Escolar Documentos
Profissional Documentos
Cultura Documentos
NBR Iso 27005 PDF
NBR Iso 27005 PDF
PROJETO 21:027.00-017
MARO:2008
25.07.2008
13.12.2008
03.03.2008
Representante
Alberto Bastos
Edison Bastos
Geraldo Ferreira
Helcio Tonnera
Marcelo Gherman
Nlio Gaspar
Rafael Roseira
Rosangela Caubit
CQSI
Banco do Nordeste
Francisco Jos
CEMIG
Lucas Lanna
PETROBRAS
Jos Luiz
Murilo Felix
UNISYS
Marcelo Martins
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Sumrio
Introduo
2
1
Escopo
2
2
Referncias normativas
2
3
Termos e definies
3
4
Organizao da Norma
4
5
Contextualizao
5
6
Viso geral do processo de gesto de riscos de segurana da informao
6
7
Definio do contexto
8
7.1 Consideraes Gerais
8
7.2 Critrios bsicos
9
7.3 Escopo e limites
11
7.4 Organizao para gesto de riscos de segurana da informao
11
8
Anlise/avaliao de riscos de segurana da informao
12
8.1 Descrio geral do processo de anlise/avaliao de riscos de segurana da
informao
12
8.2 Anlise de riscos
13
8.3 Avaliao de riscos
20
9
Tratamento do risco de segurana da informao
21
9.1 Descrio geral do processo de tratamento do risco
21
9.2 Reduo do risco
22
9.3 Reteno do risco
24
9.4 Ao de evitar o risco
24
9.5 Transferncia do risco
24
10 Aceitao do risco de segurana da informao
24
11 Comunicao do risco de segurana da informao
25
12 Monitoramento e anlise crtica de riscos de segurana da informao
26
12.1
Monitoramento e anlise crtica dos fatores de risco
26
12.2
Monitoramento, anlise crtica e melhoria do processo de gesto de riscos
27
Anexo A (informativo) Definindo o escopo e os limites do processo de gesto de riscos
de segurana da informao
29
Anexo B (informativo) Identificao e valorao dos ativos e avaliao do impacto
34
Anexo C (informativo) Exemplos de ameaas comuns
45
Anexo D (informativo) Vulnerabilidades e mtodos de avaliao de vulnerabilidades 48
Anexo E (informativo) Diferentes abordagens para anlise/avaliao de riscos de
segurana da informao
54
Anexo F (informativo) Restries que afetam a reduo do risco
61
Bibliografia
63
NO TEM VALOR NORMATIVO
1/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional de Normalizao. As Normas Brasileiras,
cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos de Normalizao
Setorial (ABNT/ONS) e das Comisses de Estudo Especiais (ABNT/CEE), so elaboradas por Comisses de
Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores
e neutros (universidades, laboratrios e outros).
Os Documentos Tcnicos ABNT so elaborados conforme as regras das Diretivas ABNT, Parte 2.
A Associao Brasileira de Normas Tcnicas (ABNT) chama ateno para a possibilidade de que alguns dos
elementos deste documento podem ser objeto de direito de patente. A ABNT no deve ser considerada
responsvel pela identificao de quaisquer direitos de patentes.
A ABNT NBR ISO/IEC 27005 foi elaborada no Comit Brasileiro de Computadores e Processamento de Dados
(ABNT/CB-21), pela Comisso de Estudo de Tecnologia da Informao (CE-21:027.00).
Esta Norma uma adoo idntica, em contedo tcnico, estrutura e redao, ISO IEC 27005: 2008, que foi
elaborada pelo Comit Tcnico Information technology (ISO/IEC JTC 1), conforme ISO/IEC Guide 21-1:2005.
Introduo
Esta Norma Internacional fornece diretrizes para o processo de Gesto de Riscos de Segurana da Informao de
uma organizao, atendendo particularmente aos requisitos de um SGSI de acordo com a ABNT NBR ISO/IEC
27001. Entretanto, esta Norma Internacional no inclui uma metodologia especfica para a gesto de riscos de
segurana da informao. Cabe organizao definir sua abordagem ao processo de gesto de riscos, levando
em conta, por exemplo, o escopo do seu SGSI, o contexto da gesto de riscos e o seu setor de atividade
econmica. H vrias metodologias que podem ser utilizadas de acordo com a estrutura descrita nesta Norma
Internacional para implementar os requisitos de um SGSI.
Esta Norma Internacional do interesse de gestores e pessoal envolvidos com a gesto de riscos de segurana
da informao em uma organizao e, quando aplicvel, em entidades externas que do suporte a essas
atividades.
Escopo
Esta Norma Internacional fornece diretrizes para o processo de gesto de riscos de segurana da informao.
Esta Norma est de acordo com os conceitos especificados na ABNT NBR ISO/IEC 27001 e foi elaborada para
facilitar uma implementao satisfatria da segurana da informao tendo como base a gesto de riscos.
O conhecimento dos conceitos, modelos, processos e terminologias descritos na ABNT NBR ISO/IEC 27001 e na
ABNT NBR ISO/IEC 27002 importante para um entendimento completo desta Norma Internacional.
Esta Norma Internacional se aplica a todos os tipos de organizao (por exemplo: empreendimentos comerciais,
agncias governamentais, organizaes sem fins lucrativos), que pretendam gerir os riscos que poderiam
comprometer a segurana da informao da organizao.
Referncias normativas
Os documentos citados a seguir so indispensveis para a correta aplicao desta Norma. Para as referncias
com datas, apenas a edio citada vlida. Para as referncias sem data especfica, vale apenas a verso oficial
mais recente do referido documento (incluindo possveis correes).
2/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
ABNT NBR ISO/IEC 27001:2006, Tecnologia da Informao Tcnicas de segurana Sistemas de gesto de
segurana da informao Requisitos.
ABNT NBR ISO/IEC 27002:2005, Tecnologia da Informao Tcnicas de segurana Cdigo de prtica para a
gesto da segurana da informao.
Termos e definies
Para os efeitos desta Norma, aplicam-se os termos e definies da ABNT NBR ISO/IEC 27001 e da ABNT
ISO/IEC 27002 e os seguintes.
3.1
impacto
mudana adversa no nvel obtido dos objetivos de negcios
3.2
riscos de segurana da informao
a possibilidade de uma determinada ameaa explorar vulnerabilidades de um ativo ou de um conjunto de ativos,
desta maneira prejudicando a organizao
NOTA
3.3
ao de evitar o risco
deciso de no se envolver ou agir de forma a se retirar de uma situao de risco
[ABNT ISO/IEC GUIA 73:2005]
3.4
comunicao do risco
troca ou compartilhamento de informao sobre o risco entre o tomador de deciso e outras partes interessadas
[ABNT ISO/IEC GUIA 73:2005]
3.5
estimativa de riscos
processo utilizado para atribuir valores probabilidade e conseqncias de um risco
[ABNT ISO/IEC GUIA 73:2005]
NOTA 1
No contexto desta Norma o termo "atividade" usado no lugar do termo "processo" para a estimativa de riscos.
NOTA 2
3.6
identificao de riscos
processo para localizar, listar e caracterizar elementos do risco
[ABNT ISO/IEC GUIA 73:2005]
NOTA
No contexto desta Norma o termo "atividade" usado no lugar do termo "processo" para a identificao de riscos.
3.7
reduo do risco
aes tomadas para reduzir a probabilidade, as conseqncias negativas, ou ambas, associadas a um risco
[ABNT ISO/IEC GUIA 73:2005]
NO TEM VALOR NORMATIVO
3/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
NOTA:
3.8
reteno do risco
aceitao do nus da perda ou do benefcio do ganho associado a um determinado risco
[ABNT ISO/IEC GUIA 73:2005]
NOTA
No contexto dos riscos de segurana da informao, somente conseqncias negativas (perdas) so consideradas
para a reteno do risco.
3.9
transferncia do risco
compartilhamento com uma outra entidade do nus da perda ou do benefcio do ganho associado a um risco
[ABNT ISO/IEC GUIA 73:2005]
NOTA
No contexto dos riscos de segurana da informao, somente conseqncias negativas (perdas) so consideradas
para a transferncia do risco.
Organizao da Norma
Esta Norma contm a descrio do processo de gesto de riscos de segurana da informao e das suas
atividades.
As informaes sobre o contexto histrico so apresentadas na Seo 5.
Uma viso geral do processo de gesto de riscos de segurana da informao apresentada na Seo 6.
As atividades de gesto de riscos de segurana da informao, apresentadas na Seo 6, so descritas nas
seguintes sees:
Definio do contexto na Seo 7,
Anlise/avaliao de riscos na Seo 8,
Tratamento do risco na Seo 9,
Aceitao do risco na Seo 10,
Comunicao do risco na Seo 11,
Monitoramento e anlise crtica de riscos na Seo 12.
Alm disso, informaes adicionais para as atividades de gesto de riscos de segurana da informao so
apresentadas nos anexos. A definio do contexto detalhada no Anexo A (Definindo o escopo e os limites do
processo de gesto de riscos de segurana da informao). A identificao e valorao dos ativos e a avaliao
do impacto so discutidas no Anexo B (exemplos de ativos), Anexo C (exemplos de ameaas comuns) e Anexo D
(exemplos de vulnerabilidades comuns).
Exemplos de diferentes abordagens de anlise/avaliao de riscos de segurana da informao so apresentados
no Anexo E.
Restries relativas reduo do risco so apresentadas no Anexo F.
As atividades de gesto de riscos, como apresentadas da Seo 7 at a Seo 12, esto estruturadas da seguinte
forma:
NO TEM VALOR NORMATIVO
4/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Entrada: Identifica as informaes necessrias para o desempenho da atividade.
Ao: Descreve a atividade.
Diretrizes para implementao: Fornece diretrizes para a execuo da ao. Algumas destas diretrizes podem no
ser adequadas em todos os casos. Assim sendo, outras maneiras de se executar a ao podem ser mais
apropriadas.
Sada: Identifica as informaes resultantes da execuo da atividade.
Contextualizao
Uma abordagem sistemtica de gesto de riscos de segurana da informao necessria para se identificar as
necessidades da organizao em relao aos requisitos de segurana da informao e para criar um sistema de
gesto de segurana da informao (SGSI) que seja eficaz. Convm que essa abordagem seja adequada ao
ambiente da organizao e em particular esteja alinhada com o processo maior de gesto de riscos corporativos.
Convm que os esforos de segurana lidem com riscos de maneira efetiva e no tempo apropriado, onde e
quando forem necessrios. Convm que a gesto de riscos de segurana da informao seja parte integrante das
atividades de gesto da segurana da informao e aplicada tanto implementao quanto operao cotidiana
de um SGSI.
Convm que a gesto de riscos de segurana da informao seja um processo contnuo. Convm que o processo
defina o contexto, avalie os riscos e trate os riscos usando um plano de tratamento a fim de implementar as
recomendaes e decises. Convm que a gesto de riscos analise os possveis acontecimentos e suas
conseqncias, antes de decidir o que ser feito e quando ser feito, a fim de reduzir os riscos a um nvel
aceitvel.
Convm que a gesto de riscos de segurana da informao contribua para:
Identificao de riscos
Anlise/avaliao de riscos em funo das conseqncias ao negcio e da probabilidade de sua ocorrncia
Comunicao e entendimento da probabilidade e das conseqncias destes riscos
Estabelecimento da ordem prioritria para tratamento do risco
Priorizao das aes para reduzir a ocorrncia dos riscos
Envolvimento das partes interessadas quando as decises de gesto de riscos so tomadas e mantidas
informadas sobre a situao da gesto de riscos
Eficcia do monitoramento do tratamento do risco
Monitoramento e a anlise crtica regular de riscos e do processo de gesto dos mesmos
Coleta de informaes de forma a melhorar a abordagem da gesto de riscos
Treinamento de gestores e pessoal a respeito dos riscos e das aes para mitig-los
O processo de gesto de riscos de segurana da informao pode ser aplicado organizao como um todo, a
uma rea especfica da organizao (por exemplo: um departamento, uma localidade, um servio), a um sistema
de informaes, a controles j existentes, planejados ou apenas a aspectos particulares de um controle (por
exemplo: o plano de continuidade de negcios).
5/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
O processo de gesto de riscos de segurana da informao consiste na definio do contexto (Seo 7),
anlise/avaliao de riscos (Seo 8), tratamento do risco (Seo 9), aceitao do risco (Seo 10), comunicao
do risco (Seo 11) e monitoramento e anlise crtica de riscos (Seo 12).
6/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
exemplo: os critrios para a anlise/avaliao de riscos, de aceitao do risco e de impacto), seguida por uma fase
adicional de tratamento do risco (veja Figura 1, Ponto de Deciso 2).
A atividade de aceitao do risco tem de assegurar que os riscos residuais sejam explicitamente aceitos pelos
gestores da organizao. Isso especialmente importante em uma situao em que a implementao de controles
omitida ou adiada, por exemplo, devido aos custos.
