia Alta (A);
Consequncia Muito Alta (MA).
A avaliao de consequncias requer a Parametrizao de questes de apoio.

O Gestor de Riscos deve definir questes de apoio para a avaliao de
consequncias de cada atributo de segurana (confidencialidade, integridade e
disponibilidade). A Ferramenta de Apoio MGR-SISP deve apresentar
questes default, que podem ser modificadas se necessrio pelo Gestor de
Riscos.
A seguir fornecido um exemplo de questo e de classificao default para
guiar a avaliao de consequncias em relao ao atributo disponibilidade.
Questo: Qual o impacto da ameaa ao ativo em relao disponibilidade?
Classes:
o
Consequncia Muito Baixa: nenhum servio ou atividade afetado;
Consequncia Baixa: poucos servios ou atividades de menor

importncia so afetados, pode provocar atrasos desprezveis;
Consequncia Moderada: alguns servios ou atividades so afetados,

podendo causar atrasos significativos;
Consequncia Alta: servios essenciais so afetados, provocando

atrasos graves e danos elevados;
Consequncia
Muito
Alta:
servios
essenciais
so
afetados
severamente, gerando danos muito elevados e atrasos intolerveis.
SLTI OE1:RM2
RESERVADO
Pgina 62 de 140
RESERVADO
Tarefa 5.2: Parametrizar critrio de avaliao de probabilidades.

Nesta tarefa so definidos critrios para avaliar as probabilidades de riscos, isto
, o nvel de probabilidade de que as ameaas se concretizam e provoquem
danos em ativos, na organizao, ou em pessoas. Isto feito por meio da
definio de classes de probabilidade que caracterizam o quo frequentemente
a espera-se que uma ameaa ocorra, e o quo facilmente as vulnerabilidades
sero exploradas no ativo.
As classes de probabilidades previstas na MGR-SISP so as seguintes:
o
Probabilidade Muito Baixa (MB);
Probabilidade Baixa (B);
Probabilidade Moderada (M);
Probabilidade Alta (A);
Probabilidade Muito Alta (MA).
A avaliao de probabilidades requer a Parametrizao de questes de apoio.

O Gestor de Riscos deve definir questes de apoio para a avaliao de
probabilidades. A Ferramenta de Apoio MGR-SISP deve apresentar questes
default, que podem ser modificadas se necessrio pelo Gestor de Riscos.
A seguir fornecido um exemplo de questo e de classificao default para
guiar a avaliao de probabilidades.
Questo: Qual a estimativa de probabilidade de que a ameaa ao ativo
ocorra em um prazo aproximado de um ano?
Classes:
o
Probabilidade Muito Baixa. Altamente improvvel, ocorre menos de uma

vez a cada 10 anos;
Probabilidade Baixa. Improvvel, ocorre menos que uma vez a cada

ano e mais do que uma vez a cada 10 anos;
SLTI OE1:RM2
RESERVADO
Pgina 63 de 140
RESERVADO
Probabilidade Moderada. Provvel, ocorre entre 1 e 10 vezes por ano;
Probabilidade Alta. Altamente provvel, ocorre entre 10 e 100 vezes ao

ano;
Probabilidade Muito Alta. Quase certo, Ocorre mais do que 100 vezes
ao ano.
Tarefa 5.3: Parametrizar critrios de tratamento e de aceitao de riscos.

Como detalhado frente no subprocesso Estimar Riscos (ER), o nvel de
cada risco (uma dada ameaa a um ativo) calculado a partir das estimativas
feitas para consequncias e probabilidades.
A parametrizao, critrios de tratamento e de aceitao de riscos devem
considerar dois aspectos:
o
Definio de faixas de valores para os nveis de riscos;
Definio de aes a serem tomadas para o tratamento de riscos em

cada faixa.
Definio de faixas de valores para os nveis de riscos. A Tabela 3 deve ser

gerada pela Ferramenta de Apoio MGR-SISP.
Esta tabela ilustra um possvel critrio de classificao para o tratamento e
aceitao de riscos. A linha superior mostra a classificao de probabilidades e
a coluna esquerda mostra a classificao de consequncias. Os valores
interiores representam os nveis de risco estimados em cada situao, e
combinam os efeitos da probabilidade e da consequncia do dos riscos. As
letras interiores definem as diferentes classes para o tratamento de riscos (MB:
Muito Baixo; B: Baixo; M: Moderado; A: Alto; MA: Muito Alto). Cada classe de
risco sinalizada com uma cor diferente.
SLTI OE1:RM2
RESERVADO
Pgina 64 de 140
RESERVADO
Consequncia
Probabilidade
Muito baixa
Baixa
Moderada
Alta
Muito alta
Muito baixa
1 (MB)
2 (MB)
3 (B)
4 (B)
5 (M)
Baixa
2 (MB)
3 (B)
4 (B)
5 (M)
6 (A)
Moderada
3 (B)
4 (B)
5 (M)
6 (A)
7 (A)
Alta
4 (B)
5 (M)
6 (A)
7 (A)
8 (MA)
Muito alta
5 (M)
6 (A)
7 (A)
8 (MA)
9 (MA)
Tabela 3. Tabela de Classificao dos riscos

Deste modo, as faixas (ou classes) definidas pelos critrios de avaliao de
riscos e de aceitao de riscos neste caso estabelecem:
o
Risco Muito Baixo (MB): nvel de risco entre 1 e 2;
Risco Baixo (B): nvel de risco entre 3 e 4;
Risco Moderado (M): nvel de risco igual a 5;
Risco Alto (A): nvel de risco entre 6 e 7;
Risco Muito Alto (MA): nvel de risco entre 8 e 9.
Definio de aes a serem tomadas para o tratamento de riscos em cada

faixa. Este aspecto estabelece a estratgia da organizao para tratar os
riscos, dependendo dos resultados obtidos na estimativa de riscos. Aspectos
como custo-benefcio de tratamentos tambm devem ser levados em conta.
A seguir um exemplo de possvel estratgia de tratamento de riscos (baseada
em Canongia e outros, 2010), que pode ser modificada pelo Gestor de Riscos:
o
Risco Muito Baixo (MB): risco tolervel, nenhuma ao necessria;
Risco Baixo (B): risco tolervel, nenhuma ao imediata necessria,

porm o risco deve ser monitorado;
Recomenda-se tratar os riscos nessa classe apenas se restries
(como custo e esforo de tratamento) no forem significativas.
SLTI OE1:RM2
RESERVADO
Pgina 65 de 140
RESERVADO
Risco Moderado (M): situao de ateno. Se possvel o risco deve ser

tratado em mdio prazo. O risco deve monitorado frequentemente;
Restries (como custo e esforo de tratamento) podem ser
consideradas para priorizar o tratamento de riscos nessa classe.
Risco Alto (A): risco intolervel, situao de grande preocupao. Aes

devem ser tomadas rapidamente e os resultados precisam ser
monitorados frequentemente para avaliar se a situao mudou com as
aes.
Recomenda-se o tratamento de riscos independentemente de restries
(como custo e esforo de tratamento).
Risco Muito Alto (MA): risco intolervel. Requer aes de tratamento

imediatas. As aes devem ser monitoradas continuamente para avaliar
se os efeitos so os esperados.
Os riscos devem ser tratados independentemente de restries (como
custo e esforo de tratamento).
Tarefa 5.4: Analisar e validar os critrios definidos.

Os critrios definidos nas tarefas anteriores desta atividade devem ser
avaliados por representantes da Alta Administrao. Estes representantes so
responsveis por assegurar que os critrios definidos reflitam os objetivos de
segurana da organizao. Caso sejam encontradas inconsistncias ou
oportunidades de aprimoramento, deve-se apontar a necessidade de
reexecutar uma ou mais tarefas anteriores da atividade. Quando aprovadas as
informaes o fato deve ser registrado.
Responsvel: Representante da Alta Administrao;

profissionais identificados; objetivos e premissas e restries da GRSI
identificadas,
SLTI OE1:RM2
documentadas
validadas
RESERVADO
por
representante
da
Alta
Pgina 66 de 140
RESERVADO
Administrao; resultados da pr-anlise obtidos; resultados da pr-anlise de

unidades da organizao obtidos.
Informaes necessrias: objetivos e premissas e restries da GRSI;
resultados da pr-anlise; resultados da pr-anlise de unidades da
organizao;
Condio para ser finalizada:
Critrios definidos e
aprovados por
representante da Alta Administrao

Informaes produzidas: Critrios definidos - critrio de avaliao de
consequncias; critrio de avaliao de probabilidades; critrios de tratamento
e de aceitao de riscos.
A Figura 17 apresenta um formulrio para a parametrizao da avaliao de
consequncias. Para cada classe de consequncia devem ser definidas
questes a serem fornecidas para apoiar a classificao de consequncias
para cada atributo de segurana (Confidencialidade, Disponibilidade e
Integridade).
Parametrizao de critrio de avaliao de consequncias

Questes de apoio
Classe de consequncia
Confidencialidade
(Cn)
Disponibilidade
(Ds)
Integridade
(In)
Muito Baixa (MB)
Questo (Cn) (MB)
Questo (Ds) (MB)
Questo (In) (MB)
Baixa (B)
Questo (Cn) (B)
Questo (Ds) (B)
Questo (In) (B)
Moderada (M)
Questo (Cn) (M)
Questo (Ds) (M)
Questo (In) (M)
Alta (A)
Questo (Cn) (A)
Questo (Ds) (A)
Questo (In) (A)
Muito Alta (MA)
Questo (Cn) (MA)
Questo (Ds) (MA)
Questo (In) (MA)

Data:
Figura 17. Formulrio para a parametrizao da avaliao de consequncias
SLTI OE1:RM2
RESERVADO
Pgina 67 de 140
RESERVADO
A Figura 18 apresenta um formulrio para a parametrizao da avaliao de

probabilidades. Para cada classe de consequncia devem ser definidas as
questes a serem fornecidas para apoiar a classificao de probabilidades.
Parametrizao de critrio de avaliao de probabilidades

Classe de probabilidade
Questes de apoio
Muito Baixa (MB)
Questo (MB)
Baixa (B)
Questo (B)
Moderada (M)
Questo (M)
Alta (A)
Questo (A)
Muito Alta (MA)
Questo (MA)

Data:
Figura 18. Formulrio para a parametrizao da avaliao de probabilidades
A Figura 19 apresenta um formulrio para a parametrizao de critrio de

tratamento e de aceitao de riscos. Para cada classe de consequncia devem
ser definidos: os valores limites de risco (inferior e superior) para a classe, e as
aes a serem tomadas para tratar os riscos da classe.
Parametrizao de critrio de tratamento e de aceitao de riscos

Classe de
Riscos
Valores Limites de Risco

Limite
Inferior (I)
Limite
Superior (S)
Aes a serem tomadas no tratamento de

riscos
Muito Baixo (MB)
Risco (MB-I)
Risco (MB-S)
Aes para a classe de ricos MB
Baixo (B)
Risco (B-I)
Risco (B-S)
Aes para a classe de ricos B
Moderado (M)
Risco (M-I)
Risco (M-S)
Aes para a classe de ricos M
Alto (A)
Risco (A-I)
Risco (A-S)
Aes para a classe de ricos A
Muito Alto (MA)
Risco (MA-I)
Risco (MA-S)
Aes para a classe de ricos MA

Data:
Figura 19. Formulrio para a parametrizao de critrio de tratamento e de

aceitao de riscos
SLTI OE1:RM2
RESERVADO
Pgina 68 de 140
RESERVADO
8.2 Subprocesso Identificar Riscos (IR)

Descrio do subprocesso
Trata da identificao e descrio de riscos na organizao e das
consequncias
adversas
resultantes.
Busca-se
compreender
possveis
ameaas e vulnerabilidades existentes, alm de avaliar a extenso e a

adequao das protees utilizadas (controles).
As atividades do subprocesso so:
Identificar ativos;
Identificar ameaas;
Identificar controles; e
Identificar vulnerabilidades.
Figura 20. Subprocesso Identificar Riscos
SLTI OE1:RM2
RESERVADO
Pgina 69 de 140
RESERVADO
8.2.1 Atividade 1. Identificar ativos

Descrio da atividade: nesta atividade so identificados os ativos que esto
no escopo da gesto de riscos.
Os resultados da pr-anlise de unidades da organizao (divises,
departamentos, projetos, etc.) podem servir como base para priorizar a
identificao de ativos de unidades mais crticas. Esses resultados tambm
indicam o nvel de detalhe requerido para a identificao dos ativos. Em
unidades menos crticas pode ser suficiente identificar apenas alguns ativos
primrios (informaes, ou processos de negcio). J para unidades que
requerem maior nvel de proteo pode ser necessrio identificar os ativos que
suportam processos de negcio (hardware, software, salas, etc.).
De modo geral os tipos ativos para a identificao e o registro so:
Ativos primrios:
Processos de negcio e suas atividades;
Informaes;
Ativos de suporte:
Hardware, por exemplo:

o
Equipamentos de processamento fixos (microcomputadores, servidores,

etc);
Equipamentos de processamento mveis (notebooks, celulares, etc);
Perifricos;
Mdias de dados (pen-drive, cd, etc.);
Outras mdias no eletrnicas (documentos em papel);
Software, por exemplo:

o
Sistemas operacionais;
Software de administrao;
SLTI OE1:RM2
RESERVADO
Pgina 70 de 140
RESERVADO
Pacotes de software;
Aplicaes de negcio.
Redes, por exemplo:

o
Mdias e apoio (equipamentos e protocolos, como Ethernet, protocolos

e equipamento WiFi, Bluetooth, Firewall, etc.);
Equipamentos intermedirios (roteadores, hub, switch);
Interfaces de comunicao (adaptadores);
Pessoal, por exemplo:

o
Tomadores de deciso (proprietrios de ativos, responsveis por

unidades, representantes da Alta Administrao, etc.);
Usurios (pessoal que interage com os ativos, recursos humanos,

gesto financeira, gestor de riscos, etc.);
Pessoal de operao e manuteno (administrador do sistema,

administrador de banco de dados, help desk, etc.);
Desenvolvedores (analistas, programadores, etc.);
Locais / recursos, por exemplo:

o
Ambiente externo (outras organizaes, casas de pessoas, etc.);
Zonas, locais (prdios, reas de escritrio, salas reservadas, etc.);
Servios essenciais (energia eltrica);
Comunicaes (telefone);
Utilidades (no-breaks, ar-condicionado, etc.);
Organizao, por exemplo:

o
Autoridades (lderes, representantes da Alta Administrao);
Estrutura da organizao (gerenciamento de RH, gerenciamento de TI,

gerenciamento de compras, segurana fsica, etc.);
SLTI OE1:RM2
RESERVADO
Pgina 71 de 140
RESERVADO
Projetos
da
organizao
(migrao
de
sistemas,
novos
desenvolvimentos, etc.);
o
Subcontratados (gerenciamento externo, consultores, etc.);
Deve-se notar que esta lista de tipos de Ativos de Suporte abrangente.

