NBR Iso 27005 PDF

ABNT/CB-21
PROJETO 21:027.00-017
MARO:2008
Tecnologia da informao Tcnicas de segurana Gesto de riscos de

segurana da informao
APRESENTAO
1) Este 1 Projeto foi elaborado pela Comisso de Estudo de Tecnologia da Informao - CE21:027 do Comit Brasileiro de Computadores e Processamento de Dados - ABNT/CB-21, nas
reunies de:
25.07.2008
13.12.2008
03.03.2008
2) Previsto para ser equivalente ISO/IEC 27005:2008;

3) No tem valor normativo;
4) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta
informao em seus comentrios, com documentao comprobatria
5) Tomaram parte na elaborao deste Projeto:
Participante
Modulo
Representante
Alberto Bastos
Edison Bastos
Geraldo Ferreira
Helcio Tonnera
Marcelo Gherman
Nlio Gaspar
Rafael Roseira
Rosangela Caubit
CQSI
Ariosto Farias Junior
Banco do Nordeste
Francisco Jos
CEMIG
Lucas Lanna
PETROBRAS
Jos Luiz
Murilo Felix
UNISYS
Marcelo Martins
NO TEM VALOR NORMATIVO
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Tecnologia da informao Tcnicas de segurana Gesto de riscos de

Information technology Security techniques Information security risk management
Palavras-chave:
Descriptors:
Sumrio
Introduo
2
1
Escopo
2
2
Referncias normativas
2
3
Termos e definies
3
4
Organizao da Norma
4
5
Contextualizao
5
6
Viso geral do processo de gesto de riscos de segurana da informao
6
7
Definio do contexto
8
7.1 Consideraes Gerais
8
7.2 Critrios bsicos
9
7.3 Escopo e limites
11
7.4 Organizao para gesto de riscos de segurana da informao
11
8
Anlise/avaliao de riscos de segurana da informao
12
8.1 Descrio geral do processo de anlise/avaliao de riscos de segurana da
informao
12
8.2 Anlise de riscos
13
8.3 Avaliao de riscos
20
9
Tratamento do risco de segurana da informao
21
9.1 Descrio geral do processo de tratamento do risco
21
9.2 Reduo do risco
22
9.3 Reteno do risco
24
9.4 Ao de evitar o risco
24
9.5 Transferncia do risco
24
10 Aceitao do risco de segurana da informao
24
11 Comunicao do risco de segurana da informao
25
12 Monitoramento e anlise crtica de riscos de segurana da informao
26
12.1
Monitoramento e anlise crtica dos fatores de risco
26
12.2
Monitoramento, anlise crtica e melhoria do processo de gesto de riscos
27
Anexo A (informativo) Definindo o escopo e os limites do processo de gesto de riscos
de segurana da informao
29
Anexo B (informativo) Identificao e valorao dos ativos e avaliao do impacto
34
Anexo C (informativo) Exemplos de ameaas comuns
45
Anexo D (informativo) Vulnerabilidades e mtodos de avaliao de vulnerabilidades 48
Anexo E (informativo) Diferentes abordagens para anlise/avaliao de riscos de
54
Anexo F (informativo) Restries que afetam a reduo do risco
61
Bibliografia
63
1/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional de Normalizao. As Normas Brasileiras,
cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos de Normalizao
Setorial (ABNT/ONS) e das Comisses de Estudo Especiais (ABNT/CEE), so elaboradas por Comisses de
Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores
e neutros (universidades, laboratrios e outros).
Os Documentos Tcnicos ABNT so elaborados conforme as regras das Diretivas ABNT, Parte 2.
A Associao Brasileira de Normas Tcnicas (ABNT) chama ateno para a possibilidade de que alguns dos
elementos deste documento podem ser objeto de direito de patente. A ABNT no deve ser considerada
responsvel pela identificao de quaisquer direitos de patentes.
A ABNT NBR ISO/IEC 27005 foi elaborada no Comit Brasileiro de Computadores e Processamento de Dados
(ABNT/CB-21), pela Comisso de Estudo de Tecnologia da Informao (CE-21:027.00).
Esta Norma uma adoo idntica, em contedo tcnico, estrutura e redao, ISO IEC 27005: 2008, que foi
elaborada pelo Comit Tcnico Information technology (ISO/IEC JTC 1), conforme ISO/IEC Guide 21-1:2005.
Introduo
Esta Norma Internacional fornece diretrizes para o processo de Gesto de Riscos de Segurana da Informao de
uma organizao, atendendo particularmente aos requisitos de um SGSI de acordo com a ABNT NBR ISO/IEC
27001. Entretanto, esta Norma Internacional no inclui uma metodologia especfica para a gesto de riscos de
segurana da informao. Cabe organizao definir sua abordagem ao processo de gesto de riscos, levando
em conta, por exemplo, o escopo do seu SGSI, o contexto da gesto de riscos e o seu setor de atividade
econmica. H vrias metodologias que podem ser utilizadas de acordo com a estrutura descrita nesta Norma
Internacional para implementar os requisitos de um SGSI.
Esta Norma Internacional do interesse de gestores e pessoal envolvidos com a gesto de riscos de segurana
da informao em uma organizao e, quando aplicvel, em entidades externas que do suporte a essas
atividades.
Escopo
Esta Norma Internacional fornece diretrizes para o processo de gesto de riscos de segurana da informao.
Esta Norma est de acordo com os conceitos especificados na ABNT NBR ISO/IEC 27001 e foi elaborada para
facilitar uma implementao satisfatria da segurana da informao tendo como base a gesto de riscos.
O conhecimento dos conceitos, modelos, processos e terminologias descritos na ABNT NBR ISO/IEC 27001 e na
ABNT NBR ISO/IEC 27002 importante para um entendimento completo desta Norma Internacional.
Esta Norma Internacional se aplica a todos os tipos de organizao (por exemplo: empreendimentos comerciais,
agncias governamentais, organizaes sem fins lucrativos), que pretendam gerir os riscos que poderiam
comprometer a segurana da informao da organizao.
Referncias normativas
Os documentos citados a seguir so indispensveis para a correta aplicao desta Norma. Para as referncias
com datas, apenas a edio citada vlida. Para as referncias sem data especfica, vale apenas a verso oficial
mais recente do referido documento (incluindo possveis correes).
2/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
ABNT NBR ISO/IEC 27001:2006, Tecnologia da Informao Tcnicas de segurana Sistemas de gesto de
segurana da informao Requisitos.
ABNT NBR ISO/IEC 27002:2005, Tecnologia da Informao Tcnicas de segurana Cdigo de prtica para a
gesto da segurana da informao.
Termos e definies
Para os efeitos desta Norma, aplicam-se os termos e definies da ABNT NBR ISO/IEC 27001 e da ABNT
ISO/IEC 27002 e os seguintes.
3.1
impacto
mudana adversa no nvel obtido dos objetivos de negcios
3.2
riscos de segurana da informao
a possibilidade de uma determinada ameaa explorar vulnerabilidades de um ativo ou de um conjunto de ativos,
desta maneira prejudicando a organizao
NOTA
medido em funo da combinao da probabilidade de um evento e de sua conseqncia.
3.3
ao de evitar o risco
deciso de no se envolver ou agir de forma a se retirar de uma situao de risco
[ABNT ISO/IEC GUIA 73:2005]
3.4
comunicao do risco
troca ou compartilhamento de informao sobre o risco entre o tomador de deciso e outras partes interessadas
3.5
estimativa de riscos
processo utilizado para atribuir valores probabilidade e conseqncias de um risco
NOTA 1
No contexto desta Norma o termo "atividade" usado no lugar do termo "processo" para a estimativa de riscos.
NOTA 2
No contexto desta Norma o termo probabilidade usado para a estimativa de riscos.
3.6
identificao de riscos
processo para localizar, listar e caracterizar elementos do risco
NOTA
No contexto desta Norma o termo "atividade" usado no lugar do termo "processo" para a identificao de riscos.
3.7
reduo do risco
aes tomadas para reduzir a probabilidade, as conseqncias negativas, ou ambas, associadas a um risco
3/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
NOTA:
No contexto desta Norma o termo probabilidade usado para a estimativa de riscos.
3.8
reteno do risco
aceitao do nus da perda ou do benefcio do ganho associado a um determinado risco
NOTA
No contexto dos riscos de segurana da informao, somente conseqncias negativas (perdas) so consideradas
para a reteno do risco.
3.9
transferncia do risco
compartilhamento com uma outra entidade do nus da perda ou do benefcio do ganho associado a um risco
NOTA
No contexto dos riscos de segurana da informao, somente conseqncias negativas (perdas) so consideradas
para a transferncia do risco.
Organizao da Norma
Esta Norma contm a descrio do processo de gesto de riscos de segurana da informao e das suas
atividades.
As informaes sobre o contexto histrico so apresentadas na Seo 5.
Uma viso geral do processo de gesto de riscos de segurana da informao apresentada na Seo 6.
As atividades de gesto de riscos de segurana da informao, apresentadas na Seo 6, so descritas nas
seguintes sees:
Definio do contexto na Seo 7,
Anlise/avaliao de riscos na Seo 8,
Tratamento do risco na Seo 9,
Aceitao do risco na Seo 10,
Comunicao do risco na Seo 11,
Monitoramento e anlise crtica de riscos na Seo 12.
Alm disso, informaes adicionais para as atividades de gesto de riscos de segurana da informao so
apresentadas nos anexos. A definio do contexto detalhada no Anexo A (Definindo o escopo e os limites do
processo de gesto de riscos de segurana da informao). A identificao e valorao dos ativos e a avaliao
do impacto so discutidas no Anexo B (exemplos de ativos), Anexo C (exemplos de ameaas comuns) e Anexo D
(exemplos de vulnerabilidades comuns).
Exemplos de diferentes abordagens de anlise/avaliao de riscos de segurana da informao so apresentados
no Anexo E.
Restries relativas reduo do risco so apresentadas no Anexo F.
As atividades de gesto de riscos, como apresentadas da Seo 7 at a Seo 12, esto estruturadas da seguinte
forma:
4/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Entrada: Identifica as informaes necessrias para o desempenho da atividade.
Ao: Descreve a atividade.
Diretrizes para implementao: Fornece diretrizes para a execuo da ao. Algumas destas diretrizes podem no
ser adequadas em todos os casos. Assim sendo, outras maneiras de se executar a ao podem ser mais
apropriadas.
Sada: Identifica as informaes resultantes da execuo da atividade.
Contextualizao
Uma abordagem sistemtica de gesto de riscos de segurana da informao necessria para se identificar as
necessidades da organizao em relao aos requisitos de segurana da informao e para criar um sistema de
gesto de segurana da informao (SGSI) que seja eficaz. Convm que essa abordagem seja adequada ao
ambiente da organizao e em particular esteja alinhada com o processo maior de gesto de riscos corporativos.
Convm que os esforos de segurana lidem com riscos de maneira efetiva e no tempo apropriado, onde e
quando forem necessrios. Convm que a gesto de riscos de segurana da informao seja parte integrante das
atividades de gesto da segurana da informao e aplicada tanto implementao quanto operao cotidiana
de um SGSI.
Convm que a gesto de riscos de segurana da informao seja um processo contnuo. Convm que o processo
defina o contexto, avalie os riscos e trate os riscos usando um plano de tratamento a fim de implementar as
recomendaes e decises. Convm que a gesto de riscos analise os possveis acontecimentos e suas
conseqncias, antes de decidir o que ser feito e quando ser feito, a fim de reduzir os riscos a um nvel
aceitvel.
Convm que a gesto de riscos de segurana da informao contribua para:
Identificao de riscos
Anlise/avaliao de riscos em funo das conseqncias ao negcio e da probabilidade de sua ocorrncia
Comunicao e entendimento da probabilidade e das conseqncias destes riscos
Estabelecimento da ordem prioritria para tratamento do risco
Priorizao das aes para reduzir a ocorrncia dos riscos
Envolvimento das partes interessadas quando as decises de gesto de riscos so tomadas e mantidas
informadas sobre a situao da gesto de riscos
Eficcia do monitoramento do tratamento do risco
Monitoramento e a anlise crtica regular de riscos e do processo de gesto dos mesmos
Coleta de informaes de forma a melhorar a abordagem da gesto de riscos
Treinamento de gestores e pessoal a respeito dos riscos e das aes para mitig-los
O processo de gesto de riscos de segurana da informao pode ser aplicado organizao como um todo, a
uma rea especfica da organizao (por exemplo: um departamento, uma localidade, um servio), a um sistema
de informaes, a controles j existentes, planejados ou apenas a aspectos particulares de um controle (por
exemplo: o plano de continuidade de negcios).
5/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Viso geral do processo de gesto de riscos de segurana da informao
O processo de gesto de riscos de segurana da informao consiste na definio do contexto (Seo 7),
anlise/avaliao de riscos (Seo 8), tratamento do risco (Seo 9), aceitao do risco (Seo 10), comunicao
do risco (Seo 11) e monitoramento e anlise crtica de riscos (Seo 12).
Figura 1 - Processo de gesto de riscos de segurana da informao

Como mostra a Figura 1, o processo de gesto de riscos de segurana da informao pode ter as atividades de
anlise/avaliao de riscos e/ou de tratamento do risco sendo realizadas mais de uma vez. Um enfoque iterativo
na execuo da anlise/avaliao de riscos torna possvel aprofundar e detalhar a avaliao em cada repetio. O
enfoque iterativo permite minimizar o tempo e o esforo despendidos na identificao de controles e, ainda assim,
assegura que riscos de alto impacto ou de alta probabilidade possam ser adequadamente avaliados.
Primeiramente, o contexto estabelecido. Em seguida, executa-se uma anlise/avaliao de riscos. Se ela
fornecer informaes suficientes para que se determine de forma eficaz as aes necessrias para reduzir os
riscos a um nvel aceitvel, ento a tarefa est completa e o tratamento do risco pode suceder-se. Por outro lado,
se as informaes forem insuficientes, executa-se uma outra iterao da anlise/avaliao de riscos, revisando-se
o contexto (por exemplo: os critrios de avaliao de riscos, de aceitao do risco ou de impacto), possivelmente
em partes limitadas do escopo (ver Figura 1, Ponto de Deciso 1).
A eficcia do tratamento do risco depende dos resultados da anlise/avaliao de riscos. possvel que o
tratamento do risco no resulte em um nvel de risco residual que seja aceitvel. Nesta situao, pode ser
necessria uma outra iterao da anlise/avaliao de riscos, com mudanas nas variveis do contexto (por
6/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
exemplo: os critrios para a anlise/avaliao de riscos, de aceitao do risco e de impacto), seguida por uma fase
adicional de tratamento do risco (veja Figura 1, Ponto de Deciso 2).
A atividade de aceitao do risco tem de assegurar que os riscos residuais sejam explicitamente aceitos pelos
gestores da organizao. Isso especialmente importante em uma situao em que a implementao de controles
omitida ou adiada, por exemplo, devido aos custos.
Durante o processo de gesto de riscos de segurana da informao, importante que os riscos e a forma com
que so tratados sejam comunicados ao pessoal das reas operacionais e gestores apropriados. Mesmo antes do
tratamento do risco, informaes sobre riscos identificados podem ser muito teis para o gerenciamento de
incidentes e ajudar a reduzir possveis prejuzos. A conscientizao dos gestores e pessoal no que diz respeito
aos riscos, natureza dos controles aplicados para mitig-los e as reas definidas como de interesse pela
organizao, auxiliam a lidar com os incidentes e eventos no previstos da maneira mais efetiva. Convm que os
resultados detalhados de cada atividade do processo de gesto de riscos de segurana da informao, assim
como as decises sobre a anlise/avaliao de riscos e sobre o tratamento do risco (representadas pelos dois
pontos de deciso na Figura 1), sejam documentados.
A ABNT NBR ISO/IEC 27001 especifica que os controles implementados no escopo, limites e contexto do SGSI
devem ser baseados no risco. A aplicao de um processo de gesto de riscos de segurana da informao pode
satisfazer esse requisito. H vrios mtodos atravs dos quais o processo pode ser implementado com sucesso
em uma organizao. Convm que a organizao use o mtodo que melhor se adeque a suas circunstncias,
para cada aplicao especfica do processo.
Em um SGSI, a definio do contexto, a anlise/avaliao de riscos, o desenvolvimento do plano de tratamento do
risco e a aceitao do risco, fazem parte da fase "planejar". Na fase "executar" do SGSI, as aes e controles
necessrios para reduzir os riscos para um nvel aceitvel so implementados de acordo com o plano de
tratamento do risco. Na fase verificar do SGSI, os gestores determinaro a necessidade de reviso das
avaliaes e tratamento do risco luz dos incidentes e mudanas nas circunstncias. Na fase agir, as aes
necessrias so executadas, incluindo a reaplicao do processo de gesto de riscos de segurana da
informao.
A Tabela 1 resume as atividades relevantes de gesto de riscos de segurana da informao para as quatro fases
do processo do SGSI:
7/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Tabela 1 Alinhamento do processo do SGSI e do processo de gesto de riscos de segurana da
informao
Processo do SGSI
Processo de gesto de riscos de segurana da informao

Definio do contexto
Anlise/avaliao de riscos
Planejar
Plano de tratamento do risco

Aceitao do risco
Executar
Verificar
Agir
Implementao do plano de tratamento do risco

Monitoramento contnuo e anlise crtica de riscos
Manter e melhorar o processo de Gesto de Riscos de Segurana da
Informao
Definio do contexto
7.1 Consideraes Gerais

Entrada: Todas as informaes sobre a organizao relevantes para a definio do contexto da gesto de riscos
de segurana da informao.
Ao: Convm que o contexto para gesto de riscos de segurana da informao seja estabelecido, o que envolve
a definio dos critrios bsicos necessrios para a gesto de riscos de segurana da informao (7.2), a
definio do escopo e dos limites (7.3) e o estabelecimento de uma organizao apropriada para operar a gesto
de riscos de segurana da informao (7.4).
Diretrizes para implementao:
essencial determinar o propsito da gesto de riscos de segurana da informao, pois ele afeta o processo em
geral e a definio do contexto em particular. Esse propsito pode ser:
Suporte a um SGSI
Conformidade legal e a evidncia da realizao dos procedimentos corretos
Preparao de um plano de continuidade de negcios
Preparao de um plano de resposta a incidentes
Descrio dos requisitos de segurana da informao para um produto, um servio ou um mecanismo
As diretrizes para implementao dos elementos da definio do contexto necessrios para dar suporte a um
SGSI so discutidas detalhadamente nas Sees 7.2, 7.3 e 7.4 a seguir.
NOTA
A ABNT NBR ISO/IEC 27001 no usa o termo contexto. No entanto, a Seo 7 refere-se aos requisitos definir o
escopo e limites do SGSI [(4.2.1.a)], definir uma poltica para o SGSI [4.2.1.b)] e definir o mtodo de anlise/avaliao de
riscos [4.2.1.c)], especificados na ABNT NBR ISO/IEC 27001.
8/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Sada: A especificao dos critrios bsicos; o escopo e os limites do processo de gesto de riscos de segurana
da informao; e a organizao responsvel pelo processo.
7.2 Critrios bsicos

Dependendo do escopo e dos objetivos da gesto de riscos, diferentes mtodos podem ser aplicados. O mtodo
tambm pode ser diferente para cada iterao do processo.
Convm que um mtodo de gesto de riscos apropriado seja selecionado ou desenvolvido e leve em conta
critrios bsicos, tais como: critrios de avaliao de riscos, critrios de impacto e critrios de aceitao do risco.
Alm disso, convm que a organizao avalie se os recursos necessrios esto disponveis para:
Executar a anlise/avaliao de riscos e estabelecer um plano de tratamento dos mesmos
Definir e implementar polticas e procedimentos, incluindo implementao dos controles selecionados
Monitorar controles
Monitorar o processo de gesto de riscos de segurana da informao
NOTA
Ver tambm a ABNT NBR ISO/IEC 27001 (Seo 5.2.1) com relao proviso de recursos para a implementao
e operao de um SGSI.
Critrios para a avaliao de riscos