Durante o processo de gesto de riscos de segurana da informao, importante que os riscos e a forma com
que so tratados sejam comunicados ao pessoal das reas operacionais e gestores apropriados. Mesmo antes do
tratamento do risco, informaes sobre riscos identificados podem ser muito teis para o gerenciamento de
incidentes e ajudar a reduzir possveis prejuzos. A conscientizao dos gestores e pessoal no que diz respeito
aos riscos, natureza dos controles aplicados para mitig-los e as reas definidas como de interesse pela
organizao, auxiliam a lidar com os incidentes e eventos no previstos da maneira mais efetiva. Convm que os
resultados detalhados de cada atividade do processo de gesto de riscos de segurana da informao, assim
como as decises sobre a anlise/avaliao de riscos e sobre o tratamento do risco (representadas pelos dois
pontos de deciso na Figura 1), sejam documentados.
A ABNT NBR ISO/IEC 27001 especifica que os controles implementados no escopo, limites e contexto do SGSI
devem ser baseados no risco. A aplicao de um processo de gesto de riscos de segurana da informao pode
satisfazer esse requisito. H vrios mtodos atravs dos quais o processo pode ser implementado com sucesso
em uma organizao. Convm que a organizao use o mtodo que melhor se adeque a suas circunstncias,
para cada aplicao especfica do processo.
Em um SGSI, a definio do contexto, a anlise/avaliao de riscos, o desenvolvimento do plano de tratamento do
risco e a aceitao do risco, fazem parte da fase "planejar". Na fase "executar" do SGSI, as aes e controles
necessrios para reduzir os riscos para um nvel aceitvel so implementados de acordo com o plano de
tratamento do risco. Na fase verificar do SGSI, os gestores determinaro a necessidade de reviso das
avaliaes e tratamento do risco luz dos incidentes e mudanas nas circunstncias. Na fase agir, as aes
necessrias so executadas, incluindo a reaplicao do processo de gesto de riscos de segurana da
informao.
A Tabela 1 resume as atividades relevantes de gesto de riscos de segurana da informao para as quatro fases
do processo do SGSI:
7/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Tabela 1 Alinhamento do processo do SGSI e do processo de gesto de riscos de segurana da
informao
Processo do SGSI
Planejar
Executar
Verificar
Agir
Definio do contexto
8/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Sada: A especificao dos critrios bsicos; o escopo e os limites do processo de gesto de riscos de segurana
da informao; e a organizao responsvel pelo processo.
9/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Perda de oportunidades de negcio e de valor financeiro
Interrupo de planos e o no cumprimento de prazos
Dano reputao
Violaes de requisitos legais, regulatrios ou contratuais
NOTA
Veja tambm a ABNT NBR ISO/IEC 27001 [Seo 4.2.1 d) 4] com relao identificao dos critrios de impacto
em relao perda da confidencialidade, da integridade e/ou da disponibilidade.
10/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
11/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Desenvolvimento do processo de gesto de riscos de segurana da informao adequado organizao
Identificao e anlise das partes interessadas
Definio dos papis e responsabilidades de todas as partes, internas e externas organizao.
Estabelecimento das relaes necessrias entre a organizao e as partes interessadas, das interfaces com
as funes de alto nvel de gesto de riscos da organizao (por exemplo: a gesto de riscos operacionais),
assim como das interfaces com outros projetos ou atividades relevantes
Definio de aladas para a tomada de decises
Especificao dos registros a serem mantidos
Convm que essa organizao seja aprovada pelos gestores apropriados.
NOTA
A ABNT NBR ISO/IEC 27001 requer a identificao e a proviso dos recursos necessrios para estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI [5.2.1.a)]. A organizao das operaes de
gesto de riscos pode ser considerada como um dos recursos necessrios, segundo a ABNT NBR ISO/IEC 27001.
A atividade de anlise/avaliao de riscos tratada como processo na ABNT NBR ISO/IEC 27001.
Entrada: Critrios bsicos, o escopo e os limites, e a organizao do processo de gesto de riscos de segurana
da informao que se est definindo.
Ao: Convm que os riscos sejam identificados, quantificados ou descritos qualitativamente, priorizados em
funo dos critrios de avaliao de riscos e dos objetivos relevantes da organizao.
Diretrizes para implementao:
Um risco a combinao das conseqncias advindas da ocorrncia de um evento indesejado e da probabilidade
da ocorrncia do mesmo. A anlise/avaliao de riscos quantifica ou descreve o risco qualitativamente e capacita
os gestores a priorizar os riscos de acordo com a sua gravidade percebida ou com outros critrios estabelecidos.
A anlise/avaliao de riscos consiste nas seguintes atividades:
Anlise de riscos (Seo 8.2) compreende:
Identificao de riscos (Seo 8.2.1)
Estimativa de riscos (Seo 8.2.2)
Avaliao de riscos (Seo 8.3)
A anlise/avaliao de riscos determina o valor dos ativos de informao, identifica as ameaas e vulnerabilidades
aplicveis existentes (ou que poderiam existir), identifica os controles existentes e seus efeitos no risco
identificado, determina as conseqncias possveis e, finalmente, prioriza os riscos derivados e ordena-os de
acordo com os critrios de avaliao de riscos estabelecidos na definio do contexto.
A anlise/avaliao de riscos executada freqentemente em duas (ou mais) iteraes. Primeiramente, uma
avaliao de alto nvel realizada para identificar os riscos com potencial de alto impacto, os quais merecem uma
avaliao mais aprofundada. A segunda iterao pode considerar com mais profundidade os riscos de alto
impacto potencial revelados na primeira iterao. Se ela no fornecer informaes suficientes para avaliar o risco,
NO TEM VALOR NORMATIVO
12/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
ento anlises adicionais detalhadas precisaro ser executadas, provavelmente em apenas partes do escopo total
e possivelmente usando um outro mtodo.
Cabe organizao selecionar seu prprio mtodo para a anlise/avaliao de riscos baseado nos objetivos e na
meta da anlise/avaliao de riscos.
Uma discusso sobre mtodos de anlise/avaliao de riscos de segurana da informao pode ser encontrada
no Anexo E.
Sada: Uma lista de riscos avaliados, ordenados por prioridade de acordo com os critrios de avaliao de riscos.
Identificao de riscos
Introduo identificao de riscos
O propsito da identificao de riscos determinar eventos que possam causar uma perda potencial e deixar claro
como, onde e por que a perda pode acontecer. As etapas descritas nas prximas subsees de 8.2.1 servem para
coletar dados de entrada para a atividade de estimativa de riscos.
NOTA
Atividades descritas nas sees subseqentes podem ser executadas em uma ordem diferente dependendo da
metodologia aplicada.
8.2.1.2
Entrada: Escopo e limites para a anlise/avaliao de riscos a ser executada; lista de componentes com
responsveis, localidade, funo etc.
Ao: Convm que os ativos dentro do
ABNT NBR ISO/IEC 27001, Seo 4.2.1.d) 1)).
escopo
estabelecido
sejam
identificados
(refere-se
13/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
8.2.1.3
Entrada: Informaes sobre ameaas obtidas a partir da anlise crtica de incidentes, dos responsveis pelos
ativos, de usurios e de outras fontes, incluindo catlogos externos de ameaas.
Ao: Convm que as ameaas e suas fontes sejam identificadas (refere-se ABNT NBR ISO/IEC 27001,
Seo 4.2.1 d) 2)).
Diretrizes para implementao:
Uma ameaa tem o potencial de comprometer ativos (tais como, informaes, processos e sistemas) e, por isso,
tambm as organizaes. Ameaas podem ser de origem natural ou humana e podem ser acidentais ou
intencionais.
Convm que tanto as fontes das ameaas acidentais, quanto as intencionais, sejam identificadas. Uma ameaa
pode surgir de dentro ou de fora da organizao. Convm que as ameaas sejam identificadas genericamente e
por classe (por exemplo: aes no autorizadas, danos fsicos, falhas tcnicas) e, quando apropriado, ameaas
especficas identificadas dentro das classes genricas. Isso significa que, nenhuma ameaa ignorada, incluindo
as no previstas, mas que o volume de trabalho exigido limitado.
Algumas ameaas podem afetar mais de um ativo. Nesses casos, elas podem provocar impactos diferentes,
dependendo de quais ativos so afetados.
Dados de entrada para a identificao das ameaas e estimativa da probabilidade de ocorrncia (ver 8.2.2.2)
podem ser obtidos dos responsveis pelos ativos ou dos usurios, do pessoal, dos administradores das
instalaes e dos especialistas em segurana da informao, de peritos em segurana fsica, do departamento
jurdico e de outras organizaes, incluindo organismos legais, autoridades climticas, companhias de seguros e
autoridades governamentais nacionais. Aspectos culturais e relacionados ao ambiente precisam ser considerados
quando se examina as ameaas.
Convm que experincias internas de incidentes e avaliaes anteriores das ameaas sejam consideradas na
avaliao atual. Pode ser til a consulta a outros catlogos de ameaas (talvez mais especfico a uma organizao
ou negcio) a fim de completar a lista de ameaas genricas, quando relevante. Catlogos de ameaas e
estatsticas so disponibilizados por organismos setoriais, governos nacionais, organismos legais, companhias de
seguro etc.
Quando forem usados catlogos de ameaas ou os resultados de uma avaliao anterior das ameaas, convm
que se tenha conscincia de que as ameaas relevantes esto sempre mudando, especialmente se o ambiente de
negcio ou se os sistemas de informaes mudarem.
Mais informaes sobre tipos de ameaas podem ser encontradas no Anexo C.
Sada: Uma lista de ameaas com a identificao do tipo e da fonte das ameaas.
8.2.1.4
14/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
assim, controles complementares so necessrios para tratar efetivamente o risco identificado. Em um SGSI, de
acordo com a ABNT NBR ISO/IEC 27001, isso auxiliado pela medio da eficcia dos controles. Uma maneira
para estimar o efeito do controle ver o quanto ele reduz, por um lado, a probabilidade da ameaa e a facilidade
com que uma vulnerabilidade pode ser explorada ou, por outro lado, o impacto do incidente. A anlise crtica pela
direo e relatrios de auditoria tambm fornecem informaes sobre a eficcia dos controles existentes.
Convm que os controles que esto planejados para serem implementados de acordo com os planos de
implementao de tratamento do risco tambm sejam considerados, juntamente com aqueles que j esto
implementados.
Controles existentes ou planejados podem ser considerados ineficazes, insuficientes ou no-justificados. Convm
que um controle insuficiente ou no justificado seja verificado para determinar se convm que o mesmo seja
removido, substitudo por outro controle mais adequado ou se convm que o controle permanea em vigor, por
exemplo, em funo dos custos.
Para a identificao dos controles existentes ou planejados, as seguintes atividades podem ser teis:
Analisar de forma crtica os documentos contendo informaes sobre os controles (por exemplo: os planos de
implementao de tratamento do risco). Se os processos de gesto da segurana da informao esto bem
documentados, convm que todos os controles existentes ou planejados e a situao de sua implementao
estejam disponveis;
Verificar com as pessoas responsveis pela segurana da informao (por exemplo: o responsvel pela
segurana da informao, o responsvel pela segurana do sistema da informao, o gerente das instalaes
prediais, o gerente de operaes) e com os usurios quais controles, relacionados ao processo de informao
ou ao sistema de informao sob considerao, esto realmente implementados;
Revisar, no local, os controles fsicos, comparando os controles implementados com a lista de quais convm
que estejam presentes; e verificar se aqueles implementados esto funcionando efetiva e corretamente, ou
Analisar criticamente os resultados de auditorias internas
Sada: Uma lista de todos os controles existentes e planejados, sua implementao e status de utilizao.
8.2.1.5
15/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Hardware, software ou equipamentos de comunicao
Dependncia de entidades externas
A presena de uma vulnerabilidade no causa prejuzo por si s, pois precisa haver uma ameaa presente para
explor-la. Uma vulnerabilidade que no tem uma ameaa correspondente pode no requerer a implementao de
um controle no presente momento, mas convm que ela seja reconhecida como tal e monitorada, no caso de
haver mudanas. Note-se que um controle implementado, funcionando incorretamente ou sendo usado
incorretamente, pode, por si s, representar uma vulnerabilidade. Um controle pode ser eficaz ou no,
dependendo do ambiente no qual ele opera. Inversamente, uma ameaa que no tenha uma vulnerabilidade
correspondente pode no resultar em um risco.
Vulnerabilidades podem estar ligadas a propriedades do ativo, as quais podem ser usadas de uma forma ou para
um propsito diferente daquele para o qual o ativo foi adquirido ou desenvolvido. Vulnerabilidades decorrentes de
diferentes fontes precisam ser consideradas, por exemplo: as intrnsecas ao ativo e as extrnsecas.
Exemplos de vulnerabilidades e mtodos para avaliao de vulnerabilidades podem ser encontrados no Anexo D.
Sada: Uma lista de vulnerabilidades associadas aos ativos, s ameaas e aos controles; uma lista de
vulnerabilidades que no se refere a nenhuma ameaa identificada para anlise.