Espera-se que uma boa parte das organizaes que utilizarem a MGR-SISP
ter necessidade de tratar apenas um subconjunto desses tipos de ativos.
Figura 21. Atividade Identificar Ativos
Tarefa 1.1: Avaliar resultados de pr-anlise de unidades da organizao e

decidir a abordagem.
Esta tarefa retoma informaes de atividades do subprocesso Estabelecer
Contexto para definir como abordar a gesto de riscos em cada unidade da
organizao. Deve ser decidido, para cada unidade, o nvel de detalhamento a
ser adotado na identificao de ativos. Isto envolve avaliar se suficiente
SLTI OE1:RM2
RESERVADO
Pgina 72 de 140
RESERVADO
identificar apenas ativos primrios como alvo da anlise de riscos, ou se

necessrio decompor os ativos primrios em ativos de suporte.
Esta tarefa tem com resultado a definio da abordagem para a identificao
de ativos em cada unidade da organizao.
Responsvel: Gestor de Riscos, junto com responsveis pelas unidades da
organizao.
Tarefa 1.2: Selecionar as unidades no escopo da GRSI e acionar os

respectivos responsveis.
Os
responsveis
pelas
unidades
selecionadas
so
comunicados
da
necessidade de identificar os ativos da unidade e so informados prazos

estimados para a realizao da tarefa.
Responsvel: Gestor de Riscos, junto com responsveis pelas unidades da
organizao.
Tarefa 1.3: Cadastrar ativos das unidades.

Trata da identificao e cadastro de cada ativo que faz parte do escopo da
gesto de riscos. Informaes de ativos primrios j cadastrados na atividade
Realizar pr-anlise de unidades da organizao devem ser revisadas.
Outros ativos primrios e os ativos de suporte devem ser identificados e
cadastrados.
Informaes tpicas que caracterizam os ativos so: natureza (primrio ou
suporte); tipo (hardware, software, etc.); subtipo (notebook, pen-drive, etc.);
descrio; responsvel pelo ativo; responsvel pela unidade que abriga o ativo;
data de cadastro; localizao fsica; valor de reposio.
Esta tarefa realizada em cada unidade da organizao, podendo ser
realizada em srie (uma unidade aps a outra, em ordem priorizada por
criticidade), ou em paralelo (realizada simultaneamente em todos os setores).
O resultado da tarefa o cadastro de cada ativo que faz parte do escopo da
gesto de riscos em cada unidade da organizao.
SLTI OE1:RM2
RESERVADO
Pgina 73 de 140
RESERVADO
Responsvel: Responsveis pelas unidades da organizao, proprietrios de

ativos. Apoio do Gestor de Riscos.
Tarefa 1.4: Avaliar as informaes sobre os ativos.

Depois de ser notificado do final do cadastro de ativos de cada unidade, estas
informaes devem ser avaliadas. Caso o Gestor de Riscos identifique
inconsistncias, deve indicar o fato ao responsvel pela unidade e fornecer
uma descrio do problema. O responsvel pela unidade receber uma
notificao e a descrio do problema para que possa corrigi-lo. O passo
anterior ocorre at que Gestor de Riscos aprove as informaes e registre este
fato.
Condio para incio: atividades do subprocesso Estabelecer Contexto

finalizadas.
Informaes necessrias: objetivos e premissas e restries da GRSI;
escopo inicial da GRSI; resultados da pr-anlise; resultados da pr-anlise de
unidades da organizao; critrios de avaliao de riscos e de aceitao de
riscos.
Condio para ser finalizada: ativos identificados.
Informaes produzidas: Mapa de Riscos com informaes sobre os ativos.
A Figura 22 mostra o Mapa de Riscos com as informaes relativas aos ativos
e ao cadastro realizado na atividade.
A Figura 23 mostra um exemplo.
SLTI OE1:RM2
RESERVADO
Pgina 74 de 140
RESERVADO
Mapa de Riscos
Ativos
Cdigo
Natureza
(primrio
ou
suporte)
Tipo Subtipo
(hardware,
software,
etc.)
Unidade da
organizao
Responsvel
Pelo
Ativo
Descrio
do Ativo
Localizao
do Ativo
Data de
Cadastro
Responsvel
Pelo
Cadastro
A01
Natureza
A01
Tipo A01
Unidade A01
Responsvel
A01
Descrio
A01
Localizao
A01
Responsvel
Cad. A01
A02
Natureza
A02
Tipo A02
Unidade A02
Responsvel
A02
Descrio
A02
Localizao
A02
Data de
Cadastro
A01
Data de
Cadastro
A02
...
...
...
...
...
...
...
...
...
Responsvel
Cad. A02
Figura 22. Template do Mapa de Riscos - Ativos

Mapa de Riscos
Ativos
Cdigo
Natureza
(primrio
ou
suporte)
Tipo Subtipo
(hardware,
software,
etc.)
Unidade da
organizao
Responsvel
Pelo
Ativo
Descrio
do Ativo
Localizao
do Ativo
Data de
Cadastro
Responsvel
Pelo
Cadastro
A01
Primrio
Processo
Negcio
DMPS
Joo
DMPS
Sala 15
09/06/2015
Maria da
DMPS
A02
Suporte
Sala
DSSI
Miguel
Suporte
Hardware,
Servidor
DSC
Paulo
Prdio 3,
andar 2
Prdio 3,
andar 2,
Datacenter
1
09/06/2015
A03
Processo
avaliao
RDA
Sala 31
da DSSI
Servidor
Dell
Modelo
XY
Gestor de
Riscos Jos
Paulo da
DSC
09/06/2015
Figura 23. Exemplo de Mapa de Riscos - Ativos
8.2.2 Atividade 2. Identificar ameaas

Descrio da atividade: trata da identificao das ameaas associadas aos
ativos identificados na atividade anterior.
Deve ser realizada a identificao de ameaas para cada ativo identificado no
escopo da gesto de riscos. Em geral um tipo de ativo (hardware, software,
informao, etc.) est sujeito a um subconjunto de ameaas, dentre todas as
ameaas existentes. Alm disso, uma mesma ameaa pode impactar vrios
ativos de certo tipo, ou ativos de tipos diferentes.
SLTI OE1:RM2
RESERVADO
Pgina 75 de 140
RESERVADO
Para auxiliar na identificao de ameaas devem ser utilizados catlogos de

ameaas tpicas (como os fornecidos em IT-Grundschutz, ou ISO/IEC 27005).
Esta informao pode ser disponibilizada pela ferramenta de apoio MGRSISP.
Tipos de ameaa incluem:
Dano fsico (fogo, destruio de equipamentos);
Eventos naturais (enchente, terremotos);
Falta de servios essenciais (perda de energia, perda de telecomunicaes);
Comprometimento da informao (roubo de mdias, revelao de sigilos,

falsificao por software, fontes no confiveis);
Falhas tcnicas (falha de equipamentos, falha de software);
Aes no autorizadas (adulterao de dados, uso no autorizado de

equipamentos), e;
Comprometimento de funes (erro em uso, abuso de direitos).
As ameaas que se aplicam ao ativo em anlise devem ser identificadas com

auxlio do catlogo de ameaas. Deve ser feita uma descrio de como a
ameaa gera impacto no ativo.
Caso seja identificada uma possvel ameaa ao ativo que no esteja no
catlogo, esta nova ameaa deve ser inserida no catlogo. Deve-se tambm
associar a ameaa ao ativo e descrever o impacto desta.
Esta informao ser utilizada no subprocesso Estimar Riscos.
SLTI OE1:RM2
RESERVADO
Pgina 76 de 140
RESERVADO
Figura 24. Atividade Identificar Ameaas
Tarefa 2.1: Indicar o incio da identificao de ameaas.

Quando uma unidade da organizao finalizou a identificao de ativos o
Gestor de Riscos indica o incio da identificao e cadastro de ameaas. Os
responsveis pelas unidades so comunicados da necessidade de identificar
as ameaas aos ativos da unidade e so informados prazos estimados para a
realizao da tarefa.
Responsvel: Gestor de Riscos
Tarefa 2.2: Identificar as ameaas aos ativos das unidades.

Refere-se identificao e cadastro das ameaas aos ativos e deve ser
realizada em cada unidade da organizao, possivelmente em paralelo. Para
SLTI OE1:RM2
RESERVADO
Pgina 77 de 140
RESERVADO
cada ativo identificado na atividade anterior devem ser identificadas as

ameaas existentes (a partir de uma lista) e estas devem ser descritas.
O resultado da tarefa o cadastro de ameaas para cada ativo que faz parte
do escopo da gesto de riscos em cada unidade da organizao.
Tarefa 2.3: Avaliar as informaes sobre as ameaas.

Depois de ser notificado do final do cadastro de ameaas de cada unidade,
estas informaes devem ser avaliadas. Caso o Gestor de Riscos identifique
fato.
Condio para incio: identificao de ativos realizada. (Mapa de Riscos com

o ativo)
Informaes necessrias: informaes sobre ativos, lista de ameaas aos
ativos.
Condio para ser finalizada: ameaas identificadas e documentadas.
Informaes produzidas: Mapa de Riscos com informaes sobre os ativos e
as respectivas ameaas. Cada ativo pode estar sujeito a mais de uma ameaa.
Novas ameaas identificadas inseridas no catlogo de ameaas.
SLTI OE1:RM2
RESERVADO
Pgina 78 de 140
RESERVADO

A Figura 25 mostra o Mapa de Riscos com as informaes relativas aos ativos
e s respectivas ameaas (tipo e descrio de cada ameaa). Cada par [ativo,
ameaa] caracteriza um risco. A Figura 26 apresenta um exemplo.
Mapa de Riscos
Ativos
Ameaas
Cdigo
Natureza
(primrio
ou
suporte)
Tipo Subtipo
(hardware,
software,
etc.)
Unidade da
organizao
Responsvel
Pelo
Ativo
Descrio
do Ativo
Tipo de Ameaa
(tipo de ameaa
selecionado da
lista)
Descrio da ameaa
(descrio informao
editada)
A01
Natureza
A01
Tipo A01
Unidade
A01
Responsvel
A01
Descrio
A01
Tipo Ameaa 1
Descrio Ameaa 1
Tipo Ameaa 2
Descrio Ameaa 2
Tipo Ameaa 3
Descrio Ameaa 3
Descrio Ameaa 4
Descrio Ameaa 1
Descrio Ameaa 2
...
A02
Natureza
A02
Tipo A02
Unidade
A02
Responsvel
A02
Descrio
A02
Tipo Ameaa 4
Tipo Ameaa 1
Tipo Ameaa 2
...
...
...
...
...
...
...
Figura 25. Template do Mapa de Riscos - Ativos, Ameaas

Mapa de Riscos
Ativos
Ameaas
Cdigo
Natureza
(primrio
ou
suporte)
Tipo Subtipo
(hardware,
software,
etc.)
Unidade da
organizao
Responsvel
Pelo
Ativo
Descrio
do Ativo
Tipo de Ameaa
(tipo de ameaa
selecionado da
lista)
Descrio da ameaa
(descrio informao
editada)
A01
Primrio
Processo
de
Negcio
DMPS
Joo
Processo
avaliao
RDA
Comprometimento
da informao
Extravio do documento
sigiloso RDA-YZ.doc
Aes no
autorizadas
Acesso de no
autorizados no ambiente
fsico RdaR
Falhas tcnicas
Sistema de apoio RDAAB pouco confivel
Comprometimento
de funes
Abuso de diretos de
acesso ao sistema RDACD
Extravio de pen-drive
com informaes
sigilosas
Perda de documentos
devido a incndio
A02
Suporte
Sala
DSSI
Miguel
Sala 31
da DSSI
Comprometimento
da informao
Dano fsico
Figura 26. Exemplo de Mapa de Riscos - Ativos, Ameaas
SLTI OE1:RM2
RESERVADO
Pgina 79 de 140
RESERVADO
8.2.3 Atividade 3. Identificar controles

Descrio da atividade: Como j definido, um controle uma forma de
gerenciar o risco, incluindo polticas, procedimentos, diretrizes, prticas,
estruturas organizacionais, que podem ser de natureza administrativa, tcnica,
de gesto, ou legal.
Controles de modo geral tem o efeito de reduzir os riscos por meio de dois
fatores:
Realizam uma reduo da exposio de um ativo ao risco, protegendo-o e

diminuindo assim a probabilidade de que incidentes ocorram;
Realiza uma reduo da gravidade da consequncia em termos abrangncia,

de durao, e de impacto na organizao;
Esta atividade trata da identificao dos controles, associadas aos ativos e

ameaas, identificados nas atividades anteriores.
Cada ativo pode estar sujeito a uma ou mais ameaas. Um par [ativo, ameaa]
caracteriza um risco para o qual um ou mais controles podem ser aplicados.
Para auxiliar na identificao de possveis controles devem ser utilizados
catlogos de controles existentes, associados s ameaas (como os fornecidos
em
IT-Grundschutz,
ou
ISO/IEC
27002).
Esta
informao
pode
ser
disponibilizada pela ferramenta de apoio MGR-SISP.

Recomenda-se realizar para cada ativo, e cada ameaa associada, a seguinte
anlise, junto ao responsvel pelo ativo:
Identificar os controles aplicveis para proteger o ativo da ameaa (utilizar o

catlogo de controles);
Para cada controle, avaliar por meio de investigaes e anlises a existncia

(ou no) do controle implementado na organizao. A situao da
implementao do controle pode ser classificada em uma das seguintes
categorias:
SLTI OE1:RM2
RESERVADO
Pgina 80 de 140
RESERVADO
a) No implementado;
b) Parcialmente implementado;
c) Totalmente implementado, ou;
d) No se aplica, ou desnecessrio.
Justificativas devem ser fornecidas para as classificaes.