Convm que os critrios para a avaliao de riscos sejam desenvolvidos para avaliar os riscos de segurana da
informao na organizao, considerando os seguintes itens:
O valor estratgico do processo que trata as informaes de negcio
A criticidade dos ativos de informao envolvidos
Requisitos legais e regulatrios, bem como as obrigaes contratuais
Importncia do ponto de vista operacional e dos negcios, da disponibilidade, da confidencialidade e da
integridade
Expectativas e percepes das partes interessadas e conseqncias negativas para o valor de mercado (em
especial, no que se refere aos fatores intangveis desse valor), a imagem e a reputao
Alm disso, critrios para avaliao de riscos podem ser usados para especificar as prioridades para o tratamento
do risco.
Critrios de impacto
Convm que os critrios de impacto sejam desenvolvidos e especificados em funo do montante dos danos ou
custos organizao causados por um evento relacionado com a segurana da informao, considerando o
seguinte:
Nvel de classificao do ativo de informao afetado
Ocorrncias de violao da segurana da informao (por exemplo: perda da disponibilidade, da
confidencialidade e/ou da integridade)
Operaes comprometidas (internas ou de terceiros)
9/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Perda de oportunidades de negcio e de valor financeiro
Interrupo de planos e o no cumprimento de prazos
Dano reputao
Violaes de requisitos legais, regulatrios ou contratuais
NOTA
Veja tambm a ABNT NBR ISO/IEC 27001 [Seo 4.2.1 d) 4] com relao identificao dos critrios de impacto
em relao perda da confidencialidade, da integridade e/ou da disponibilidade.
Critrios para a aceitao do risco

Convm que os critrios para a aceitao do risco sejam desenvolvidos e especificados e dependam
freqentemente das polticas, metas e objetivos da organizao, assim como dos interesses das partes
interessadas.
Convm que a organizao defina sua prpria escala de nveis de aceitao do risco. Convm que os seguintes
tpicos sejam considerados durante o desenvolvimento:
Critrios para a aceitao do risco podem incluir mais de um limite, representando um nvel desejvel de
risco, porm precaues podem ser tomadas por gestores seniores para aceitar riscos acima desse nvel
desde que sob circunstncias definidas
Critrios para a aceitao do risco podem ser expressos como a razo entre o lucro estimado (ou outro
benefcio ao negcio) e o risco estimado
Diferentes critrios para a aceitao do risco podem ser aplicados a diferentes classes de risco, por exemplo:
riscos que podem resultar em no conformidade com regulamentaes ou leis podem no ser aceitos,
enquanto riscos de alto impacto podero ser aceitos se isto for especificado como um requisito contratual
Critrios para a aceitao do risco podem incluir requisitos para um tratamento adicional futuro, por exemplo:
um risco poder ser aceito se for aprovado e houver o compromisso de que aes para reduzi-lo a um nvel
aceitvel sero tomadas dentro de um determinado perodo de tempo
Critrios para a aceitao do risco podem ser diferenciados de acordo com o tempo de existncia previsto do
risco, por exemplo: o risco pode estar associado a uma atividade temporria ou de curto prazo. Convm que os
critrios para a aceitao do risco sejam estabelecidos, considerando os seguintes itens:
Critrios de negcio
Aspectos legais e regulatrios
Operaes
Tecnologia
Finanas
Fatores sociais e humanitrios
NOTA
Os critrios para a aceitao do risco correspondem aos critrios para aceitao do risco e identificao do nvel
aceitvel dos mesmos especificados na ABNT NBR ISO/IEC 27001 Seo 4.2.1.c) 2).
Mais informaes podem ser encontradas no Anexo A.
10/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
7.3 Escopo e limites

Convm que a organizao defina o escopo e os limites da gesto de riscos de segurana da informao.
O escopo do processo de gesto de riscos de segurana da informao precisa ser definido para assegurar que
todos os ativos relevantes sejam considerados na anlise/avaliao de riscos. Alm disso, os limites precisam ser
identificados [ver tambm a ABNT NBR ISO/IEC 27001 Seo 4.2.1.a)] para permitir o reconhecimento dos riscos
que possam transpor esses limites.
Convm que as informaes sobre a organizao sejam reunidas para que seja possvel determinar o ambiente
em que ela opera e a relevncia desse ambiente para o processo de gesto de riscos de segurana da
informao.
Ao definir o escopo e os limites, convm que a organizao considere as seguintes informaes:
Os objetivos estratgicos, polticas e estratgias da organizao
Processos de negcio
As funes e estrutura da organizao
Requisitos legais, regulatrios e contratuais aplicveis organizao
A poltica de segurana da informao da organizao
A abordagem da organizao gesto de riscos
Ativos de informao
Localidades em que a organizao se encontra e suas caractersticas geogrficas
Restries que afetam a organizao
Expectativas das partes interessadas
Ambiente sociocultural
Interfaces (ou seja: a troca de informao com o ambiente)
Alm disso, convm que a organizao fornea justificativa para quaisquer excluses do escopo.
Exemplos do escopo da gesto de riscos podem ser: uma aplicao de TI, a infra-estrutura de TI, um processo de
negcios ou uma parte definida da organizao.
NOTA
O escopo e os limites da gesto de riscos de segurana da informao esto relacionados ao escopo e aos limites
do SGSI, conforme requerido na ABNT NBR ISO/IEC 27001 4.2.1.a).
Informaes adicionais podem ser encontradas no Anexo A.
7.4 Organizao para gesto de riscos de segurana da informao

Convm que a organizao e as responsabilidades para o processo de gesto de riscos de segurana da
informao sejam estabelecidas e mantidas. A seguir esto os principais papis e responsabilidades dessa
organizao:
11/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Desenvolvimento do processo de gesto de riscos de segurana da informao adequado organizao
Identificao e anlise das partes interessadas
Definio dos papis e responsabilidades de todas as partes, internas e externas organizao.
Estabelecimento das relaes necessrias entre a organizao e as partes interessadas, das interfaces com
as funes de alto nvel de gesto de riscos da organizao (por exemplo: a gesto de riscos operacionais),
assim como das interfaces com outros projetos ou atividades relevantes
Definio de aladas para a tomada de decises
Especificao dos registros a serem mantidos
Convm que essa organizao seja aprovada pelos gestores apropriados.
NOTA
A ABNT NBR ISO/IEC 27001 requer a identificao e a proviso dos recursos necessrios para estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI [5.2.1.a)]. A organizao das operaes de
gesto de riscos pode ser considerada como um dos recursos necessrios, segundo a ABNT NBR ISO/IEC 27001.
Anlise/avaliao de riscos de segurana da informao
8.1 Descrio geral do processo de anlise/avaliao de riscos de segurana da informao

NOTA
A atividade de anlise/avaliao de riscos tratada como processo na ABNT NBR ISO/IEC 27001.
Entrada: Critrios bsicos, o escopo e os limites, e a organizao do processo de gesto de riscos de segurana
da informao que se est definindo.
Ao: Convm que os riscos sejam identificados, quantificados ou descritos qualitativamente, priorizados em
funo dos critrios de avaliao de riscos e dos objetivos relevantes da organizao.
Um risco a combinao das conseqncias advindas da ocorrncia de um evento indesejado e da probabilidade
da ocorrncia do mesmo. A anlise/avaliao de riscos quantifica ou descreve o risco qualitativamente e capacita
os gestores a priorizar os riscos de acordo com a sua gravidade percebida ou com outros critrios estabelecidos.
A anlise/avaliao de riscos consiste nas seguintes atividades:
Anlise de riscos (Seo 8.2) compreende:
Identificao de riscos (Seo 8.2.1)
Estimativa de riscos (Seo 8.2.2)
Avaliao de riscos (Seo 8.3)
A anlise/avaliao de riscos determina o valor dos ativos de informao, identifica as ameaas e vulnerabilidades
aplicveis existentes (ou que poderiam existir), identifica os controles existentes e seus efeitos no risco
identificado, determina as conseqncias possveis e, finalmente, prioriza os riscos derivados e ordena-os de
acordo com os critrios de avaliao de riscos estabelecidos na definio do contexto.
A anlise/avaliao de riscos executada freqentemente em duas (ou mais) iteraes. Primeiramente, uma
avaliao de alto nvel realizada para identificar os riscos com potencial de alto impacto, os quais merecem uma
avaliao mais aprofundada. A segunda iterao pode considerar com mais profundidade os riscos de alto
impacto potencial revelados na primeira iterao. Se ela no fornecer informaes suficientes para avaliar o risco,
12/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
ento anlises adicionais detalhadas precisaro ser executadas, provavelmente em apenas partes do escopo total
e possivelmente usando um outro mtodo.
Cabe organizao selecionar seu prprio mtodo para a anlise/avaliao de riscos baseado nos objetivos e na
meta da anlise/avaliao de riscos.
Uma discusso sobre mtodos de anlise/avaliao de riscos de segurana da informao pode ser encontrada
no Anexo E.
Sada: Uma lista de riscos avaliados, ordenados por prioridade de acordo com os critrios de avaliao de riscos.
8.2 Anlise de riscos

8.2.1
8.2.1.1
Identificao de riscos
Introduo identificao de riscos
O propsito da identificao de riscos determinar eventos que possam causar uma perda potencial e deixar claro
como, onde e por que a perda pode acontecer. As etapas descritas nas prximas subsees de 8.2.1 servem para
coletar dados de entrada para a atividade de estimativa de riscos.
NOTA
Atividades descritas nas sees subseqentes podem ser executadas em uma ordem diferente dependendo da
metodologia aplicada.
8.2.1.2
Identificao dos ativos
Entrada: Escopo e limites para a anlise/avaliao de riscos a ser executada; lista de componentes com
responsveis, localidade, funo etc.
Ao: Convm que os ativos dentro do
ABNT NBR ISO/IEC 27001, Seo 4.2.1.d) 1)).
escopo
estabelecido
sejam
identificados
(refere-se

Um ativo algo que tem valor para a organizao e que, portanto, requer proteo. Para a identificao dos ativos
convm que se tenha em mente que um sistema de informao compreende mais do que hardware e software.
Convm que a identificao dos ativos seja executada com um detalhamento adequado que fornea informaes
suficientes para a anlise/avaliao de riscos. O nvel de detalhe usado na identificao dos ativos influenciar na
quantidade geral de informaes reunidas durante a anlise/avaliao de riscos. O detalhamento pode ser
aprofundado em cada iterao da anlise/avaliao de riscos.
Convm que um responsvel seja identificado para cada ativo, a fim de oficializar sua responsabilidade e garantir
a possibilidade da respectiva prestao de contas. O responsvel pelo ativo pode no ter direitos de propriedade
sobre o mesmo, mas tem responsabilidade sobre sua produo, desenvolvimento, manuteno, utilizao e
segurana, conforme apropriado. O responsvel pelo ativo freqentemente a pessoa mais adequada para
determinar o valor do mesmo para a organizao (ver 8.2.2.2 sobre a valorao dos ativos).
O limite da anlise crtica o permetro dos ativos da organizao a serem considerados pelo processo de gesto
de riscos de segurana da informao.
Mais informaes sobre a identificao e valorao dos ativos, sob a perspectiva da segurana da informao,
podem ser encontradas no Anexo B.
Sada: Uma lista de ativos cujos riscos-controlados, e uma lista de processos do negcio relacionados aos ativos e
suas relevncias.
13/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
8.2.1.3
Identificao das ameaas
Entrada: Informaes sobre ameaas obtidas a partir da anlise crtica de incidentes, dos responsveis pelos
ativos, de usurios e de outras fontes, incluindo catlogos externos de ameaas.
Ao: Convm que as ameaas e suas fontes sejam identificadas (refere-se ABNT NBR ISO/IEC 27001,
Seo 4.2.1 d) 2)).
Uma ameaa tem o potencial de comprometer ativos (tais como, informaes, processos e sistemas) e, por isso,
tambm as organizaes. Ameaas podem ser de origem natural ou humana e podem ser acidentais ou
intencionais.
Convm que tanto as fontes das ameaas acidentais, quanto as intencionais, sejam identificadas. Uma ameaa
pode surgir de dentro ou de fora da organizao. Convm que as ameaas sejam identificadas genericamente e
por classe (por exemplo: aes no autorizadas, danos fsicos, falhas tcnicas) e, quando apropriado, ameaas
especficas identificadas dentro das classes genricas. Isso significa que, nenhuma ameaa ignorada, incluindo
as no previstas, mas que o volume de trabalho exigido limitado.
Algumas ameaas podem afetar mais de um ativo. Nesses casos, elas podem provocar impactos diferentes,
dependendo de quais ativos so afetados.
Dados de entrada para a identificao das ameaas e estimativa da probabilidade de ocorrncia (ver 8.2.2.2)
podem ser obtidos dos responsveis pelos ativos ou dos usurios, do pessoal, dos administradores das
instalaes e dos especialistas em segurana da informao, de peritos em segurana fsica, do departamento
jurdico e de outras organizaes, incluindo organismos legais, autoridades climticas, companhias de seguros e
autoridades governamentais nacionais. Aspectos culturais e relacionados ao ambiente precisam ser considerados
quando se examina as ameaas.
Convm que experincias internas de incidentes e avaliaes anteriores das ameaas sejam consideradas na
avaliao atual. Pode ser til a consulta a outros catlogos de ameaas (talvez mais especfico a uma organizao
ou negcio) a fim de completar a lista de ameaas genricas, quando relevante. Catlogos de ameaas e
estatsticas so disponibilizados por organismos setoriais, governos nacionais, organismos legais, companhias de
seguro etc.
Quando forem usados catlogos de ameaas ou os resultados de uma avaliao anterior das ameaas, convm
que se tenha conscincia de que as ameaas relevantes esto sempre mudando, especialmente se o ambiente de
negcio ou se os sistemas de informaes mudarem.
Mais informaes sobre tipos de ameaas podem ser encontradas no Anexo C.
Sada: Uma lista de ameaas com a identificao do tipo e da fonte das ameaas.
8.2.1.4
Identificao dos controles existentes
Entrada: Documentao dos controles, planos de implementao do tratamento do risco.

Ao: Convm que os controles existentes e os planejados sejam identificados.
Convm que a identificao dos controles existentes seja realizada para evitar custos e trabalho desnecessrios,
por exemplo: na duplicao de controles. Alm disso, enquanto os controles existentes esto sendo identificados,
convm que seja feita uma verificao para assegurar que eles esto funcionando corretamente - uma referncia
aos relatrios j existentes de auditoria do SGSI pode reduzir o tempo gasto nesta tarefa. Um controle que no
funcione como esperado pode provocar o surgimento de vulnerabilidades. Convm que seja levada em
considerao a possibilidade de um controle selecionado (ou estratgia) falhar durante sua operao. Sendo
14/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
assim, controles complementares so necessrios para tratar efetivamente o risco identificado. Em um SGSI, de
acordo com a ABNT NBR ISO/IEC 27001, isso auxiliado pela medio da eficcia dos controles. Uma maneira
para estimar o efeito do controle ver o quanto ele reduz, por um lado, a probabilidade da ameaa e a facilidade
com que uma vulnerabilidade pode ser explorada ou, por outro lado, o impacto do incidente. A anlise crtica pela
direo e relatrios de auditoria tambm fornecem informaes sobre a eficcia dos controles existentes.
Convm que os controles que esto planejados para serem implementados de acordo com os planos de
implementao de tratamento do risco tambm sejam considerados, juntamente com aqueles que j esto
implementados.
Controles existentes ou planejados podem ser considerados ineficazes, insuficientes ou no-justificados. Convm
que um controle insuficiente ou no justificado seja verificado para determinar se convm que o mesmo seja
removido, substitudo por outro controle mais adequado ou se convm que o controle permanea em vigor, por
exemplo, em funo dos custos.
Para a identificao dos controles existentes ou planejados, as seguintes atividades podem ser teis:
Analisar de forma crtica os documentos contendo informaes sobre os controles (por exemplo: os planos de
implementao de tratamento do risco). Se os processos de gesto da segurana da informao esto bem
documentados, convm que todos os controles existentes ou planejados e a situao de sua implementao
estejam disponveis;
Verificar com as pessoas responsveis pela segurana da informao (por exemplo: o responsvel pela
segurana da informao, o responsvel pela segurana do sistema da informao, o gerente das instalaes
prediais, o gerente de operaes) e com os usurios quais controles, relacionados ao processo de informao
ou ao sistema de informao sob considerao, esto realmente implementados;
Revisar, no local, os controles fsicos, comparando os controles implementados com a lista de quais convm
que estejam presentes; e verificar se aqueles implementados esto funcionando efetiva e corretamente, ou
Analisar criticamente os resultados de auditorias internas
Sada: Uma lista de todos os controles existentes e planejados, sua implementao e status de utilizao.
8.2.1.5
Identificao das vulnerabilidades
Entrada: Uma lista de ameaas conhecidas, listas de ativos e controles existentes.