8.2.1.6
Entrada: Uma lista de ativos, uma lista de processos do negcio e uma lista de ameaas e vulnerabilidades,
quando aplicvel, relacionadas aos ativos e sua relevncia.
Ao: Convm que as conseqncias que a perda de confidencialidade, de integridade e de disponibilidade
podem ter sobre os ativos sejam identificadas (ver a ABNT NBR ISO/IEC 27001 4.2.1 d)4)).
Diretrizes para implementao:
Uma conseqncia pode ser, por exemplo, a perda da eficcia, condies adversas de operao, a perda de
oportunidades de negcio, reputao afetada, prejuzo etc.
Essa atividade identifica o prejuzo ou as conseqncias para a organizao que podem decorrer de um cenrio
de incidente. Um cenrio de incidente a descrio de uma ameaa explorando uma certa vulnerabilidade ou um
conjunto delas em um incidente de segurana da informao (ver ABNT NBR ISO/IEC 27002, Seo 13). O
impacto dos cenrios de incidentes determinado considerando-se os critrios de impacto definidos durante a
atividade de definio do contexto. Ele pode afetar um ou mais ativos ou apenas parte de um ativo. Assim, aos
ativos podem ser atribudos valores correspondendo tanto aos seus custos financeiros, quanto s conseqncias
ao negcio se forem danificados ou comprometidos. Conseqncias podem ser de natureza temporria ou
permanente como no caso da destruio de um ativo.
NOTA
A ABNT NBR ISO/IEC 27001 descreve a ocorrncia de cenrios de incidentes como falhas de segurana.
16/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Imagem, reputao e valor de mercado
Detalhes sobre a avaliao de vulnerabilidades tcnicas podem ser encontrados em B.3 - Avaliao do Impacto.
Sada: Uma lista de cenrios de incidentes com suas conseqncias associadas aos ativos e processos do
negcio.
8.2.2
Estimativa de riscos
8.2.2.1
A anlise de riscos pode ser empreendida com diferentes graus de detalhamento, dependendo da criticidade dos
ativos, da extenso das vulnerabilidades conhecidas e dos incidentes anteriores envolvendo a organizao. Uma
metodologia para a estimativa pode ser qualitativa ou quantitativa ou uma combinao de ambos, dependendo
das circunstncias. Na prtica, a estimativa qualitativa freqentemente utilizada em primeiro lugar para obter
uma indicao geral do nvel de risco e para revelar os grandes riscos. Depois, poder ser necessrio efetuar uma
anlise quantitativa ou mais especfica, nos grandes riscos. Isso ocorre porque normalmente menos complexo e
menos oneroso realizar anlises qualitativas do que quantitativas.
Convm que a forma da anlise seja coerente com o critrio de avaliao de riscos desenvolvida como parte da
definio do contexto.
Detalhes adicionais a respeito das metodologias para a estimativa esto descritos a seguir:
a)
Estimativa qualitativa:
A estimativa qualitativa utiliza uma escala com atributos qualificadores que descrevem a magnitude das
conseqncias potenciais (por exemplo: Pequena, Mdia e Grande) e a probabilidade dessas conseqncias
ocorrerem. Uma vantagem da estimativa qualitativa sua facilidade de compreenso por todas as pessoas
envolvidas. Por outro lado, uma desvantagem a dependncia escolha subjetiva da escala.
Essas escalas podem ser adaptadas ou ajustadas para se adequarem s circunstncias e descries diferentes
podem ser usadas para riscos diferentes. A estimativa qualitativa pode ser utilizada:
Como uma verificao inicial a fim de identificar riscos que exigiro uma anlise mais detalhada
Quando esse tipo de anlise suficiente para a tomada de decises
Quando os dados numricos ou recursos so insuficientes para uma estimativa quantitativa
Convm que a anlise qualitativa utilize informaes e dados factuais quando disponveis.
b)
Estimativa quantitativa:
A estimativa quantitativa utiliza uma escala com valores numricos (e no as escalas descritivas usadas na
estimativa qualitativa) tanto para conseqncias quanto para a probabilidade, usando dados de diversas fontes. A
qualidade da anlise depende da exatido e da integralidade dos valores numricos e da validade dos modelos
utilizados. A estimativa quantitativa, na maioria dos casos, utiliza dados histricos dos incidentes, proporcionando
a vantagem de poder ser relacionada diretamente aos objetivos da segurana da informao e interesses da
organizao. Uma desvantagem a falta de tais dados sobre novos riscos ou sobre fragilidades da segurana da
informao. Uma desvantagem da abordagem quantitativa ocorre quando dados factuais e auditveis no esto
disponveis. Nesse caso, a exatido da anlise/avaliao de riscos e os valores associados tornam-se ilusrios.
A forma na qual as conseqncias e a probabilidade so expressas e a forma em que elas so combinadas para
fornecer um nvel de risco ir variar de acordo com o tipo de risco e do propsito para o qual os resultados da
anlise/avaliao de riscos sero usados. Convm que a incerteza e a variabilidade tanto das conseqncias,
quanto da probabilidade, sejam consideradas na anlise e comunicadas de forma eficaz.
NO TEM VALOR NORMATIVO
17/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
8.2.2.2
Entrada: Uma lista de cenrios de incidentes identificados como relevantes, incluindo a identificao de ameaas,
vulnerabilidades, ativos afetados e conseqncias para os ativos e processos do negcio.
Ao: Convm que o impacto sobre o negcio da organizao, que pode ser causado por incidentes (possveis ou
reais) relacionados segurana da informao, seja avaliado levando-se em conta as conseqncias de uma
violao da segurana da informao, como por exemplo: a perda da confidencialidade, da integridade ou da
disponibilidade dos ativos (refere-se ABNT NBR ISO/IEC 27001, Seo 4.2.1 e)1)).
Diretrizes para implementao:
Depois de identificar todos os ativos relevantes, convm que os valores atribudos a esses ativos sejam levados
em considerao durante a avaliao das conseqncias.
O valor do impacto ao negcio pode ser expresso de forma qualitativa ou quantitativa, porm um mtodo para
designar valores monetrios geralmente pode fornecer mais informaes teis para a tomada de decises e,
conseqentemente, permitir que o processo de tomada de deciso seja mais eficiente.
A valorao dos ativos comea com a classificao dos mesmos de acordo com sua criticidade, em funo da
importncia dos ativos para a realizao dos objetivos de negcios da organizao. A valorao ento
determinada de duas maneiras:
o valor de reposio do ativo: o custo da recuperao e da reposio da informao (se for possvel) e
as conseqncias ao negcio relacionadas perda ou ao comprometimento do ativo, tais como as possveis
conseqncias adversas de carter empresarial, legal ou regulatrias causadas pela divulgao indevida,
modificao, indisponibilidade e/ou destruio de informaes ou de outros ativos de informao
Essa valorao pode ser determinada a partir de uma anlise de impacto no negcio. O valor, determinado em
funo da conseqncia para o negcio, normalmente significativamente mais elevado do que o simples custo
de reposio, dependendo da importncia do ativo para a organizao na realizao dos objetivos de negcios.
A valorao dos ativos representa um dos aspectos mais importantes na avaliao do impacto de um cenrio de
incidente, pois o incidente pode afetar mais de um ativo (por exemplo: os ativos dependentes) ou somente parte
de um ativo. Diferentes ameaas e vulnerabilidades causaro diferentes impactos sobre os ativos, tais como perda
da confidencialidade, da integridade ou da disponibilidade. A avaliao das conseqncias est, portanto,
relacionada valorao dos ativos baseada na anlise de impacto no negcio.
As conseqncias ou o impacto ao negcio podem ser determinados por meio da criao de modelos com os
resultados de um evento, um conjunto de eventos ou atravs da extrapolao a partir de estudos experimentais ou
dados passados.
As conseqncias podem ser expressas em funo dos critrios monetrios, tcnicos ou humanos, de impacto ou
de outro critrio relevante para a organizao. Em alguns casos, mais de um valor numrico necessrio para
especificar as conseqncias tendo em vista os diferentes momentos, lugares, grupos ou situaes.
Convm que as conseqncias expressas em tempo e valor financeiro sejam medidas com a mesma abordagem
utilizada para a probabilidade da ameaa e as vulnerabilidades. A consistncia deve ser mantida com respeito
abordagem quantitativa ou qualitativa.
Mais informaes sobre valorao dos ativos e sobre a avaliao do impacto podem ser encontradas no Anexo B.
Sada: Uma lista de conseqncias avaliadas referentes a um cenrio de incidente, relacionadas aos ativos e
critrios de impacto.
18/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
8.2.2.3
Entrada: Uma lista de cenrios de incidentes identificados como relevantes, incluindo a identificao de ameaas,
ativos afetados, vulnerabilidades exploradas e conseqncias para os ativos e processos do negcio. Alm disso,
listas com todos os controles existentes e planejados, sua eficcia, implementao e status de utilizao.
Ao: Convm que a probabilidade dos cenrios de incidentes seja avaliada (refere-se ABNT NBR ISO/IEC
27001, Seo 4.2.1 e) 2)).
Diretrizes para implementao:
Depois de identificar os cenrios de incidentes, necessrio avaliar a probabilidade de cada cenrio e do impacto
correspondente, usando tcnicas de estimativa qualitativas ou quantitativas. Convm levar em conta a freqncia
da ocorrncia das ameaas e a facilidade com que as vulnerabilidades podem ser exploradas, considerando o
seguinte:
a experincia passada e estatsticas aplicveis referentes probabilidade da ameaa
para fontes de ameaas intencionais: a motivao e as competncias, que mudam ao longo do tempo, os
recursos disponveis para possveis atacantes, bem como a percepo da vulnerabilidade e o poder da
atrao dos ativos para um possvel atacante
para fontes de ameaas acidentais: fatores geogrficos (como por exemplo: proximidade a fbricas e
refinarias de produtos qumicos e petrleo), a possibilidade de eventos climticos extremos e fatores que
poderiam acarretar erros humanos e o mau funcionamento de equipamentos
vulnerabilidades, tanto individualmente como em conjunto
os controles existentes e a eficcia com que eles reduzem as vulnerabilidades
Por exemplo, um sistema de informao pode ter uma vulnerabilidade relacionada s ameaas de se forjar a
identidade de um usurio e de se fazer mau uso de recursos. A vulnerabilidade relacionada ao uso forjado da
identidade de um usurio pode ser alta devido, por exemplo, falta de um mecanismo de autenticao de usurio.
Por outro lado, a probabilidade de utilizao indevida dos recursos pode ser baixa, apesar da falta de auteticao,
pois os meios disponveis para que isso pudesse acontecer so limitados.
Dependendo da necessidade de exatido, ativos podem ser agrupados ou pode ser necessrio dividir um ativo em
seus componentes e relacionar estes aos cenrios. Por exemplo: conforme a localidade geogrfica, a natureza
das ameaas a um mesmo tipo de ativo ou a eficcia dos controles existentes podem variar.
Sada: Probabilidade dos cenrios de incidentes (no mtodo quantitativo ou no qualitativo).
8.2.2.4
Entrada: Uma lista de cenrios de incidentes com suas conseqncias associadas aos ativos, processos de
negcio e suas probabilidades (no mtodo quantitativo ou no qualitativo).
Ao: Convm que o nvel de risco seja estimado para todos os cenrios de incidentes considerados relevantes
(refere-se ABNT NBR ISO/IEC 27001, Seo 4.2.1 e) 4)).
Diretrizes para implementao:
A estimativa de riscos designa valores para a probabilidade e para as conseqncias de um risco. Esses valores
podem ser de natureza quantitativa ou qualitativa. A estimativa de riscos baseada nas conseqncias e na
probabilidade estimadas. Alm disso, ela pode considerar o custo-benefcio, as preocupaes das partes
interessadas e outras variveis, conforme apropriado para a avaliao de riscos. O risco estimado uma
combinao entre a probabilidade de um cenrio de incidente e suas conseqncias.
NO TEM VALOR NORMATIVO
19/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Exemplos de diferentes abordagens ou mtodos para estimativa de riscos de segurana da informao podem ser
encontrados no Anexo E.
Sada: Uma lista de riscos com nveis de valores designados.
20/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
A ABNT NBR ISO/IEC 27001 4.2.1.f) 2) usa o termo aceitao do risco em vez de reteno do risco.
A Figura 2 ilustra a atividade de tratamento do risco dentro do processo de gesto de riscos de segurana da
informao como apresentado na Figura 1.
RESULTADOS DA
AVALIAO DE
RISCOS
AVALIAO
SATISFATRIA
Ponto de Deciso 1
Tratamento do risco
OPES DE TRATAMENTO DO RISCO
REDUO
DO RISCO
RETENO
DO RISCO
AO DE
EVITAR O
RISCO
TRANSFERNCIA
DO RISCO
RISCOS
RESIDUAIS
TRATAMENTO
SATISFATRIO
Ponto de Deciso 2
21/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Convm que as opes do tratamento do risco sejam selecionadas com base no resultado da anlise/avaliao de
riscos, no custo esperado para implementao dessas opes e nos benefcios previstos.