Adicionalmente, caso o responsvel pela anlise idealize algum controle no
presente no catlogo consultado e que possa proteger o ativo da ameaa, este
novo controle deve ser inserido no catlogo de controles.
Deve-se tambm associar o novo controle ao ativo e ameaa.
O resultado desta anlise permite identificar, para cada ameaa e ativo, a
existncia (no estado atual da organizao) de controles para proteger o ativo e
a efetividade destes controles. Esta informao til para a tomada de
decises em etapas posteriores.
Figura 27. Atividade Identificar Controles
SLTI OE1:RM2
RESERVADO
Pgina 81 de 140
RESERVADO
Tarefa 3.1: Indicar o incio da identificao de controles.

Quando uma unidade da organizao finalizou a identificao de ameaas o
Gestor de Riscos indica o incio da identificao e cadastro de controles. Os
responsveis pelas unidades so comunicados da necessidade de identificar
os controles para as ameaas (aos ativos da unidade) e so informados prazos
estimados para a realizao da tarefa.
Tarefa 3.2: Identificar os controles.

Refere-se identificao e cadastro de controles para as ameaas (aos ativos)
e deve ser realizada em cada unidade da organizao. Para cada ativo e
ameaa devem ser identificados os controles aplicveis, e deve ser informada
situao de implementao de cada controle, conforme j descrito nesta seo.
O resultado da tarefa o cadastro de controles para as ameaas e ativos,
assim como a descrio dos respectivas situaes de implementao.
Tarefa 3.3: Avaliar as informaes sobre os controles.

Depois de ser notificado do final do cadastro de controles em cada unidade,
estas informaes devem ser avaliadas. Caso o Gestor de Riscos identifique
fato.
Condio para incio: Mapa de Riscos com os ativos e ameaas identificados.
SLTI OE1:RM2
RESERVADO
Pgina 82 de 140
RESERVADO
Informaes necessrias: informaes sobre ativos e sobre ameaas, lista de

controles aplicveis aos ativos e ameaas.
Condio para ser finalizada: controles identificados.
Informaes produzidas: Mapa de Riscos com informaes sobre os ativos,
respectivas ameaas, e os status de implementao de controles. Cada ativo
pode estar sujeito a mais de uma ameaa. Para cada par [ativo, ameaa]
podem existir zero ou mais controles implementados. Novos controles
identificados inseridos no catlogo de controles.
A Figura 28 mostra o Mapa de Riscos com as informaes relativas aos ativos,
s respectivas ameaas, e aos controles para cada ameaa (descrio do
controle, situao de implementao e justificativas). Os controles, quando
implementados corretamente, pode reduzir as ameaas aos ativos. A Figura 29
apresenta um exemplo.
Mapa de Riscos
Ativos
Ameaas
Controles
Cdi
go.
Descrio
do Ativo
Tipo de Ameaa
(tipo de ameaa
selecionado da
lista)
Descrio da ameaa
(descrio informao
editada)
A01
Descrio
A01
Tipo Ameaa 1
Descrio Ameaa 1
Descrio do controle
(lista de controles)
Descrio Controle 1
Situao / Justificativa
Controle 1
Descrio Controle 2
Controle 2
...
Tipo Ameaa 2
A02
...
Descrio Ameaa 2
Descrio
A02
Tipo Ameaa 1
Descrio Ameaa 1
Tipo Ameaa 2
Descrio Ameaa 2
...
...
...
(Situao: seleo,
Justificativa: informao
editada)
...
Descrio Controle 1
Controle 1
Descrio Controle 2
Controle 2
...
...
...
...
...
...
...
...
Figura 28. Template do Mapa de Riscos - Ativos, Ameaas e Controles
SLTI OE1:RM2
RESERVADO
Pgina 83 de 140
RESERVADO
Mapa de Riscos
Ativos
Ameaas
Cdigo
Descrio
do Ativo
Tipo de Ameaa
(tipo de ameaa
selecionado da
lista)
Descrio da ameaa
(descrio informao
editada)
A01
Processo
avaliao
RDA
Comprometimento
da informao
Extravio do documento
sigiloso RDA-YZ.doc
Aes no
autorizadas
Acesso de no
autorizados no ambiente
fsico RdaR
Controles
Descrio do controle
(lista de controles)
(Situao: seleo,
Justificativa: informao
editada)
Conscientizao mesa
limpa
No Implementado
Fechadura mecnica
Totalmente Implementado
Cmara monitoramento.
Parcialmente
Implementado cmera
VGA, pouco ntida img.
Poltica e procedimentos
de controle acesso
Parcialmente
Implementado
procedimentos informais
Fechadura mecnica
Cmara monitoramento.
Falhas tcnicas
Sistema de apoio RDAAB pouco confivel
Realizar teste de software
Parcialmente
Implementado teste no
sistemtico.
Comprometimento
de funes
Abuso de diretos de
acesso ao sistema RDACD
Realizar teste de
segurana
Figura 29. Exemplo de Mapa de Riscos - Ativos, Ameaas e Controles
8.2.4 Atividade 4. Identificar vulnerabilidades

Descrio da atividade: Relembrando, uma vulnerabilidade definida como
fragilidade de um ativo, ou grupo de ativos, que pode ser explorada por uma
ou mais ameaas. Quando uma vulnerabilidade de um ativo explorada por
uma ameaa pode ocorrer uma violao da segurana.
Esta atividade tem o propsito de identificar estas vulnerabilidades, que podem
estar associadas a diferentes reas como: organizao; processos e
procedimentos; rotinas de gerenciamento; recursos humanos; ambiente fsico;
configurao dos sistemas de informao; hardware; software; equipamentos
de comunicao; ou parceiros externos.
Para auxiliar na identificao de vulnerabilidades devem ser utilizados
catlogos de vulnerabilidades (como os fornecidos em IT-Grundschutz, ou
ISO/IEC 27005). Esta informao pode ser disponibilizada pela ferramenta de
apoio MGR-SISP.
SLTI OE1:RM2
RESERVADO
Pgina 84 de 140
RESERVADO
Recomenda-se realizar para cada ativo, e cada ameaa associada, a seguinte

anlise, junto ao responsvel pelo ativo:
Identificar os controles no implementados, ou parcialmente implementados,

para proteger o ativo da ameaa (resultado da atividade anterior);
Para cada controle, avaliar por meio de investigaes e anlises a existncia

(ou no) de vulnerabilidades associadas ao ativo. A lista de vulnerabilidades
pode ser utilizada nesta tarefa.
Adicionalmente, caso seja identificada alguma vulnerabilidade no presente no

catlogo consultado, esta nova vulnerabilidade deve ser inserida no catlogo
de vulnerabilidades.
As vulnerabilidades identificadas para cada ativo devem ser documentadas
para a anlise em etapas posteriores da gesto de riscos.
Figura 30. Atividade Identificar Vulnerabilidades
SLTI OE1:RM2
RESERVADO
Pgina 85 de 140
RESERVADO
Tarefa 4.1: Indicar o incio da identificao de vulnerabilidades.

Quando uma unidade da organizao finalizou a identificao de controles para
as ameaas o Gestor de Riscos indica o incio da identificao e cadastro de
vulnerabilidades. Os responsveis pelas unidades so comunicados da
necessidade de identificar as vulnerabilidades associadas aos ativos da
unidade e so informados prazos estimados para a realizao da tarefa.
Tarefa 4.2: Identificar as vulnerabilidades.

Para cada ativo e ameaa devem ser identificados os controles com nfase nos
controles no implementados e nos parcialmente implementados. A ferramenta
de apoio MGR-SISP fornece uma lista de vulnerabilidades especficas
considerando o ativo, a ameaa e o controle. As vulnerabilidades consideradas
como existentes deve ser selecionadas e uma descrio da vulnerabilidade
deve ser fornecida.
Tarefa 4.3: Avaliar as informaes sobre as vulnerabilidades.

Depois de ser notificado do final do cadastro de vulnerabilidades em cada
unidade, estas informaes devem ser avaliadas. Caso o Gestor de Riscos
identifique inconsistncias, deve indicar o fato ao responsvel pela unidade e
fornecer uma descrio do problema. O responsvel pela unidade receber
uma notificao e a descrio do problema para que possa corrigi-lo. O passo
fato.
SLTI OE1:RM2
RESERVADO
Pgina 86 de 140
RESERVADO
Condio para incio: Mapa de Riscos com os ativos, as ameaas e os

controles identificados. Atividades de identificao de ativos, de identificao
de ameaas e de identificao de controles realizadas.
Informaes necessrias: informaes sobre ativos, sobre ameaas e sobre
controles, lista de controles aplicveis aos ativos e ameaas.
Condio para ser finalizada: vulnerabilidades identificadas.
Informaes produzidas: Mapa de Riscos atualizado com informaes sobre
as vulnerabilidades identificadas. Novas vulnerabilidades inseridas na lista de
vulnerabilidades.
s
respectivas
vulnerabilidades
ameaas,
(descrio
aos
da
controles
para
vulnerabilidade,
cada
se
ameaa
existente).
s
As
vulnerabilidades so associadas a controles no implementados, ou a controles

implementados inadequadamente. A Figura 32 apresenta um exemplo.
SLTI OE1:RM2
RESERVADO
Pgina 87 de 140
RESERVADO
Mapa de Riscos
Ativos
Ameaas
Controles
Vulnerabilidades
Cdigo.
Descrio
do Ativo
Tipo de
Ameaa
(tipo de
ameaa
selecionado
da lista)
Descrio da
ameaa
(descrio
informao
editada)
Descrio do
controle (lista de
controles)
Situao /
Justificativa
(Situao: seleo,
Justificativa:
informao editada)
A01
Descrio
A01
Tipo
Ameaa 1
Descrio
Ameaa 1
Descrio Controle
1
Situao /
Justificativa
Controle 1
Descrio da
Vulnerabilidade 1
Descrio Controle
2
Situao /
Justificativa
Controle 2
Descrio da
Vulnerabilidade 2
Tipo
Ameaa 2
A02
...
Descrio
A02
...
Descrio
Ameaa 2
Tipo
Ameaa 1
Tipo
Ameaa 2
Descrio
Ameaa 1
Descrio
Ameaa 2
...
...
Descrio da
Vulnerabilidade
...
...
Descrio Controle
1
Situao /
Justificativa
Controle 1
Descrio da
Vulnerabilidade 1
...
Descrio Controle
2
Situao /
Justificativa
Controle 2
Descrio da
Vulnerabilidade 2
...
...
...
...
...
...
...
...
...
...
...
...
Figura 31. Template do Mapa de Riscos Ativos, Ameaas, Controles e

Vulnerabilidades
SLTI OE1:RM2
RESERVADO
Pgina 88 de 140
RESERVADO
Mapa de Riscos
Ativos
Ameaas
Cdigo.
Descrio
do Ativo
Tipo de
Ameaa
(tipo de
ameaa
selecionado
da lista)
A01
Processo
avaliao
RDA
Comprometi
mento da
informao
Aes no
autorizadas
Controles
Descrio da
ameaa
(descrio
informao
editada)
Extravio do
documento
sigiloso RDAYZ.doc
Acesso de no
autorizados no
ambiente fsico
RdaR
Descrio do
controle (lista de
controles)
Vulnerabilidades
Situao /
Justificativa
(Situao: seleo,
Justificativa:
informao editada)
Descrio da
Vulnerabilidade
Conscientizao
mesa limpa
No Implementado
Maior probabilidade do
extravio de documentos
e equipamentos
Fechadura
mecnica
Totalmente
Implementado
Nenhuma
Cmara
monitoramento.
Parcialmente
Implementado
cmera VGA, pouco
ntida img.
Risco de no ter
desempenho adequado
Poltica e
procedimentos de
controle acesso
Parcialmente
Implementado
procedimentos
informais
Risco de procedimentos
no serem seguidos
Fechadura
mecnica
Totalmente
Implementado
Nenhuma
Cmara
monitoramento.
No Implementado
Impedimento de
identificar responsveis
por invases.
Falhas
tcnicas
Sistema de
apoio RDA-AB
pouco confivel
Realizar teste de
software
Parcialmente
Implementado
teste no
sistemtico.
Problemas de
disponibilidade e
integridade de
informaes sensveis
Comprometi
mento de
funes
Abuso de
diretos de
acesso ao
sistema RDACD
Realizar teste de
segurana
Totalmente
Implementado
Nenhuma
Figura 32. Exemplo de Mapa de Riscos Ativos, Ameaas, Controles e

Vulnerabilidades
8.3 Subprocesso Estimar Riscos (ER)

Este subprocesso trata da estimao dos riscos identificados no subprocesso
anterior (IR). A estimao visa a compreender as consequncias caso as
ameaas aos ativos ocorram de fato, definindo quantitativamente o nvel das
SLTI OE1:RM2
RESERVADO
Pgina 89 de 140
RESERVADO
consequncias. Trata tambm de ponderar sobre quais so as chances de que

as ameaas se tornem realidade.
A estimao de riscos realizada por meio das seguintes atividades:
Identificar e avaliar consequncias;
Avaliar probabilidades; e
Estimar nvel de risco.
Figura 33. Subprocesso Estimar Riscos
8.3.1 Atividade 1. Identificar e avaliar consequncias