Ao: Convm que as vulnerabilidades que podem se exploradas por ameaas para comprometer os ativos ou a
organizao sejam identificadas (refere-se ABNT NBR ISO/IEC 27001, Seo 4.2.1 d) 3)).
Vulnerabilidades podem ser identificadas nas seguintes reas:
Organizao
Processos e procedimentos
Rotinas de gesto
Recursos humanos
Ambiente fsico
Configurao do sistema de informao
15/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Hardware, software ou equipamentos de comunicao
Dependncia de entidades externas
A presena de uma vulnerabilidade no causa prejuzo por si s, pois precisa haver uma ameaa presente para
explor-la. Uma vulnerabilidade que no tem uma ameaa correspondente pode no requerer a implementao de
um controle no presente momento, mas convm que ela seja reconhecida como tal e monitorada, no caso de
haver mudanas. Note-se que um controle implementado, funcionando incorretamente ou sendo usado
incorretamente, pode, por si s, representar uma vulnerabilidade. Um controle pode ser eficaz ou no,
dependendo do ambiente no qual ele opera. Inversamente, uma ameaa que no tenha uma vulnerabilidade
correspondente pode no resultar em um risco.
Vulnerabilidades podem estar ligadas a propriedades do ativo, as quais podem ser usadas de uma forma ou para
um propsito diferente daquele para o qual o ativo foi adquirido ou desenvolvido. Vulnerabilidades decorrentes de
diferentes fontes precisam ser consideradas, por exemplo: as intrnsecas ao ativo e as extrnsecas.
Exemplos de vulnerabilidades e mtodos para avaliao de vulnerabilidades podem ser encontrados no Anexo D.
Sada: Uma lista de vulnerabilidades associadas aos ativos, s ameaas e aos controles; uma lista de
vulnerabilidades que no se refere a nenhuma ameaa identificada para anlise.
8.2.1.6
Identificao das conseqncias
Entrada: Uma lista de ativos, uma lista de processos do negcio e uma lista de ameaas e vulnerabilidades,
quando aplicvel, relacionadas aos ativos e sua relevncia.
Ao: Convm que as conseqncias que a perda de confidencialidade, de integridade e de disponibilidade
podem ter sobre os ativos sejam identificadas (ver a ABNT NBR ISO/IEC 27001 4.2.1 d)4)).
Uma conseqncia pode ser, por exemplo, a perda da eficcia, condies adversas de operao, a perda de
oportunidades de negcio, reputao afetada, prejuzo etc.
Essa atividade identifica o prejuzo ou as conseqncias para a organizao que podem decorrer de um cenrio
de incidente. Um cenrio de incidente a descrio de uma ameaa explorando uma certa vulnerabilidade ou um
conjunto delas em um incidente de segurana da informao (ver ABNT NBR ISO/IEC 27002, Seo 13). O
impacto dos cenrios de incidentes determinado considerando-se os critrios de impacto definidos durante a
atividade de definio do contexto. Ele pode afetar um ou mais ativos ou apenas parte de um ativo. Assim, aos
ativos podem ser atribudos valores correspondendo tanto aos seus custos financeiros, quanto s conseqncias
ao negcio se forem danificados ou comprometidos. Conseqncias podem ser de natureza temporria ou
permanente como no caso da destruio de um ativo.
NOTA
A ABNT NBR ISO/IEC 27001 descreve a ocorrncia de cenrios de incidentes como falhas de segurana.
Convm que as organizaes identifiquem as conseqncias operacionais de cenrios de incidentes em funo

de (mas no limitado a):
Investigao e tempo de reparo
Tempo (de trabalho) perdido
Oportunidade perdida
Sade e Segurana
Custo financeiro das competncias especficas necessrias para reparar o prejuzo
16/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Imagem, reputao e valor de mercado
Detalhes sobre a avaliao de vulnerabilidades tcnicas podem ser encontrados em B.3 - Avaliao do Impacto.
Sada: Uma lista de cenrios de incidentes com suas conseqncias associadas aos ativos e processos do
negcio.
8.2.2
Estimativa de riscos
8.2.2.1
Metodologias para a estimativa de riscos
A anlise de riscos pode ser empreendida com diferentes graus de detalhamento, dependendo da criticidade dos
ativos, da extenso das vulnerabilidades conhecidas e dos incidentes anteriores envolvendo a organizao. Uma
metodologia para a estimativa pode ser qualitativa ou quantitativa ou uma combinao de ambos, dependendo
das circunstncias. Na prtica, a estimativa qualitativa freqentemente utilizada em primeiro lugar para obter
uma indicao geral do nvel de risco e para revelar os grandes riscos. Depois, poder ser necessrio efetuar uma
anlise quantitativa ou mais especfica, nos grandes riscos. Isso ocorre porque normalmente menos complexo e
menos oneroso realizar anlises qualitativas do que quantitativas.
Convm que a forma da anlise seja coerente com o critrio de avaliao de riscos desenvolvida como parte da
definio do contexto.
Detalhes adicionais a respeito das metodologias para a estimativa esto descritos a seguir:
a)
Estimativa qualitativa:
A estimativa qualitativa utiliza uma escala com atributos qualificadores que descrevem a magnitude das
conseqncias potenciais (por exemplo: Pequena, Mdia e Grande) e a probabilidade dessas conseqncias
ocorrerem. Uma vantagem da estimativa qualitativa sua facilidade de compreenso por todas as pessoas
envolvidas. Por outro lado, uma desvantagem a dependncia escolha subjetiva da escala.
Essas escalas podem ser adaptadas ou ajustadas para se adequarem s circunstncias e descries diferentes
podem ser usadas para riscos diferentes. A estimativa qualitativa pode ser utilizada:
Como uma verificao inicial a fim de identificar riscos que exigiro uma anlise mais detalhada
Quando esse tipo de anlise suficiente para a tomada de decises
Quando os dados numricos ou recursos so insuficientes para uma estimativa quantitativa
Convm que a anlise qualitativa utilize informaes e dados factuais quando disponveis.
b)
Estimativa quantitativa:
A estimativa quantitativa utiliza uma escala com valores numricos (e no as escalas descritivas usadas na
estimativa qualitativa) tanto para conseqncias quanto para a probabilidade, usando dados de diversas fontes. A
qualidade da anlise depende da exatido e da integralidade dos valores numricos e da validade dos modelos
utilizados. A estimativa quantitativa, na maioria dos casos, utiliza dados histricos dos incidentes, proporcionando
a vantagem de poder ser relacionada diretamente aos objetivos da segurana da informao e interesses da
organizao. Uma desvantagem a falta de tais dados sobre novos riscos ou sobre fragilidades da segurana da
informao. Uma desvantagem da abordagem quantitativa ocorre quando dados factuais e auditveis no esto
disponveis. Nesse caso, a exatido da anlise/avaliao de riscos e os valores associados tornam-se ilusrios.
A forma na qual as conseqncias e a probabilidade so expressas e a forma em que elas so combinadas para
fornecer um nvel de risco ir variar de acordo com o tipo de risco e do propsito para o qual os resultados da
anlise/avaliao de riscos sero usados. Convm que a incerteza e a variabilidade tanto das conseqncias,
quanto da probabilidade, sejam consideradas na anlise e comunicadas de forma eficaz.
17/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
8.2.2.2
Avaliao das conseqncias
Entrada: Uma lista de cenrios de incidentes identificados como relevantes, incluindo a identificao de ameaas,
vulnerabilidades, ativos afetados e conseqncias para os ativos e processos do negcio.
Ao: Convm que o impacto sobre o negcio da organizao, que pode ser causado por incidentes (possveis ou
reais) relacionados segurana da informao, seja avaliado levando-se em conta as conseqncias de uma
violao da segurana da informao, como por exemplo: a perda da confidencialidade, da integridade ou da
disponibilidade dos ativos (refere-se ABNT NBR ISO/IEC 27001, Seo 4.2.1 e)1)).
Depois de identificar todos os ativos relevantes, convm que os valores atribudos a esses ativos sejam levados
em considerao durante a avaliao das conseqncias.
O valor do impacto ao negcio pode ser expresso de forma qualitativa ou quantitativa, porm um mtodo para
designar valores monetrios geralmente pode fornecer mais informaes teis para a tomada de decises e,
conseqentemente, permitir que o processo de tomada de deciso seja mais eficiente.
A valorao dos ativos comea com a classificao dos mesmos de acordo com sua criticidade, em funo da
importncia dos ativos para a realizao dos objetivos de negcios da organizao. A valorao ento
determinada de duas maneiras:
o valor de reposio do ativo: o custo da recuperao e da reposio da informao (se for possvel) e
as conseqncias ao negcio relacionadas perda ou ao comprometimento do ativo, tais como as possveis
conseqncias adversas de carter empresarial, legal ou regulatrias causadas pela divulgao indevida,
modificao, indisponibilidade e/ou destruio de informaes ou de outros ativos de informao
Essa valorao pode ser determinada a partir de uma anlise de impacto no negcio. O valor, determinado em
funo da conseqncia para o negcio, normalmente significativamente mais elevado do que o simples custo
de reposio, dependendo da importncia do ativo para a organizao na realizao dos objetivos de negcios.
A valorao dos ativos representa um dos aspectos mais importantes na avaliao do impacto de um cenrio de
incidente, pois o incidente pode afetar mais de um ativo (por exemplo: os ativos dependentes) ou somente parte
de um ativo. Diferentes ameaas e vulnerabilidades causaro diferentes impactos sobre os ativos, tais como perda
da confidencialidade, da integridade ou da disponibilidade. A avaliao das conseqncias est, portanto,
relacionada valorao dos ativos baseada na anlise de impacto no negcio.
As conseqncias ou o impacto ao negcio podem ser determinados por meio da criao de modelos com os
resultados de um evento, um conjunto de eventos ou atravs da extrapolao a partir de estudos experimentais ou
dados passados.
As conseqncias podem ser expressas em funo dos critrios monetrios, tcnicos ou humanos, de impacto ou
de outro critrio relevante para a organizao. Em alguns casos, mais de um valor numrico necessrio para
especificar as conseqncias tendo em vista os diferentes momentos, lugares, grupos ou situaes.
Convm que as conseqncias expressas em tempo e valor financeiro sejam medidas com a mesma abordagem
utilizada para a probabilidade da ameaa e as vulnerabilidades. A consistncia deve ser mantida com respeito
abordagem quantitativa ou qualitativa.
Mais informaes sobre valorao dos ativos e sobre a avaliao do impacto podem ser encontradas no Anexo B.
Sada: Uma lista de conseqncias avaliadas referentes a um cenrio de incidente, relacionadas aos ativos e
critrios de impacto.
18/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
8.2.2.3
Avaliao da probabilidade dos incidentes
Entrada: Uma lista de cenrios de incidentes identificados como relevantes, incluindo a identificao de ameaas,
ativos afetados, vulnerabilidades exploradas e conseqncias para os ativos e processos do negcio. Alm disso,
listas com todos os controles existentes e planejados, sua eficcia, implementao e status de utilizao.
Ao: Convm que a probabilidade dos cenrios de incidentes seja avaliada (refere-se ABNT NBR ISO/IEC
27001, Seo 4.2.1 e) 2)).
Depois de identificar os cenrios de incidentes, necessrio avaliar a probabilidade de cada cenrio e do impacto
correspondente, usando tcnicas de estimativa qualitativas ou quantitativas. Convm levar em conta a freqncia
da ocorrncia das ameaas e a facilidade com que as vulnerabilidades podem ser exploradas, considerando o
seguinte:
a experincia passada e estatsticas aplicveis referentes probabilidade da ameaa
para fontes de ameaas intencionais: a motivao e as competncias, que mudam ao longo do tempo, os
recursos disponveis para possveis atacantes, bem como a percepo da vulnerabilidade e o poder da
atrao dos ativos para um possvel atacante
para fontes de ameaas acidentais: fatores geogrficos (como por exemplo: proximidade a fbricas e
refinarias de produtos qumicos e petrleo), a possibilidade de eventos climticos extremos e fatores que
poderiam acarretar erros humanos e o mau funcionamento de equipamentos
vulnerabilidades, tanto individualmente como em conjunto
os controles existentes e a eficcia com que eles reduzem as vulnerabilidades
Por exemplo, um sistema de informao pode ter uma vulnerabilidade relacionada s ameaas de se forjar a
identidade de um usurio e de se fazer mau uso de recursos. A vulnerabilidade relacionada ao uso forjado da
identidade de um usurio pode ser alta devido, por exemplo, falta de um mecanismo de autenticao de usurio.
Por outro lado, a probabilidade de utilizao indevida dos recursos pode ser baixa, apesar da falta de auteticao,
pois os meios disponveis para que isso pudesse acontecer so limitados.
Dependendo da necessidade de exatido, ativos podem ser agrupados ou pode ser necessrio dividir um ativo em
seus componentes e relacionar estes aos cenrios. Por exemplo: conforme a localidade geogrfica, a natureza
das ameaas a um mesmo tipo de ativo ou a eficcia dos controles existentes podem variar.
Sada: Probabilidade dos cenrios de incidentes (no mtodo quantitativo ou no qualitativo).
8.2.2.4
Estimativa do nvel de risco
Entrada: Uma lista de cenrios de incidentes com suas conseqncias associadas aos ativos, processos de
negcio e suas probabilidades (no mtodo quantitativo ou no qualitativo).
Ao: Convm que o nvel de risco seja estimado para todos os cenrios de incidentes considerados relevantes
(refere-se ABNT NBR ISO/IEC 27001, Seo 4.2.1 e) 4)).
A estimativa de riscos designa valores para a probabilidade e para as conseqncias de um risco. Esses valores
podem ser de natureza quantitativa ou qualitativa. A estimativa de riscos baseada nas conseqncias e na
probabilidade estimadas. Alm disso, ela pode considerar o custo-benefcio, as preocupaes das partes
interessadas e outras variveis, conforme apropriado para a avaliao de riscos. O risco estimado uma
combinao entre a probabilidade de um cenrio de incidente e suas conseqncias.
19/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Exemplos de diferentes abordagens ou mtodos para estimativa de riscos de segurana da informao podem ser
encontrados no Anexo E.
Sada: Uma lista de riscos com nveis de valores designados.
8.3 Avaliao de riscos

Entrada: Uma lista de riscos com nveis de valores designados e critrios para a avaliao de riscos.
Ao: Convm que o nvel dos riscos seja comparado com os critrios de avaliao de riscos e com os critrios
para a aceitao do risco (refere-se ABNT NBR ISO/IEC 27001, Seo 4.2.1 e) 4)).
A natureza das decises relativas avaliao de riscos e os critrios de avaliao de riscos que iro ser usados
para tomar essas decises teriam sido decididos durante a definio do contexto. Convm que essas decises e o
contexto sejam revisados detalhadamente nesse estgio em que se conhece mais sobre os riscos identificados.
Para avaliar os riscos, convm que as organizaes comparem os riscos estimados (usando os mtodos ou
abordagens selecionadas como abordado no Anexo E) com os critrios de avaliao de riscos definidos durante a
definio do contexto.
Convm que os critrios de avaliao de riscos utilizados na tomada de decises sejam consistentes com o
contexto definido, externo e interno, relativo gesto de riscos de segurana da informao e levem em conta os
objetivos da organizao, o ponto de vista das partes interessadas etc. As decises tomadas durante a atividade
de avaliao de riscos so baseadas principalmente no nvel de risco aceitvel. No entanto, convm que as
conseqncias, a probabilidade e o grau de confiana na identificao e anlise de riscos tambm sejam
considerados. A agregao de vrios pequenos ou mdios riscos pode resultar em um risco total bem mais
significativo e precisa ser tratada adequadamente.
Convm que os seguintes itens sejam considerados:
Propriedades da segurana da informao: se um critrio no for relevante para a organizao (por exemplo:
a perda da confidencialidade), logo, todos os riscos que provocam esse tipo de impacto podem ser
considerados irrelevantes
A importncia do processo de negcios ou da atividade suportada por um determinado ativo ou conjunto de
ativos: se o processo tiver sido julgado de baixa importncia, convm que os riscos associados a ele sejam
menos considerados do que os riscos que causam impactos em processos ou atividades mais importantes
A avaliao de riscos usa o entendimento do risco obtido atravs da anlise de riscos para a tomada de decises
sobre aes futuras. Convm que as seguintes questes sejam decididas:
Convm que uma atividade seja empreendida
As prioridades para o tratamento do risco, levando-se em conta os nveis estimados de risco
Durante a etapa de avaliao de riscos, alm dos riscos estimados, convm que requisitos contratuais, legais e
regulatrios tambm sejam considerados.
Sada: Uma lista de riscos ordenados por prioridade (de acordo com os critrios de avaliao de riscos) e
associados aos cenrios de incidentes que os provocam.
20/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Tratamento do risco de segurana da informao
9.1 Descrio geral do processo de tratamento do risco

Entrada: Uma lista de riscos ordenados por prioridade (de acordo com os critrios de avaliao de riscos) e
associados aos cenrios de incidentes que os provocam.
Ao: Convm que controles para reduzir, reter, evitar ou transferir os riscos sejam selecionados e o plano de
tratamento do risco seja definido.
H quatro opes disponveis para o tratamento do risco: reduo do risco (ver 9.2), reteno do risco (ver 9.3),
evitar o risco (ver 9.4) e transferncia do risco (ver 9.5).
NOTA
A ABNT NBR ISO/IEC 27001 4.2.1.f) 2) usa o termo aceitao do risco em vez de reteno do risco.
A Figura 2 ilustra a atividade de tratamento do risco dentro do processo de gesto de riscos de segurana da
informao como apresentado na Figura 1.
RESULTADOS DA
AVALIAO DE
RISCOS
AVALIAO
SATISFATRIA
Ponto de Deciso 1
Tratamento do risco
OPES DE TRATAMENTO DO RISCO
REDUO
DO RISCO
RETENO
DO RISCO
AO DE
EVITAR O
RISCO
TRANSFERNCIA
DO RISCO
RISCOS
RESIDUAIS
TRATAMENTO
SATISFATRIO
Ponto de Deciso 2
Figura 2 A atividade de tratamento do risco

21/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Convm que as opes do tratamento do risco sejam selecionadas com base no resultado da anlise/avaliao de
riscos, no custo esperado para implementao dessas opes e nos benefcios previstos.
Quando uma grande reduo do risco pode ser obtida com uma despesa relativamente pequena, convm que
essas opes sejam implementadas. Outras opes para melhorias podem ser muito dispendiosas e uma anlise
precisa ser feita para verificar suas justificativas.
Em geral, convm que as conseqncias adversas do risco sejam reduzidas ao mnimo possvel,
independentemente de quaisquer critrios absolutos. Convm que os gestores considerem os riscos improvveis
porm graves. Nesse caso, controles que no so justificveis do ponto de vista estritamente econmico podem
precisar ser implementados (por exemplo: controles de continuidade de negcios concebidos para tratar riscos de
alto impacto especficos).
As quatro opes para o tratamento do risco no so mutuamente exclusivas. s vezes, a organizao pode
beneficiar-se substancialmente de uma combinao de opes, tais como a reduo da probabilidade do risco, a
reduo de suas conseqncias e a transferncia ou reteno dos riscos residuais.
Algumas formas de tratamento do risco podem lidar com mais de um risco de forma efetiva (por exemplo: o
treinamento e a conscientizao em segurana da informao). Convm que um plano de tratamento do risco seja
definido, identificando claramente a ordem de prioridade em que as formas especficas de tratamento do risco
convm ser implementadas, assim como os seus prazos de execuo. Prioridades podem ser estabelecidas
usando vrias tcnicas, incluindo a ordenao dos riscos e a anlise de custo-benefcio. de responsabilidade
dos gestores da organizao equilibrar os custos da implementao dos controles e o oramento.
A identificao de controles existentes pode nos fazer concluir que os mesmos excedem as necessidades atuais
em funo da comparao de custos, incluindo a manuteno. Se a remoo de controles redundantes e
desnecessrios tiver que ser considerada (especialmente se os controles tm altos custos de manuteno),
convm que a segurana da informao e os fatores de custo sejam levados em conta. Devido influncia que os
controles exercem uns sobres os outros, a remoo de controles redundantes pode reduzir a segurana em vigor
como um todo. Alm disso, talvez seja menos dispendioso deixar controles redundantes ou desnecessrios em
vigor do que remov-los.
Convm que as opes de tratamento do risco sejam consideradas levando-se em conta:
Como o risco percebido pelas partes afetadas
As formas mais apropriadas de comunicao com as partes
A definio do contexto (ver 7.2 - Critrios de avaliao de riscos) fornece informaes sobre requisitos legais e
regulatrios com os quais a organizao precisa estar em conformidade. Nesse caso, o risco para organizao
no estar em conformidade e convm que sejam implementadas opes de tratamento para limitar essa
possibilidade. Convm que todas as restries - organizacionais, tcnicas, estruturais etc.- identificadas durante a
atividade de definio do contexto, sejam levadas em conta durante o tratamento do risco.
Uma vez que o plano de tratamento do risco tenha sido definido, os riscos residuais precisam ser determinados.
Isso envolve uma atualizao ou uma repetio da anlise/avaliao de riscos, considerando-se os efeitos
previstos do tratamento do risco que foi proposto. Caso o risco residual ainda no satisfaa os critrios para a
aceitao do risco da organizao, uma nova iterao do tratamento do risco pode ser necessria antes de se
prosseguir aceitao do risco. Mais informaes podem ser encontradas na ABNT NBR ISO/IEC 27002,
Seo 0.3.
Sada: O plano de tratamento do risco e os riscos residuais, sujeitos deciso de aceitao por parte dos gestores
da organizao.
9.2 Reduo do risco

Ao: Convm que o nvel de risco seja reduzido atravs da seleo de controles, para que o risco residual possa
ser reavaliado e ento considerado aceitvel.
22/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Convm que controles apropriados e devidamente justificados sejam selecionados para satisfazer os requisitos
identificados atravs da anlise/avaliao de riscos e do tratamento dos mesmos. Convm que essa escolha leve
em conta os critrios para a aceitao do risco assim como requisitos legais, regulatrios e contratuais. Convm
que essa seleo tambm leve em conta custos e prazos para a implementao de controles, alm de aspectos
tcnicos, culturais e ambientais. Com freqncia, possvel diminuir o custo total de propriedade de um sistema
por meio de controles de segurana da informao apropriadamente selecionados.
Em geral, os controles podem fornecer um ou mais dos seguintes tipos de proteo: correo, eliminao,
preveno, minimizao do impacto, dissuaso, deteco, recuperao, monitoramento e conscientizao.
Durante a seleo de controles, importante pesar o custo da aquisio, implementao, administrao,
operao, monitoramento e manuteno dos controles em relao ao valor dos ativos sendo protegidos. Alm
disso, convm que o retorno do investimento, na forma da reduo do risco e da possibilidade de se explorar
novas oportunidades de negcio em funo da existncia de certos controles, tambm seja considerado.
Adicionalmente, convm considerar as competncias especializadas que possam ser necessrias para definir e
implementar novos controles ou modificar os existentes.
A ABNT NBR ISO/IEC 27002 fornece informaes detalhadas sobre controles.
H muitas restries que podem afetar a seleo de controles. Restries tcnicas, tais como requisitos de
desempenho, capacidade de gerenciamento (requisitos de apoio operacional) e questes de compatibilidade,
podem dificultar a utilizao de certos controles ou induzir erros humanos, chegando mesmo a anular o controle, a
dar uma falsa sensao de segurana ou a tornar o risco ainda maior do que seria se o controle no existisse (por
exemplo: exigir senhas complexas sem treinamento adequado leva os usurios a anotar as senhas por escrito).
importante lembrar tambm que um controle pode vir a afetar o desempenho sobremaneira. Convm que os
gestores tentem encontrar uma soluo que satisfaa os requisitos de desempenho e que possa, ao mesmo
tempo, garantir um nvel suficiente de segurana da informao. O resultado dessa etapa uma lista de controles
possveis, com seu custo, benefcio e prioridade de implementao.
Convm que vrias restries sejam levadas em considerao durante a escolha e a implementao de controles.
Normalmente, so consideradas as seguintes:
Restries temporais
Restries financeiras
Restries tcnicas
Restries operacionais
Restries culturais
Restries ticas
Restries ambientais
Restries legais
Facilidade de uso
Restries de recursos humanos
Restries ligadas integrao dos controles novos aos j existentes.
Mais informaes sobre as restries que dizem respeito reduo do risco podem ser encontradas no Anexo F.
23/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
9.3 Reteno do risco

Ao: Convm que as decises sobre a reteno do risco, sem outras aes adicionais, sejam tomadas tendo
como base a avaliao de riscos.
NOTA
O tpico ABNT NBR ISO/IEC 27001 4.2.1 f 2) "aceitao do risco, consciente e objetiva, desde que claramente
satisfazendo as polticas da organizao e os critrios para aceitao do risco descreve a mesma atividade.