Quando uma grande reduo do risco pode ser obtida com uma despesa relativamente pequena, convm que
essas opes sejam implementadas. Outras opes para melhorias podem ser muito dispendiosas e uma anlise
precisa ser feita para verificar suas justificativas.
Em geral, convm que as conseqncias adversas do risco sejam reduzidas ao mnimo possvel,
independentemente de quaisquer critrios absolutos. Convm que os gestores considerem os riscos improvveis
porm graves. Nesse caso, controles que no so justificveis do ponto de vista estritamente econmico podem
precisar ser implementados (por exemplo: controles de continuidade de negcios concebidos para tratar riscos de
alto impacto especficos).
As quatro opes para o tratamento do risco no so mutuamente exclusivas. s vezes, a organizao pode
beneficiar-se substancialmente de uma combinao de opes, tais como a reduo da probabilidade do risco, a
reduo de suas conseqncias e a transferncia ou reteno dos riscos residuais.
Algumas formas de tratamento do risco podem lidar com mais de um risco de forma efetiva (por exemplo: o
treinamento e a conscientizao em segurana da informao). Convm que um plano de tratamento do risco seja
definido, identificando claramente a ordem de prioridade em que as formas especficas de tratamento do risco
convm ser implementadas, assim como os seus prazos de execuo. Prioridades podem ser estabelecidas
usando vrias tcnicas, incluindo a ordenao dos riscos e a anlise de custo-benefcio. de responsabilidade
dos gestores da organizao equilibrar os custos da implementao dos controles e o oramento.
A identificao de controles existentes pode nos fazer concluir que os mesmos excedem as necessidades atuais
em funo da comparao de custos, incluindo a manuteno. Se a remoo de controles redundantes e
desnecessrios tiver que ser considerada (especialmente se os controles tm altos custos de manuteno),
convm que a segurana da informao e os fatores de custo sejam levados em conta. Devido influncia que os
controles exercem uns sobres os outros, a remoo de controles redundantes pode reduzir a segurana em vigor
como um todo. Alm disso, talvez seja menos dispendioso deixar controles redundantes ou desnecessrios em
vigor do que remov-los.
Convm que as opes de tratamento do risco sejam consideradas levando-se em conta:
Como o risco percebido pelas partes afetadas
As formas mais apropriadas de comunicao com as partes
A definio do contexto (ver 7.2 - Critrios de avaliao de riscos) fornece informaes sobre requisitos legais e
regulatrios com os quais a organizao precisa estar em conformidade. Nesse caso, o risco para organizao
no estar em conformidade e convm que sejam implementadas opes de tratamento para limitar essa
possibilidade. Convm que todas as restries - organizacionais, tcnicas, estruturais etc.- identificadas durante a
atividade de definio do contexto, sejam levadas em conta durante o tratamento do risco.
Uma vez que o plano de tratamento do risco tenha sido definido, os riscos residuais precisam ser determinados.
Isso envolve uma atualizao ou uma repetio da anlise/avaliao de riscos, considerando-se os efeitos
previstos do tratamento do risco que foi proposto. Caso o risco residual ainda no satisfaa os critrios para a
aceitao do risco da organizao, uma nova iterao do tratamento do risco pode ser necessria antes de se
prosseguir aceitao do risco. Mais informaes podem ser encontradas na ABNT NBR ISO/IEC 27002,
Seo 0.3.
Sada: O plano de tratamento do risco e os riscos residuais, sujeitos deciso de aceitao por parte dos gestores
da organizao.
22/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Diretrizes para implementao:
Convm que controles apropriados e devidamente justificados sejam selecionados para satisfazer os requisitos
identificados atravs da anlise/avaliao de riscos e do tratamento dos mesmos. Convm que essa escolha leve
em conta os critrios para a aceitao do risco assim como requisitos legais, regulatrios e contratuais. Convm
que essa seleo tambm leve em conta custos e prazos para a implementao de controles, alm de aspectos
tcnicos, culturais e ambientais. Com freqncia, possvel diminuir o custo total de propriedade de um sistema
por meio de controles de segurana da informao apropriadamente selecionados.
Em geral, os controles podem fornecer um ou mais dos seguintes tipos de proteo: correo, eliminao,
preveno, minimizao do impacto, dissuaso, deteco, recuperao, monitoramento e conscientizao.
Durante a seleo de controles, importante pesar o custo da aquisio, implementao, administrao,
operao, monitoramento e manuteno dos controles em relao ao valor dos ativos sendo protegidos. Alm
disso, convm que o retorno do investimento, na forma da reduo do risco e da possibilidade de se explorar
novas oportunidades de negcio em funo da existncia de certos controles, tambm seja considerado.
Adicionalmente, convm considerar as competncias especializadas que possam ser necessrias para definir e
implementar novos controles ou modificar os existentes.
A ABNT NBR ISO/IEC 27002 fornece informaes detalhadas sobre controles.
H muitas restries que podem afetar a seleo de controles. Restries tcnicas, tais como requisitos de
desempenho, capacidade de gerenciamento (requisitos de apoio operacional) e questes de compatibilidade,
podem dificultar a utilizao de certos controles ou induzir erros humanos, chegando mesmo a anular o controle, a
dar uma falsa sensao de segurana ou a tornar o risco ainda maior do que seria se o controle no existisse (por
exemplo: exigir senhas complexas sem treinamento adequado leva os usurios a anotar as senhas por escrito).
importante lembrar tambm que um controle pode vir a afetar o desempenho sobremaneira. Convm que os
gestores tentem encontrar uma soluo que satisfaa os requisitos de desempenho e que possa, ao mesmo
tempo, garantir um nvel suficiente de segurana da informao. O resultado dessa etapa uma lista de controles
possveis, com seu custo, benefcio e prioridade de implementao.
Convm que vrias restries sejam levadas em considerao durante a escolha e a implementao de controles.
Normalmente, so consideradas as seguintes:
Restries temporais
Restries financeiras
Restries tcnicas
Restries operacionais
Restries culturais
Restries ticas
Restries ambientais
Restries legais
Facilidade de uso
Restries de recursos humanos
Restries ligadas integrao dos controles novos aos j existentes.
Mais informaes sobre as restries que dizem respeito reduo do risco podem ser encontradas no Anexo F.
NO TEM VALOR NORMATIVO
23/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
24/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
que gestores responsveis faam uma anlise crtica e aprovem, se for o caso, os planos propostos de tratamento
do risco, os riscos residuais resultantes e que registrem as condies associadas a essa aprovao.
Os critrios para a aceitao do risco podem ser mais complexos do que somente a determinao se o risco
residual est, ou no, abaixo ou acima de um limite bem definido.
Em alguns casos, o nvel de risco residual pode no satisfazer os critrios de aceitao do risco, pois os critrios
aplicados no esto levando em conta as circunstncias predominantes no momento. Por exemplo, pode ser
vlido argumentar que preciso que se aceite o risco, pois os benefcios que o acompanham so muito atraentes
ou porque os custos de sua reduo so demasiadamente elevados. Tais circunstncias indicam que os critrios
para a aceitao do risco so inadequados e convm que sejam revistos, se possvel. No entanto, nem sempre
possvel rever os critrios para a aceitao do risco no tempo apropriado. Nesses casos, os tomadores de deciso
podem ter que aceitar riscos que no satisfaam os critrios normais para o aceite. Se isso for necessrio, convm
que o tomador de deciso comente explicitamente sobre os riscos e inclua uma justificativa para a sua deciso de
passar por cima dos critrios normais para a aceitao do risco.
Sada: Uma lista de riscos aceitos, incluindo uma justificativa para aqueles que no satisfaam os critrios normais
para aceitao do risco.
25/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Dar suporte ao processo decisrio
Obter novo conhecimento sobre a segurana da informao
Coordenar com outras partes e planejar respostas para reduzir as conseqncias de um incidente
Dar aos tomadores de deciso e as partes interessadas um senso de responsabilidade sobre riscos
Melhorar a conscientizao
Convm que a organizao desenvolva planos de comunicao dos riscos tanto para as operaes rotineiras
como tambm para situaes emergenciais. Portanto, convm que a atividade de comunicao do risco seja
realizada continuamente.
A coordenao entre os principais tomadores de deciso e as partes interessadas pode ser obtida mediante a
formao de uma comisso em que os riscos, a sua priorizao, as formas adequadas de trat-los e a sua
aceitao possam ser amplamente discutidos.
importante cooperar com o escritrio de relaes pblicas ou com o grupo de comunicao apropriado dentro da
organizao para coordenar as tarefas relacionadas com a comunicao do risco. Isso vital no caso de aes de
comunicao durante crises, por exemplo: em resposta a incidentes especficos.
Sada: Entendimento contnuo do processo de gesto de riscos de segurana da informao da organizao e dos
resultados obtidos.
26/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
As vulnerabilidades j identificadas, para determinar aquelas que esto se tornando expostas a ameaas
novas ou ressurgentes
As conseqncias ou o impacto ampliado de ameaas, vulnerabilidades e riscos avaliados em conjunto - em
um todo agregado, resultando em um nvel inaceitvel de risco
Incidentes relacionados segurana da informao
Novas ameaas, novas vulnerabilidades e mudanas na probabilidade ou nas conseqncias, podem vir a ampliar
os riscos anteriormente avaliados como pequenos. Convm que a anlise crtica dos riscos pequenos e aceitos
considere cada risco separadamente e tambm em conjunto a fim de avaliar seu impacto potencial agregado. Se
os riscos no estiverem dentro da categoria "baixo" ou "aceitvel", convm que eles sejam tratados utilizando-se
uma ou mais de uma das opes consideradas na Seo 9.
Fatores que afetam a probabilidade ou as conseqncias das ameaas j ocorridas podem mudar, assim como os
fatores que afetam a adequao ou o custo das vrias opes de tratamento. Convm que qualquer grande
mudana que afete a organizao seja seguida por uma anlise crtica mais especfica. Assim sendo, convm que
no s as atividades de monitoramento de riscos sejam repetidas regularmente, mas tambm as opes
selecionadas para o tratamento do risco sejam periodicamente revistas.
O resultado da atividade de monitoramento de riscos pode fornecer os dados de entrada para as atividades de
anlise crtica. Convm que a organizao analise critica e regularmente todos os riscos e tambm quando
grandes mudanas ocorrerem (de acordo com a ABNT NBR ISO/IEC 27001, Seo 4.2.3)).
Sada: Alinhamento contnuo da gesto de riscos com os objetivos de negcios da organizao e com os critrios
para a aceitao do risco.
27/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Mtodo de anlise/avaliao de riscos
Valor e as categorias dos ativos
Critrios de impacto
Critrios para a avaliao de riscos
Critrios para a aceitao do risco
Custo total de propriedade
Recursos necessrios
Convm que a organizao assegure que os recursos necessrios para a anlise/avaliao de riscos e o
tratamento dos mesmos estejam sempre disponveis para rever os riscos, para lidar com ameaas ou
vulnerabilidades novas ou alteradas e para aconselhar a direo da melhor forma possvel.
O monitoramento da gesto de riscos pode resultar em modificao ou acrscimo da abordagem, metodologia ou
ferramentas utilizadas, dependendo:
Das mudanas identificadas
Da iterao da anlise/avaliao de riscos
Do objetivo do processo de gesto de riscos de segurana da informao (por exemplo: a continuidade de
negcios, a resilincia diante dos incidentes, a conformidade)
Do objeto de interesse do processo de gesto de riscos de segurana da informao (por exemplo: a
organizao, a unidade de negcios, o sistema de informao, a sua implementao tcnica, a aplicao, a
conexo Internet)
Sada: Garantia permanente da relevncia do processo de gesto de riscos de segurana da informao para os
objetivos de negcios da organizao ou a atualizao do processo.
28/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Anexo A
(informativo)
Definindo o escopo e os limites do processo de gesto de riscos de
segurana da informao
29/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Uma organizao pode ser considerada como de estrutura matricial se possuir caractersticas de ambos os
tipos de estrutura.
Em qualquer tipo de estrutura organizacional, os seguintes nveis podem ser distinguidos:
o nvel de tomada de deciso (estabelecimento da orientao estratgica);
o nvel da liderana (coordenao e gerenciamento);
o nvel operacional (produo e atividades de apoio).
Organograma A estrutura da organizao esquematizada em seu organograma. Convm que essa
representao deixe claro quem se reporta a quem, destacando tambm a linha de comando que legitimiza a
delegao de autoridade. Convm que inclua tambm outros tipos de relacionamentos, os quais, mesmo que no
sejam baseados em uma autoridade oficial, criam de qualquer forma caminhos para o fluxo de informao.
A estratgia da organizao Ela requer a expresso formalizada dos princpios que norteiam a organizao. A
estratgia determina a direo e o desenvolvimento necessrios para que a organizao possa se beneficiar das
questes em pauta e das principais mudanas sendo planejadas.
30/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Restries podem surgir de mudanas, sejam planejadas ou no, na estrutura ou na orientao da organizao.