Descrio da atividade: Nesta atividade so identificadas e avaliadas as
possveis consequncias de riscos (ameaas que se concretizam e provocam
danos em ativos). As consequncias podem ter impacto em ativos, na
organizao e em pessoas. Esta anlise deve ser feita para cada ativo no
SLTI OE1:RM2
RESERVADO
Pgina 90 de 140
RESERVADO
escopo da GRSI e para cada ameaa ao ativo. O resultado da anlise deve

refletir a extenso do dano causado pela perda de atributos de segurana
(confidencialidade, integridade e disponibilidade), associados ao ativo, caso a
ameaa se concretize (ocorra uma violao de segurana).
Devem ser considerados impactos diretos (exemplo: custo de reposio e
atrasos devido a um equipamento roubado) e os indiretos (exemplo: violao
de contratos devido aos atrasos, ou divulgao de informaes pessoais
presentes no equipamento roubado).
A avaliao deve considerar diferentes tipos de possveis consequncias como,
por exemplo:
Violao da legislao;
Violao de contratos;
Problemas jurdicos;
Prejuzo no desempenho;
Prejuzo para a reputao e credibilidade;
Violao de informaes pessoais;
Violao de informaes confidenciais;
Prejuzo ordem pblica;
Perdas financeiras;
Interrupo de servios;
Custos em termos de equipamentos, pessoal, especialistas;
Danos materiais;
Perigo sade e vida;
Perda de clientes ou fornecedores.
SLTI OE1:RM2
RESERVADO
Pgina 91 de 140
RESERVADO
O responsvel pela estimativa de riscos deve considerar as seguintes fontes de

informao em sua anlise:
A lista de possveis tipos de consequncias (como a anterior). A ferramenta

de apoio MGR-SISP deve fornecer uma lista de consequncias a serem
selecionadas;
Informaes histricas sobre incidentes. O conhecimento sobre o impacto

para a organizao em situaes anteriores em que incidentes ocorreram
(ameaas que se concretizaram afetando ativos do tipo em questo);
O conhecimento dos responsveis pelo ativo e informaes;
Importante notar que o nvel de consequncia quando um risco se

concretiza
tambm
afetado
pelo
estado
atual
dos
controles
implementados na organizao. Isto , o responsvel pela estimativa de

consequncias deve levar em conta os controles j estabelecidos para
refletir o fato de que as consequncias so menores se controles eficazes
existem, e maiores caso contrrio.
Nesta anlise o responsvel pela estimativa deve classificar o nvel de

severidade de consequncias, para a organizao e para pessoas, de
incidentes de segurana associados ao ativo (perda de confidencialidade,
perda de integridade, ou perda de disponibilidade).
Por meio de questes-chave, fornecidas pela ferramenta de apoio MGRSISP, o responsvel pela avaliao de consequncias far a classificao de
impacto de violao de segurana (incidente) provocada pela ameaa ao ativo,
em uma das opes abaixo:
Consequncia Muito Baixa (MB);
Consequncia Baixa (B);
Consequncia Moderada (M);
Consequncia Alta (A);
Consequncia Muito Alta (MA).
SLTI OE1:RM2
RESERVADO
Pgina 92 de 140
RESERVADO
Cada atributo de segurana (confidencialidade, integridade e disponibilidade)

contemplado separadamente, portanto o responsvel pela atividade realizara
trs anlises distintas para cada ameaa e ativo.
As trs anlises para uma ameaa e ativo (uma para cada atributo de
segurana) so consolidadas por meio de uma funo C = F(CC, CI, CD),
sendo, C: Consequncia, CC: Consequncia relativa Confidencialidade; CI:
Consequncia
relativa
Integridade;
CD:
Consequncia
relativa
Disponibilidade; F: Funo de consolidao de consequncias. A MGR-SISP

define que a consequncia resultante o maior valor entre CC, CI e CD (C =
Max(CC,CI,CD)).
Importante destacar que os valores CC, CI, CD, alm do valor C devem ser
registrados, pois esta informao til para se definirem os controles a serem
aplicados para tratar riscos (no subprocesso Tratar Riscos).
A seguir fornecido um exemplo de questo e de classificao que podem ser
utilizados para guiar a avaliao de consequncias em relao ao atributo
disponibilidade.
Questo: Como avaliado o nvel de seriedade de consequncias da ameaa
ao ativo em relao disponibilidade?
Classes:
Consequncia Muito Baixa (MB): nenhum servio ou atividade afetado;
Consequncia Baixa (B): poucos servios ou atividades de menor

importncia so afetados, pode provocar atrasos desprezveis;
Consequncia Moderada (M): alguns servios ou atividades so afetados,

podendo causar atrasos significativos;
Consequncia Alta (A): servios essenciais so afetados, provocando

atrasos graves e danos elevados;
Consequncia Muito Alta (MA): servios essenciais so afetados

severamente, gerando danos muito elevados e atrasos intolerveis.
SLTI OE1:RM2
RESERVADO
Pgina 93 de 140
RESERVADO
O resultado desta atividade a estimativa de consequncia (impacto), para

cada risco (uma ameaa a um ativo), alocando-o em uma classe Muito Baixa
(MB); Baixa (B); Moderada (M); Alta (A); Muito Alta (MA).
Para cada classificao de consequncia o responsvel pela avaliao de
consequncias deve descrever o motivo da classificao, alm de detalhar as
consequncias do risco para ativos, para a organizao, para pessoas, ou para
outras organizaes. Isto especialmente importante para os riscos com
consequncias mais severas.
Caso seja possvel estimar quantitativamente a consequncia, este valor deve
ser documentado. Por exemplo, nos seguintes termos:
Custo financeiro de reposio ou reparo do ativo;
Custo financeiro de operaes suspensas;
Tempo para investigao e reparo;
Tempo de trabalho perdido.
SLTI OE1:RM2
RESERVADO
Pgina 94 de 140
RESERVADO
Figura 34. Atividade Identificar e Avaliar consequncias
Tarefa 1.1: Indicar o incio da identificao e avaliao de consequncias.

Quando uma unidade da organizao finalizou todas as atividades do
subprocesso Identificar Riscos, o Gestor de Riscos indica o incio do
subprocesso Estimar Riscos, com a execuo da atividade de Identificar e
Avaliar Consequncias. Os responsveis pelas unidades so comunicados da
necessidade de identificar e avaliar consequncias de riscos associadas aos
ativos da unidade e so informados prazos estimados para a realizao da
tarefa.
Tarefa 1.2: Identificar e avaliar consequncias
SLTI OE1:RM2
RESERVADO
Pgina 95 de 140
RESERVADO
Como j descrito, devem ser identificadas e avaliadas as possveis

consequncias de riscos (ameaas que se concretizam e provocam danos em
ativos). Para cada risco deve ser identificada a classe de consequncia Muito
Baixa (MB); Baixa (B); Moderada (M); Alta (A); Muito Alta (MA) em relao a
cada atributo de segurana (confidencialidade, integridade e disponibilidade).
Deve-se tambm detalhar as consequncias e fornecer justificativas de
classificao.
Tarefa 1.3: Avaliar as informaes sobre as consequncias dos riscos.

Depois de ser notificado do final do cadastro de consequncias em cada
fato.
Condio para incio: Mapa de Riscos atualizado.

Informaes necessrias: Mapa de Riscos. Informaes sobre incidentes de
segurana, informaes sobre os processos de negcio da organizao e dos
ativos que os suportam.
Condio para ser finalizada: consequncias dos riscos identificadas e
estimadas
Informaes produzidas: Mapa de Riscos atualizado com consequncias de
cada risco descritas e estimadas.
SLTI OE1:RM2
RESERVADO
Pgina 96 de 140
RESERVADO

s respectivas ameaas, e as consequncias. Para cada risco (ativo e ameaa)
so apresentados os valores estimados de consequncia para cada atributo de
segurana (confidencialidade, integridade e disponibilidade), os valores totais
de consequncia, e os detalhamentos (tipos e descries de consequncias).
A Figura 36 apresenta um exemplo.
Mapa de Riscos
Ativos
Ameaas
Consequncias
Tipo de
Ameaa (tipo
de ameaa
selecionado
da lista)
Descrio da
ameaa
(descrio
informao
editada)
Confidencialida
de
Integridade
A01
Descrio
A01
Tipo Ameaa
1
Descrio
Ameaa 1
Valor
C1
Valor
I1
Tipo Ameaa
2
Descrio
Ameaa 2
Valor
C2
Valor
I2
...
...
...
...
...
...
...
...
...
...
Total (mdia)
Descrio
do Ativo
Disponibilidade
Cdi
go.
Tipo de
Consequncia
(tipo de
consequncia
selecionado da
lista)
Descrio da
Consequncia
(descrio
informao
editada)
Valor
D1
Mdia
(C,I,D)
1
Tipo
Consequncia
1
Descrio
Consequncia 1
Valor
D2
Mdia
(C,I,D)
2
Tipo
Consequncia
2
Descrio
Consequncia 2
...
...
...
...
...
...
...
...
Figura 35. Template do Mapa de Riscos Ativos, Ameaas e Consequncias
SLTI OE1:RM2
RESERVADO
Pgina 97 de 140
RESERVADO
Mapa de Riscos
Ativos
Ameaas
Consequncias
Tipo de
Ameaa (tipo
de ameaa
selecionado
da lista)
Descrio da
ameaa
(descrio
informao
editada)
Integridade
Disponibilidade
A01
Processo
avaliao
RDA
Comprometi
mento da
informao
Extravio do
documento
sigiloso RDAYZ.doc
10
7.66
(8)
Aes no
autorizadas
Acesso de
no
autorizados
no ambiente
fsico RdaR
Falhas
tcnicas
Sistema de
apoio RDAAB pouco
confivel
Total (mdia)
Descrio
do Ativo
Confidencialida
de
Cdi
go.
Tipo de
Consequncia
(tipo de
consequncia
selecionado da
lista)
Descrio da
Consequncia
(descrio
informao
editada)
Violao de
informaes
confidenciais.
Problemas
jurdicos.
Informaes
sigilosas de
clientes
divulgadas.
Risco de
processos.
Atrasos.
Danos
materiais.
Danos aos 2 PCs

do ambiente.
Prejuzo no
desempenho
Interrupo do
processo RDAAB.
Atrasos.
Figura 36. Exemplo de Mapa de Riscos Ativos, Ameaas e Consequncias
8.3.2 Atividade 2. Avaliar probabilidades

Descrio da atividade: Nesta atividade so avaliadas as probabilidades de
que ocorra uma violao de segurana (isto que as ameaas que se
concretizam e provocam danos em ativos). Assim como a avaliao de
consequncias (atividade anterior), esta anlise deve ser feita para cada ativo
no escopo da GRSI e para cada ameaa ao ativo.
A avaliao de probabilidade deve refletir o quo frequentemente a ameaa
ocorre e o quo facilmente as vulnerabilidades so exploradas no ativo. Mais
precisamente deseja-se estimar a probabilidade conjunta dos acontecimentos:
A probabilidade de um evento ameaa seja provocado (para aes

causadas
propositalmente),
ou
ocorra
(para
aes
causadas
acidentalmente);
SLTI OE1:RM2
RESERVADO
Pgina 98 de 140
RESERVADO
A probabilidade de que o evento, uma vez iniciado, ir resultar em impactos

adversos para as operaes da organizao, seus ativos, pessoas, ou
outras organizaes.
Embora sejam dois acontecimentos distintos, a metodologia MGR-SISP trata a

probabilidade como um valor nico para facilitar a anlise.
Esta avaliao pode ser baseada nos seguintes elementos:
Informaes estatsticas gerais sobre a probabilidade de incidentes de

segurana;
Informaes da organizao sobre histrico de ocorrncia de incidentes de

segurana (frequncia, ou periodicidade de ocorrncia);
Informaes da organizao sobre a frequncia ou a periodicidade de

ocorrncia de uma ameaa especfica e da explorao das vulnerabilidades
associadas;
Para
aes
causadas
propositalmente:
as
fontes
de
ameaa;
caractersticas de capacidade da fonte em causar danos; caractersticas de

inteno e motivao de fonte em causar danos; percepo exterior da
atratividade e vulnerabilidade do ativo; facilidade para converter a
explorao da vulnerabilidade do ativo em uma recompensa.
Para aes causadas acidentalmente: fatores geogrficos propensos a

gerar problemas; fatores que podem favorecer erros humanos, ou falhas de
equipamentos.
Importante notar que o nvel de probabilidade de um risco se concretizar

tambm afetado pelo estado atual dos controles implementados na
organizao. Isto , o responsvel pela estimativa de probabilidades deve
levar em conta os controles j estabelecidos para refletir o fato de que as
probabilidades so menores se controles eficazes existem, e maiores caso
contrrio.
O responsvel pela avaliao deve fazer a classificao do nvel de

probabilidade de violao de segurana provocada pela ameaa ao ativo, em
SLTI OE1:RM2
RESERVADO
Pgina 99 de 140
RESERVADO
uma das opes: Muito Baixa (MB); Baixa (B); Moderada (M); Alta (A); Muito
Alta (MA).
Abaixo um exemplo de diretriz para classificao, configurvel no subprocesso
Estabelecer Contexto.
Probabilidade Muito Baixa (MB). Altamente improvvel, ocorre menos de

uma vez a cada 10 anos;
Probabilidade Baixa (B). Improvvel, ocorre menos que uma vez a cada
ano e mais do que uma vez a cada 10 anos;
Probabilidade Moderada (M). Provvel, ocorre entre 1 e 10 vezes por ano;
Probabilidade Alta (A). Alto. Altamente provvel, ocorre entre 10 e 100

vezes ao ano;
Probabilidade Muito Alta (MA). Quase certo, Ocorre mais do que 100 vezes
ao ano.
O resultado da avaliao de probabilidade a atribuio de uma classe de

probabilidade para cada risco (ameaa a um ativo) analisado.
SLTI OE1:RM2
RESERVADO
Pgina 100 de 140
RESERVADO
Figura 37. Atividade Avaliar Probabilidades
Tarefa 2.1: Indicar o incio da avaliao de probabilidades.

Depois de uma unidade identificar e avaliar as consequncias o Gestor de
Riscos indica para esta unidade o incio da segunda atividade do subprocesso
Estimar Riscos, com a execuo da atividade de Avaliar Probabilidades. Os
responsveis pelas unidades so comunicados da necessidade de avaliar as
probabilidades de riscos associadas aos ativos da unidade e so informados
prazos estimados para a realizao da tarefa.
Tarefa 2.2: Avaliar probabilidades

Como
tratado
na
descrio
da
atividade,
devem
ser
avaliadas
as
probabilidades dos riscos (probabilidade de que as ameaas se concretizem e
SLTI OE1:RM2
RESERVADO
Pgina 101 de 140
RESERVADO
provoquem danos em ativos). Para cada risco deve ser identificada a classe de
probabilidade Muito Baixa (MB); Baixa (B); Moderada (M); Alta (A); Muito Alta
(MA). Deve-se tambm fornecer justificativas de classificao.
Tarefa 2.3: Avaliar as informaes sobre as probabilidades dos riscos.

Depois de ser notificado do final do cadastro de probabilidades em cada
fato.