Se o nvel de risco atende aos critrios para a aceitao do risco, no h necessidade de se implementar controles
adicionais e pode haver a reteno do risco.
9.4 Ao de evitar o risco

Ao: Convm que a atividade ou condio que d origem a um determinado risco seja evitada.
Quando os riscos identificados so considerados demasiadamente elevados e quando os custos da
implementao de outras opes de tratamento do risco excederem os benefcios, pode-se decidir que o risco seja
evitado completamente, seja atravs da eliminao de uma atividade planejada ou existente (ou de um conjunto
de atividades), seja atravs de mudanas nas condies em que a operao da atividade ocorre. Por exemplo:
para riscos causados por fenmenos naturais, pode ser uma alternativa mais rentvel mover fisicamente as
instalaes de processamento de informaes para um local onde o risco no existe ou est sob controle.
9.5 Transferncia do risco

Ao: Convm que um determinado risco seja transferido para outra entidade que possa gerenci-lo de forma
mais eficaz, dependendo da avaliao de riscos.
A transferncia do risco envolve a deciso de se compartilhar certos riscos com entidades externas. A
transferncia do risco pode tambm criar novos riscos ou modificar riscos existentes e j identificados. Portanto,
um novo tratamento do risco pode vir a ser necessrio.
A transferncia pode ser feita por um seguro que cubra as conseqncias ou atravs da subcontratao de um
parceiro cujo papel seria o de monitorar o sistema de informao e tomar medidas imediatas que impeam um
ataque antes que ele possa causar um determinado nvel de dano ou prejuzo.
Note-se que, apesar de ser possvel transferir a responsabilidade pelo gerenciamento do risco, no normalmente
possvel transferir a responsabilidade legal pelas conseqncias. Os clientes provavelmente iro atribuir a culpa
por um efeito adverso organizao.
10 Aceitao do risco de segurana da informao

Entrada: O plano de tratamento do risco e a anlise/avaliao do risco residual sujeito deciso dos gestores da
organizao relativa aceitao do mesmo.
Ao: Convm que a deciso de aceitar os riscos seja feita e formalmente registrada, juntamente com a
responsabilidade pela deciso (isso se refere ao pargrafo 4.2.1 h) da ABNT NBR ISO/IEC 27001).
Convm que os planos de tratamento do risco descrevam como os riscos avaliados sero tratados para que os
critrios de aceitao do risco sejam atendidos (veja Seo 7.2 Critrios para a aceitao do risco). importante
24/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
que gestores responsveis faam uma anlise crtica e aprovem, se for o caso, os planos propostos de tratamento
do risco, os riscos residuais resultantes e que registrem as condies associadas a essa aprovao.
Os critrios para a aceitao do risco podem ser mais complexos do que somente a determinao se o risco
residual est, ou no, abaixo ou acima de um limite bem definido.
Em alguns casos, o nvel de risco residual pode no satisfazer os critrios de aceitao do risco, pois os critrios
aplicados no esto levando em conta as circunstncias predominantes no momento. Por exemplo, pode ser
vlido argumentar que preciso que se aceite o risco, pois os benefcios que o acompanham so muito atraentes
ou porque os custos de sua reduo so demasiadamente elevados. Tais circunstncias indicam que os critrios
para a aceitao do risco so inadequados e convm que sejam revistos, se possvel. No entanto, nem sempre
possvel rever os critrios para a aceitao do risco no tempo apropriado. Nesses casos, os tomadores de deciso
podem ter que aceitar riscos que no satisfaam os critrios normais para o aceite. Se isso for necessrio, convm
que o tomador de deciso comente explicitamente sobre os riscos e inclua uma justificativa para a sua deciso de
passar por cima dos critrios normais para a aceitao do risco.
Sada: Uma lista de riscos aceitos, incluindo uma justificativa para aqueles que no satisfaam os critrios normais
para aceitao do risco.
11 Comunicao do risco de segurana da informao

Entrada: Todas as informaes sobre os riscos obtidas atravs das atividades de gesto de riscos (ver Figura 1).
Ao: Convm que as informaes sobre riscos sejam trocadas e/ou compartilhadas entre o tomador de deciso e
as outras partes interessadas.
A comunicao do risco uma atividade que objetiva alcanar um consenso sobre como os riscos devem ser
gerenciados, fazendo uso para tal da troca e/ou partilha das informaes sobre o risco entre os tomadores de
deciso e as outras partes interessadas. A informao inclui, entre outros possveis fatores, a existncia, natureza,
forma, probabilidade, severidade, tratamento e aceitabilidade dos riscos.
A comunicao eficaz entre as partes interessadas importante, uma vez que isso pode ter um impacto
significativo sobre as decises que devem ser tomadas. A comunicao assegurar que os responsveis pela
implementao da gesto de riscos, e aqueles com interesses reais de direito, tenham um bom entendimento do
por que as decises so tomadas e dos motivos que tornam certas aes necessrias. A comunicao
bidirecional.
A percepo do risco pode variar devido a diferenas de suposies, conceitos, necessidades, interesses e
preocupaes das partes interessadas quando lidam com o risco ou quando tratam das questes sendo aqui
discutidas. As partes interessadas iro, provavelmente, fazer julgamentos sobre a aceitabilidade do risco tendo
como base sua prpria percepo do risco. Assim, particularmente importante garantir que a percepo do risco
das partes interessadas, bem como a sua percepo dos benefcios, sejam identificadas e documentadas e que
as razes subjacentes sejam claramente entendidas e consideradas.
Convm que a comunicao do risco seja realizada a fim de:
Fornecer garantia do resultado da gesto de riscos da organizao
Coletar informaes sobre os riscos
Compartilhar os resultados da anlise/avaliao de riscos e apresentar o plano de tratamento do risco
Evitar ou reduzir tanto a ocorrncia quanto as conseqncias das violaes da segurana da informao que
aconteam devido falta de entendimento mtuo entre os tomadores de deciso e as partes interessadas
25/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Dar suporte ao processo decisrio
Obter novo conhecimento sobre a segurana da informao
Coordenar com outras partes e planejar respostas para reduzir as conseqncias de um incidente
Dar aos tomadores de deciso e as partes interessadas um senso de responsabilidade sobre riscos
Melhorar a conscientizao
Convm que a organizao desenvolva planos de comunicao dos riscos tanto para as operaes rotineiras
como tambm para situaes emergenciais. Portanto, convm que a atividade de comunicao do risco seja
realizada continuamente.
A coordenao entre os principais tomadores de deciso e as partes interessadas pode ser obtida mediante a
formao de uma comisso em que os riscos, a sua priorizao, as formas adequadas de trat-los e a sua
aceitao possam ser amplamente discutidos.
importante cooperar com o escritrio de relaes pblicas ou com o grupo de comunicao apropriado dentro da
organizao para coordenar as tarefas relacionadas com a comunicao do risco. Isso vital no caso de aes de
comunicao durante crises, por exemplo: em resposta a incidentes especficos.
Sada: Entendimento contnuo do processo de gesto de riscos de segurana da informao da organizao e dos
resultados obtidos.
12 Monitoramento e anlise crtica de riscos de segurana da informao

12.1 Monitoramento e anlise crtica dos fatores de risco
Ao: Convm que os riscos e seus fatores (isto , valores dos ativos, impactos, ameaas, vulnerabilidades,
probabilidade de ocorrncia) sejam monitorados e analisados criticamente, a fim de se identificar, o mais
rapidamente possvel, eventuais mudanas no contexto da organizao e de se manter uma viso geral dos
riscos.
Os riscos no so estticos. As ameaas, as vulnerabilidades, a probabilidade ou as conseqncias podem mudar
abruptamente, sem qualquer indicao. Portanto, o monitoramento constante necessrio para que se detectem
essas mudanas. Servios de terceiros que forneam informaes sobre novas ameaas ou vulnerabilidades
podem prestar um auxlio valioso.
Convm que as organizaes assegurem que os seguintes itens sejam monitorados continuamente:
Novos ativos que tenham sido includos no escopo da gesto de riscos
Modificaes necessrias dos valores dos ativos, por exemplo: devido mudana nos requisitos de negcio
Novas ameaas que podem estar ativas tanto fora quanto dentro da organizao e que no tenham sido
avaliadas
A possibilidade de que vulnerabilidades novas ou ampliadas venham a permitir que alguma ameaa as
explore
26/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
As vulnerabilidades j identificadas, para determinar aquelas que esto se tornando expostas a ameaas
novas ou ressurgentes
As conseqncias ou o impacto ampliado de ameaas, vulnerabilidades e riscos avaliados em conjunto - em
um todo agregado, resultando em um nvel inaceitvel de risco
Incidentes relacionados segurana da informao
Novas ameaas, novas vulnerabilidades e mudanas na probabilidade ou nas conseqncias, podem vir a ampliar
os riscos anteriormente avaliados como pequenos. Convm que a anlise crtica dos riscos pequenos e aceitos
considere cada risco separadamente e tambm em conjunto a fim de avaliar seu impacto potencial agregado. Se
os riscos no estiverem dentro da categoria "baixo" ou "aceitvel", convm que eles sejam tratados utilizando-se
uma ou mais de uma das opes consideradas na Seo 9.
Fatores que afetam a probabilidade ou as conseqncias das ameaas j ocorridas podem mudar, assim como os
fatores que afetam a adequao ou o custo das vrias opes de tratamento. Convm que qualquer grande
mudana que afete a organizao seja seguida por uma anlise crtica mais especfica. Assim sendo, convm que
no s as atividades de monitoramento de riscos sejam repetidas regularmente, mas tambm as opes
selecionadas para o tratamento do risco sejam periodicamente revistas.
O resultado da atividade de monitoramento de riscos pode fornecer os dados de entrada para as atividades de
anlise crtica. Convm que a organizao analise critica e regularmente todos os riscos e tambm quando
grandes mudanas ocorrerem (de acordo com a ABNT NBR ISO/IEC 27001, Seo 4.2.3)).
Sada: Alinhamento contnuo da gesto de riscos com os objetivos de negcios da organizao e com os critrios
para a aceitao do risco.
12.2 Monitoramento, anlise crtica e melhoria do processo de gesto de riscos

Ao: Convm que o processo de gesto de riscos de segurana da informao seja continuamente monitorado,
analisado criticamente e melhorado, quando necessrio e apropriado.
O monitoramento cotidiano e a anlise crtica so necessrios para assegurar que o contexto, o resultado da
anlise/avaliao de riscos e do tratamento do risco, assim como os planos de gesto, permaneam relevantes e
adequados s circunstncias.
Convm que a organizao se certifique que o processo de gesto de riscos de segurana da informao e as
atividades relacionadas permaneam apropriadas nas circunstncias presentes. Convm tambm assegurar que
as atividades sejam acompanhadas. Convm que quaisquer melhorias ao processo ou quaisquer aes
necessrias para melhorar a conformidade com o processo sejam comunicadas aos gestores apropriados, para
que se possa ter certeza que nenhum risco ou elemento do risco ser ignorado ou subestimado, que as aes
necessrias esto sendo executadas e que as decises corretas esto sendo tomadas a fim de se garantir uma
compreenso realista do risco e a capacidade de reao.
Alm disso, convm que a organizao verifique regularmente se os critrios utilizados para medir o risco e os
seus elementos ainda so vlidos e consistentes com os objetivos de negcios, estratgias e polticas e se as
mudanas no contexto do negcio so adequadamente consideradas durante o processo de gesto de riscos de
segurana da informao. Convm que essa atividade de monitoramento e anlise crtica lide com (mas no seja
limitada ao(s)):
Contexto legal e do ambiente
Contexto da concorrncia
27/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Mtodo de anlise/avaliao de riscos
Valor e as categorias dos ativos
Critrios de impacto
Critrios para a avaliao de riscos
Critrios para a aceitao do risco
Custo total de propriedade
Recursos necessrios
Convm que a organizao assegure que os recursos necessrios para a anlise/avaliao de riscos e o
tratamento dos mesmos estejam sempre disponveis para rever os riscos, para lidar com ameaas ou
vulnerabilidades novas ou alteradas e para aconselhar a direo da melhor forma possvel.
O monitoramento da gesto de riscos pode resultar em modificao ou acrscimo da abordagem, metodologia ou
ferramentas utilizadas, dependendo:
Das mudanas identificadas
Da iterao da anlise/avaliao de riscos
Do objetivo do processo de gesto de riscos de segurana da informao (por exemplo: a continuidade de
negcios, a resilincia diante dos incidentes, a conformidade)
Do objeto de interesse do processo de gesto de riscos de segurana da informao (por exemplo: a
organizao, a unidade de negcios, o sistema de informao, a sua implementao tcnica, a aplicao, a
conexo Internet)
Sada: Garantia permanente da relevncia do processo de gesto de riscos de segurana da informao para os
objetivos de negcios da organizao ou a atualizao do processo.
28/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Anexo A
(informativo)
Definindo o escopo e os limites do processo de gesto de riscos de
A.1 A anlise da organizao

A anlise da organizao Este tipo de anlise destaca os elementos caractersticos que definem a identidade de
uma organizao. Ela se preocupa com o propsito, o negcio, a misso, os valores e as estratgias da
organizao. Convm que esses elementos sejam identificados ao lado daqueles que contribuem com o seu
desenvolvimento (por exemplo: a subcontratao).
A dificuldade aqui reside no entendimento exato de como a organizao est estruturada. A identificao de sua
real estrutura permite um entendimento do papel e da importncia de cada rea no alcance dos objetivos da
organizao.
Por exemplo, o fato do gestor da segurana da informao se reportar alta direo ao invs de faz-lo aos
gestores de TI pode indicar o envolvimento da alta direo nos assuntos relativos segurana da informao.
O propsito principal da organizao O seu propsito pode ser definido como a razo pela qual a organizao
existe (sua rea de atividade, seu segmento de mercado etc.).
Seu negcio O negcio de uma organizao, definido pelas tcnicas e "know-how" de seus funcionrios, viabiliza
o cumprimento de sua misso. especfico rea de atividade da organizao e freqentemente define sua
cultura.
Sua misso A organizao atinge seu propsito ao cumprir sua misso. Para bem identific-la, convm que os
servios prestados e/ou produtos manufaturados sejam relacionados aos seus pblicos-alvos.
Seus valores Valores consistem de princpios fundamentais ou de um cdigo de conduta bem definido, aplicados
na rotina de um negcio. Podem incluir os recursos humanos, as relaes com agentes externos (clientes e
outros), a qualidade dos produtos fornecidos ou dos servios prestados.
Tomemos o exemplo de uma organizao cujo propsito seja o servio pblico, cujo negcio seja o transporte e
cuja misso inclua o transporte de crianas de ida e de volta da escola. Os seus valores poderiam ser a
pontualidade do servio e a segurana durante o transporte.
A estrutura da organizao Existem diferentes tipos de estrutura:
Estrutura departamental baseada em divises ou reas: cada diviso fica sob a autoridade de um gestor de
rea responsvel pelas decises estratgicas, administrativas e operacionais relativas a sua unidade.
Estrutura baseada em funes: a autoridade relativa a cada funo exercida na forma dos procedimentos
adotados, na determinao da natureza do trabalho e algumas vezes nas decises e no planejamento (por
exemplo: produo, TI, recursos humanos, marketing etc.).
Notas:
Uma rea, em uma organizao com estrutura departamental, pode estruturar-se baseando-se em suas
funes e vice-versa
29/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Uma organizao pode ser considerada como de estrutura matricial se possuir caractersticas de ambos os
tipos de estrutura.
Em qualquer tipo de estrutura organizacional, os seguintes nveis podem ser distinguidos:
o nvel de tomada de deciso (estabelecimento da orientao estratgica);
o nvel da liderana (coordenao e gerenciamento);
o nvel operacional (produo e atividades de apoio).
Organograma A estrutura da organizao esquematizada em seu organograma. Convm que essa
representao deixe claro quem se reporta a quem, destacando tambm a linha de comando que legitimiza a
delegao de autoridade. Convm que inclua tambm outros tipos de relacionamentos, os quais, mesmo que no
sejam baseados em uma autoridade oficial, criam de qualquer forma caminhos para o fluxo de informao.
A estratgia da organizao Ela requer a expresso formalizada dos princpios que norteiam a organizao. A
estratgia determina a direo e o desenvolvimento necessrios para que a organizao possa se beneficiar das
questes em pauta e das principais mudanas sendo planejadas.
A.2 Restries que afetam a organizao