Elas so representadas nos planos estratgicos ou operacionais da organizao.
Por exemplo, a cooperao internacional para o compartilhamento de informaes sensveis pode demandar
acordos sobre a troca segura de dados.
Restries territoriais
A estrutura e/ou o propsito da organizao pode implicar restries, tais como com relao escolha de sua
localizao e distribuio geogrfica, no pas e no estrangeiro.
Exemplos incluem os servios postais, embaixadas, bancos, subsidirias de conglomerados industriais etc.
Restries advindas do ambiente econmico e poltico
A operao de uma organizao pode ser transtornada por eventos especficos, tais como greves ou crises
nacionais e internacionais.
Por exemplo, convm garantir a continuidade da prestao de alguns servios mesmo em caso de crises.
Restries estruturais
A natureza da estrutura de uma organizao (departamental, funcional ou outra qualquer) pode levar a uma
poltica de segurana da informao e a uma organizao responsvel pela segurana, adaptadas a essa
estrutura.
Por exemplo, convm que uma estrutura internacional seja capaz de conciliar requisitos de segurana especficos
de cada pas.
Restries funcionais
Restries funcionais so aquelas derivadas diretamente da misso da organizao (seja nos seus aspectos
gerais, seja nos especficos).
Por exemplo, convm que uma organizao que opera 24 horas por dia seja capaz de assegurar que seus
recursos estaro sempre disponveis.
Restries relativas aos recursos humanos
A natureza dessas restries varia consideravelmente. Esto associadas ao: nvel de responsabilidade, tipo de
recrutamento, qualificao, treinamento, conscientizao em segurana, motivao, disponibilidade etc.
Por exemplo, convm que todos os recursos humanos de uma organizao de defesa do pas tenham autorizao
para manipular informaes altamente sigilosas.
Restries advindas da agenda da organizao
Esse tipo de restrio resulta, por exemplo, da reestruturao ou da definio de novas polticas nacionais ou
internacionais que imponham algumas datas limites.
Por exemplo, a criao de uma rea de segurana.
Restries relacionadas a mtodos
Mtodos apropriados para o know-how da organizao precisaro ser impostos com relao a alguns tpicos, tais
como o planejamento, a especificao e o desenvolvimento de projetos, entre outros.
31/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Por exemplo, uma restrio desse tipo bastante comum a necessidade das obrigaes legais da organizao
serem incorporadas poltica de segurana.
Restries de natureza cultural
Em algumas organizaes, hbitos de trabalho ou as caractersticas do negcio do origem a uma "cultura"
especfica da organizao, a qual pode ser incompatvel com o estabelecimento de controles de segurana. Essa
cultura usada pelos recursos humanos como sua principal referncia e pode ser determinada por vrios
aspectos, incluindo educao, instruo, experincia profissional, experincia fora do trabalho, opinies, filosofia,
crenas, status social etc.
Restries oramentrias
Os controles de segurana recomendados podem, algumas vezes, ter um alto custo. Apesar de no ser sempre
apropriado ter apenas a taxa de custo-benefcio como base para os investimentos em segurana, uma justificativa
econmica normalmente necessria para o departamento financeiro da organizao.
Por exemplo, no setor privado e em algumas organizaes pblicas, convm que o custo total dos controles de
segurana no exceda o custo potencial das possveis conseqncias dos riscos. Assim, convm que a alta
direo avalie os riscos e aceite uma parcela deles de forma consciente e calculada, para se evitar custos
excessivos em segurana.
32/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Hardware (requisitos referentes a padres, qualidade, conformidade com normas etc.)
Redes de comunicao (requisitos referentes cobertura, padres, capacidade, confiabilidade etc.)
Infra-estrutura predial (requisitos referentes engenharia civil, construo, alta voltagem, baixa voltagem etc.)
Restries financeiras
A implementao de controles de segurana freqentemente limitada pelo oramento que a organizao pode
comprometer para tal. Entretanto, convm que restries financeiras sejam consideradas por ltimo j que
alocaes oramentrias para segurana podem ser negociadas tendo como base a anlise da prpria segurana.
Restries ambientais
Restries ambientais surgem em funo do ambiente geogrfico ou econmico no qual os processos so
implementados: pas, clima, riscos naturais, situao geogrfica, ambiente econmico etc.
Restries temporais
Convm que o tempo requerido para a implementao de controles de segurana seja considerado em relao
capacidade de atualizao do sistema de informao; se a implementao for muito demorada, os riscos para os
quais os controles foram projetados podem j ter mudado. O tempo um fator determinante na seleo de
solues e prioridades.
Restries relacionadas a mtodos
Convm que mtodos apropriados para o know-how da organizao sejam utilizados para o planejamento, a
especificao e o desenvolvimento de projetos, entre outros.
Restries organizacionais
Vrias restries podem ser causadas por requisitos de ordem organizacional:
Operao (requisitos referentes ao "tempo gasto na produo", fornecimento de servios, vigilncia,
monitoramento, planos em caso de emergncia, operao reduzida etc.)
Manuteno (requisitos para a investigao e soluo de incidentes, aes preventivas, correo rpida etc.)
Gesto de recursos humanos (requisitos referentes ao treinamento de operadores e usurios, qualificao
para cargos como administrador de sistema ou de dados etc.)
Gerenciamento administrativo (requisitos referentes a responsabilidades etc.)
Gerenciamento do desenvolvimento (requisitos referentes a ferramentas de desenvolvimento, engenharia de
software assistida por computador, cronograma de aceite, organizao a ser estabelecida etc.)
Gerenciamento de relacionamentos externos (requisitos referentes organizao das relaes com terceiros,
contratos etc.)
33/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Anexo B
(informativo)
Identificao e valorao dos ativos e avaliao do impacto
34/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Processos que, se modificados, podem afetar significativamente o cumprimento da misso da organizao
Processos necessrios para que a organizao fique em conformidade com requisitos contratuais, legais ou
regulatrios
2 Informao
Genericamente, informao primria compreende:
Informao vital para o cumprimento da misso de uma organizao ou para o desempenho de seu negcio
Informao de carter pessoal, da forma em que definida nas leis nacionais referentes privacidade
Informao estratgica necessria para o alcance dos objetivos determinados pelo direcionamento estratgico
Informao de alto custo, cuja coleta, armazenamento, processamento e transmisso demanda um longo
tempo ou incorre em um alto custo de aquisio
Processos e informao que no so identificadas como sensveis aps essa atividade no recebero uma
classificao especfica durante o restante do estudo. Isso significa que a organizao ir cumprir sua misso com
sucesso mesmo no caso desses processos e informao terem sido comprometidos.
Entretanto, eles iro freqentemente herdar controles implementados para a proteo de processos e informao
identificados como sensveis.
35/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Exemplos: impressoras, unidades de disco removvel.
Mdia de dados (passiva)
Este tipo compreende a mdia para o armazenamento de dados ou funes.
Mdia eletrnica
Uma mdia com informaes que pode ser conectada a um computador ou a uma rede de computadores
para o armazenamento de dados. Apesar de seu tamanho reduzido, esse tipo de mdia pode conter um
grande volume de dados e pode ser utilizada com equipamentos computadorizados comuns.
Exemplos: disco flexvel, CD ROM, cartucho de back-up, unidade de disco removvel, carto de memria,
fita.
Outros tipos de mdia
Mdia esttica, no-eletrnica, contendo dados.
Exemplos: papel, slides, transparncias, documentao, fax.
Software
O tipo software compreende todos os programas que contribuem para a operao de um sistema de
processamento de dados.
Sistema operacional
Este tipo inclui os programas que fornecem as operaes bsicas de um computador, a partir das quais os
outros programas (servios e aplicaes) so executados. Nele encontramos um ncleo ("kernel") e as
funes ou servios bsicos. Dependendo de sua arquitetura, um sistema operacional pode ser monoltico
ou formado por um "micro-kernel" e um conjunto de servios do sistema. Os principais elementos de um
sistema operacional so os servios de gerenciamento do equipamento (CPU, memria, disco e interfaces
de rede), os de gerenciamento de tarefas ou processos e os servios de gerenciamento de direitos de
usurio.
Software de servio, manuteno ou administrao
Software caracterizado pelo fato de servir como complemento dos servios do sistema operacional e no
estar diretamente a servio dos usurios ou aplicaes (apesar de ser, normalmente, essencial e at
mesmo indispensvel para a operao do sistema de informao como um todo).
Software de pacote ou de prateleira
Software de pacote ou software-padro aquele que comercializado como um produto completo (e no
como um servio de desenvolvimento especfico) com mdia, verso e manuteno. Ele fornece servios
para usurios e aplicaes, mas no personalizado ou especfico como, por exemplo, aplicaes de
negcio o so.
Exemplos: software para o gerenciamento de bases de dados, software de mensagens eletrnicas,
"groupware" (software de gerenciamento de fluxo de trabalho), software de diretrio, servidores web etc.
Aplicaes de negcio
Aplicaes de negcio padronizadas
36/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Este tipo de software comercial projetado para dar aos usurios acesso direto a servios e
funes que eles demandam de seus sistemas de informao, em funo das reas em que
atuam profissionalmente. Existe uma gama enorme, teoricamente ilimitada, de campos de
atuao.
Exemplos: software de contabilidade, software para o controle de maquinrio, software para
administrao do relacionamento com clientes, software para gesto de competncias dos
recursos humanos, software administrativo etc.
Aplicaes de negcio especficas
Vrios aspectos desse tipo de software (principalmente o suporte, a manuteno e a atualizao
de verses etc.) so desenvolvidos especificamente para dar aos usurios acesso direto aos
servios e funes que eles demandam de seus sistemas de informao. Existe uma gama
enorme, teoricamente ilimitada, de reas em que esse tipo de software encontrado.
Exemplos: Administrao das notas fiscais de clientes para as operadoras de telecomunicao,
aplicao para monitoramento em tempo real do lanamento de foguetes.
Rede
O tipo rede compreende os dispositivos de telecomunicao utilizados para interconectar computadores ou
quaisquer outros elementos remotos de um sistema de informao.
O meio fsico e a infra-estrutura
Os equipamentos de comunicao ou de telecomunicao so identificados principalmente pelas
suas caractersticas fsicas e tcnicas (ponto-a-ponto, de "broadcast") e pelos protocolos de
comunicao utilizados (na camada de enlace de dados ou na camada de rede - nveis 2 e 3 do
modelo OSI de 7 camadas).
Exemplos: Rede telefnica pblica comutada ("Public Switching Telephone Network" ou PSTN),
"Ethernet", "GigabitEthernet", Linha digital assimtrica para assinante ("Asymmetric Digital
Subscriber Line" ou ADSL), especificaes de protocolo para comunicao sem fio (por exemplo,
o WiFi 802.11), "Bluetooth", "FireWire".
Pontes ("relays") passivas ou ativas
Este subtipo no compreende os dispositivos que ficam nas extremidades lgicas da conexo (na
perspectiva do sistema de informao), mas sim os que so intermedirios no processo de
comunicao, repassando o trfego. Pontes so caracterizadas pelos protocolos de comunicao
de rede com os quais funcionam. Alm da funo bsica de repasse do trfego, elas
frequentemente so dotadas da capacidade de roteamento e/ou de servios de filtragem, com o
emprego de comutadores de comunicao ("switches") e roteadores com filtros. Com freqncia,
elas podem ser administradas remotamente e so normalmente capazes de gerar arquivos de
auditoria ("logs").
Exemplos: pontes ("bridges"), roteadores, "hubs", comutadores ("switches"), centrais telefnicas
automticas.
Interface de Comunicao
As interfaces de comunicao conectadas s unidades de processamento so, porm,
caracterizadas pela mdia e protocolos com os quais funcionam; pelos servios de filtragem, de
auditoria e de alerta instalados, se houver, e por suas funcionalidades; e pela possibilidade e
requisitos de administrao remota.
37/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Exemplos: Servio Geral de Pacotes por Rdio ("General Packet Radio Service" ou GPRS),
adaptador "Ethernet".
Recursos humanos
O tipo recursos humanos compreende todas as classes de pessoas envolvidas com os sistemas de informao.
Tomador de deciso
Tomadores de deciso so aqueles responsveis pelos ativos primrios (informao e processos)
e os gestores da organizao ou, se for o caso, de um projeto especfico.
Exemplos: alta direo, lderes de projeto.
Usurios
Usurios so recursos humanos que manipulam material sensvel no curso de suas atividades e
que, portanto, possuem uma responsabilidade especial nesse contexto. Eles podem ter direitos
especiais de acesso aos sistemas de informao para desempenhar suas atividades rotineiras.
Exemplos: gestores da rea de recursos humanos, gerentes financeiros, gestores dos riscos.
Pessoal de produo/manuteno
Estes so os recursos humanos responsveis pela operao e manuteno dos sistemas de
informao. Eles possuem direitos especiais de acesso aos sistemas de informao para
desempenhar suas atividades rotineiras.
Exemplos: administradores de sistema; administradores de dados; operadores de back-up, Help
Desk e de instalao de aplicativos; especialistas em segurana.