Informaes necessrias: Mapa de Riscos. Informaes estatsticas sobre
incidentes. Informaes histricas de incidentes na organizao.
Condio para ser finalizada: probabilidades dos riscos identificadas e
estimadas
Informaes produzidas: Mapa de Riscos atualizado com as probabilidades
de cada risco descritas e estimadas.
s respectivas ameaas, e s consequncias, incluindo descries e o total
estimado (obtido na atividade anterior). Para cada risco (ativo e ameaa) e
mostrada a probabilidade estimada.
SLTI OE1:RM2
RESERVADO
Pgina 102 de 140
RESERVADO

Mapa de Riscos
A01
Tipo Ameaa
1
Descrio
Ameaa 1
Tipo Ameaa
2
Descrio
Ameaa 2
...
...
...
...
...
Descrio
A01
...
Tipo de
Consequncia
(tipo de
consequncia
selecionado da
lista)
Tipo
Consequncia
1
Tipo
Consequncia
2
...
...
Consequncias
Descrio da
Consequncia
(descrio
informao
editada)
Probabilidades
Probabilidade
de ocorrncia
(Prob)
Ameaas
Tipo de
Descrio da
Ameaa (tipo
ameaa
de ameaa
(descrio
selecionado
informao
da lista)
editada)
Total
Consequncia
(Cnq)
Ativos
Cdi
Descrio
go.
do Ativo
Descrio
Consequncia
1
Descrio
Consequncia
2
Cnq 1
Prob 1
Cnq 2
Prob 2
...
...
...
...
...
...

Probabilidades
Mapa de Riscos
Processo
avaliao
RDA
Ameaas
Tipo de
Descrio da
Ameaa (tipo
ameaa
de ameaa
(descrio
selecionado
informao
da lista)
editada)
Comprometi
mento da
informao
Extravio do
documento
sigiloso RDAYZ.doc
Aes no
autorizadas
Acesso de
no
autorizados
no ambiente
fsico RdaR
Sistema de
apoio RDAAB pouco
confivel
Falhas
tcnicas
...
...
...
...
Tipo de
Consequncia
(tipo de
consequncia
selecionado da
lista)
Violao de
informaes
confidenciais.
Problemas
jurdicos.
Danos
materiais.
Prejuzo no
desempenho
...
Consequncias
Descrio da
Consequncia
(descrio
informao
editada)
Probabilidades
Probabilidade
de ocorrncia
(Prob)
A01
Ativos
Descrio
do Ativo
Total
Consequncia
(Cnq)
Cdi
go.
Informaes
sigilosas de
clientes
divulgadas.
Risco de
processos.
Atrasos.
Danos aos 2
PCs do
ambiente.
Interrupo do
processo RDAAB.
Atrasos.
...
...
...

Probabilidades
SLTI OE1:RM2
RESERVADO
Pgina 103 de 140
RESERVADO
8.3.3 Atividade 3. Estimar nvel de risco

Descrio da atividade: Esta atividade consolida as estimativas de
consequncia (Atividade 1) e as estimativas de probabilidade (Atividade 2). O
objetivo de obter para cada risco, um valor numrico que considere
conjuntamente consequncias e probabilidades, indicando a sim o nvel de
gravidade dos riscos.
O nvel de cada risco calculado pela ferramenta de apoio MGR-SISP a
partir
das
estimativas
feitas
anteriormente
para
consequncias
probabilidades.
Para uma dada ameaa a um ativo o nvel de risco calculado pela aplicao
da Tabela 4. Como j explicado anteriormente (subprocesso Estabelecer
Contexto), a linha superior mostra a classificao de probabilidade e a coluna
esquerda mostra a classificao de consequncias (pesos entre parnteses).
Os valores interiores representam os nveis de risco estimados em cada
situao.
Consequncia
Probabilidade
Muito baixa
Baixa
Moderada
Alta
Muito alta
Muito baixa
Baixa
Moderada
Alta
Muito alta
Tabela 4. Tabela classificao de riscos nveis de risco por classes de

consequncias e de probabilidades
Portanto o nvel de risco pode assumir valores entre 1 (consequncia e

probabilidade muito baixas) e 9 (consequncia e probabilidade muito altas).
SLTI OE1:RM2
RESERVADO
Pgina 104 de 140
RESERVADO
O resultado desta atividade um Mapa de Riscos, cada risco identificando:

ativo, ameaa ao ativo, estimativa de consequncia, justificativa para a
estimativa de consequncia, estimativa de probabilidade, e nvel de risco.
Figura 40. Atividade Estimar Nvel de Risco
Tarefa 3.1: Estimar o nvel de risco.

Depois de cada unidade da organizao finalizar as avaliaes de
consequncias e de probabilidades o Gestor de Riscos consolida as
estimativas de nvel de risco, o que feito com o uso da Ferramenta de Apoio
MGR-SISP. as estimativas consolidadas devem ser comunicadas aos
responsveis pelas unidades e/ou proprietrios de ativos.
Tarefa 3.2: Apreciar os resultados de riscos estimados.
SLTI OE1:RM2
RESERVADO
Pgina 105 de 140
RESERVADO
Os responsveis pelas unidades e os proprietrios de ativos devem tomar

cincia dos riscos estimados. Esta cincia deve ser registrada.

Informaes necessrias: Mapa de Riscos atualizado.
Condio para ser finalizada: Nvel dos riscos estimados.
Informaes produzidas: Mapa de Riscos atualizado com as estimativas do
nvel de cada risco.
s respectivas ameaas, e s consequncias, incluindo descries e o total
estimado, assim como as probabilidades de ocorrncia (estimadas na atividade
anterior). Para cada risco (ativo e ameaa) e mostrado o nvel de risco
estimado a partir das consequncias e das probabilidades.
SLTI OE1:RM2
RESERVADO
Pgina 106 de 140
RESERVADO

Mapa de Riscos
Probabilidades
Riscos
Probabilidade
de ocorrncia
(Prob)
Risco -Rsc
(Cnq X Prob)
Ameaas
Total
Consequncia
(Cnq)
Ativos
Consequncias
Cnq 1
Prob 1
Rsc 1
Cdi
go.
Descrio
do Ativo
Tipo de
Ameaa
(tipo de
ameaa
selecionad
o da lista)
Descrio
da ameaa
(descrio
informao
editada)
Tipo de
Consequncia
(tipo de
consequncia
selecionado da
lista)
Descrio da
Consequncia
(descrio
informao
editada)
A01
Descrio
A01
Tipo
Ameaa 1
Descrio
Ameaa 1
Tipo
Consequncia
1
Descrio
Consequncia
1
Tipo
Ameaa 2
Descrio
Ameaa 2
Tipo
Consequncia
2
Descrio
Consequncia
2
Cnq 2
Prob 2
Rsc 2
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
Figura 41. Template do Mapa de Riscos Ativos, Ameaas, Consequncias,

Probabilidades e Riscos
Mapa de Riscos
Probabilidades
Riscos
Risco -Rsc
(Cnq X Prob)
Consequncias
Descrio da
Consequncia
(descrio
informao
editada)
Probabilidade
de ocorrncia
(Prob)
Ameaas
Total
Consequncia
(Cnq)
Ativos
64
Cdi
go.
Descrio
do Ativo
Tipo de
Ameaa
(tipo de
ameaa
selecionad
o da lista)
Descrio
da ameaa
(descrio
informao
editada)
Tipo de
Consequncia
(tipo de
consequncia
selecionado da
lista)
A01
Processo
avaliao
RDA
Compromet
imento da
informao
Extravio do
documento
sigiloso
RDAYZ.doc
Violao de
informaes
confidenciais.
Problemas
jurdicos.
Informaes
sigilosas de
clientes
divulgadas.
Risco de
processos.
Atrasos.
Aes no
autorizadas
Acesso de
no
autorizados
no
ambiente
fsico RdaR
Danos
materiais.
Danos aos 2
PCs do
ambiente.
10
Falhas
tcnicas
Sistema de
apoio RDAAB pouco
confivel
Prejuzo no
desempenho
Interrupo do
processo RDAAB.
Atrasos.
40
Figura 42. Exemplo de Mapa de Riscos Ativos, Ameaas, Consequncias,

Probabilidades e Riscos
SLTI OE1:RM2
RESERVADO
Pgina 107 de 140
RESERVADO
8.4 Subprocesso Avaliar Riscos (AR)

Neste ponto do processo de gesto de riscos h uma viso mais clara de quais
ameaas existem para os ativos no escopo da gesto de riscos, e do quanto
estes ativos esto protegidos por meio de controles. J foi tambm estimado o
nvel dos riscos, resultantes de consequncias e probabilidades apuradas.
Este subprocesso trata da avaliao dos riscos identificados e estimados no
subprocesso anterior. O Mapa de Riscos e as respectivas estimativas de nvel
so utilizados neste subprocesso para direcionar decises sobre o tratamento
de riscos. O objetivo identificar os riscos mais expressivos e estabelecer
estratgias de resposta a estes.
Figura 43. Subprocesso Avaliar Riscos
SLTI OE1:RM2
RESERVADO
Pgina 108 de 140
RESERVADO
A avaliao de riscos realizada por meio das seguintes atividades:
8.4.1 Atividade 1. Classificar os riscos

Descrio da atividade: Nesta atividade feita a classificao de riscos e
criada uma lista ordenada dos riscos, o que permite distinguir visualmente os
riscos mais relevantes.
A classe de cada risco, assim como o nvel de cada risco (atividade anterior),
definido por meio de uma tabela, j descrita anteriormente e reproduzida
abaixo (Tabela 5). Os valores interiores representam os nveis de risco
estimados em cada situao (atividade anterior), enquanto as letras e as cores
internas definem diferentes classes para o tratamento de riscos.
Consequncia
Probabilidade
Muito baixa
Muito baixa
(MB)
Baixa
(MB)
Moderada
Alta
Muito alta
(B)
4 (B)
5
(M)
Baixa
2
Moderada
(MB)
3 (B)
4
(B)
(A)
Muito alta
(B)
(B)
(M)
(B)
(M)
(A)
6 (A)
(A)
5 (M)
5 (M)
Alta
(A)
7 (A)
(A)
(MA)
(MA)
(MA)
7
8
Tabela 5. Tabela classificao de riscos classes de risco por classes de

consequncias e de probabilidades
As seguintes classes de risco so estabelecidas na tabela:
Risco Muito Baixo (MB): nvel de risco entre 1 e 2;
Risco Baixo (B): nvel de risco entre 3 e 4;
Risco Moderado (M): nvel de risco igual a 5;
Risco Alto (A): nvel de risco entre 6 e 7;
Risco Muito Alto (MA): nvel de risco entre 8 e 9.
SLTI OE1:RM2
RESERVADO
Pgina 109 de 140
RESERVADO
A ferramenta de apoio MGR-SISP auxilia na identificao da classe de cada

risco comparando cada risco calculado com o definido na tabela de
classificao de riscos
Como resultado, definida a classe de cada risco (MB: Muito Baixo; B: Baixo;
M: Moderado; A: Alto; MA: Muito Alto) e criada uma lista ordenada dos riscos
de maior nvel para os riscos de menor nvel. A Figura 44 mostra o fluxo da
atividade.
Figura 44. Atividade Classificar Riscos
SLTI OE1:RM2
RESERVADO
Pgina 110 de 140
RESERVADO
Tarefa 1.1: Classificar os Riscos.

Depois de consolidar as estimativas de nvel de risco o Gestor de Riscos
realiza a classificao dos riscos, o que feito com o uso da Ferramenta de
Apoio MGR-SISP. Os riscos consolidados e classificados devem ser
comunicados aos Responsveis pelas Unidades e/ou Proprietrios de Ativos e
tambm aos Representantes da Alta Administrao.
Tarefa 1.2: Apreciar os resultados de riscos classificados.

Os responsveis pelas unidades e os proprietrios de ativo devem tomar
cincia dos riscos classificados. Esta cincia deve ser registrada.
Tarefa 1.3: Avaliar as informaes sobre os riscos classificados.

Depois de ser notificado de que os riscos encontram-se consolidados e
classificados o Representante da Alta Administrao deve avaliar as
informaes.
Importante destacar que o Representante da Alta Administrao (com apoio do
Gestor de Riscos e tambm dos Responsveis por Unidades) o responsvel
por decidir sobre a necessidade (ou no) de se levantar mais informaes
antes de iniciar o tratamento de riscos.
Caso sejam identificadas inconsistncias ou informaes insuficientes, deve
ser indicada a necessidade de reexecutar atividades anteriores, inclusive
atividades de outros subprocessos (Estabelecer Contexto, Identificar Riscos, ou
Estimar Riscos). Isto pode ser necessrio, por exemplo, para refinar
informaes sobre riscos em unidades mais crticas, ou para corrigir possveis
discrepncias das anlises feitas em diferentes unidades da organizao.
SLTI OE1:RM2
RESERVADO
Pgina 111 de 140
RESERVADO
Responsvel: Representante da Alta Administrao. Apoio do Gestor de

Riscos e dos Responsveis por Unidades.
Condio para incio: atividades do subprocesso de estimao de riscos

realizadas.
Consequncias
probabilidades
identificadas,
descritas
estimadas.
Informaes necessrias: Mapa de Riscos atualizado onde cada item do
mapa define: ativo, ameaa ao ativo, estimativa de consequncia, justificativa
para a estimativa de consequncia, estimativa de probabilidade, e nvel de
risco.
Condio para ser finalizada: Riscos classificados e ordenados por nvel de
risco.
Informaes produzidas: estimativas do nvel de cada risco associados aos
itens do Mapa de Riscos. Cada item do mapa define: ativo, ameaa ao ativo,
estimativa de consequncia, justificativa para a estimativa de consequncia,
estimativa de probabilidade, nvel de risco, e classe de nvel de risco (MB:
Muito Baixo; B: Baixo; M: Moderado; A: Alto; MA: Muito Alto).
s respectivas ameaas, e as descries de consequncias. Para cada risco
(ativo e ameaa) e mostrado o nvel de risco estimado e a respectiva
classificao de riscos (Muito Baixo, Baixo, Moderado, Alto, ou Muito Alto). O
Mapa de Riscos ordenado do risco maior para o menor.
SLTI OE1:RM2
RESERVADO
Pgina 112 de 140
RESERVADO

Mapa de Riscos
Ativos
Ameaas
Consequncias
Riscos Ordenados e
Classificados
Cdi
go.
Descrio
do Ativo
Tipo de
Ameaa
(tipo de
ameaa
selecionad
o da lista)
Descrio
da ameaa
(descrio
informao
editada)
Tipo de
Consequncia (tipo de
consequncia
selecionado da lista)
Risco -Rsc
(Cnq X Prob)
Classe dos
riscos - CLRsc
(MB, B, M, A,
MA)
A01
Descrio
A01
Tipo
Ameaa 1
Descrio
Ameaa 1
Tipo
Consequncia 1
Descrio
Consequncia 1
Rsc 1
CL Rsc 1
Tipo
Ameaa 2
Descrio
Ameaa 2
Tipo
Consequncia 2
Descrio
Consequncia 2
Rsc 2
CL Rsc 2
...
...
...
...
...
...
...
...
...
...
...
...
Descrio da
Consequncia
(descrio
informao
editada)
...
...