Convm que todas as restries que afetam a organizao e determinam o direcionamento da segurana da
informao sejam consideradas. As suas origens podem ser encontradas na prpria organizao, o que lhe d um
certo controle sobre as restries ou talvez sejam externas organizao, o que as tornariam, provavelmente,
"inegociveis". Recursos limitados (oramento, recursos humanos) e restries ligadas a emergncias esto entre
as mais importantes.
A organizao define seus objetivos (relativos ao seu negcio, comportamento etc.) e compromete-se a seguir um
determinado caminho, possivelmente por um longo perodo. Ela define aquilo na qual deseja se tornar e tambm
os meios necessrios para que tal possa ocorrer. Para especificar esse caminho, a organizao considera a
evoluo das tcnicas e do know-how disponveis, assim como a vontade expressa de seus usurios, clientes,
entre outros fatores. Esse objetivo pode ser expresso na forma de estratgias de operao ou de desenvolvimento
com o fim de, por exemplo, cortar custos operacionais, melhorar a qualidade do servio etc.
Essas estratgias provavelmente abrangem as informaes e os sistemas de informao (SI), os quais auxiliam a
aplicao das estratgias. Consequentemente, as caractersticas relacionadas identidade, misso e estratgias
da organizao so elementos fundamentais para a anlise do problema, pois a violao de qualquer aspecto da
segurana da informao pode resultar na reformulao desses objetivos estratgicos. Alm disso, essencial
que propostas de novos requisitos de segurana da informao sejam consistentes com as regras, o uso e os
meios empregados na organizao.
A lista de restries inclui, mas no limitada a:
Restries de natureza poltica
Estas dizem respeito administrao governamental, s instituies pblicas ou, genericamente, a qualquer
organizao que precise aplicar decises governamentais. Normalmente, trata-se de decises relativas
orientao estratgica ou operacional determinada por uma rea do governo ou por uma entidade responsvel
pelo processo decisrio e convm que sejam aplicadas.
Por exemplo, a informatizao de notas fiscais ou de documentos administrativos introduz questes de segurana
da informao.
Restries de natureza estratgica
30/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Restries podem surgir de mudanas, sejam planejadas ou no, na estrutura ou na orientao da organizao.
Elas so representadas nos planos estratgicos ou operacionais da organizao.
Por exemplo, a cooperao internacional para o compartilhamento de informaes sensveis pode demandar
acordos sobre a troca segura de dados.
Restries territoriais
A estrutura e/ou o propsito da organizao pode implicar restries, tais como com relao escolha de sua
localizao e distribuio geogrfica, no pas e no estrangeiro.
Exemplos incluem os servios postais, embaixadas, bancos, subsidirias de conglomerados industriais etc.
Restries advindas do ambiente econmico e poltico
A operao de uma organizao pode ser transtornada por eventos especficos, tais como greves ou crises
nacionais e internacionais.
Por exemplo, convm garantir a continuidade da prestao de alguns servios mesmo em caso de crises.
Restries estruturais
A natureza da estrutura de uma organizao (departamental, funcional ou outra qualquer) pode levar a uma
poltica de segurana da informao e a uma organizao responsvel pela segurana, adaptadas a essa
estrutura.
Por exemplo, convm que uma estrutura internacional seja capaz de conciliar requisitos de segurana especficos
de cada pas.
Restries funcionais
Restries funcionais so aquelas derivadas diretamente da misso da organizao (seja nos seus aspectos
gerais, seja nos especficos).
Por exemplo, convm que uma organizao que opera 24 horas por dia seja capaz de assegurar que seus
recursos estaro sempre disponveis.
Restries relativas aos recursos humanos
A natureza dessas restries varia consideravelmente. Esto associadas ao: nvel de responsabilidade, tipo de
recrutamento, qualificao, treinamento, conscientizao em segurana, motivao, disponibilidade etc.
Por exemplo, convm que todos os recursos humanos de uma organizao de defesa do pas tenham autorizao
para manipular informaes altamente sigilosas.
Restries advindas da agenda da organizao
Esse tipo de restrio resulta, por exemplo, da reestruturao ou da definio de novas polticas nacionais ou
internacionais que imponham algumas datas limites.
Por exemplo, a criao de uma rea de segurana.
Restries relacionadas a mtodos
Mtodos apropriados para o know-how da organizao precisaro ser impostos com relao a alguns tpicos, tais
como o planejamento, a especificao e o desenvolvimento de projetos, entre outros.
31/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Por exemplo, uma restrio desse tipo bastante comum a necessidade das obrigaes legais da organizao
serem incorporadas poltica de segurana.
Restries de natureza cultural
Em algumas organizaes, hbitos de trabalho ou as caractersticas do negcio do origem a uma "cultura"
especfica da organizao, a qual pode ser incompatvel com o estabelecimento de controles de segurana. Essa
cultura usada pelos recursos humanos como sua principal referncia e pode ser determinada por vrios
aspectos, incluindo educao, instruo, experincia profissional, experincia fora do trabalho, opinies, filosofia,
crenas, status social etc.
Restries oramentrias
Os controles de segurana recomendados podem, algumas vezes, ter um alto custo. Apesar de no ser sempre
apropriado ter apenas a taxa de custo-benefcio como base para os investimentos em segurana, uma justificativa
econmica normalmente necessria para o departamento financeiro da organizao.
Por exemplo, no setor privado e em algumas organizaes pblicas, convm que o custo total dos controles de
segurana no exceda o custo potencial das possveis conseqncias dos riscos. Assim, convm que a alta
direo avalie os riscos e aceite uma parcela deles de forma consciente e calculada, para se evitar custos
excessivos em segurana.
A.3 Legislaes e regulamentaes aplicveis organizao

Convm que os requisitos regulatrios aplicveis organizao sejam identificados. Eles consistem das leis,
decretos, regulamentaes especficas que dizem respeito rea de atividade da organizao ou regulamentos
internos e externos. Englobam tambm contratos, acordos e, mais genericamente, qualquer obrigao de natureza
legal ou regulatria.
A.4 Restries que afetam o escopo

Ao identificar as restries possvel enumerar aquelas que causam um impacto no escopo e determinar quais
so passveis de interveno. Elas complementam e talvez venham a corrigir as restries da organizao
discutidas mais acima. Os pargrafos a seguir apresentam uma lista de tipos de restries, sem esgotar todas as
possibilidades.
Restries derivadas de processos pr-existentes
Projetos de aplicaes no so desenvolvidos necessariamente de forma simultnea. Alguns dependem de
processos pr-existentes. Mesmo que um processo possa ser quebrado em subprocessos, o processo no
obrigatoriamente influenciado por todos os subprocessos de um outro processo.
Restries tcnicas
Restries tcnicas, relativas infra-estrutura, surgem normalmente em funo do software e hardware instalados
e dos aposentos e instalaes em que eles se encontram:
Arquivos (requisitos referentes organizao, gesto de mdia, gerenciamento de regras de acesso etc.)
Arquitetura comum (requisitos referentes topologia - centralizada, distribuda ou do tipo cliente-servidor,
arquitetura fsica etc.)
Software aplicativo (requisitos referentes aos projetos de software especfico, padres de mercado etc.)
Software de prateleira (requisitos referentes a padres, nvel de avaliao, qualidade, conformidade com
normas, segurana etc.)
32/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Hardware (requisitos referentes a padres, qualidade, conformidade com normas etc.)
Redes de comunicao (requisitos referentes cobertura, padres, capacidade, confiabilidade etc.)
Infra-estrutura predial (requisitos referentes engenharia civil, construo, alta voltagem, baixa voltagem etc.)
Restries financeiras
A implementao de controles de segurana freqentemente limitada pelo oramento que a organizao pode
comprometer para tal. Entretanto, convm que restries financeiras sejam consideradas por ltimo j que
alocaes oramentrias para segurana podem ser negociadas tendo como base a anlise da prpria segurana.
Restries ambientais
Restries ambientais surgem em funo do ambiente geogrfico ou econmico no qual os processos so
implementados: pas, clima, riscos naturais, situao geogrfica, ambiente econmico etc.
Restries temporais
Convm que o tempo requerido para a implementao de controles de segurana seja considerado em relao
capacidade de atualizao do sistema de informao; se a implementao for muito demorada, os riscos para os
quais os controles foram projetados podem j ter mudado. O tempo um fator determinante na seleo de
solues e prioridades.
Restries relacionadas a mtodos
Convm que mtodos apropriados para o know-how da organizao sejam utilizados para o planejamento, a
especificao e o desenvolvimento de projetos, entre outros.
Restries organizacionais
Vrias restries podem ser causadas por requisitos de ordem organizacional:
Operao (requisitos referentes ao "tempo gasto na produo", fornecimento de servios, vigilncia,
monitoramento, planos em caso de emergncia, operao reduzida etc.)
Manuteno (requisitos para a investigao e soluo de incidentes, aes preventivas, correo rpida etc.)
Gesto de recursos humanos (requisitos referentes ao treinamento de operadores e usurios, qualificao
para cargos como administrador de sistema ou de dados etc.)
Gerenciamento administrativo (requisitos referentes a responsabilidades etc.)
Gerenciamento do desenvolvimento (requisitos referentes a ferramentas de desenvolvimento, engenharia de
software assistida por computador, cronograma de aceite, organizao a ser estabelecida etc.)
Gerenciamento de relacionamentos externos (requisitos referentes organizao das relaes com terceiros,
contratos etc.)
33/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Anexo B
(informativo)
Identificao e valorao dos ativos e avaliao do impacto
B.1 Exemplos de identificao de ativos

Para estabelecer o valor de seus ativos, uma organizao precisa primeiro identific-los (num nvel de
detalhamento adequado). Dois tipos de ativos podem ser distinguidos:
Ativos primrios:
Processos e atividades do negcio
Informao
Ativos de suporte e infra-estrutura (sobre os quais os elementos primrios do escopo se apiam), de todos os
tipos:
Hardware
Software
Rede
Recursos humanos
Instalaes fsicas
A estrutura da organizao
B.1.1 Identificao dos ativos primrios

Para permitir a descrio do escopo de forma precisa, essa atividade consiste na identificao dos ativos primrios
(processos e atividades do negcio, informao). A identificao conduzida por um grupo misto de trabalho que
represente o processo (gestores, especialistas nos sistemas de informao e usurios).
Os ativos primrios normalmente consistem dos principais processos e informaes das atividades includas no
escopo. Outros ativos primrios, tais como os processos da organizao, podem tambm ser considerados, os
quais sero teis para a elaborao da poltica de segurana da informao ou do plano de continuidade de
negcios. Dependendo de seus propsitos, alguns estudos no iro demandar uma anlise exaustiva de todos os
elementos presentes no escopo. Nesses casos, o estudo pode ser limitado aos elementos chave includos no
escopo.
Os ativos primrios so de dois tipos:
1 - Processos (ou subprocessos) e atividades do negcio, por exemplo:
Processos cuja interrupo, mesmo que parcial, torna impossvel cumprir a misso da organizao
Processos que contm procedimentos secretos ou processos envolvendo tecnologia proprietria
34/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Processos que, se modificados, podem afetar significativamente o cumprimento da misso da organizao
Processos necessrios para que a organizao fique em conformidade com requisitos contratuais, legais ou
regulatrios
2 Informao
Genericamente, informao primria compreende:
Informao vital para o cumprimento da misso de uma organizao ou para o desempenho de seu negcio
Informao de carter pessoal, da forma em que definida nas leis nacionais referentes privacidade
Informao estratgica necessria para o alcance dos objetivos determinados pelo direcionamento estratgico
Informao de alto custo, cuja coleta, armazenamento, processamento e transmisso demanda um longo
tempo ou incorre em um alto custo de aquisio
Processos e informao que no so identificadas como sensveis aps essa atividade no recebero uma
classificao especfica durante o restante do estudo. Isso significa que a organizao ir cumprir sua misso com
sucesso mesmo no caso desses processos e informao terem sido comprometidos.
Entretanto, eles iro freqentemente herdar controles implementados para a proteo de processos e informao
identificados como sensveis.
B.1.2 Lista e descrio de ativos de suporte e infra-estrutura

Convm que o escopo consista de ativos que podem ser identificados e descritos. Esses ativos apresentam
vulnerabilidades que podem ser exploradas por ameaas cujo objetivo comprometer os ativos primrios do
escopo (processos e informao). Eles so de vrios tipos:
Hardware
O tipo hardware compreende os elementos fsicos que do suporte aos processos.
Equipamento de processamento de dados (ativo)
Equipamento automtico de processamento de dados incluindo os itens necessrios para sua operao
independente.
Equipamento mvel
Computadores portteis.
Exemplos: laptops, agendas eletrnicas (Personal Digital Assistants - PDAs).
Equipamento fixo
Computadores utilizados nas instalaes da organizao.
Exemplos: servidores, microcomputadores utilizados como estaes de trabalho.
Perifricos de processamento
Equipamento conectado a um computador atravs de uma porta de comunicao (serial, paralela etc.) para
a entrada, o transporte ou a transmisso de dados.
35/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Exemplos: impressoras, unidades de disco removvel.
Mdia de dados (passiva)
Este tipo compreende a mdia para o armazenamento de dados ou funes.
Mdia eletrnica
Uma mdia com informaes que pode ser conectada a um computador ou a uma rede de computadores
para o armazenamento de dados. Apesar de seu tamanho reduzido, esse tipo de mdia pode conter um
grande volume de dados e pode ser utilizada com equipamentos computadorizados comuns.
Exemplos: disco flexvel, CD ROM, cartucho de back-up, unidade de disco removvel, carto de memria,
fita.
Outros tipos de mdia
Mdia esttica, no-eletrnica, contendo dados.
Exemplos: papel, slides, transparncias, documentao, fax.
Software
O tipo software compreende todos os programas que contribuem para a operao de um sistema de
processamento de dados.
Sistema operacional
Este tipo inclui os programas que fornecem as operaes bsicas de um computador, a partir das quais os
outros programas (servios e aplicaes) so executados. Nele encontramos um ncleo ("kernel") e as
funes ou servios bsicos. Dependendo de sua arquitetura, um sistema operacional pode ser monoltico
ou formado por um "micro-kernel" e um conjunto de servios do sistema. Os principais elementos de um
sistema operacional so os servios de gerenciamento do equipamento (CPU, memria, disco e interfaces
de rede), os de gerenciamento de tarefas ou processos e os servios de gerenciamento de direitos de
usurio.
Software de servio, manuteno ou administrao
Software caracterizado pelo fato de servir como complemento dos servios do sistema operacional e no
estar diretamente a servio dos usurios ou aplicaes (apesar de ser, normalmente, essencial e at
mesmo indispensvel para a operao do sistema de informao como um todo).
Software de pacote ou de prateleira
Software de pacote ou software-padro aquele que comercializado como um produto completo (e no
como um servio de desenvolvimento especfico) com mdia, verso e manuteno. Ele fornece servios
para usurios e aplicaes, mas no personalizado ou especfico como, por exemplo, aplicaes de
negcio o so.
Exemplos: software para o gerenciamento de bases de dados, software de mensagens eletrnicas,
"groupware" (software de gerenciamento de fluxo de trabalho), software de diretrio, servidores web etc.
Aplicaes de negcio
Aplicaes de negcio padronizadas
36/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Este tipo de software comercial projetado para dar aos usurios acesso direto a servios e
funes que eles demandam de seus sistemas de informao, em funo das reas em que
atuam profissionalmente. Existe uma gama enorme, teoricamente ilimitada, de campos de
atuao.
Exemplos: software de contabilidade, software para o controle de maquinrio, software para
administrao do relacionamento com clientes, software para gesto de competncias dos
recursos humanos, software administrativo etc.
Aplicaes de negcio especficas
Vrios aspectos desse tipo de software (principalmente o suporte, a manuteno e a atualizao
de verses etc.) so desenvolvidos especificamente para dar aos usurios acesso direto aos
servios e funes que eles demandam de seus sistemas de informao. Existe uma gama
enorme, teoricamente ilimitada, de reas em que esse tipo de software encontrado.
Exemplos: Administrao das notas fiscais de clientes para as operadoras de telecomunicao,
aplicao para monitoramento em tempo real do lanamento de foguetes.
Rede
O tipo rede compreende os dispositivos de telecomunicao utilizados para interconectar computadores ou
quaisquer outros elementos remotos de um sistema de informao.
O meio fsico e a infra-estrutura
Os equipamentos de comunicao ou de telecomunicao so identificados principalmente pelas
suas caractersticas fsicas e tcnicas (ponto-a-ponto, de "broadcast") e pelos protocolos de
comunicao utilizados (na camada de enlace de dados ou na camada de rede - nveis 2 e 3 do
modelo OSI de 7 camadas).
Exemplos: Rede telefnica pblica comutada ("Public Switching Telephone Network" ou PSTN),
"Ethernet", "GigabitEthernet", Linha digital assimtrica para assinante ("Asymmetric Digital
Subscriber Line" ou ADSL), especificaes de protocolo para comunicao sem fio (por exemplo,
o WiFi 802.11), "Bluetooth", "FireWire".
Pontes ("relays") passivas ou ativas
Este subtipo no compreende os dispositivos que ficam nas extremidades lgicas da conexo (na
perspectiva do sistema de informao), mas sim os que so intermedirios no processo de
comunicao, repassando o trfego. Pontes so caracterizadas pelos protocolos de comunicao
de rede com os quais funcionam. Alm da funo bsica de repasse do trfego, elas
frequentemente so dotadas da capacidade de roteamento e/ou de servios de filtragem, com o
emprego de comutadores de comunicao ("switches") e roteadores com filtros. Com freqncia,
elas podem ser administradas remotamente e so normalmente capazes de gerar arquivos de
auditoria ("logs").
Exemplos: pontes ("bridges"), roteadores, "hubs", comutadores ("switches"), centrais telefnicas
automticas.
Interface de Comunicao
As interfaces de comunicao conectadas s unidades de processamento so, porm,
caracterizadas pela mdia e protocolos com os quais funcionam; pelos servios de filtragem, de
auditoria e de alerta instalados, se houver, e por suas funcionalidades; e pela possibilidade e
requisitos de administrao remota.
37/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Exemplos: Servio Geral de Pacotes por Rdio ("General Packet Radio Service" ou GPRS),
adaptador "Ethernet".
Recursos humanos
O tipo recursos humanos compreende todas as classes de pessoas envolvidas com os sistemas de informao.
Tomador de deciso
Tomadores de deciso so aqueles responsveis pelos ativos primrios (informao e processos)
e os gestores da organizao ou, se for o caso, de um projeto especfico.
Exemplos: alta direo, lderes de projeto.
Usurios
Usurios so recursos humanos que manipulam material sensvel no curso de suas atividades e
que, portanto, possuem uma responsabilidade especial nesse contexto. Eles podem ter direitos
especiais de acesso aos sistemas de informao para desempenhar suas atividades rotineiras.
Exemplos: gestores da rea de recursos humanos, gerentes financeiros, gestores dos riscos.
Pessoal de produo/manuteno
Estes so os recursos humanos responsveis pela operao e manuteno dos sistemas de
informao. Eles possuem direitos especiais de acesso aos sistemas de informao para
desempenhar suas atividades rotineiras.
Exemplos: administradores de sistema; administradores de dados; operadores de back-up, Help
Desk e de instalao de aplicativos; especialistas em segurana.
Desenvolvedores
Desenvolvedores so responsveis pelo desenvolvimento dos sistemas aplicativos da
organizao. Eles possuem acesso com alto privilgio a uma parte dos sistemas de informao,
mas no interferem com os dados de produo.
Exemplos: Desenvolvedores de aplicaes de negcio
Instalaes fsicas
O tipo instalaes compreende os lugares onde encontramos o escopo (ou parte dele) e os meios fsicos
necessrios para as operaes nele contidas.
Localidade
Ambiente externo
Compreende as localidades em que as medidas de segurana de uma organizao no podem
ser aplicadas.
Exemplos: os lares das pessoas, as instalaes de outra organizao, o ambiente externo ao local
da organizao (reas urbanas, zonas perigosas).
Edificaes
38/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Esse lugar limitado pelo permetro externo da organizao, isto por aquilo que fica em contato
direto com o exterior.
Isso pode ser uma linha de proteo fsica formada por barreiras ou por mecanismos de vigilncia
ao redor dos prdios.
Exemplos: estabelecimentos, prdios.
Zona
Uma zona limitada por linhas de proteo fsica que criam parties dentro das instalaes da
organizao. obtida por meio da criao de barreiras fsicas ao redor das reas com a infraestrutura de processamento de informaes da organizao.
Exemplos: escritrios, reas de acesso restrito, zonas de segurana.
Servios essenciais
Todos os servios necessrios para que os equipamentos da organizao possam operar
normalmente.
Comunicao
Servios de telecomunicao e equipamento fornecido por uma operadora.
Exemplos: linha telefnica, PABX, redes internas de telefonia.
Servios de Infra-estrutura
Servios e os meios (alimentao e fiao) necessrios para o fornecimento de energia eltrica
aos equipamentos de tecnologia da informao e aos seus perifricos.
Exemplos: fonte de alimentao de baixa tenso, inversor, central de circuitos eltricos.
Fornecimento de gua
Saneamento e esgoto
Servios e os meios (equipamento, controle) para refrigerao e purificao do ar.
Exemplos: tubulao de gua refrigerada, ar condicionados.
Organizao
O tipo organizao descreve a estrutura da organizao, compreendendo as hierarquias de pessoas voltadas para
a execuo de uma tarefa e os procedimentos que controlam essas hierarquias.
Autoridades
Essas so as organizaes de onde a organizao em questo obtm sua autoridade . Elas
podem ser legalmente afiliadas ou ter um carter mais externo. Isso impe restries
organizao em questo com relao a regulamentos, decises e aes.
Exemplos: corpo administrativo, sede da organizao.
A estrutura da organizao
39/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Compreende os vrios ramos da organizao, incluindo suas atividades multidisciplinares, sob
controle de sua direo.
Exemplos: gesto de recursos humanos, gesto te TI, gesto de compras, gerenciamento de
unidade de negcio, servio de segurana predial, servio de combate a incndios, gerenciamento
da auditoria.
Organizao de projeto ou servio
Compreende a organizao montada para um projeto ou servio especfico.
Exemplos: projeto de desenvolvimento de uma nova aplicao, projeto de migrao de sistema de
informao.
Subcontratados / Fornecedores / Fabricantes
Essas so organizaes que fornecem servios ou recursos para a organizao em questo
segundo os termos de um contrato.
Exemplos: empresa de gerenciamento de instalaes, empresa prestadora de servios
terceirizados, empresas de consultoria.
B.2 Valorao dos Ativos