Desenvolvedores
Desenvolvedores so responsveis pelo desenvolvimento dos sistemas aplicativos da
organizao. Eles possuem acesso com alto privilgio a uma parte dos sistemas de informao,
mas no interferem com os dados de produo.
Exemplos: Desenvolvedores de aplicaes de negcio
Instalaes fsicas
O tipo instalaes compreende os lugares onde encontramos o escopo (ou parte dele) e os meios fsicos
necessrios para as operaes nele contidas.
Localidade
Ambiente externo
Compreende as localidades em que as medidas de segurana de uma organizao no podem
ser aplicadas.
Exemplos: os lares das pessoas, as instalaes de outra organizao, o ambiente externo ao local
da organizao (reas urbanas, zonas perigosas).
Edificaes
38/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Esse lugar limitado pelo permetro externo da organizao, isto por aquilo que fica em contato
direto com o exterior.
Isso pode ser uma linha de proteo fsica formada por barreiras ou por mecanismos de vigilncia
ao redor dos prdios.
Exemplos: estabelecimentos, prdios.
Zona
Uma zona limitada por linhas de proteo fsica que criam parties dentro das instalaes da
organizao. obtida por meio da criao de barreiras fsicas ao redor das reas com a infraestrutura de processamento de informaes da organizao.
Exemplos: escritrios, reas de acesso restrito, zonas de segurana.
Servios essenciais
Todos os servios necessrios para que os equipamentos da organizao possam operar
normalmente.
Comunicao
Servios de telecomunicao e equipamento fornecido por uma operadora.
Exemplos: linha telefnica, PABX, redes internas de telefonia.
Servios de Infra-estrutura
Servios e os meios (alimentao e fiao) necessrios para o fornecimento de energia eltrica
aos equipamentos de tecnologia da informao e aos seus perifricos.
Exemplos: fonte de alimentao de baixa tenso, inversor, central de circuitos eltricos.
Fornecimento de gua
Saneamento e esgoto
Servios e os meios (equipamento, controle) para refrigerao e purificao do ar.
Exemplos: tubulao de gua refrigerada, ar condicionados.
Organizao
O tipo organizao descreve a estrutura da organizao, compreendendo as hierarquias de pessoas voltadas para
a execuo de uma tarefa e os procedimentos que controlam essas hierarquias.
Autoridades
Essas so as organizaes de onde a organizao em questo obtm sua autoridade . Elas
podem ser legalmente afiliadas ou ter um carter mais externo. Isso impe restries
organizao em questo com relao a regulamentos, decises e aes.
Exemplos: corpo administrativo, sede da organizao.
A estrutura da organizao
39/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Compreende os vrios ramos da organizao, incluindo suas atividades multidisciplinares, sob
controle de sua direo.
Exemplos: gesto de recursos humanos, gesto te TI, gesto de compras, gerenciamento de
unidade de negcio, servio de segurana predial, servio de combate a incndios, gerenciamento
da auditoria.
Organizao de projeto ou servio
Compreende a organizao montada para um projeto ou servio especfico.
Exemplos: projeto de desenvolvimento de uma nova aplicao, projeto de migrao de sistema de
informao.
Subcontratados / Fornecedores / Fabricantes
Essas so organizaes que fornecem servios ou recursos para a organizao em questo
segundo os termos de um contrato.
Exemplos: empresa de gerenciamento de instalaes, empresa prestadora de servios
terceirizados, empresas de consultoria.
40/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Muitos ativos, durante o curso da avaliao, podem acabar recebendo vrios valores. Por exemplo: um plano de
negcios pode ser avaliado em funo do esforo despendido no seu desenvolvimento, pode ter seu valor
atribudo em funo do trabalho de entrar com os dados, e pode ainda ser valorado de acordo com seu valor para
um competidor. Provavelmente, os valores atribudos sero consideravelmente diferentes. O valor atribudo pode
ser o maior valor encontrado, a soma de alguns ou mesmo de todos os possveis valores. Em ltima anlise,
convm pensar cuidadosamente quais ou qual valor so associados a um ativo, pois o valor final atribudo far
parte do processo de determinao dos recursos a serem investidos na proteo do ativo.
Definio de um denominador comum
Ao final do processo, a valorao dos ativos precisa ter como base um denominador comum. Isso pode ser feito
com a ajuda de critrios como os que se seguem. Critrios que podem ser utilizados para estimar as possveis
conseqncias resultantes da perda de confidencialidade, integridade, disponibilidade, assim como da capacidade
de garantir o no-repdio, a responsabilizao, a autenticidade, e a confiabilidade, so os seguintes:
Violao da legislao e/ou das regulamentaes
Reduo do desempenho do negcio
Perda de valor de mercado/efeito negativo sobre a imagem e a reputao
Violao de segurana relacionada a informaes pessoais
O perigo ocasionado segurana fsica das pessoas
Efeitos negativos relacionados execuo da lei
Violao de confidencialidade
Violao da ordem pblica
Perda financeira
Interrupo de atividades do negcio
O perigo ocasionado segurana ambienta
Um outro mtodo para avaliar as conseqncias poderia levar em conta o seguinte:
Interrupo dos servios
incapacidade de prestar os servios
Perda da confiana do cliente
perda da credibilidade no sistema interno de informao
dano reputao
Interrupo de operao interna
descontinuidade dentro da prpria organizao
custo interno adicional
Interrupo da operao de terceiros:
NO TEM VALOR NORMATIVO
41/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
descontinuidade das transaes entre a organizao e terceiros
vrios tipos de prejuzos ou danos
Infrao de leis / regulamentaes:
incapacidade de cumprir obrigaes legais
Violao de clusulas contratuais
incapacidade de cumprir obrigaes contratuais
Perigo ocasionado segurana fsica dos recursos humanos / usurios:
perigo para os recursos humanos e usurios da organizao
Ataque vida privada de usurios
Perda financeira
Custos financeiros para emergncias, reposio e consertos:
em termos de recursos humanos,
em termos de equipamentos,
em termos de estudo, relatrios de especialistas
Perda de bens / fundos / ativos
Perda de clientes, perda de fornecedores
Procedimentos e penalidades judiciais
Perda de vantagem competitiva
Perda da liderana tecnolgica / tcnica
Perda de eficcia / confiana
Perda da reputao tcnica
Enfraquecimento da capacidade de negociao
Crise industrial (greves)
Crise governamental
Rejeio
Dano material
Esses critrios exemplificam os temas a serem considerados durante a valorao de ativos. Para a execuo
desse tipo de avaliao, uma organizao precisa selecionar os critrios que sejam relevantes para o seu tipo de
negcio e para os seus requisitos de segurana. Isso pode significar que alguns dos critrios listados acima no
sejam aplicveis, e que outros talvez precisem ser adicionados lista.
NO TEM VALOR NORMATIVO
42/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Escala de medio
Aps estabelecer os critrios a serem considerados, convm que a organizao adote uma escala de medio
para ser utilizada em todas as suas reas. O primeiro passo definir a quantidade de nveis da escala. No
existem regras a respeito de qual seria o nmero de nveis mais adequado. Quanto mais nveis, maior a
granularidade da medio, porm uma diferenciao muito tnue torna difcil garantir a consistncia das
avaliaes realizadas nas diversas reas da organizao. Normalmente, qualquer quantidade de nveis entre 3
(por exemplo: baixo, mdio e alto) e 10 pode ser utilizada, desde que ela seja consistente com a abordagem que a
organizao esteja usando para o processo de anlise/avaliao de riscos como um todo.
Uma organizao pode definir seus prprios limites para os valores de seus ativos, tais como 'baixo', 'mdio' e
'alto'. Convm que esses limites sejam estimados de acordo com o critrio selecionado (por exemplo: para
possveis perdas financeiras, convm que eles sejam estabelecidos atravs de valores monetrios; porm, para
outros tipos de fatores, tais como o perigo ocasionado segurana fsica das pessoas, uma estimativa monetria
pode ser por demais complexa e no aplicvel em muitas organizaes). Por ltimo, cabe inteiramente
organizao a deciso a respeito do que considerado de 'pequena', 'mdia' ou 'grande' conseqncia. Uma
conseqncia desastrosa para uma pequena organizao pode ser pequena ou mesmo insignificante para uma
grande organizao.
Dependncias
Quanto mais relevantes e numerosos os processos de negcio apoiados por um ativo, maior o seu valor.
Convm que a dependncia de ativos a processos de negcio e a outros ativos tambm seja identificada, pois ela
pode influenciar os valores dos ativos. Por exemplo: convm garantir a confidencialidade dos dados durante todo
o seu ciclo de vida, inclusive durante o seu armazenamento e processamento. Em outras palavras, convm que os
requisitos de segurana para o armazenamento de dados e para os programas que fazem o processamento
correspondente ao valor da confidencialidade dos dados armazenados e processados. Da mesma forma, se um
processo de negcios depende da integridade dos dados gerados por um programa, convm que os dados de
entrada passados para o programa sejam confiveis. Mais importante do que isso, a integridade da informao
depender do hardware e software utilizados para seu armazenamento e processamento. Adicionalmente, o
hardware depender do suprimento de energia e, possivelmente, do ar condicionado. Assim, informaes sobre
dependncias sero de grande ajuda na identificao de ameaas e, em particular, de vulnerabilidades. Alm
disso, ajudaro a assegurar que o real valor dos ativos (considerando as relaes de dependncia) ser-lhes-
atribudo, dessa forma indicando o nvel de proteo apropriado.
Convm que os valores dos ativos dos quais outros ativos dependem sejam modificados da seguinte maneira:
Se os valores dos ativos dependentes (por exemplo: os dados) forem menores ou iguais ao valor do ativo em
questo (por exemplo: o software), o valor desse ltimo permanece o mesmo
Se os valores dos ativos dependentes (por exemplo: os dados) forem maiores do que o valor do ativo em
questo (por exemplo: o software), convm que o valor desse ltimo aumente de acordo com:
o grau de dependncia
os valores dos outros ativos
Uma organizao pode possuir alguns ativos que so disponibilizados mais de uma vez, tais como cpias de
programas de software ou o tipo de computador usado na maioria dos escritrios. importante levar em conta
esse fato quando estiver sendo executada a valorao dos ativos. Por um lado, esses ativos so facilmente
ignorados e, por isso, convm que se tenha um cuidado especial em identific-los todos. Por outro lado, eles
podem ser usados para minimizar problemas ligados falta de disponibilidade.
Sada
O resultado final dessa etapa a lista de ativos e respectivos valores relativos divulgao indevida de
informaes (preservao da confidencialidade), a modificaes no autorizadas (garantia de integridade,
NO TEM VALOR NORMATIVO
43/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
autenticidade, no-repdio e responsabilizao), indisponibilidade e destruio do ativo (preservao de sua
disponibilidade e confiabilidade), e ao custo de sua reposio.
b)
c)
O custo das operaes suspensas devido ao incidente at que o servio prestado pelos ativos afetados seja
restaurado.
d)
Indireto:
a)
Custo de oportunidade (recursos financeiros necessrios para repor ou reparar um ativo poderiam estar
sendo utilizados para outro fim)
b)
c)
d)
e)
Dessa forma, a primeira avaliao (sem controles de qualquer tipo) resultar em uma estimativa do impacto muito
prxima aos valores (combinados) dos ativos afetados. Para qualquer outra iterao que se faa relativa a esses
ativos, o impacto ser diferente (normalmente muito menor) devido presena e eficcia dos controles
implementados.
44/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Anexo C
(informativo)
Exemplos de ameaas comuns
A Tabela C.1 contm exemplos de ameaas tpicas. A lista na Tabela pode ser usada durante o processo de
avaliao das ameaas. Ameaas podem ser intencionais, acidentais ou de origem natural (ambiental) e podem
resultar, por exemplo, no comprometimento ou na paralisao de servios essenciais. A lista tambm indica, para
cada tipo de ameaa, se ela pode ser considerada I (intencional), A (acidental) ou N (natural). A letra I utilizada
para indicar as aes intencionais direcionadas contra os ativos de informao; a letra A usada para indicar as
aes de origem humana que podem comprometer acidentalmente os ativos de informao; e a letra N utilizada
para todos os incidentes que no so provocados pela ao dos seres humanos. Os grupos de ameaas no so
apresentados em ordem de prioridade.