Riscos Ordenados e Classificados
Mapa de Riscos
Ativos
Ameaas
Consequncias
Riscos Ordenados e
Classificados
Cdi
go.
Descrio
do Ativo
Tipo de
Ameaa
(tipo de
ameaa
selecionad
o da lista)
Descrio
da ameaa
(descrio
informao
editada)
Tipo de
Consequncia (tipo de
consequncia
selecionado da lista)
Risco -Rsc
(Cnq X Prob)
Classe dos
riscos - CLRsc
(MB, B, M, A,
MA)
Descrio da
Consequncia
(descrio
informao
editada)
Cdi
go.
A01
Processo
avaliao
RDA
Compromet
imento da
informao
Extravio do
documento
sigiloso
RDAYZ.doc
Violao de
informaes
confidenciais.
Problemas jurdicos.
Informaes sigilosas
de clientes
divulgadas.
Risco de processos.
Atrasos.
64
Alto
Falhas
tcnicas
Sistema de
apoio RDAAB pouco
confivel
Prejuzo no
desempenho
Interrupo do
processo RDA-AB.
Atrasos.
40
Moderado
Aes no
autorizadas
Acesso de
no
autorizados
no
ambiente
fsico RdaR
Danos materiais.
Danos aos 2 PCs do

ambiente.
10
Baixo

Riscos Ordenados e Classificados
SLTI OE1:RM2
RESERVADO
Pgina 113 de 140
RESERVADO
8.5 Subprocesso Tratar Riscos (TR)

Neste subprocesso todas as anlises realizadas e informaes obtidas so
utilizadas na tomada de deciso sobre como a organizao ir agir em relao
aos riscos.
O tratamento de risco envolve a tomada de deciso sobre uma ou mais opes
de tratamento. Estas opes so descritas a seguir.
Reduo de riscos. O nvel de risco deve ser reduzido pela seleo e

implementao de controles, de modo que o risco residual possa ser reavaliado
como sendo aceitvel. Em geral, controles devem fornecer uma ou mais dos
seguintes tipos de proteo: Correo; Eliminao; Preveno; Minimizao de
impacto;
Dissuaso;
Deteco;
Recuperao;
Monitoramento;
ou
Conscientizao.
Reteno (aceitao) de riscos. Trata-se da deciso de reter o risco sem

maiores aes. Se o nvel dos riscos satisfaz o critrio de aceitao, no existe
necessidade de implementar controles adicionais e o risco pode ser retido. A
deciso deve ser registrada formalmente e justificada.
Transferncia de riscos. Trata-se de transferir o risco para outra parte externa,

que pode ser feita pela contratao de um seguro, que ir apoiar em relao s
consequncias do risco, ou por subcontratao de servios.
Evitar riscos. Quando riscos identificados e so considerados muito altos, ou se

os custos de implementao de outro tratamento de risco excedem os
benefcios, a deciso deve ser feita para evitar risco por completo, pela retirada
de forma planejada de atividades existentes.
Algumas diretrizes para o tratamento de riscos:
Quando uma reduo significativa de riscos pode ser obtida com custos
relativamente baixos, esta opo deve ser implementada;
SLTI OE1:RM2
RESERVADO
Pgina 114 de 140
RESERVADO
As consequncias e a probabilidade dos riscos devem ser minimizadas tanto

quanto possvel, considerando nveis tratveis de custo;
Deve-se considerar de forma especial eventos raros, mas que causam

consequncias muito graves;
As quatro opes para o tratamento de risco no so mutuamente exclusivas.

Em alguns casos, a organizao pode combinar mais de uma opo;
Alguns tratamentos de riscos podem atingir mais que um risco.
A escolha do tratamento de riscos deve levar em conta os resultados da

estimativa de consequncias analisando de forma separada cada atributo de
segurana (confidencialidade, integridade, disponibilidade). Deve ser priorizado
a implantao de controles que tratam o atributo definido como mais crtico.
Tambm importante levar em considerao o esforo e as restries que

podem envolver o tratamento do risco. Para tanto, este subprocesso foi dividido
em trs atividades, cada qual com suas tarefas.
Figura 47. Subprocesso Tratar Riscos
SLTI OE1:RM2
RESERVADO
Pgina 115 de 140
RESERVADO
8.5.1 Atividade 1. Estimar recursos para o tratamento de riscos

Descrio da atividade: Depois de estabelecido o Mapa de Riscos, assim
como definidas as classes risco (Muito Baixo; Baixo; Moderado; Alto; Muito
Alto), podem ser consideradas restries que potencialmente afetam as
decises sobre o tratamento de riscos, por exemplo, custos e prazos.
Neste sentido, os riscos precisam passar por uma anlise preliminar a fim de
estimar a ordem de grandeza de custos, esforo, do prazo e se existem
restries para o tratamento do risco.
Para cada risco do Mapa de Riscos deve ser recuperada a informao
levantada na atividade identificar controles (protees) existentes, do
subprocesso Identificar Riscos. Devem ser identificados:
Os controles aplicveis para o risco;
Para cada controle, a situao da implementao do controle:

o
a) No implementado;
b) Parcialmente implementado;
c) Totalmente implementado, ou;
d) No se aplica, ou desnecessrio.
Deve ser feita uma estimativa do custo, esforo e de prazo para implementar
os controles identificado nas situaes a (No implementado) e b (Parcialmente
implementado). Esses controles, se implementados e/ou complementados,
podem reduzir a exposio do ativo ao risco.
Importante notar que a anlise descrita acima (identificar controles ainda no
implementados,
ou
parcialmente
implementados)
abrange
diferentes
alternativas de tratamento, associadas aos diferentes controles. Tipicamente

controles agem Reduzindo Riscos, ou Transferindo Riscos. importante
registrar o custo, esforo e prazo estimados para cada alternativa de controle
SLTI OE1:RM2
RESERVADO
Pgina 116 de 140
RESERVADO
que possa ser utilizada para um risco especfico, seja ele para reduzir o risco,
ou para transferir o risco.
O resultado desta atividade a associao de uma Estimativa de Custo,
Estimativa de Esforo, Estimativa de Prazo e de Restries para cada risco
presente no Mapa de Riscos e para cada alternativa de controle.
Deste modo a sada desta atividade o Mapa de Riscos, onde cada linha
apresenta as informaes: ativo; ameaa ao ativo; estimativa de consequncia;
justificativa para a estimativa de consequncia; estimativa de probabilidade;
nvel de risco; e para cada alternativa de controle: estimativa de custo para
tratamento; estimativa de esforo; estimativa de prazo para tratamento;
restries.
Caso sejam estimados recursos para as alternativas: Transferir o Risco, ou
Evitar o Risco, esta informao tambm e fornecida como sada desta
atividade.
SLTI OE1:RM2
RESERVADO
Pgina 117 de 140
RESERVADO
Figura 48. Atividade Estimar Recursos
SLTI OE1:RM2
RESERVADO
Pgina 118 de 140
RESERVADO
Tarefa 1.1: Indicar o incio da estimativa de recursos para o tratamento de

riscos.
Depois de finalizada a atividade classificar riscos, devem ser realizadas as
estimativas para as opes de tratamento de riscos. Os responsveis pelas
unidades so comunicados da necessidade de realizar estas estimativas e so
informados prazos estimados para a realizao da tarefa.
Tarefa 1.2: Estimar custo do tratamento.

Estimar custos de implementao dos controles para tratar o risco.
Responsvel: Responsveis pelas Unidades, Proprietrios de Ativos. Apoio do
Gestor de Riscos.
Tarefa 1.3: Estimar esforo do tratamento.

Estimar o quanto de esforo necessrio para implementar cada controle.
Gestor de Riscos.
Tarefa 1.4: Estimar prazo do tratamento.

Estimar o prazo de tratamento para cada risco.
Gestor de Riscos.
Tarefa 1.5: Levantar restries que podem impactar o tratamento.

Identificar se existe alguma restrio que impacte na escolha do tratamento do
risco.
Gestor de Riscos.
SLTI OE1:RM2
RESERVADO
Pgina 119 de 140
RESERVADO
Tarefa 1.6: Avaliar as estimativas de recursos para o tratamento de riscos.

Depois de ser notificado do final das estimativas para tratamento de riscos em
cada unidade, estas informaes devem ser avaliadas. Caso o Gestor de
Riscos identifique inconsistncias, deve indicar o fato ao responsvel pela
unidade e fornecer uma descrio do problema. O responsvel pela unidade
receber uma notificao e a descrio do problema para que possa corrigi-lo.
O passo anterior ocorre at que Gestor de Riscos aprove as informaes e
registre este fato.
Condio para incio: necessrio o Mapa de Riscos atualizado e os

controles que podem ser implementados.
Informaes necessrias: Informaes histricas sobre custo, esforo e
tempo parta implementao de controles. Avaliaes de especialistas ou de
representantes de setores / proprietrios de ativos
Condio para ser finalizada: estimativas relacionadas a todos os controles
estabelecidas e restries identificadas
Informaes produzidas: Mapa de Riscos atualizado com as estimativas para
cada controle, restries identificadas.
s respectivas ameaas, e aos riscos ordenados e classificados. Para cada
risco so apresentados os controles aplicveis. Cada controle descrito e
fornecida a sua situao de implementao (no implementado, parcialmente
implementado, totalmente implementado, ou no se aplica). A cada controle
so associadas estimativas para a implementao (custo, classe de esforo,
prazo) e so apresentadas as restries.
SLTI OE1:RM2
RESERVADO
Pgina 120 de 140
RESERVADO

Mapa de Riscos
Ativos
Ameaas
Riscos
Ordenados e
Classificados
Prazo (Prz)
Restries (Rst)
Descrio
Controle 1
Situao /
Justificativa
Controle 1
Prz 1
Rst 1
Descrio
Controle 2
Situao /
Justificativa
Controle 2
Esf 2
Prz 2
Rst 2
...
...
...
...
...
Descrio
Controle 1
Situao /
Justificativa
Controle 1
Esf 1
Prz 1
Rst 1
Descrio
Controle 2
Situao /
Justificativa
Controle 2
Esf 2
Prz 2
Rst 2
CL Rsc
1
Esf 1
Rsc 1
Esforo (Esf) Baixo

Mdio, Alto,
Descrio
Ameaa 1
Cst 2
Tipo
Ameaa 1
Cst 1
Descrio
A01
Situao /
Justificativa
(Situao:
seleo,
Justificativa:
informao
editada)
Cst 2
A01
Descrio do
controle (lista
de controles)
Cst 1
Descrio
da ameaa
(descrio
informao
editada)
...
...
...
...
...
Tipo
Ameaa 2
...
...
...
...
Descrio
Ameaa 2
...
...
Rsc 2
...
...
CL Rsc
2
...
...
Estimativas /
Restries
Custo (Cst)
Tipo de
Ameaa
(tipo de
ameaa
selecionad
o da lista)
Classe dos riscos CLRsc

(MB, B, M, A, MA)
Descrio
do Ativo
Risco -Rsc
(Cnq X Prob)
Cdi
go.
Controles
...
...
...
...
...
...
...
...
Figura 49. Template do Mapa de Riscos Ativos, Ameaas, Riscos Ordenados,

Controles e Estimativas para tratamento
SLTI OE1:RM2
RESERVADO
Pgina 121 de 140
RESERVADO
Mapa de Riscos
Ativos
Ameaas
Parcialmente
Implementado
cmera VGA,
pouco ntida
img.
Realizar teste
de software
Parcialmente
Implementado
teste no
sistemtico.
Realizar teste
de segurana
Totalmente
Implementado
Poltica e
procedimento
s de controle
acesso
Parcialmente
Implementado
procedimentos
informais
45 Dias
Fechadura
mecnica
Totalmente
Implementado
Cmara
monitorament
o.
Totalmente
Implementado
Restries (Rst)
Cmara
monitorament
o.
120 Dias
Totalmente
Implementado
Prazo (Prz)
20 Dias
150 Dias
Equipe
interna
Baixo
Fechadura
mecnica
Mdio
10
Mdio
No
Implementado
Alto
Acesso de
no
autorizados
no
ambiente
fsico RdaR
40
Conscientiza
o mesa
limpa
Baixo
Aes no
autorizadas
Sistema de
apoio RDAAB pouco
confivel
Alto
1.000 R$
Falhas
tcnicas
64
Mdio
Extravio do
documento
sigiloso
RDAYZ.doc
Esforo (Esf) Baixo

Mdio, Alto,
Compromet
imento da
informao
Situao /
Justificativa
(Situao:
seleo,
Justificativa:
informao
editada)
3.000 R$
Processo
avaliao
RDA
Descrio do
controle (lista
de controles)
15.000 R$
Cdi
go.
A01
Estimativas /
Restries
10.000 R$
Descrio
da ameaa
(descrio
informao
editada)
Controles
Custo (Cst)
Tipo de
Ameaa
(tipo de
ameaa
selecionad
o da lista)

(MB, B, M, A, MA)
Descrio
do Ativo
Risco -Rsc
(Cnq X Prob)
Cdi
go.
Riscos
Ordenados e
Classificados
Figura 50. Exemplo de Mapa de Riscos Ativos, Ameaas, Riscos Ordenados,

Controles e Estimativas para tratamento
8.5.2 Atividade 2. Decidir sobre alternativas de reposta aos riscos

Descrio da atividade: Nesta atividade cada risco do Mapa de Riscos
analisado para determinar a resposta adequada.
SLTI OE1:RM2
RESERVADO
Pgina 122 de 140
RESERVADO
Depois de finalizada a atividade de Estimar Recursos para o Tratamento dos

Riscos, devem ser realizadas decises sobre como trat-los. Esta deciso deve
considerar os riscos priorizados por nveis (Muito Baixo; Baixo; Moderado; Alto;
Muito Alto) as opes de tratamento opo de tratamento (Reduzir os Riscos;
Reter os Riscos; Transferir os Riscos; ou Evitar os Riscos) e as estimativas
feitas para a implementao dos controles (custo, esforo, tempo e restries).
Figura 51. Atividade decidir sobre alternativas de resposta aos riscos
Tarefa 2.1: Decidir sobre aes de tratamento e monitoramento dos riscos.