O passo seguinte, aps a identificao do ativo, determinar a escala de medida a ser usada e os critrios que
permitam posicionar um ativo no seu correto lugar nessa escala, em funo de seu valor. Devido diversidade de
ativos encontrados em uma organizao, provvel que alguns deles, aqueles que possuem um valor monetrio
conhecido, possam ser avaliados atravs da moeda corrente local, enquanto outros ativos, aqueles com um valor
expresso em termos qualitativos, talvez precisem ser avaliados atravs de uma lista de valores a serem
selecionados, por exemplo: "muito baixo", "muito alto" etc.
A deciso de se usar uma escala quantitativa ao invs de uma qualitativa (ou vice-versa) depende da preferncia
da organizao, porm convm que seja pertinente aos ativos em avaliao. Ambos os tipos de avaliao podem
ser utilizados para se determinar o valor de um mesmo ativo.
Termos comuns usados em avaliaes qualitativas do valor de ativos incluem expresses como as seguintes:
insignificante, muito pequeno, pequeno, mdio, alto, muito alto, e crtico. A escolha e o leque de termos
adequados a uma organizao depende muito da sua necessidade de segurana, do seu tamanho, e de outros
aspectos especficos da organizao.
Critrios
Convm que os critrios utilizados como base para atribuio do valor para cada ativo sejam redigidos de forma
objetiva e sem ambigidades. Esse um dos aspectos mais difceis da valorao dos ativos j que o valor de
alguns deles talvez precise ser determinado de forma subjetiva, e tambm porque provavelmente vrias pessoas
participaro do processo. Entre os possveis critrios utilizados para determinar o valor de um ativo esto: o seu
custo original e o custo de sua substituio ou de sua recriao. Por outro lado, seu valor pode ser abstrato, por
exemplo: o valor da reputao de uma organizao.
Um outro enfoque para a valorao dos ativos considerar os custos decorridos da perda da confidencialidade,
integridade e disponibilidade resultante de um incidente. Convm que a garantia de no-repdio e de
responsabilizao, a autenticidade e a confiabilidade, se apropriadas, tambm sejam consideradas. Tal enfoque
acrescenta uma dimenso muito importante atribuio do valor de um ativo, alm do custo de sua substituio,
pois considera as conseqncias adversas ao negcio causadas por incidentes de segurana, tendo como
premissa um conjunto determinado de circunstncias. Convm ressaltar tambm que as conseqncias que esse
enfoque identifica precisaro ser consideradas durante a anlise/avaliao de riscos.
40/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Muitos ativos, durante o curso da avaliao, podem acabar recebendo vrios valores. Por exemplo: um plano de
negcios pode ser avaliado em funo do esforo despendido no seu desenvolvimento, pode ter seu valor
atribudo em funo do trabalho de entrar com os dados, e pode ainda ser valorado de acordo com seu valor para
um competidor. Provavelmente, os valores atribudos sero consideravelmente diferentes. O valor atribudo pode
ser o maior valor encontrado, a soma de alguns ou mesmo de todos os possveis valores. Em ltima anlise,
convm pensar cuidadosamente quais ou qual valor so associados a um ativo, pois o valor final atribudo far
parte do processo de determinao dos recursos a serem investidos na proteo do ativo.
Definio de um denominador comum
Ao final do processo, a valorao dos ativos precisa ter como base um denominador comum. Isso pode ser feito
com a ajuda de critrios como os que se seguem. Critrios que podem ser utilizados para estimar as possveis
conseqncias resultantes da perda de confidencialidade, integridade, disponibilidade, assim como da capacidade
de garantir o no-repdio, a responsabilizao, a autenticidade, e a confiabilidade, so os seguintes:
Violao da legislao e/ou das regulamentaes
Reduo do desempenho do negcio
Perda de valor de mercado/efeito negativo sobre a imagem e a reputao
Violao de segurana relacionada a informaes pessoais
O perigo ocasionado segurana fsica das pessoas
Efeitos negativos relacionados execuo da lei
Violao de confidencialidade
Violao da ordem pblica
Perda financeira
Interrupo de atividades do negcio
O perigo ocasionado segurana ambienta
Um outro mtodo para avaliar as conseqncias poderia levar em conta o seguinte:
Interrupo dos servios
incapacidade de prestar os servios
Perda da confiana do cliente
perda da credibilidade no sistema interno de informao
dano reputao
Interrupo de operao interna
descontinuidade dentro da prpria organizao
custo interno adicional
Interrupo da operao de terceiros:
41/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
descontinuidade das transaes entre a organizao e terceiros
vrios tipos de prejuzos ou danos
Infrao de leis / regulamentaes:
incapacidade de cumprir obrigaes legais
Violao de clusulas contratuais
incapacidade de cumprir obrigaes contratuais
Perigo ocasionado segurana fsica dos recursos humanos / usurios:
perigo para os recursos humanos e usurios da organizao
Ataque vida privada de usurios
Perda financeira
Custos financeiros para emergncias, reposio e consertos:
em termos de recursos humanos,
em termos de equipamentos,
em termos de estudo, relatrios de especialistas
Perda de bens / fundos / ativos
Perda de clientes, perda de fornecedores
Procedimentos e penalidades judiciais
Perda de vantagem competitiva
Perda da liderana tecnolgica / tcnica
Perda de eficcia / confiana
Perda da reputao tcnica
Enfraquecimento da capacidade de negociao
Crise industrial (greves)
Crise governamental
Rejeio
Dano material
Esses critrios exemplificam os temas a serem considerados durante a valorao de ativos. Para a execuo
desse tipo de avaliao, uma organizao precisa selecionar os critrios que sejam relevantes para o seu tipo de
negcio e para os seus requisitos de segurana. Isso pode significar que alguns dos critrios listados acima no
sejam aplicveis, e que outros talvez precisem ser adicionados lista.
42/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Escala de medio
Aps estabelecer os critrios a serem considerados, convm que a organizao adote uma escala de medio
para ser utilizada em todas as suas reas. O primeiro passo definir a quantidade de nveis da escala. No
existem regras a respeito de qual seria o nmero de nveis mais adequado. Quanto mais nveis, maior a
granularidade da medio, porm uma diferenciao muito tnue torna difcil garantir a consistncia das
avaliaes realizadas nas diversas reas da organizao. Normalmente, qualquer quantidade de nveis entre 3
(por exemplo: baixo, mdio e alto) e 10 pode ser utilizada, desde que ela seja consistente com a abordagem que a
organizao esteja usando para o processo de anlise/avaliao de riscos como um todo.
Uma organizao pode definir seus prprios limites para os valores de seus ativos, tais como 'baixo', 'mdio' e
'alto'. Convm que esses limites sejam estimados de acordo com o critrio selecionado (por exemplo: para
possveis perdas financeiras, convm que eles sejam estabelecidos atravs de valores monetrios; porm, para
outros tipos de fatores, tais como o perigo ocasionado segurana fsica das pessoas, uma estimativa monetria
pode ser por demais complexa e no aplicvel em muitas organizaes). Por ltimo, cabe inteiramente
organizao a deciso a respeito do que considerado de 'pequena', 'mdia' ou 'grande' conseqncia. Uma
conseqncia desastrosa para uma pequena organizao pode ser pequena ou mesmo insignificante para uma
grande organizao.
Dependncias
Quanto mais relevantes e numerosos os processos de negcio apoiados por um ativo, maior o seu valor.
Convm que a dependncia de ativos a processos de negcio e a outros ativos tambm seja identificada, pois ela
pode influenciar os valores dos ativos. Por exemplo: convm garantir a confidencialidade dos dados durante todo
o seu ciclo de vida, inclusive durante o seu armazenamento e processamento. Em outras palavras, convm que os
requisitos de segurana para o armazenamento de dados e para os programas que fazem o processamento
correspondente ao valor da confidencialidade dos dados armazenados e processados. Da mesma forma, se um
processo de negcios depende da integridade dos dados gerados por um programa, convm que os dados de
entrada passados para o programa sejam confiveis. Mais importante do que isso, a integridade da informao
depender do hardware e software utilizados para seu armazenamento e processamento. Adicionalmente, o
hardware depender do suprimento de energia e, possivelmente, do ar condicionado. Assim, informaes sobre
dependncias sero de grande ajuda na identificao de ameaas e, em particular, de vulnerabilidades. Alm
disso, ajudaro a assegurar que o real valor dos ativos (considerando as relaes de dependncia) ser-lhes-
atribudo, dessa forma indicando o nvel de proteo apropriado.
Convm que os valores dos ativos dos quais outros ativos dependem sejam modificados da seguinte maneira:
Se os valores dos ativos dependentes (por exemplo: os dados) forem menores ou iguais ao valor do ativo em
questo (por exemplo: o software), o valor desse ltimo permanece o mesmo
Se os valores dos ativos dependentes (por exemplo: os dados) forem maiores do que o valor do ativo em
questo (por exemplo: o software), convm que o valor desse ltimo aumente de acordo com:
o grau de dependncia
os valores dos outros ativos
Uma organizao pode possuir alguns ativos que so disponibilizados mais de uma vez, tais como cpias de
programas de software ou o tipo de computador usado na maioria dos escritrios. importante levar em conta
esse fato quando estiver sendo executada a valorao dos ativos. Por um lado, esses ativos so facilmente
ignorados e, por isso, convm que se tenha um cuidado especial em identific-los todos. Por outro lado, eles
podem ser usados para minimizar problemas ligados falta de disponibilidade.
Sada
O resultado final dessa etapa a lista de ativos e respectivos valores relativos divulgao indevida de
informaes (preservao da confidencialidade), a modificaes no autorizadas (garantia de integridade,
43/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
autenticidade, no-repdio e responsabilizao), indisponibilidade e destruio do ativo (preservao de sua
disponibilidade e confiabilidade), e ao custo de sua reposio.
B.3 Avaliao do Impacto

Um incidente envolvendo a segurana da informao pode trazer conseqncias a vrios ativos ou apenas a parte
de um nico ativo. O impacto est relacionado medida do sucesso do incidente. Por conseguinte, existe uma
diferena importante entre o valor do ativo e o impacto resultante do incidente. Considera-se que o impacto tem
um efeito imediato (operacional) ou uma conseqncia futura (relativa ao negcio como um todo), a qual inclui
aspectos financeiros e de mercado.
O impacto imediato (operacional) pode ser direto ou indireto.
Direto:
a)
O valor financeiro de reposio do ativo perdido (ou parte dele)
b)
O custo de aquisio, configurao e instalao do novo ativo ou do back-up
c)
O custo das operaes suspensas devido ao incidente at que o servio prestado pelos ativos afetados seja
restaurado.
d)
Conseqncias resultantes de violaes da segurana da informao
Indireto:
a)
Custo de oportunidade (recursos financeiros necessrios para repor ou reparar um ativo poderiam estar
sendo utilizados para outro fim)
b)
O custo das operaes interrompidas
c)
Mau uso das informaes obtidas atravs da violao da segurana
d)
Violao de obrigaes estatutrias ou regulatrias
e)
Violao dos cdigos ticos de conduta
Dessa forma, a primeira avaliao (sem controles de qualquer tipo) resultar em uma estimativa do impacto muito
prxima aos valores (combinados) dos ativos afetados. Para qualquer outra iterao que se faa relativa a esses
ativos, o impacto ser diferente (normalmente muito menor) devido presena e eficcia dos controles
implementados.
44/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Anexo C
(informativo)
Exemplos de ameaas comuns
A Tabela C.1 contm exemplos de ameaas tpicas. A lista na Tabela pode ser usada durante o processo de
avaliao das ameaas. Ameaas podem ser intencionais, acidentais ou de origem natural (ambiental) e podem
resultar, por exemplo, no comprometimento ou na paralisao de servios essenciais. A lista tambm indica, para
cada tipo de ameaa, se ela pode ser considerada I (intencional), A (acidental) ou N (natural). A letra I utilizada
para indicar as aes intencionais direcionadas contra os ativos de informao; a letra A usada para indicar as
aes de origem humana que podem comprometer acidentalmente os ativos de informao; e a letra N utilizada
para todos os incidentes que no so provocados pela ao dos seres humanos. Os grupos de ameaas no so
apresentados em ordem de prioridade.
Tabela C.1 Exemplos de ameaas tpicas
Tipo
Dano fsico
Eventos naturais
Paralisao de servios
essenciais
Distrbio causado por
radiao
Comprometimento da
informao
Falhas tcnicas
Aes no autorizadas
Ameaas
Fogo
gua
Poluio
Acidente grave
Destruio de equipamento ou mdia
Poeira, corroso, congelamento
Fenmeno climtico
Fenmeno ssmico
Fenmeno vulcnico
Fenmeno Meteorolgico
Inundao
Falha do ar condicionado ou do sistema de suprimento de gua
Interrupo do suprimento de energia
Falha do equipamento de telecomunicao
Radiao eletromagntica
Radiao trmica
Pulsos eletromagnticos
Interceptao de sinais de interferncia comprometedores
Espionagem distncia
Escuta no autorizada
Furto de mdia ou documentos
Furto de equipamentos
Recuperao de mdia reciclada ou descartada
Divulgao indevida
Dados de fontes no confiveis
Alterao do hardware
Alterao do software
Determinao da localizao
Falha de equipamento
Defeito de equipamento
Saturao do sistema de informao
Defeito de software
Violao das condies de uso do sistema de informao que
possibilitam sua manuteno
Uso no autorizado de equipamento
Cpia ilegal de software
Origem
A, I, N
A, I, N
A, I, N
A, I, N
A, I, N
A, I, N
N
N
N
N
N
A, I
A, I, N
A, I
A, I, N
A, I, N
A, I, N
I
I
I
I
I
I
A, I
A, I
I
A, I
I
A
A
A, I
A
A, I
I
I
45/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Tabela C.1 Exemplos de ameaas tpicas (continuao)
Comprometimento de
funes
Uso de cpias de software falsificadas ou ilegais

Comprometimento dos dados
Processamento ilegal de dados
Erro durante o uso
Abuso de direitos
Forjamento de direitos
Repdio de Aes
Indisponibilidade de recursos humanos
A, I
I
I
A
A, I
I
I
A, I, N
Convm que ateno especial seja dada s fontes de ameaas representadas por seres humanos. A Tabela C.2
enumera essas fontes:
Tabela C.2 Exemplo da ameaas representadas por seres humanos
Fonte
de
Ameaas
Motivao
Aes
que
Ameaas:
Hacker,
Desafio
Hacking
Ego
Engenharia social
Rebeldia
Invaso de sistemas, infiltraes e

entradas no-autorizadas
cracker
Status
Acesso no autorizado ao Sistema
Dinheiro
Criminoso
digital
representam
Destruio de informaes
Divulgao ilegal de informaes
Ganho monetrio
Alterao de dados no autorizada
Crime digital (p. ex.: perseguio

no mundo digital)
Ato fraudulento (p. ex.: reutilizao
indevida de credenciais e dados
transmitidos, fazer-se passar por
uma outra pessoa, interceptao)
Suborno por Informao
Spoofing (fazer-se passar por
outro)
Invaso de sistemas
Terrorista
Chantagem
Bomba/Terrorismo
Destruio
Guerra de Informao
Explorao
Ataque a sistemas (p. ex.: ataque

distribudo de negao de servio).
Vingana
Invaso de sistema
Ganho Poltico
Cobertura da Mdia
Alterao do sistema
46/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Tabela C.2 Exemplo da ameaas representadas por seres humanos (continuao)
Espionagem
Vantagem competitiva
industrial
Espionagem econmica
Garantir a vantagem de um
posicionamento defensivo
Garantir uma vantagem poltica
(servios de
Explorao econmica
inteligncia,
Furto de Informao
empresas,
Violao
pessoas
governos
estrangeiros,
da
privacidade
Engenharia social
outros grupos
Invaso de sistema
de interesse

(acesso a informao restrita, de
propriedade exclusiva, e/ou relativa
tecnologia)
ligados ao
governo)
Pessoal
Curiosidade
Agresso a funcionrio
interno
Ego
Chantagem
(funcionrios
Obteno de informaes teis para servios de inteligncia
mal treinados,
Ganho monetrio
Vasculhar
informao
propriedade exclusiva
insatisfeitos,
Vingana
Uso imprprio
computacional
mal
Erros e omisses no intencionais (p. ex.: erro na entrada de

dados, erro de programao)
Fraude e furto
intencionados,
das
de
de
recurso
Suborno por Informao
negligentes,
desonestos ou
Entrada de dados falsificados ou

corrompidos
dispensados)
Interceptao
Cdigo malicioso (p. ex.: vrus,
bomba lgica, Cavalo de Tria)
Venda de informaes pessoais
Defeitos ("bugs") no sistema
Invaso de sistemas
Sabotagem de sistemas
47/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Anexo D
(informativo)
Vulnerabilidades e mtodos de avaliao de vulnerabilidades
D.1 Exemplos de vulnerabilidades