Tabela C.1 Exemplos de ameaas tpicas
Tipo
Dano fsico
Eventos naturais
Paralisao de servios
essenciais
Distrbio causado por
radiao
Comprometimento da
informao
Falhas tcnicas
Aes no autorizadas
Ameaas
Fogo
gua
Poluio
Acidente grave
Destruio de equipamento ou mdia
Poeira, corroso, congelamento
Fenmeno climtico
Fenmeno ssmico
Fenmeno vulcnico
Fenmeno Meteorolgico
Inundao
Falha do ar condicionado ou do sistema de suprimento de gua
Interrupo do suprimento de energia
Falha do equipamento de telecomunicao
Radiao eletromagntica
Radiao trmica
Pulsos eletromagnticos
Interceptao de sinais de interferncia comprometedores
Espionagem distncia
Escuta no autorizada
Furto de mdia ou documentos
Furto de equipamentos
Recuperao de mdia reciclada ou descartada
Divulgao indevida
Dados de fontes no confiveis
Alterao do hardware
Alterao do software
Determinao da localizao
Falha de equipamento
Defeito de equipamento
Saturao do sistema de informao
Defeito de software
Violao das condies de uso do sistema de informao que
possibilitam sua manuteno
Uso no autorizado de equipamento
Cpia ilegal de software
NO TEM VALOR NORMATIVO
Origem
A, I, N
A, I, N
A, I, N
A, I, N
A, I, N
A, I, N
N
N
N
N
N
A, I
A, I, N
A, I
A, I, N
A, I, N
A, I, N
I
I
I
I
I
I
A, I
A, I
I
A, I
I
A
A
A, I
A
A, I
I
I
45/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Tabela C.1 Exemplos de ameaas tpicas (continuao)
Comprometimento de
funes
A, I
I
I
A
A, I
I
I
A, I, N
Convm que ateno especial seja dada s fontes de ameaas representadas por seres humanos. A Tabela C.2
enumera essas fontes:
Tabela C.2 Exemplo da ameaas representadas por seres humanos
Fonte
de
Ameaas
Motivao
Aes
que
Ameaas:
Hacker,
Desafio
Hacking
Ego
Engenharia social
Rebeldia
cracker
Status
Dinheiro
Criminoso
digital
representam
Destruio de informaes
Divulgao ilegal de informaes
Ganho monetrio
Alterao de dados no autorizada
Terrorista
Chantagem
Bomba/Terrorismo
Destruio
Guerra de Informao
Explorao
Vingana
Invaso de sistema
Ganho Poltico
Cobertura da Mdia
Alterao do sistema
46/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Tabela C.2 Exemplo da ameaas representadas por seres humanos (continuao)
Espionagem
Vantagem competitiva
industrial
Espionagem econmica
Garantir a vantagem de um
posicionamento defensivo
Garantir uma vantagem poltica
(servios de
Explorao econmica
inteligncia,
Furto de Informao
empresas,
Violao
pessoas
governos
estrangeiros,
da
privacidade
Engenharia social
outros grupos
Invaso de sistema
de interesse
ligados ao
governo)
Pessoal
Curiosidade
Agresso a funcionrio
interno
Ego
Chantagem
(funcionrios
mal treinados,
Ganho monetrio
Vasculhar
informao
propriedade exclusiva
insatisfeitos,
Vingana
Uso imprprio
computacional
mal
Fraude e furto
intencionados,
das
de
de
recurso
negligentes,
desonestos ou
dispensados)
Interceptao
Cdigo malicioso (p. ex.: vrus,
bomba lgica, Cavalo de Tria)
Venda de informaes pessoais
Defeitos ("bugs") no sistema
Invaso de sistemas
Sabotagem de sistemas
Acesso no autorizado ao Sistema
47/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Anexo D
(informativo)
Vulnerabilidades e mtodos de avaliao de vulnerabilidades
Exemplos de vulnerabilidades
Manuteno insuficiente/Instalao defeituosa de mdia
de armazenamento
Hardware
Software
Exemplos de ameaas
Violao das condies de uso do
sistema de informao que possibilitam
sua manuteno
Radiao eletromagntica
Fenmeno Meteorolgico
Armazenamento no protegido
Abuso de direitos
Abuso de direitos
Abuso de direitos
Abuso de direitos
Abuso de direitos
48/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Tabela D.1 Exemplos de vulnerabilidades (continuao)
Rede
Abuso de direitos
Documentao inexistente
Datas incorretas
Forjamento de direitos
Forjamento de direitos
Forjamento de direitos
Defeito de software
Defeito de software
Defeito de software
Alterao do software
Alterao do software
Uso
no
equipamento
Repdio de Aes
Escuta no autorizada
Escuta no autorizada
Falha do equipamento
telecomunicao
de
Falha do equipamento
telecomunicao
de
autorizado
de
49/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Tabela D.1 Exemplos de vulnerabilidades (continuao)
Recursos
humanos
Local ou
instalaes
Organizao
Forjamento de direitos
Espionagem distncia
Espionagem distncia
Saturao do sistema de
informao
Uso no autorizado de
equipamento
Indisponibilidade
recursos humanos
Destruio de equipamento
ou mdia
Processamento ilegal de
dados
Furto
de
documentos
Uso no autorizado de
equipamento
Destruio de equipamento
ou mdia
Inundao
Interrupo do suprimento
de energia
Furto de equipamentos
Abuso de direitos
Abuso de direitos
de
mdia
ou
50/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Tabela D.1 Exemplos de vulnerabilidades (continuao)
Provises (relativas segurana) insuficientes ou
inexistentes, em contratos com clientes e/ou
terceiros
Abuso de direitos
Abuso de direitos
Abuso de direitos
Abuso de direitos
Abuso de direitos
Inexistncia
mudanas
de
procedimento
de
controle
de
Organizao
Inexistncia de um procedimento formal para o
controle da documentao do SGSI
Repdio de Aes
Falha de equipamento
51/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Tabela D.1 Exemplos de vulnerabilidades (continuao)
Organizao
Furto de equipamentos
Inexistncia de uma
computadores mveis
Furto de equipamentos
poltica
formal
sobre
uso
de
Furto de equipamentos
Inexistncia de autorizao
processamento de informaes
de
para
as
instalaes
Inexistncia
de
mecanismos
estabelecidos
monitoramento de violaes da segurana
para
Uso
no
equipamento
autorizado
de
Uso
no
equipamento
autorizado
de
Uso de cpias de
falsificadas ou ilegais
software
52/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
algumas dessas ferramentas de varredura avaliam as vulnerabilidades potenciais sem levar em considerao o
ambiente da instalao e os seus requisitos. Algumas das vulnerabilidades encontradas pelo software de
varredura podem no representar uma vulnerabilidade real em uma determinada instalao, mas sim o resultado
de uma configurao exigida por seu ambiente. Assim, esse mtodo de teste pode gerar falsos positivos.
A avaliao e testes da segurana (ATS) uma outra tcnica que pode ser utilizada na identificao de
vulnerabilidades em sistemas de TIC durante o processo de anlise/avaliao de riscos. Ela inclui o
desenvolvimento e a execuo de planos de teste (por exemplo: roteiros e procedimentos para testes, lista de
resultados previstos). O propsito dos testes da segurana do sistema verificar a eficcia dos controles de
segurana de um sistema de TIC, considerando-se a forma com que esto implementados no ambiente
operacional. O objetivo assegurar que os controles aplicados satisfazem as especificaes de segurana do
software e do hardware, implementam a poltica de segurana da organizao, e/ou atendem aos padres de
mercado.
Testes de invaso podem ser usados para complementar o processo de anlise crtica dos controles de
segurana, assegurando-se que as diversas facetas do sistema de TIC esto protegidas. Testes de invaso,
quando utilizados durante o processo de anlise/avaliao de riscos, servem para avaliar a capacidade do sistema
de TIC de resistir a tentativas intencionais de se driblar a segurana do sistema. O objetivo testar o sistema de
TIC do ponto de vista da fonte da ameaa, identificando possveis falhas no esquema de proteo do sistema.
A anlise crtica de cdigo a mais minuciosa (embora tambm a mais dispendiosa) forma de avaliao de
vulnerabilidades.
Os resultados desses tipos de testes de segurana ajudam a identificar as vulnerabilidades de um sistema.
importante notar que ferramentas e tcnicas de invaso podem gerar resultados falsos quando a vulnerabilidade
no explorada com sucesso. Para explorar vulnerabilidades especficas, a exata configurao do sistema, da
aplicao e das atualizaes ("patches") instaladas no sistema testado precisa ser conhecida. Se esses dados no
so conhecidos quando o teste est sendo realizado, pode no ser possvel explorar uma determinada
vulnerabilidade com sucesso (por exemplo: o acesso remoto a "shell" reverso); no entanto, ainda assim, talvez
seja possvel causar uma pane no sistema ou processo testado ou mesmo forar o seu reincio. Nesse caso,
convm que o objeto testado seja considerado vulnervel.
Entre os mtodos existentes, temos os seguintes:
Entrevistas com pessoas e usurios
Questionrios
Inspeo fsica
Anlise de documentos
53/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Anexo E
(informativo)
Diferentes abordagens para anlise/avaliao de riscos de segurana da
informao
54/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Recursos e verbas podem ser aplicados onde forem mais vantajosos, e os sistemas que esto,
provavelmente, precisando de mais proteo sero tratados primeiro.
Como as anlises de risco iniciais so feitas com um enfoque de alto nvel (potencialmente, portanto, sendo
menos exatas), h o perigo de que alguns processos de negcio ou sistemas possam acabar, erroneamente, no
sendo identificados entre aqueles que requerem uma segunda anlise/avaliao de riscos, mais detalhada. Isso
pode ser evitado se houver informao adequada sobre todos os aspectos da organizao, das informaes que
utiliza e de seus sistemas, incluindo dados obtidos atravs da avaliao dos incidentes de segurana da
informao.
A anlise/avaliao de riscos com enfoque de alto nvel considera os valores para o negcio dos ativos de
informao, e os riscos do ponto de vista de negcio da organizao. No primeiro ponto de deciso (veja Figura
1), vrios fatores ajudam a determinar se a avaliao de alto nvel adequada para o tratamento do risco; esses
fatores podem incluir os seguintes itens:
Os objetivos de negcios a serem alcanados atravs de vrios ativos de informao;
O quanto o negcio da organizao depende de cada ativo de informao, ou seja, o quanto as funes que a
organizao considera fundamentais para a sua sobrevivncia ou para a conduo eficaz do negcio
depende dos ativos, ou da confidencialidade, da integridade, da disponibilidade, da garantia do no-repdio,
da responsabilizao, da autenticidade e da confiabilidade das informaes armazenadas e processadas
nesses ativos;
O nvel de investimento em cada ativo de informao, em termos do desenvolvimento, da manuteno ou da
reposio do ativo, e
Os ativos de informao, para cada um dos quais a organizao atribui um valor.
Quando esses fatores so avaliados, a deciso torna-se mais fcil. Se a funo de um ativo extremamente
importante para a conduo do negcio da organizao ou se o ativo est exposto a riscos de alto impacto ou
probabilidade, ento convm que uma segunda iterao, com uma anlise/avaliao detalhada de riscos, seja
executada tendo em vista o ativo de informao especfico (ou parte dele).
Uma regra geral para ser aplicada a seguinte: se a falta de segurana da informao puder resultar em
conseqncias adversas significativas para a organizao, para os seus processos de negcio ou para os seus
ativos, uma segunda iterao, mais detalhada, da anlise/avaliao de riscos ser necessria para a identificao
de riscos potenciais.
55/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
A atratividade do ativo ou do impacto potencial, aplicvel quando uma ameaa intencional de origem humana
est sendo considerada
A facilidade de se converter a explorao de uma vulnerabilidade de um ativo em recompensa, aplicvel
quando uma ameaa intencional de origem humana est sendo considerada
A capacitao tcnica do agente da ameaa, aplicvel a ameaas intencionais de origem humana e
A susceptibilidade da vulnerabilidade explorao, aplicvel tanto a vulnerabilidades tcnicas quanto a notcnicas
Muitos mtodos fazem uso de tabelas, e combinam medidas empricas com medies subjetivas. importante
que a organizao use um mtodo com o qual ela se sinta confortvel, no qual ela acredite, e que produza
resultados reproduzveis. Alguns exemplos de mtodos baseados em tabelas so apresentados a seguir.
56/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
As diretrizes facilitam a identificao dos valores em uma escala numrica, como a escala de 0 a 4 apresentada
adiante na forma de uma matriz. Assim, permite-se o reconhecimento de valores quantitativos, sempre que
possvel e lgico, e de valores qualitativos quando valores quantitativos no so possveis, por exemplo: em
ocasies em que a vida humana colocada em perigo.
A prxima atividade importante a concluso de pares de questionrios, para cada tipo de ameaa e para cada
agrupamento de ativos relacionado a um tipo de ameaa, a fim de permitir a avaliao do nvel das ameaas
(probabilidade de ocorrncia) e das vulnerabilidades (facilidade com que uma ameaa pode explorar uma
vulnerabilidade e provocar conseqncias adversas). Cada questo respondida indica uma pontuao. Essas
pontuaes so acumuladas em uma base de conhecimento e comparadas a intervalos. Isso identifica o nvel da
ameaa em uma escala, digamos, de alto a baixo e, de forma similar, os nveis das vulnerabilidades - como
ilustrado no exemplo da matriz mais adiante. Diferenciam-se os tipos de conseqncias na medida de suas
relevncias. Convm que informaes para completar os questionrios sejam reunidas a partir de entrevistas com
as pessoas responsveis pelas acomodaes, os recursos humanos e os tcnicos envolvidos, assim como
tambm a partir de inspees fsicas dos locais e da anlise crtica de documentos.