Cada risco deve ser selecionado para anlise, um por vez. Com o auxlio da
Ferramenta de Apoio MGR-SISP deve ser identificado o nvel do risco e o
SLTI OE1:RM2
RESERVADO
Pgina 123 de 140
RESERVADO
tratamento recomendado para este nvel, cadastrado no subprocesso

Estabelecer Contexto.
Uma opo de tratamento (Reduzir os Riscos; Reter os Riscos; Transferir os
Riscos; ou Evitar os Riscos) deve ser selecionada e uma justificativa deve ser
fornecida. A opo por Reduzir os Riscos vista como a soluo mais comum
a ser adotada na maior parte das situaes.
Deve tambm ser registrada a necessidade (ou no) de monitorar o risco e,
caso positivo, a periodicidade para o monitoramento.
Quando feita a opo por Reduzir os Riscos os controles referentes a cada
risco devem ser visualizados. Cada controle possui um estado de
implementao (No implementado; Parcialmente implementado; Totalmente
implementado; No se aplica; ou Desnecessrio) e so mostradas as
estimativas feitas na atividade anterior para a implementao do controle
(custo, esforo, tempo e restries).
O Gestor de Riscos deve ento selecionar para cada risco um ou mais
controles a serem implementados.
Depois de realizados estes passos o Gestor de Riscos deve comunicar todas
as informaes e decises aos Responsveis por Unidades.
Tarefa 2.2: Avaliar informaes e decises sobre o tratamento dos riscos.

Os responsveis por unidades devem avaliar as informaes e decises sobre
tratamento de cada risco no escopo da unidade. Caso sejam identificadas
inconsistncias ou inadequaes, os responsveis por unidades devem
apontar a necessidade de revisar as informaes e fornecer uma descrio das
questes identificadas.
Responsvel: Responsveis por Unidades, Proprietrios de Ativos.
Tarefa 2.3: Compartilhar informaes e decises sobre o tratamento dos
riscos.
SLTI OE1:RM2
RESERVADO
Pgina 124 de 140
RESERVADO
O Gestor de Riscos deve receber retornos dos responsveis por unidades e

realizar as correes e ajustes necessrios nas informaes e decises sobre
o tratamento dos riscos. Em seguida as informaes devem ser compartilhadas
com os tomadores de deciso para a avaliao e aprovao da atividade
realizada.
Tarefa 2.4: Avaliar estrategicamente informaes e decises sobre o

tratamento dos riscos.
Depois de ser notificado de que informaes e decises sobre o tratamento de
riscos esto estabelecidas o Representante da Alta Administrao deve avaliar
estas informaes e decises.
O Representante da Alta Administrao (com respaldo da anlise tcnica feita
pelo Gestor de Riscos e pelos Responsveis por Unidades) o responsvel
por decidir sobre a adequao das opes definidas para tratar os riscos.
Caso alguma opo de tratamento no esteja de acordo com a viso
estratgica da Alta Administrao pode ser necessrio revisar ou refinar
decises anteriores.
Nestes casos o Gestor de Riscos deve ser informado da necessidade de
revisar decises e devem ser fornecidas descries das questes identificadas
pela Alta Administrao.
Informaes necessrias: Quais so as prioridades, custo e o tempo para a

implementao de cada alternativa do tratamento de risco. Objetivos da GRSI
na organizao
Condio para ser finalizada: Para que esta tarefa seja finalizada,
importante que todos os riscos tenham sua opo de tratamento selecionada,
bem como elaborada a justificativa da escolha.
SLTI OE1:RM2
RESERVADO
Pgina 125 de 140
RESERVADO
Informaes produzidas: Mapa de Riscos atualizado com o tratamento

selecionado e a justificativa da escolha e o responsvel pelo tratamento.
Tambm gerada uma lista com os riscos aceitos e suas justificativas.
s respectivas ameaas, e aos riscos ordenados e classificados. Para cada
risco so apresentados os controles aplicveis. Cada controle descrito e
fornecida a sua situao de implementao. Para cada risco (ativo e ameaa)
indicada a prioridade de opes para o tratamento (1: prioridade maior).
Justificativas descrevem as escolhas. Para os tratamentos a serem realizadas
so associados Planos de Tratamento de Riscos (PTRs).
Ativos
Ameaas
A01
Descrio
A01
Tipo
Ameaa 1
Descrio
Ameaa 1
...
Tipo
Ameaa 2
Descrio
Ameaa 2
Rsc 2
CL Rsc
2
Descrio
Controle 1
Descrio
Controle 2
...
...
Plano de
Tratamento de
Risco (PTR)
Descrio
da ameaa
(descrio
informao
editada)
Tratamento de
Riscos
Opo de
tratamento Op
(ordem 1, 2, 3, ...)
Tipo de
Ameaa
(tipo de
ameaa
selecionad
o da lista)
Classe dos riscos

- CLRsc
(MB, B, M, A, MA)
Descrio
do Ativo
Risco -Rsc
(Cnq X Prob)
Cdi
go.
Mapa de Riscos
Riscos
Controles
Ordenados e
Classificados
Descrio do
Situao /
controle (lista
Justificativa
de controles)
(Situao:
seleo,
Justificativa:
informao
editada)
Rsc 1
CL Rsc Descrio
Situao /
1
Controle 1
Justificativa
Controle 1
Descrio
Situao /
Controle 2
Justificativa
Controle 2
Op 1
PTR 1
Op 2
PTR 2
...
...
...
Situao /
Justificativa
Controle 1
Situao /
Justificativa
Controle 2
Op 1
PTR 3
Op 2
PTR 4
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
Figura 52. Template do Mapa de Riscos Ativos, Ameaas, Riscos, Controles e

Informaes de Tratamento
SLTI OE1:RM2
RESERVADO
Pgina 126 de 140
RESERVADO
Mapa de Riscos
Ativos
Ameaas
A01
Processo
avaliao
RDA
Compromet
imento da
informao
Extravio do
documento
sigiloso
RDAYZ.doc
Falhas
tcnicas
Aes no
autorizadas
Sistema de
apoio RDAAB pouco
confivel
Acesso de
no
autorizados
no
ambiente
fsico RdaR
64
Alto
40
10
Mdio
Baixo
Tratamento de
Riscos
Descrio do
controle (lista
de controles)
Situao /
Justificativa
(Situao:
seleo,
Justificativa:
informao
editada)
Plano de
Tratamento de
Risco (PTR)
Descrio
da ameaa
(descrio
informao
editada)
Controles
Opo de
tratamento Op
(ordem 1, 2, 3, ...)
Tipo de
Ameaa
(tipo de
ameaa
selecionad
o da lista)

(MB, B, M, A, MA)
Descrio
do Ativo
Risco -Rsc
(Cnq X Prob)
Cdi
go.
Riscos
Ordenados e
Classificados
Conscientiza
o mesa
limpa
No
Implementado
1 - Obs:
mais
eficaz
PTRRDA-1
Fechadura
mecnica
Totalmente
Implementado
Cmara
monitorament
o.
Parcialmente
Implementado
cmera VGA,
pouco ntida
img.
2 Obs:
pouco
efetiva
Realizar teste
de software
Parcialmente
Implementado
teste no
sistemtico.
PTRRDA-1
Realizar teste
de segurana
Totalmente
Implementado
Poltica e
procedimento
s de controle
acesso
Parcialmente
Implementado
procedimentos
informais
PTRRDA-1
Fechadura
mecnica
Totalmente
Implementado
Cmara
monitorament
o.
Totalmente
Implementado
Figura 53. Exemplo de Mapa de Riscos Ativos, Ameaas, Riscos, Controles e

Informaes de Tratamento
8.5.3 Atividade 3. Implementar a reposta aos riscos

Descrio da atividade: Nesta atividade o Gestor de Riscos deve criar
condies para que os riscos sejam tratados, sendo assim devem ser criados
os Planos de Tratamento de Riscos (PTRs).
Cada PTR deve agrupar aes voltadas ao tratamento de riscos comuns. Por
exemplo, um PTR pode agrupar um conjunto de aes de melhoria de
SLTI OE1:RM2
RESERVADO
Pgina 127 de 140
RESERVADO
segurana
serem
implementadas
em
uma
unidade
especfica
da
organizao.
Para cada PTR deve ser definido: escopo; unidade da organizao; controles a
serem implementados; descrio de aes necessrias; responsvel pela
execuo; data de incio; e data prevista para trmino.
O Gestor de Riscos deve alocar a execuo dos PTRs aos responsveis e
acompanhar a execuo (parte do subprocesso Monitorar Riscos). A Figura 54
mostra o fluxo da atividade.
Figura 54. Atividade Implementar Respostas aos Riscos
SLTI OE1:RM2
RESERVADO
Pgina 128 de 140
RESERVADO
Tarefa 3.1: Iniciar e monitorar o tratamento de riscos.

Depois de decididas e aprovadas as respostas aos riscos necessrio realizar
aes para efetivar estas respostas.
Cada risco deve ser selecionado para anlise, um por vez. Para cada risco a
ser tratado o Gestor de Riscos deve associar um Plano de Tratamento de
Riscos (PTR) que aborde o risco. Um PTR pode abordar mais de um risco.
Deve ser definido e comunicado um responsvel pela elaborao de cada
PTR. Tipicamente o responsvel pelo PTR deve ser um Responsvel por
Unidade ou um Proprietrio de Ativo.
O Gestor de Riscos deve monitorar o estado da execuo de cada PTR junto
aos responsveis designados.
Ao ser comunicado do final da implementao de um PTR o Gestor de Riscos
deve avaliar as evidncias fornecidas pelo responsvel pelo PTR e atualizar no
o estado de implementao dos controles tratados no PTR usando a
Ferramenta de Apoio MGR-SISP.
Tarefa 3.2: Elaborar e executar os Planos de Tratamento de Riscos (PTRs).

O responsvel designado para um PTR deve levantar informaes sobre o
risco a ser tratado (ativos, ameaas, opes de tratamento, controles a serem
implementados, estimativas e restries). Este responsvel deve elaborar o
PTR com o detalhamento das aes a serem tomadas e com estimativas, que
podem ser refinadas caso necessrio. O prprio designado para um PTR pode
executar o tratamento, ou pode alocar esta responsabilidade a outros.
O responsvel pelo PTR deve avaliar periodicamente a execuo tratamento e
informar o progresso da implementao (em percentual realizado).
Ao final da implementao do PTR, o responsvel deve avaliar a correo dos
controles estabelecidos por meio de verificaes e testes e deve fornecer uma
SLTI OE1:RM2
RESERVADO
Pgina 129 de 140
RESERVADO
descrio sobre as aes realizadas. Alm disso, o responsvel deve anexar

uma evidncia da correta implementao dos controles previstos no PTR.
Responsvel: Responsvel por um Plano de Tratamento de Riscos (PTRs).
Tipicamente ser um Responsvel por Unidade ou um Proprietrio de Ativo.
Tarefa 3.3: Avaliar evidncias do sucesso dos tratamentos e atualizar o estado

dos controles.
Ao ser comunicado do final da implementao de um PTR o Gestor de Riscos
deve avaliar as evidncias fornecidas pelo responsvel pelo PTR. Caso o
Gestor de Riscos no aprove o Tratamento do Risco e as evidncias
fornecidas, deve ser indicada ao responsvel pelo PTR a necessidade de
realizar aes adicionais. Isto ocorre at que o tratamento e as evidncias
sejam satisfatrias.
O Gestor de Riscos deve atualizar o estado de implementao dos controles
tratados no PTR usando a Ferramenta de Apoio MGR-SISP.
O Gestor de Riscos deve comunicar ao Representante da Alta Administrao
dos resultados do Tratamento de Riscos.
Tarefa 3.4: Avaliar estrategicamente informaes e decises sobre o

tratamento dos riscos.
O Representante da Alta Administrao deve acompanhar o progresso do
tratamento de riscos por meio da Ferramenta de Apoio MGR-SISP. Caso
necessrio o Gestor de Riscos pode prover informaes mais especficas
sobre cada PTR.
O Representante da Alta Administrao (com respaldo da anlise tcnica feita
pelo Gestor de Riscos e pelos Responsveis por Unidades) o responsvel
por decidir sobre se o tratamento de riscos realizado suficiente, ou se outras
aes so necessrias.
SLTI OE1:RM2
RESERVADO
Pgina 130 de 140
RESERVADO
Neste ponto de deciso atividades de subprocessos anteriores podem ser

reexecutadas, se o julgamento indicar a necessidade de realizar outras aes
para tratar os riscos.
Nestes casos, o Gestor de Riscos deve ser informado da necessidade de
revisar decises e devem ser fornecidas descries das questes identificadas
pela Alta Administrao.
Condio para incio: Mapa de Riscos atualizado da atividade anterior.

Informaes necessrias: Escopo; Descrio de aes necessrias e
controles a serem implementados; conhecimento tcnico especfico sobre a
implementao de controles; Responsvel pela execuo; Estimativas para o
tratamento de riscos.
Condio para ser finalizada: necessrio que o Gestor de Risco valide o
tratamento de risco.
Informaes produzidas: Mapa de Riscos atualizado com os Planos de
Tratamento de Riscos que sero entregues aos responsveis, contendo as
justificativas e o tempo para que o tratamento de risco seja concretizado. Os
subprocessos Comunicar Riscos e Monitorar Riscos tambm recebem
informaes inerentes a esta atividade.