A Tabela D.1 fornece exemplos de vulnerabilidades em diversas reas da segurana, incluindo exemplos de
ameaas que poderiam explorar tais vulnerabilidades. As listas na Tabela D.1 podem ser de auxlio durante a
avaliao das ameaas e vulnerabilidades a fim de se determinar os cenrios relevantes de incidentes. Nota-se
que, em alguns casos, outras ameaas so tambm capazes de explorar as mesmas vulnerabilidades.
Tabela D.1 Exemplos de vulnerabilidades
Tipos
Exemplos de vulnerabilidades
Manuteno insuficiente/Instalao defeituosa de mdia
de armazenamento
Hardware
Software
Exemplos de ameaas
Violao das condies de uso do
sistema de informao que possibilitam
sua manuteno
Falta de uma rotina de substituio peridica
Destruio de equipamento ou mdia
Sensibilidade umidade, poeira, sujeira
Poeira, corroso, congelamento
Sensibilidade radiao eletromagntica
Radiao eletromagntica
Inexistncia de um controle eficiente de mudana de

configurao
Erro durante o uso
Sensibilidade a variaes de voltagem
Interrupo do suprimento de energia
Sensibilidade a variaes de temperatura
Fenmeno Meteorolgico
Armazenamento no protegido
Falta de cuidado durante o descarte
Realizao de cpias no controlada
Procedimentos de teste de software insuficientes ou

inexistentes
Abuso de direitos
Falhas conhecidas no software
Abuso de direitos
No execuo do "logout" ao se deixar uma estao de

trabalho desassistida
Abuso de direitos
Descarte ou reutilizao de mdia de armazenamento

sem a execuo dos procedimentos apropriados de
remoo dos dados
Abuso de direitos
Inexistncia de uma trilha de auditoria
Abuso de direitos
48/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Tabela D.1 Exemplos de vulnerabilidades (continuao)
Rede
Atribuio errnea de direitos de acesso
Abuso de direitos
Software amplamente distribudo
Utilizar programas aplicativos com um conjunto errado de dados

(referentes a um outro perodo)
Interface de usurio complicada
Erro durante o uso
Documentao inexistente
Erro durante o uso
Configurao de parmetros incorreta
Erro durante o uso
Datas incorretas
Erro durante o uso
Inexistncia de mecanismos de autenticao e identificao como, por

exemplo, para a autenticao de usurios
Tabelas de senhas desprotegidas
Gerenciamento de senhas mal feito
Servios desnecessrios permanecem habilitados
Software novo ou imaturo
Defeito de software
Especificaes confusas ou incompletas para os desenvolvedores
Defeito de software
Inexistncia de um controle eficaz de mudana
Defeito de software
Download e uso no controlado de software
Alterao do software
Inexistncia de cpias de segurana (back-up)
Alterao do software
Inexistncia de mecanismos de proteo fsica no prdio, portas e

janelas
Inexistncia de relatrios de gerenciamento
Uso
no
equipamento
Inexistncia de evidncias que comprovem o envio ou o recebimento

de mensagens
Repdio de Aes
Linhas de Comunicao desprotegidas
Trfego sensvel desprotegido
Junes de cabeamento mal feitas
Falha do equipamento
telecomunicao
de
Ponto nico de falha
Falha do equipamento
telecomunicao
de
autorizado
de
49/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Recursos
humanos
Local ou
instalaes
Organizao
No identificao e no autenticao do emissor e do receptor
Arquitetura insegura da rede
Espionagem distncia
Transferncia de senhas em claro
Espionagem distncia
Gerenciamento de rede inadequado (quanto flexibilidade de

roteamento)
Saturao do sistema de
informao
Conexes de redes pblicas desprotegidas
Uso no autorizado de
equipamento
Ausncia de recursos humanos
Indisponibilidade
recursos humanos
Procedimentos de recrutamento inadequados
Destruio de equipamento
ou mdia
Treinamento insuficiente em segurana
Erro durante o uso
Uso incorreto de software e hardware
Erro durante o uso
Falta de conscientizao em segurana
Erro durante o uso
Inexistncia de mecanismos de monitoramento
Processamento ilegal de
dados
Trabalho no supervisionado de pessoal de limpeza ou de

terceirizados
Furto
de
documentos
Inexistncia de polticas para o uso correto de meios de

telecomunicao e de troca de mensagens
Uso no autorizado de
equipamento
Uso inadequado ou sem os cuidados necessrios dos

mecanismos de controle do acesso fsico a prdios e aposentos
Destruio de equipamento
ou mdia
Localizao em rea suscetvel a inundaes
Inundao
Fornecimento de energia instvel
Interrupo do suprimento
de energia
Inexistncia de mecanismos de proteo fsica no prdio, portas

e janelas
Inexistncia de um procedimento formal para o registro e a

remoo de usurios
Abuso de direitos
Inexistncia de processo formal para a anlise crtica dos direitos

de acesso (superviso)
Abuso de direitos
de
mdia
ou
50/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Provises (relativas segurana) insuficientes ou
inexistentes, em contratos com clientes e/ou
terceiros
Abuso de direitos
Inexistncia de procedimento de monitoramento das

instalaes de processamento de informaes
Abuso de direitos
Inexistncia de auditorias peridicas (superviso)
Abuso de direitos
Inexistncia de procedimentos para a identificao e

anlise/avaliao de riscos
Abuso de direitos
Inexistncia de relatos de falha nos arquivos ("logs")

de auditoria das atividades de administradores e
operadores
Abuso de direitos
Resposta inadequada do servio de manuteno
Violao das condies de uso do sistema

de informao que possibilitam sua
manuteno
Acordo de nvel de servio (SLA - da sigla do termo

em ingls) inexistente ou insuficiente

manuteno
Inexistncia
mudanas

manuteno
de
procedimento
de
controle
de
Organizao
Inexistncia de um procedimento formal para o
controle da documentao do SGSI
Inexistncia de um procedimento formal para a

superviso dos registros do SGSI
Inexistncia de um processo formal para a

autorizao
das
informaes
disponveis
publicamente
Dados de fontes no confiveis
Atribuio inadequada das responsabilidades pela

Repdio de Aes
Inexistncia de um plano de continuidade
Falha de equipamento
Inexistncia de poltica de uso de correspondncia

eletrnica (e-mail)
Erro durante o uso
Inexistncia de procedimentos para a instalao de

software em sistemas operacionais
Erro durante o uso
Ausncia de registros nos arquivos de auditoria

("logs") de administradores e operadores
Erro durante o uso
Inexistncia de procedimentos para a manipulao

de informaes classificadas
Erro durante o uso
51/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Organizao
Ausncia das responsabilidades ligadas segurana da

informao nas descries de cargos e funes
Erro durante o uso
Provises (relativas segurana) insuficientes ou inexistentes,

em contratos com funcionrios
Inexistncia de um processo disciplinar no caso de incidentes

relacionados segurana da informao
Inexistncia de uma
computadores mveis
poltica
formal
sobre
uso
de
Inexistncia de controle sobre ativos fora das dependncias
Poltica de mesas e telas limpas ("clear desk and clear screen")

inexistente ou insuficiente
Inexistncia de autorizao
processamento de informaes
de
para
as
instalaes
Inexistncia
de
mecanismos
estabelecidos
monitoramento de violaes da segurana
para
Inexistncia de anlises crticas peridicas por parte da direo
Uso
no
equipamento
autorizado
de
Inexistncia de procedimentos para o relato de fragilidades

ligadas segurana
Uso
no
equipamento
autorizado
de
Inexistncia de procedimentos para garantir a conformidade

com os direitos de propriedade intelectual
Uso de cpias de
falsificadas ou ilegais
software
D.2 Mtodos para a avaliao de vulnerabilidades tcnicas

Mtodos pr-ativos, tal como testar os sistemas de informao, podem ser utilizados para identificar as
vulnerabilidades existentes, dependendo da criticidade do sistema de Tecnologia da Informao e Comunicao
(TIC) e dos recursos disponveis (por exemplo: verba alocada, tecnologia disponvel, profissionais com a
experincia necessria para a realizao do teste). Entre os mtodos de teste temos:
Ferramentas automatizadas de procura por vulnerabilidades
Avaliao e testes da segurana
Teste de Invaso
Anlise crtica de cdigo
Ferramentas automatizadas de procura por vulnerabilidades so utilizadas para varrer um grupo de computadores
ou uma rede em busca de servios reconhecidamente vulnerveis (por exemplo: o protocolo de transferncia
annima de arquivos - "anonymous FTP" - e o recurso de retransmisso do "sendmail" - "sendmail relaying").
Convm ressaltar, contudo, que nem todas as potenciais vulnerabilidades encontradas pela ferramenta
necessariamente representam vulnerabilidades reais no contexto do sistema e de seu ambiente. Por exemplo,
52/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
algumas dessas ferramentas de varredura avaliam as vulnerabilidades potenciais sem levar em considerao o
ambiente da instalao e os seus requisitos. Algumas das vulnerabilidades encontradas pelo software de
varredura podem no representar uma vulnerabilidade real em uma determinada instalao, mas sim o resultado
de uma configurao exigida por seu ambiente. Assim, esse mtodo de teste pode gerar falsos positivos.
A avaliao e testes da segurana (ATS) uma outra tcnica que pode ser utilizada na identificao de
vulnerabilidades em sistemas de TIC durante o processo de anlise/avaliao de riscos. Ela inclui o
desenvolvimento e a execuo de planos de teste (por exemplo: roteiros e procedimentos para testes, lista de
resultados previstos). O propsito dos testes da segurana do sistema verificar a eficcia dos controles de
segurana de um sistema de TIC, considerando-se a forma com que esto implementados no ambiente
operacional. O objetivo assegurar que os controles aplicados satisfazem as especificaes de segurana do
software e do hardware, implementam a poltica de segurana da organizao, e/ou atendem aos padres de
mercado.
Testes de invaso podem ser usados para complementar o processo de anlise crtica dos controles de
segurana, assegurando-se que as diversas facetas do sistema de TIC esto protegidas. Testes de invaso,
quando utilizados durante o processo de anlise/avaliao de riscos, servem para avaliar a capacidade do sistema
de TIC de resistir a tentativas intencionais de se driblar a segurana do sistema. O objetivo testar o sistema de
TIC do ponto de vista da fonte da ameaa, identificando possveis falhas no esquema de proteo do sistema.
A anlise crtica de cdigo a mais minuciosa (embora tambm a mais dispendiosa) forma de avaliao de
vulnerabilidades.
Os resultados desses tipos de testes de segurana ajudam a identificar as vulnerabilidades de um sistema.
importante notar que ferramentas e tcnicas de invaso podem gerar resultados falsos quando a vulnerabilidade
no explorada com sucesso. Para explorar vulnerabilidades especficas, a exata configurao do sistema, da
aplicao e das atualizaes ("patches") instaladas no sistema testado precisa ser conhecida. Se esses dados no
so conhecidos quando o teste est sendo realizado, pode no ser possvel explorar uma determinada
vulnerabilidade com sucesso (por exemplo: o acesso remoto a "shell" reverso); no entanto, ainda assim, talvez
seja possvel causar uma pane no sistema ou processo testado ou mesmo forar o seu reincio. Nesse caso,
convm que o objeto testado seja considerado vulnervel.
Entre os mtodos existentes, temos os seguintes:
Entrevistas com pessoas e usurios
Questionrios
Inspeo fsica
Anlise de documentos
53/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Anexo E
(informativo)
Diferentes abordagens para anlise/avaliao de riscos de segurana da
informao
E.1 Anlise/avaliao de riscos de segurana da informao - Enfoque de alto nvel

Uma avaliao de alto nvel permite definir prioridades e uma cronologia para a execuo das aes. Por vrias
razes, como por exemplo o oramento, talvez no seja possvel implementar todos os controles simultaneamente
e, com isso, somente os riscos mais crticos podem ser tratados durante o processo de tratamento do risco. Da
mesma forma, pode ser prematuro dar incio a uma forma de gesto de riscos muito detalhada se a
implementao s ser contemplada aps um ou dois anos. Para alcanar esse objetivo, uma avaliao de alto
nvel pode comear com um exame tambm de alto nvel das conseqncias, em vez de comear por uma anlise
sistemtica das ameaas, vulnerabilidades, ativos e conseqncias.
Outra razo para comear por uma avaliao de alto nvel permitir a sincronizao com outros planos
relacionados gesto de mudanas (ou da continuidade de negcios). Por exemplo, no razovel completar a
implementao da segurana de um sistema ou aplicao se estiver sendo planejada a sua terceirizao em um
futuro prximo, embora possa ainda ser til a realizao da anlise/avaliao de riscos, para que se possa definir
os termos do contrato da terceirizao.
Entre as caractersticas de uma iterao, com um enfoque de alto nvel, do processo de anlise/avaliao de
riscos temos que:
A anlise/avaliao de riscos com enfoque de alto nvel pode se preocupar com uma viso mais global da
organizao e de seus sistemas de informao, considerando os aspectos tecnolgicos de forma
independente das questes de negcio. Dessa forma, a anlise do contexto incide mais sobre o negcio e o
ambiente operacional do que sobre os elementos tecnolgicos.
A anlise/avaliao de riscos com enfoque de alto nvel pode se preocupar com uma lista menor de ameaas
e vulnerabilidades, agrupando-as em domnios pr-definidos, ou, para acelerar o processo, pode focar a sua
ateno nos cenrios de risco ou ataque, em vez de em seus elementos.
Os riscos cobertos por uma avaliao com enfoque de alto nvel podem ser entendidos mais como categorias
(ou classes gerais) de risco do que, propriamente, como riscos identificados com especificidade. Como os
cenrios ou as ameaas so agrupados em domnios, o tratamento do risco prope listas de controle para
esses domnios. Ento, em primeiro lugar, durante as atividades de tratamento do risco, prope-se e
selecionam-se os controles comuns vlidos em todo o sistema.
Contudo, por raramente tratar de detalhes tecnolgicos, a anlise/avaliao de riscos com enfoque de alto
nvel mais adequada para fornecer controles organizacionais e no-tcnicos, alm dos aspectos gerenciais
de controles tcnicos e mecanismos tcnicos de proteo comuns e muito importantes, tais como cpias de
segurana (back-ups) e antivrus.
As vantagens da anlise/avaliao de riscos com um enfoque de alto nvel so as seguintes:
Com a incorporao de uma primeira abordagem simples mais provvel que se obtenha a aceitao do
programa de anlise/avaliao de riscos.
Convm que seja possvel criar uma viso estratgica de um programa corporativo de segurana da
informao, ou seja, uma viso que possa auxiliar durante o planejamento.
54/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Recursos e verbas podem ser aplicados onde forem mais vantajosos, e os sistemas que esto,
provavelmente, precisando de mais proteo sero tratados primeiro.
Como as anlises de risco iniciais so feitas com um enfoque de alto nvel (potencialmente, portanto, sendo
menos exatas), h o perigo de que alguns processos de negcio ou sistemas possam acabar, erroneamente, no
sendo identificados entre aqueles que requerem uma segunda anlise/avaliao de riscos, mais detalhada. Isso
pode ser evitado se houver informao adequada sobre todos os aspectos da organizao, das informaes que
utiliza e de seus sistemas, incluindo dados obtidos atravs da avaliao dos incidentes de segurana da
informao.
A anlise/avaliao de riscos com enfoque de alto nvel considera os valores para o negcio dos ativos de
informao, e os riscos do ponto de vista de negcio da organizao. No primeiro ponto de deciso (veja Figura
1), vrios fatores ajudam a determinar se a avaliao de alto nvel adequada para o tratamento do risco; esses
fatores podem incluir os seguintes itens:
Os objetivos de negcios a serem alcanados atravs de vrios ativos de informao;
O quanto o negcio da organizao depende de cada ativo de informao, ou seja, o quanto as funes que a
organizao considera fundamentais para a sua sobrevivncia ou para a conduo eficaz do negcio
depende dos ativos, ou da confidencialidade, da integridade, da disponibilidade, da garantia do no-repdio,
da responsabilizao, da autenticidade e da confiabilidade das informaes armazenadas e processadas
nesses ativos;
O nvel de investimento em cada ativo de informao, em termos do desenvolvimento, da manuteno ou da
reposio do ativo, e
Os ativos de informao, para cada um dos quais a organizao atribui um valor.
Quando esses fatores so avaliados, a deciso torna-se mais fcil. Se a funo de um ativo extremamente
importante para a conduo do negcio da organizao ou se o ativo est exposto a riscos de alto impacto ou
probabilidade, ento convm que uma segunda iterao, com uma anlise/avaliao detalhada de riscos, seja
executada tendo em vista o ativo de informao especfico (ou parte dele).
Uma regra geral para ser aplicada a seguinte: se a falta de segurana da informao puder resultar em
conseqncias adversas significativas para a organizao, para os seus processos de negcio ou para os seus
ativos, uma segunda iterao, mais detalhada, da anlise/avaliao de riscos ser necessria para a identificao
de riscos potenciais.
E.2 Anlise/avaliao detalhada de riscos de segurana da informao

O processo de anlise/avaliao detalhada de riscos de segurana da informao envolve a minuciosa
identificao e valorao dos ativos, a avaliao das ameaas aos ativos, e a avaliao das vulnerabilidades. Os
resultados dessas atividades so, ento, usados para avaliar os riscos e, depois, para identificar o tratamento do
risco.
A etapa detalhada normalmente demanda bastante tempo, esforo e experincia, e pode, portanto, ser mais
adequada para os sistemas de informao de alto risco.
A etapa final da anlise/avaliao detalhada dos riscos segurana da informao consiste no clculo do risco
total, que o assunto deste anexo.
As conseqncias podem ser avaliadas de vrias maneiras, incluindo a abordagem quantitativa (usando-se, por
exemplo, uma unidade monetria), a qualitativa (que podem ser baseada no uso de adjetivos qualificadores tais
como moderado ou severo) ou ainda uma combinao de ambas. Para avaliar a probabilidade de ocorrncia de
uma ameaa, convm que se estabelea o perodo no qual o ativo considerado como de valor ou durante o qual
ele precisar ser protegido. A probabilidade da ocorrncia de uma ameaa especfica afetada pelos seguintes
itens:
55/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
A atratividade do ativo ou do impacto potencial, aplicvel quando uma ameaa intencional de origem humana
est sendo considerada
A facilidade de se converter a explorao de uma vulnerabilidade de um ativo em recompensa, aplicvel
quando uma ameaa intencional de origem humana est sendo considerada
A capacitao tcnica do agente da ameaa, aplicvel a ameaas intencionais de origem humana e
A susceptibilidade da vulnerabilidade explorao, aplicvel tanto a vulnerabilidades tcnicas quanto a notcnicas
Muitos mtodos fazem uso de tabelas, e combinam medidas empricas com medies subjetivas. importante
que a organizao use um mtodo com o qual ela se sinta confortvel, no qual ela acredite, e que produza
resultados reproduzveis. Alguns exemplos de mtodos baseados em tabelas so apresentados a seguir.
E.2.1 Exemplo 1 Matriz com valores pr-definidos