A Figura 55 mostra um modelo de PTR Plano de Tratamento de Riscos.
Cada PTR possui um identificador e refere-se a um setor da organizao. So
identificados os responsveis pela execuo e pela elaborao do PTR. So
listados os riscos a serem tratados no escopo do PTR, identificando Ativos,
Ameaas, Descrio o Tratamento, Estimativas, e detalhamento de Aes. So
fornecidas datas para acompanhamento do PTR.
SLTI OE1:RM2
RESERVADO
Pgina 131 de 140
RESERVADO

PTR Plano de Tratamento de Riscos
Unidade:
Identificador:
Responsveis
Responsvel pela definio do PTR
Nome:
Telefone:
e-mail:
Responsvel pela execuo do PTR

Nome:
Telefone:
e-mail:
Ativo
Ameaa
Riscos a serem tratados

Estimativas/Restries
Descrio do tratamento
Custo
Esforo
Prazo
Restries
a ser realizado
(Cst)
(Esf)
(Prz)
(Rst)
Datas
Data Prevista para a Finalizao:
Data de Incio:
Aes para o
tratamento
Data de Finalizao:
Figura 55. Template do PTR - Plano de Tratamento de Riscos
Identificador: PTR RDA-1
PTR Plano de Tratamento de Riscos

Unidade: DMPS
Responsvel pela execuo do PTR

Nome:
Telefone:
e-mail:
Carlos
6623
Carlos@apf.gov
Ativo
Processo
avaliao
RDA
Processo
avaliao
RDA
Processo
avaliao
RDA
Ameaa
Extravio do
documento
sigiloso RDAYZ.doc
Responsveis
Responsvel pela definio do PTR
Nome:
Telefone:
e-mail:
Marcos
6123
marcos@apf.gov
Riscos a serem tratados

Estimativas/Restries
Descrio do
tratamento a ser
Custo
Esforo
Prazo Restries
realizado
(Cst)
(Esf)
(Prz)
(Rst)
10.000
120
Mdio
X
Conscientizao
R$
Dias
mesa limpa
Sistema de
apoio RDA-AB
pouco confivel
Realizar teste
sistemtico de
software
Acesso de no
autorizados no
ambiente fsico
RdaR
Implementar Poltica e
procedimentos de
controle acesso
15.000
R$
Alto
150
Dias
Equipe
interna
3.000
R$
Mdio
45
Dias
Aes para o
tratamento
Definir
procedimento
Treinamento
Monitoramento
Treinamento
Alocar recursos
Planejar teste
Executar teste
Definir
procedimento
Treinamento
Monitoramento
Datas
Data de Incio: 05/06/2015
Data Prevista para a Finalizao: 19 /06/2015
Data de Finalizao: 19 /06/2015
Figura 56. Exemplo de PTR - Plano de Tratamento de Riscos
SLTI OE1:RM2
RESERVADO
Pgina 132 de 140
RESERVADO
8.6 Subprocesso Comunicar Riscos (CR)

Este subprocesso define como ser realizada a comunicao entre os atores
que fazem parte do processo de GSRI. As atividades relacionadas a este
subprocesso visam tornar a comunicao um procedimento eficaz. Este
subprocesso se desenvolve simultaneamente com os demais subprocessos e
as atividades so executadas durante todo o processo de gesto de riscos. A
comunicao de riscos deve atender aos seguintes requisitos:
Fornecer garantia do resultado da gesto de risco da organizao;
Coletar informaes sobre o risco;
Compartilhar os resultados da anlise e avaliao de riscos e apresentar os

planos de tratamento de riscos;
Dar suporte ao processo decisrio;
Dar aos tomadores de deciso e as partes interessadas um senso de

responsabilidade sobre os riscos.
Para isso, as seguintes atividades so executadas no decorrer de um processo

de Gesto de Risco:
Atividade 1 - Mapear e estabelecer comunicao com as partes interessadas.

Atividade realizada uma nica vez no inicio do subprocesso estabelecer
contexto. O Gestor de riscos estabelece os procedimentos de comunicao
com as partes interessadas.
Atividade 2 - Compartilhar com os tomadores de deciso informaes,

resultados e sadas de todas as atividades que envolvam a GRSI.
Esta atividade realizada pelo Gestor de Riscos em grande parte dos
subprocessos. Ela tem por objetivo coletar informaes de todas as atividades
dentro de um subprocesso e reporta-las s partes interessadas.
Atividade 3 - Avaliar e validar informaes estratgicas.
SLTI OE1:RM2
RESERVADO
Pgina 133 de 140
RESERVADO
Algumas atividades requerem que o Representante da Alta Administrao

avalie e valide as informaes que foram produzidas de forma que, caso seja
necessrio, a atividade seja reexecutada. As atividades em que ocorre este
tipo de comunicao so as seguintes:
Atividade definir os objetivos, o escopo e as restries;
Atividade realizar pr-anlise da organizao;
Atividade realizar pr-anlise das unidades da organizao;
Atividade definir critrios;
Atividade classificar riscos;
Atividade definir sobre alternativas de resposta aos riscos;
Atividade implementar respostas aos riscos.
SLTI OE1:RM2
RESERVADO
Pgina 134 de 140
RESERVADO
Figura 57. Subprocesso Monitorar Riscos
SLTI OE1:RM2
RESERVADO
Pgina 135 de 140
RESERVADO
8.7 Subprocesso Monitorar Riscos (MR)

O subprocesso Monitorar Riscos tem por objetivo monitorar os resultados aps
a anlise de riscos. Novas ameaas, novas vulnerabilidades e novos ativos,
podem alterar ou ampliar os riscos anteriormente avaliados, tornando
necessrio o monitoramento.
Tambm faz parte desse subprocesso o acompanhamento do tratamento dos
riscos, para assegurar que as medidas de resposta aos riscos planejadas
sejam adequadamente implementadas.
Como
no
subprocesso
anterior,
este
subprocesso
se
desenvolve
simultaneamente com os demais subprocessos e as atividades so executadas

durante todo o processo de gesto de riscos, sendo assim, as seguintes
atividades fazem parte deste subprocesso:
Atividade 1 Monitorar a implementao do Tratamento de Riscos.

Monitorar os riscos que esto em processo de tratamento, ou seja, se o PTR
est sendo seguido. Isto inclui:
o
Se o PTR est dentro do prazo estabelecido para a implementao;
Se o PTR foi finalizado, verificar se foram realizados testes para aferir a

efetividade do controle.
Essas informaes precisam ser coletadas pelo Gestor de Riscos.
Atividade 2 Monitorar riscos.

Monitorar os riscos de modo geral, ou seja, todos os riscos que compem o
Mapa de riscos precisam ser monitorados. Isto inclui:
o
No caso de riscos aceitos (retidos), avaliar periodicamente se h

alteraes que justifiquem outro tratamento.
No caso de riscos reduzidos, ou transferidos, avaliar periodicamente a

efetividade dos controles implementados pela execuo dos PTRs.
Essas informaes precisam ser coletadas pelo Gestor de Riscos.
SLTI OE1:RM2
RESERVADO
Pgina 136 de 140
RESERVADO
Atividade 3 Monitorar alteraes que impactam no resultado da anlise de

riscos.
Monitorar procedimentos e novas informaes que possam impactar ou alterar
os resultados da Anlise Risco de modo geral. A atividade abrange todas as
informaes que possam alterar o contexto geral da avaliao dos riscos. Isto
inclui:
o
Novos ativos, substitudos ou descartados;
Restries ou escopo que foram modificados;
Alteraes na valorao dos ativos;
Novas ameaas e vulnerabilidades;
Incidentes de segurana que podem ocorrer aps a anlise de risco.
Essas informaes precisam ser repassadas para o Gestor de Riscos.
Figura 58. Subprocesso Monitorar Riscos
SLTI OE1:RM2
RESERVADO
Pgina 137 de 140
RESERVADO
9 Consideraes Finais
Este documento apresentou a proposta de metodologia denominada
Metodologia de Gesto de Riscos de Segurana da Informao do SISP, ou
MGR-SISP. Esta metodologia visa a sistematizar e padronizar a gesto de
riscos na Administrao Pblica Federal APF. Almeja-se contribuir para a
implantao de boas prticas de Segurana da Informao e para a
racionalizao de investimentos nesta rea.
A MGR-SISP composta pelos subprocessos: Estabelecer Contexto;
Identificar Riscos; Estimar Riscos; Avaliar Riscos; Tratar Riscos; Comunicar
Riscos e; Monitorar Riscos. Cada subprocesso formado por atividades e
tarefas que visam atingir objetivos parciais especficos no processo de gesto
de riscos. A metodologia incorpora prticas eficazes e bem sucedidas,
apresentando caractersticas de modelos como ISO/IEC 27005, ISO/IEC
27002, ISO 31000, IT-Grundschutz Methodology - BSI Standard 100-2, NIST
800-39, e NIST 800-30.
A
MGR-SISP
compatvel
com
Norma
Complementar
04/IN01/DSIC/GSIPR, que estabelece diretrizes para o processo de Gesto de

Riscos de Segurana da Informao e Comunicaes e busca contemplar os
aspectos
de
segurana,
conceitos
prticas,
tratados
em
Normas
Complementares, Instrues Normativas, decretos e portarias do Governo

Brasileiro.
Em qualquer iniciativa de desenvolvimento de metodologias, fundamental
a realizao de ajustes. Espera-se que a MGR-SISP descrita neste documento,
evolua no sentido de se tornar efetivamente adequada s necessidades da
APF. Para tanto so previstas aes, tais como: A avaliao com especialistas
nas reas envolvidas e a realizao de projetos-piloto. Importante destacar
tambm que a especificao e o desenvolvimento da ferramenta de apoio
MGR-SISP permitir o detalhamento de alguns pontos prticos da aplicao da
metodologia.
SLTI OE1:RM2
RESERVADO
Pgina 138 de 140
RESERVADO
10 Referncias
ABNT ISO GUIA 73: 2009, Gesto de riscos Vocabulrio.
(Canongia e outros, 2010): Claudia Canogia, Admilson Gonalves Jnior,
Raphael Mandarino Junior (organizadoress) "Guia de referncia para a
Segurana das Infraestruturas Crticas da Informao. Verso 01 Nov./2010."
Presidncia
da
Repblica.
Disponvel
em:
http://dsic.planalto.gov.br.
Consultado em Maio, 2015.

ISO/IEC 27005, Information technology Security techniques Information
security risk management, ISO/IEC 2011.
ISO/IEC 27002, Information technology Security techniques Code of
pratice for information security management, ISO/IEC 2013.
ISO 31000, Risk management Principles and guidelines, ISO 2009.
ISO 31010, Risk management Risk assessment guidelines, ISO 2009.
IT-Grundschutz Methodology, BSI Standard 100-2, Version 2.0, Maio 2008,
www.bsi.bund.de
National Institute of Standards and Technology NIST (EUA). NIST 800-39
Managing
Information
Security
Risk.
Disponvel
em:
<http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf>.
Consultado em Maio, 2015.
(NIST 800-30, 2011). National Institute of Standards and Technology NIST
(EUA). NIST 800-30 Guide for Conducting Risk Assessment, Setembro,
2011. Disponvel em: <http://csrc.nist.gov/publications/nistpubs/800-39/SP80030-final.pdf>. Consultado em Maio, 2015.
SLTI OE1:RM2
RESERVADO
Pgina 139 de 140
RESERVADO
(Yoo e outros, 2007) Dong-Young Yoo, Jong-Whoi Shin, Gang Shin Lee, and
Jae-I Lee. Improve of Evaluation Method for Information Security Levels of
CIIP (Critical Information Infrastructure Protection), International Scholarly and
Scientific Research & Innovation 1(12), 2007, World Academy of Science,
Engineering and Technology.
SLTI OE1:RM2
RESERVADO
Pgina 140 de 140

GEstão de Risco em TI PDF

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

GEstão de Risco em TI PDF

Enviado por

Direitos autorais:

Formatos disponíveis

RESERVADO

METODOLOGIA DE GESTO DE RISCOS DE SEGURANA DA

Fundao de Apoio Capacitao em TI Facti

Metodologia de gesto de riscos de segurana da

Controle de Verso do Documento

Figura 30. Atividade Identificar Vulnerabilidades ................................................... 85

Figura 55. Template do PTR - Plano de Tratamento de Riscos ........................ 132

Apresentao do documento .............................................................................. 8

Termos e definies .......................................................................................... 11

Normas e regulamentaes relacionadas .......................................................... 14

MGR-SISP: Escopo de aplicao e principais caractersticas ............................... 17

Forma de estruturao e de representao ....................................................... 24

Viso geral da metodologia .............................................................................. 25

Atividade monitorar os riscos. ............................................................................ 39

Detalhamento da metodologia ......................................................................... 41

Consideraes Finais....................................................................................... 138

Referncias .................................................................................................. 139

Este documento apresenta a primeira verso da Metodologia de Gesto

probabilidade e consequncia de um risco.

Incidentes de segurana da informao: Evento, ou srie de eventos

Transferncia do risco: Compartilhamento com outra entidade do nus

4 Normas e regulamentaes relacionadas

Norma Complementar n 11/IN01/DSIC/GSIPR, Estabelece diretrizes para

Norma Complementar n 21/IN01/DSIC/GSIPR, Estabelece as Diretrizes

5 MGR-SISP: Escopo de aplicao e principais caractersticas

Esta seo apresenta uma viso geral da Metodologia de Gesto de

04/IN01/DSIC/GSIPR, que estabelece diretrizes para o processo de Gesto de

03/IN01/DSIC/GSIPR); direcionar o gestor de riscos a implementar de

Representantes da Alta Administrao da organizao, que devem

Responsveis pela gesto de segurana da informao, que executaro

Responsveis por avaliar as informaes produzidas pela gesto de

Responsveis pelas reas da organizao nas quais a metodologia de

desejvel tambm que a organizao realize anlises internas, voltadas

Definir o propsito dos investimentos em segurana da informao. O

documentado e aprovado por

denominado Poltica de Segurana da Informao da organizao [Norma

Para a gesto de riscos ser necessrio identificar os setores da

Identificar profissionais com os perfis adequados aos papis necessrios

a metodologia/ferramenta apoia os profissionais na identificao de

A gesto de riscos pode ocorrer em diferentes nveis de detalhamento,

Figura 1. Nveis de atuao para a gesto de riscos.

acesso nas dependncias da

Furto de documentos nas

Falta de poltica de mesa

Instituir uma poltica de mesa

mesas dos funcionrios

Implementar criptografia nos

documentos sigilosos nos

texto em claro nos meios

O servidor de Helpdesk tem

Servio de acesso remoto

Um atacante pode conectar

conectar-se na rede local

seu notebook na rede local

acesso lgico na rede local

Atualizar o servio de E-mail e

de voto eletrnico no dia

Tabela 1. Ameaas, Vulnerabilidades e Controle, por nvel de atuao

A Figura 2 ilustra a atuao da gesto de segurana nos diversos nveis.

Figura 2. Nveis de atuao para a gesto de riscos e elementos da organizao

6 Forma de estruturao e de representao

7 Viso geral da metodologia