Neste tipo de mtodo de anlise/avaliao de riscos, ativos fsicos, existentes ou planejados, so valorados
conforme seus custos de reposio ou reconstruo (ou seja, medidas quantitativas). Esses custos so ento
convertidos para a mesma escala qualitativa usados para a valorao das informaes (veja abaixo). ativos do
tipo software, existentes ou planejados, valores so atribudos da mesma forma que ativos fsicos, com os
custos de aquisio ou redesenvolvimento sendo identificados e ento convertidos para a mesma escala
qualitativa usada para a valorao das informaes. Alm disso, se um software aplicativo tiver o seu prprio
conjunto de requisitos de confidencialidade ou de integridade (por exemplo, se o seu cdigo fonte, por si s, for
susceptvel a questes comerciais), ele deve ser valorado da mesma forma que as informaes.
Os valores atribudos s informaes so obtidos entrevistando-se uma parte seleta da direo do negcio (os
"responsveis pelos dados"), aqueles que podem falar autoritativamente sobre os dados. Assim determinam-se o
valor e a sensibilidade dos dados em uso, armazenados, sendo processados ou acessados. As entrevistas
facilitam a avaliao do valor e da sensibilidade da informao, tendo em vista os cenrios com os piores impactos
que possam ser previstos a partir das conseqncias adversas ao negcio causadas pela divulgao ou
modificao no autorizadas da informao, por sua indisponibilidade durante diferentes perodos de tempo ou
ainda por sua destruio.
A valorao realizada usando diretrizes para a valorao da informao, as quais cobrem alguns temas, tais
como:
Segurana fsica das pessoas
Informaes pessoais
Obrigaes legais e regulatrias
Cumprimento das leis
Interesses comerciais e econmicos
Perda financeira / interrupo de atividades
Ordem pblica
Poltica e operaes do negcio
Perda de valor de mercado (em especial com referncia a aspectos intangveis)
Contrato ou acordo com clientes
56/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
As diretrizes facilitam a identificao dos valores em uma escala numrica, como a escala de 0 a 4 apresentada
adiante na forma de uma matriz. Assim, permite-se o reconhecimento de valores quantitativos, sempre que
possvel e lgico, e de valores qualitativos quando valores quantitativos no so possveis, por exemplo: em
ocasies em que a vida humana colocada em perigo.
A prxima atividade importante a concluso de pares de questionrios, para cada tipo de ameaa e para cada
agrupamento de ativos relacionado a um tipo de ameaa, a fim de permitir a avaliao do nvel das ameaas
(probabilidade de ocorrncia) e das vulnerabilidades (facilidade com que uma ameaa pode explorar uma
vulnerabilidade e provocar conseqncias adversas). Cada questo respondida indica uma pontuao. Essas
pontuaes so acumuladas em uma base de conhecimento e comparadas a intervalos. Isso identifica o nvel da
ameaa em uma escala, digamos, de alto a baixo e, de forma similar, os nveis das vulnerabilidades - como
ilustrado no exemplo da matriz mais adiante. Diferenciam-se os tipos de conseqncias na medida de suas
relevncias. Convm que informaes para completar os questionrios sejam reunidas a partir de entrevistas com
as pessoas responsveis pelas acomodaes, os recursos humanos e os tcnicos envolvidos, assim como
tambm a partir de inspees fsicas dos locais e da anlise crtica de documentos.
Os valores dos ativos, e os nveis de ameaa e vulnerabilidade, relacionados a cada tipo de conseqncia, so
emparelhados em uma matriz como a apresentada a seguir, a fim de identificar, para cada combinao, a medida
do risco em uma escala de 0 a 8. Os valores so colocados na matriz de uma maneira estruturada. Um exemplo
dado a seguir:
Tabela E.1 a)
Probabilidade da
ocorrncia Ameaa
Valor do
Ativo
Baixa
Mdia
Alta
Facilidade de
Explorao
0
1
2
3
4
0
1
2
3
4
1
2
3
4
5
2
3
4
5
6
1
2
3
4
5
2
3
4
5
6
3
4
5
6
7
2
3
4
5
6
3
4
5
6
7
4
5
6
7
8
Para cada ativo, as vulnerabilidades relevantes e respectivas ameaas so consideradas. Se houver uma
vulnerabilidade sem uma ameaa correspondente, ou uma ameaa sem uma vulnerabilidade correspondente,
ento no h risco nesse momento (mas convm que cuidados sejam tomados no caso dessas situaes
mudarem). A linha apropriada identificada na matriz pelo valor do ativo, e a coluna apropriada identificada
pela probabilidade da ocorrncia da ameaa e a facilidade de explorao. Por exemplo, se o ativo tem o valor 3, a
ameaa "alta", e a vulnerabilidade "baixa", a medida do risco 5. Suponha que um ativo tenha um valor 2 (por
exemplo, para modificaes), o nvel de ameaa "baixo" e a facilidade de explorao "alta", logo, a medida de
risco 4. O tamanho da matriz pode ser adaptado s necessidades da organizao, ajustando-se o nmero das
colunas representando a probabilidade de ocorrncia das ameaas ou daquelas que representam a facilidade de
explorao, assim como as linhas que representam a valorao dos ativos. A adio de Colunas e linhas implicar
novas medidas de risco. A vantagem dessa abordagem est na ordenao dos riscos a serem tratados.
Uma matriz similar apresentada na Tabela E.1 a) mostra a relao entre probabilidade de um cenrio de
incidente e o impacto estimado, do ponto de vista do negcio. A probabilidade de um cenrio de incidente dada
pela probabilidade de uma ameaa vir a explorar uma vulnerabilidade. A Tabela relaciona o impacto ao negcio,
relativo ao cenrio de incidente, quela probabilidade. O risco resultante medido em uma escada de 0 a 8, e
pode ser avaliado tendo como base os critrios para a aceitao do risco. Essa escala de risco pode tambm ser
convertida em uma classificao simples, mais genrica, do risco, como por exemplo:
57/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Baixo Risco: 0-2
Mdio Risco: 3-5
Alto Risco: 6-8

Tabela E.1 b)
Probabilidade do
Muito baixa
Baixa
cenrio de incidente (Muito improvvel) (Improvvel)
Impacto ao
Negcio
Mdia
(Possvel)
Alta
(Provvel)
Muito Alta
(Freqente)
Muito Baixo
Baixo
Mdio
Alto
Muito Alto
E.2.2 Exemplo 2 Ordenao de Ameaas em funo do Risco

Uma tabela ou matriz pode ser usada para relacionar as conseqncias (representadas pelo valor do ativo)
probabilidade de ocorrncia de uma ameaa (incluindo assim os fatores ligados s vulnerabilidades). A primeira
etapa consiste em avaliar as conseqncias (atravs do valor do ativo) em uma escala pr-definida, por exemplo:
de 1 a 5, para cada ativo ameaado (coluna b na Tabela). Na segunda etapa, estima-se a probabilidade de
ocorrncia da ameaa em uma escala pr-definida, por exemplo: de 1 a 5, para cada ameaa (coluna c na
tabela). Na terceira etapa, calcula-se a medida de risco multiplicando (b x c). Por ltimo, as ameaas podem ser
ordenadas em seqncia conforme suas respectivas medidas de risco. Note que nesse exemplo, 1 representa a
menor conseqncia e a menor probabilidade de ocorrncia.
Tabela E.2
Rtulo
identificador da
Ameaa
(a)
Valor da
conseqncia
(do ativo)
(b)
Probabilidade de
ocorrncia da
ameaa
(c)
Medida do risco
Ordem da
ameaa
(d)
(e)
Ameaa A
10
Ameaa B
Ameaa C
15
Ameaa D
Ameaa E
Ameaa F
Como mostrado acima, esse procedimento permite que diferentes ameaas, com conseqncias e probabilidade
de ocorrncias distintas, sejam comparadas e ordenadas por prioridade. Em alguns casos, ser necessrio
associar valores monetrios s escalas empricas aqui utilizadas.
58/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
E.2.3 Exemplo 3 Avaliando a probabilidade e as possveis conseqncias dos riscos

Nesse exemplo, a nfase dada s conseqncias dos incidentes de segurana da informao (ou seja: aos
cenrios de incidentes) e convm que a atividade determine quais sistemas sejam priorizados. Isso feito
estimando-se dois valores para cada par de ativo e risco, os quais, combinados, iro determinar a pontuao para
cada ativo. Quando as pontuaes de todos os ativos do sistema so somadas, uma medida do risco ao qual o
sistema est submetido pode ento ser determinada.
Primeiramente, um valor designado para cada ativo. Esse valor refere-se s possveis conseqncias adversas
que podem surgir quando o ativo ameaado. O valor (do ativo) definido para cada ameaa aplicvel ao ativo.
Depois, estima-se um valor para a probabilidade. Ela avaliada combinando-se a probabilidade de ocorrncia da
ameaa e a facilidade com que a vulnerabilidade pode ser explorada. Veja, na Tabela 3, a representao da
probabilidade de um cenrio de incidente.
Tabela E.3
Probabilidade da
Ameaa
Baixa
Mdia
Alta
Nvel da
vulnerabilidade
Probabilidade do
cenrio de incidente
Em seguida, na Tabela E.4, uma pontuao referente ao par ativo/ameaa definida pelo encontro da coluna com
o valor do ativo e da linha com a probabilidade. As pontuaes referentes aos pares ativos/ameaa so totalizadas
para cada ativo, produzindo-se uma pontuao total do ativo. Esse valor pode ser usado para diferenciarmos os
ativos que fazem parte de um mesmo sistema, entre si.
Tabela E.4
Valor do ativo
Probabilidade
Na etapa final, somam-se as pontuaes dos ativos do sistema, estabelecendo-se a pontuao do sistema. Isso
pode ser usado para diferenciarmos os sistemas entre si, e convm determinar qual sistema seja protegido com
maior prioridade.
Nos exemplos a seguir todos os valores foram escolhidos aleatoriamente.
59/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Suponha que o Sistema S tenha trs ativos A1, A2 e A3. Suponha tambm que existam duas ameaas, T1 e T2,
aplicveis ao sistema S. Estabeleamos que o valor de A1 3, que o valor do ativo A2 2 e que o valor do ativo
A3 4.
Se, para A1 e T1, a probabilidade da ameaa baixa e a facilidade de explorao da vulnerabilidade mdia,
ento o valor da probabilidade 1 (ver Tabela E.3).
A pontuao referente ao par ativo/ameaa A1/T1 pode ser obtida na Tabela E.4, no encontro da coluna com o
valor 3 (referente ao valor do ativo) e da linha com o valor 1 (referente probabilidade). O valor assim obtido 4.
Do mesmo modo, para A1/T2, se a probabilidade da ameaa for mdia e a facilidade de explorao da
vulnerabilidade for alta, o resultado ser uma pontuao de 6, referente ao par A1/T2.
Agora, TA1, que a pontuao total do ativo A1, pode ser calculada, e o resultado 10. A pontuao total do ativo
calculada para cada ativo levando-se em conta todas as ameaas aplicveis. A pontuao total do sistema
calculada atravs da adio TA1 + TA2 + TA3, obtendo-se TS.
Assim, sistemas diferentes podem ser comparados, assim como diferentes ativos dentro do mesmo sistema, para
estabelecermos as prioridades.
Apesar do exemplo acima envolver apenas sistemas de informao, uma abordagem similar pode ser aplicada
aos processos de negcio.
60/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Anexo F
(informativo)
Restries que afetam a reduo do risco
Ao considerar as restries que afetam a reduo do risco, convm que as seguintes restries sejam
consideradas:
Restries temporais:
Pode haver muitos tipos de restries de tempo. Por exemplo, convm que os controles sejam implementados
dentro de um perodo de tempo aceitvel para os gestores da organizao. Outro tipo de restrio temporal se
um controle pode ser implementado durante o perodo de vida til da informao ou do sistema. Um terceiro tipo
de restrio temporal pode ser representado pelo perodo de tempo que os gestores da organizao definem
como aceitvel para ficar-se exposto a um determinado risco.
Restries financeiras:
Convm que a implementao ou a manuteno dos controles sejam menos dispendiosas do que o valor dos
riscos que eles foram projetados para combater, exceto nos casos em que a conformidade obrigatria (por
exemplo, no caso de legislaes especficas). Convm que todos os esforos sejam feitos para que os
oramentos alocados no sejam excedidos, e tambm para que vantagens financeiras, atravs do uso de
controles, sejam obtidas. Contudo, em alguns casos, talvez no seja possvel implementar a segurana desejada
e alcanar o nvel de risco formalmente aceito, devido a restries oramentrias. Essa situao exigir, ento,
uma deciso dos gestores da organizao para a sua resoluo.
Convm que se tenha muito cuidado no caso de restries oramentrias provocarem a reduo do nmero ou da
qualidade dos controles a serem implementados, pois isso pode levar aceitao implcita de mais riscos do que
o planejado. Convm que a utilizao do oramento alocado para os controles como fator limitante, se necessria,
seja acompanhada por cuidados especiais.
Restries tcnicas:
Problemas tcnicos, como a compatibilidade de hardware ou de programas, podem ser facilmente evitados se
forem levados em conta durante a seleo dos controles. Alm disso, a implementao retroativa dos controles
em um processo ou sistema existente freqentemente dificultada por restries tcnicas. Essas dificuldades
podem deslocar o foco dos controles em direo aos aspectos procedurais e fsicos da segurana. Pode ser
necessrio revisar os programas de segurana da informao, a fim de alcanar os objetivos de segurana. Isso
pode ocorrer quando controles no conseguem atingir os resultados previstos na reduo do risco sem afetar a
produtividade.
Restries operacionais:
Restries operacionais, como por exemplo a necessidade de manter as operaes em um regime de 24x7 e,
ainda assim, executar back-ups, podem resultar em controles de implementao complexa e onerosa, a menos
que eles sejam incorporados ao projeto desde o incio.
Restries culturais:
As restries culturais em relao seleo de controles podem ser especficas a um pas, a um setor, a uma
organizao ou mesmo a um departamento dentro de uma organizao. Nem todos os controles podem ser
aplicados em todos os pases. Por exemplo, pode ser possvel implementar buscas em bolsas e bagagens em
partes da Europa, mas no em partes do Oriente Mdio. Aspectos culturais no podem ser ignorados, pois muitos
61/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
controles contam com o apoio ativo do pessoal. Se o pessoal no compreende a necessidade do controle ou no
acham que ele seja culturalmente aceitvel, o controle se tornar ineficaz ao passar do tempo.
Restries ticas:
As restries ticas podem ter grandes implicaes sobre os controles na medida em que a tica muda tendo
como base as normas sociais. Isso pode impedir a implementao de alguns controles em alguns pases, como
por exemplo a varredura de correspondncia eletrnica ("email scanning). A privacidade das informaes pode
ser entendida de diferentes maneiras dependendo da tica da regio ou do governo. Essas questes podem
causar maiores preocupaes em alguns setores de atividade econmica do que em outros, por exemplo: o setor
governamental e o da sade.
Restries ambientais:
Fatores ambientais, tais como a disponibilidade de espao, condies climticas extremas e o meio geogrfico
natural ou urbano, podem influenciar a seleo de controles. Por exemplo, instalaes prova de terremoto
podem ser necessrias em alguns pases, porm desnecessrias em outros.
Restries legais:
Fatores legais tais como provises relativas proteo de dados pessoais ou do cdigo penal referentes ao
processamento de informaes, podem afetar a seleo de controles. A conformidade legislao e a normas
pode exigir certos tipos de controles, como por exemplo, a proteo de dados e a auditoria financeira. Por outro
lado, ela pode tambm impedir o uso de alguns controles, por exemplo: a criptografia. Outras leis e
regulamentaes, tais como a legislao do trabalho, as normas do corpo de bombeiros, da rea da sade e da
segurana, e regulamentaes do setor econmico, tambm podem afetar a escolha de controles.
Facilidade de uso:
Uma interface de usurio mal projetada resultar em erro humano e pode tornar o controle intil. Convm que os
controles selecionados sejam de fcil utilizao, alm de garantirem um nvel aceitvel de risco residual ao
negcio. Os controles de difcil utilizao tm sua eficcia prejudicada, j que os usurios tentaro contorn-los ou
ignor-los tanto quanto possvel. Controles de acesso complexos dentro da organizao podem estimular os
usurios a acharem algum mtodo de acesso alternativo no autorizado.
Restries de recursos humanos:
Convm que sejam considerados o custo salarial e a disponibilidade de profissionais com as competncias
especializadas necessrias para a implementao dos controles, bem como a capacidade de deslocar o pessoal
em condies adversas de operao. O conhecimento necessrio para a implementao dos controles planejados
pode no estar prontamente disponvel ou pode representar um custo excessivo para a organizao. Outros
aspectos tais como a tendncia de parte do pessoal discriminar outros membros da equipe que no passaram por
verificaes de segurana, podem ter grandes implicaes para as polticas e prticas de segurana. Alm disso,
a necessidade de achar e contratar as pessoas certas para o trabalho pode resultar na sua contratao antes que
as verificaes de segurana sejam concludas. Exigir que a verificao de segurana seja finalizada antes da
contratao a prtica normal e a mais segura.
Restries ligadas integrao dos controles novos aos j existentes:
A integrao de controles novos a uma infra-estrutura existente e a interdependncia entre controles so fatores
freqentemente ignorados. Controles novos podem no ser facilmente implementados se houver incongruncia ou
incompatibilidade com controles existentes. Por exemplo, um plano para usar dispositivos de identificao
biomtrica para controle de acesso fsico pode conflitar com um sistema que se baseie na digitao de nmeros
de identificao pessoal (PIN, conforme a sigla em Ingls) para o controle de acesso. Convm que o custo da
mudana dos controles existentes para os planejados inclua tambm os itens a serem adicionados ao custo geral
do tratamento do risco. Talvez no seja possvel implementar alguns dos controles selecionados devido aos
conflitos com os controles atuais.
62/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Bibliografia
[1]
ABNT ISO/IEC Guia 73: 2005, Gesto de riscos Vocabulrio Recomendaes para uso em normas
[2]
ISO/IEC 16085: 2006, Systems and Software Engineering Life Cycle Processes Risk Management
[3]
AS/NZS 4360: 2004, Risk Management
[4]
NIST Special Publication 800-12, An Introduction to Computer Security: The NIST Handbook
[5]
NIST Special Publication 800-30, Risk Management Guide for Information Technology Systems
Recommendations of the National Institute of Standards and Technology
63/63

NBR Iso 27005 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

NBR Iso 27005 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

ABNT/CB-21

Tecnologia da informao Tcnicas de segurana Gesto de riscos de

2) Previsto para ser equivalente ISO/IEC 27005:2008;

Ariosto Farias Junior

NO TEM VALOR NORMATIVO

Tecnologia da informao Tcnicas de segurana Gesto de riscos de

NO TEM VALOR NORMATIVO

medido em funo da combinao da probabilidade de um evento e de sua conseqncia.

No contexto desta Norma o termo probabilidade usado para a estimativa de riscos.

No contexto desta Norma o termo probabilidade usado para a estimativa de riscos.

NO TEM VALOR NORMATIVO

Viso geral do processo de gesto de riscos de segurana da informao

Figura 1 - Processo de gesto de riscos de segurana da informao

NO TEM VALOR NORMATIVO

Processo de gesto de riscos de segurana da informao

Plano de tratamento do risco

Implementao do plano de tratamento do risco

7.1 Consideraes Gerais

NO TEM VALOR NORMATIVO

7.2 Critrios bsicos

Critrios para a avaliao de riscos

Critrios para a aceitao do risco

Mais informaes podem ser encontradas no Anexo A.

NO TEM VALOR NORMATIVO

7.3 Escopo e limites

Informaes adicionais podem ser encontradas no Anexo A.

7.4 Organizao para gesto de riscos de segurana da informao

Anlise/avaliao de riscos de segurana da informao

8.1 Descrio geral do processo de anlise/avaliao de riscos de segurana da informao

8.2 Anlise de riscos

Identificao dos ativos

Diretrizes para implementao:

NO TEM VALOR NORMATIVO

Identificao das ameaas

Identificao dos controles existentes

Entrada: Documentao dos controles, planos de implementao do tratamento do risco.

Identificao das vulnerabilidades

Entrada: Uma lista de ameaas conhecidas, listas de ativos e controles existentes.

Identificao das conseqncias

Convm que as organizaes identifiquem as conseqncias operacionais de cenrios de incidentes em funo

Metodologias para a estimativa de riscos

Avaliao das conseqncias

NO TEM VALOR NORMATIVO

Avaliao da probabilidade dos incidentes

Estimativa do nvel de risco

8.3 Avaliao de riscos

NO TEM VALOR NORMATIVO

Tratamento do risco de segurana da informao

9.1 Descrio geral do processo de tratamento do risco

Figura 2 A atividade de tratamento do risco

9.2 Reduo do risco

9.3 Reteno do risco

Diretrizes para implementao:

9.4 Ao de evitar o risco

9.5 Transferncia do risco

10 Aceitao do risco de segurana da informao

11 Comunicao do risco de segurana da informao

NO TEM VALOR NORMATIVO

12 Monitoramento e anlise crtica de riscos de segurana da informao

NO TEM VALOR NORMATIVO

12.2 Monitoramento, anlise crtica e melhoria do processo de gesto de riscos

NO TEM VALOR NORMATIVO

A.1 A anlise da organizao