Os valores dos ativos, e os nveis de ameaa e vulnerabilidade, relacionados a cada tipo de conseqncia, so
emparelhados em uma matriz como a apresentada a seguir, a fim de identificar, para cada combinao, a medida
do risco em uma escala de 0 a 8. Os valores so colocados na matriz de uma maneira estruturada. Um exemplo
dado a seguir:
Tabela E.1 a)
Probabilidade da
ocorrncia Ameaa
Valor do
Ativo
Baixa
Mdia
Alta
Facilidade de
Explorao
0
1
2
3
4
0
1
2
3
4
1
2
3
4
5
2
3
4
5
6
1
2
3
4
5
2
3
4
5
6
3
4
5
6
7
2
3
4
5
6
3
4
5
6
7
4
5
6
7
8
Para cada ativo, as vulnerabilidades relevantes e respectivas ameaas so consideradas. Se houver uma
vulnerabilidade sem uma ameaa correspondente, ou uma ameaa sem uma vulnerabilidade correspondente,
ento no h risco nesse momento (mas convm que cuidados sejam tomados no caso dessas situaes
mudarem). A linha apropriada identificada na matriz pelo valor do ativo, e a coluna apropriada identificada
pela probabilidade da ocorrncia da ameaa e a facilidade de explorao. Por exemplo, se o ativo tem o valor 3, a
ameaa "alta", e a vulnerabilidade "baixa", a medida do risco 5. Suponha que um ativo tenha um valor 2 (por
exemplo, para modificaes), o nvel de ameaa "baixo" e a facilidade de explorao "alta", logo, a medida de
risco 4. O tamanho da matriz pode ser adaptado s necessidades da organizao, ajustando-se o nmero das
colunas representando a probabilidade de ocorrncia das ameaas ou daquelas que representam a facilidade de
explorao, assim como as linhas que representam a valorao dos ativos. A adio de Colunas e linhas implicar
novas medidas de risco. A vantagem dessa abordagem est na ordenao dos riscos a serem tratados.
Uma matriz similar apresentada na Tabela E.1 a) mostra a relao entre probabilidade de um cenrio de
incidente e o impacto estimado, do ponto de vista do negcio. A probabilidade de um cenrio de incidente dada
pela probabilidade de uma ameaa vir a explorar uma vulnerabilidade. A Tabela relaciona o impacto ao negcio,
relativo ao cenrio de incidente, quela probabilidade. O risco resultante medido em uma escada de 0 a 8, e
pode ser avaliado tendo como base os critrios para a aceitao do risco. Essa escala de risco pode tambm ser
convertida em uma classificao simples, mais genrica, do risco, como por exemplo:
57/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Impacto ao
Negcio
Mdia
(Possvel)
Alta
(Provvel)
Muito Alta
(Freqente)
Muito Baixo
Baixo
Mdio
Alto
Muito Alto
Valor da
conseqncia
(do ativo)
(b)
Probabilidade de
ocorrncia da
ameaa
(c)
Medida do risco
Ordem da
ameaa
(d)
(e)
Ameaa A
10
Ameaa B
Ameaa C
15
Ameaa D
Ameaa E
Ameaa F
Como mostrado acima, esse procedimento permite que diferentes ameaas, com conseqncias e probabilidade
de ocorrncias distintas, sejam comparadas e ordenadas por prioridade. Em alguns casos, ser necessrio
associar valores monetrios s escalas empricas aqui utilizadas.
NO TEM VALOR NORMATIVO
58/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Baixa
Mdia
Alta
Nvel da
vulnerabilidade
Probabilidade do
cenrio de incidente
Em seguida, na Tabela E.4, uma pontuao referente ao par ativo/ameaa definida pelo encontro da coluna com
o valor do ativo e da linha com a probabilidade. As pontuaes referentes aos pares ativos/ameaa so totalizadas
para cada ativo, produzindo-se uma pontuao total do ativo. Esse valor pode ser usado para diferenciarmos os
ativos que fazem parte de um mesmo sistema, entre si.
Tabela E.4
Valor do ativo
Probabilidade
Na etapa final, somam-se as pontuaes dos ativos do sistema, estabelecendo-se a pontuao do sistema. Isso
pode ser usado para diferenciarmos os sistemas entre si, e convm determinar qual sistema seja protegido com
maior prioridade.
Nos exemplos a seguir todos os valores foram escolhidos aleatoriamente.
59/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Suponha que o Sistema S tenha trs ativos A1, A2 e A3. Suponha tambm que existam duas ameaas, T1 e T2,
aplicveis ao sistema S. Estabeleamos que o valor de A1 3, que o valor do ativo A2 2 e que o valor do ativo
A3 4.
Se, para A1 e T1, a probabilidade da ameaa baixa e a facilidade de explorao da vulnerabilidade mdia,
ento o valor da probabilidade 1 (ver Tabela E.3).
A pontuao referente ao par ativo/ameaa A1/T1 pode ser obtida na Tabela E.4, no encontro da coluna com o
valor 3 (referente ao valor do ativo) e da linha com o valor 1 (referente probabilidade). O valor assim obtido 4.
Do mesmo modo, para A1/T2, se a probabilidade da ameaa for mdia e a facilidade de explorao da
vulnerabilidade for alta, o resultado ser uma pontuao de 6, referente ao par A1/T2.
Agora, TA1, que a pontuao total do ativo A1, pode ser calculada, e o resultado 10. A pontuao total do ativo
calculada para cada ativo levando-se em conta todas as ameaas aplicveis. A pontuao total do sistema
calculada atravs da adio TA1 + TA2 + TA3, obtendo-se TS.
Assim, sistemas diferentes podem ser comparados, assim como diferentes ativos dentro do mesmo sistema, para
estabelecermos as prioridades.
Apesar do exemplo acima envolver apenas sistemas de informao, uma abordagem similar pode ser aplicada
aos processos de negcio.
60/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Anexo F
(informativo)
Restries que afetam a reduo do risco
Ao considerar as restries que afetam a reduo do risco, convm que as seguintes restries sejam
consideradas:
Restries temporais:
Pode haver muitos tipos de restries de tempo. Por exemplo, convm que os controles sejam implementados
dentro de um perodo de tempo aceitvel para os gestores da organizao. Outro tipo de restrio temporal se
um controle pode ser implementado durante o perodo de vida til da informao ou do sistema. Um terceiro tipo
de restrio temporal pode ser representado pelo perodo de tempo que os gestores da organizao definem
como aceitvel para ficar-se exposto a um determinado risco.
Restries financeiras:
Convm que a implementao ou a manuteno dos controles sejam menos dispendiosas do que o valor dos
riscos que eles foram projetados para combater, exceto nos casos em que a conformidade obrigatria (por
exemplo, no caso de legislaes especficas). Convm que todos os esforos sejam feitos para que os
oramentos alocados no sejam excedidos, e tambm para que vantagens financeiras, atravs do uso de
controles, sejam obtidas. Contudo, em alguns casos, talvez no seja possvel implementar a segurana desejada
e alcanar o nvel de risco formalmente aceito, devido a restries oramentrias. Essa situao exigir, ento,
uma deciso dos gestores da organizao para a sua resoluo.
Convm que se tenha muito cuidado no caso de restries oramentrias provocarem a reduo do nmero ou da
qualidade dos controles a serem implementados, pois isso pode levar aceitao implcita de mais riscos do que
o planejado. Convm que a utilizao do oramento alocado para os controles como fator limitante, se necessria,
seja acompanhada por cuidados especiais.
Restries tcnicas:
Problemas tcnicos, como a compatibilidade de hardware ou de programas, podem ser facilmente evitados se
forem levados em conta durante a seleo dos controles. Alm disso, a implementao retroativa dos controles
em um processo ou sistema existente freqentemente dificultada por restries tcnicas. Essas dificuldades
podem deslocar o foco dos controles em direo aos aspectos procedurais e fsicos da segurana. Pode ser
necessrio revisar os programas de segurana da informao, a fim de alcanar os objetivos de segurana. Isso
pode ocorrer quando controles no conseguem atingir os resultados previstos na reduo do risco sem afetar a
produtividade.
Restries operacionais:
Restries operacionais, como por exemplo a necessidade de manter as operaes em um regime de 24x7 e,
ainda assim, executar back-ups, podem resultar em controles de implementao complexa e onerosa, a menos
que eles sejam incorporados ao projeto desde o incio.
Restries culturais:
As restries culturais em relao seleo de controles podem ser especficas a um pas, a um setor, a uma
organizao ou mesmo a um departamento dentro de uma organizao. Nem todos os controles podem ser
aplicados em todos os pases. Por exemplo, pode ser possvel implementar buscas em bolsas e bagagens em
partes da Europa, mas no em partes do Oriente Mdio. Aspectos culturais no podem ser ignorados, pois muitos
61/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
controles contam com o apoio ativo do pessoal. Se o pessoal no compreende a necessidade do controle ou no
acham que ele seja culturalmente aceitvel, o controle se tornar ineficaz ao passar do tempo.
Restries ticas:
As restries ticas podem ter grandes implicaes sobre os controles na medida em que a tica muda tendo
como base as normas sociais. Isso pode impedir a implementao de alguns controles em alguns pases, como
por exemplo a varredura de correspondncia eletrnica ("email scanning). A privacidade das informaes pode
ser entendida de diferentes maneiras dependendo da tica da regio ou do governo. Essas questes podem
causar maiores preocupaes em alguns setores de atividade econmica do que em outros, por exemplo: o setor
governamental e o da sade.
Restries ambientais:
Fatores ambientais, tais como a disponibilidade de espao, condies climticas extremas e o meio geogrfico
natural ou urbano, podem influenciar a seleo de controles. Por exemplo, instalaes prova de terremoto
podem ser necessrias em alguns pases, porm desnecessrias em outros.
Restries legais:
Fatores legais tais como provises relativas proteo de dados pessoais ou do cdigo penal referentes ao
processamento de informaes, podem afetar a seleo de controles. A conformidade legislao e a normas
pode exigir certos tipos de controles, como por exemplo, a proteo de dados e a auditoria financeira. Por outro
lado, ela pode tambm impedir o uso de alguns controles, por exemplo: a criptografia. Outras leis e
regulamentaes, tais como a legislao do trabalho, as normas do corpo de bombeiros, da rea da sade e da
segurana, e regulamentaes do setor econmico, tambm podem afetar a escolha de controles.
Facilidade de uso:
Uma interface de usurio mal projetada resultar em erro humano e pode tornar o controle intil. Convm que os
controles selecionados sejam de fcil utilizao, alm de garantirem um nvel aceitvel de risco residual ao
negcio. Os controles de difcil utilizao tm sua eficcia prejudicada, j que os usurios tentaro contorn-los ou
ignor-los tanto quanto possvel. Controles de acesso complexos dentro da organizao podem estimular os
usurios a acharem algum mtodo de acesso alternativo no autorizado.
Restries de recursos humanos:
Convm que sejam considerados o custo salarial e a disponibilidade de profissionais com as competncias
especializadas necessrias para a implementao dos controles, bem como a capacidade de deslocar o pessoal
em condies adversas de operao. O conhecimento necessrio para a implementao dos controles planejados
pode no estar prontamente disponvel ou pode representar um custo excessivo para a organizao. Outros
aspectos tais como a tendncia de parte do pessoal discriminar outros membros da equipe que no passaram por
verificaes de segurana, podem ter grandes implicaes para as polticas e prticas de segurana. Alm disso,
a necessidade de achar e contratar as pessoas certas para o trabalho pode resultar na sua contratao antes que
as verificaes de segurana sejam concludas. Exigir que a verificao de segurana seja finalizada antes da
contratao a prtica normal e a mais segura.
Restries ligadas integrao dos controles novos aos j existentes:
A integrao de controles novos a uma infra-estrutura existente e a interdependncia entre controles so fatores
freqentemente ignorados. Controles novos podem no ser facilmente implementados se houver incongruncia ou
incompatibilidade com controles existentes. Por exemplo, um plano para usar dispositivos de identificao
biomtrica para controle de acesso fsico pode conflitar com um sistema que se baseie na digitao de nmeros
de identificao pessoal (PIN, conforme a sigla em Ingls) para o controle de acesso. Convm que o custo da
mudana dos controles existentes para os planejados inclua tambm os itens a serem adicionados ao custo geral
do tratamento do risco. Talvez no seja possvel implementar alguns dos controles selecionados devido aos
conflitos com os controles atuais.
NO TEM VALOR NORMATIVO
62/63
ABNT/CB-21
PROJETO 21:027.00-017
MARO/2008
Bibliografia
[1]
ABNT ISO/IEC Guia 73: 2005, Gesto de riscos Vocabulrio Recomendaes para uso em normas
[2]
ISO/IEC 16085: 2006, Systems and Software Engineering Life Cycle Processes Risk Management
[3]
[4]
NIST Special Publication 800-12, An Introduction to Computer Security: The NIST Handbook
[5]
NIST Special Publication 800-30, Risk Management Guide for Information Technology Systems
Recommendations of the National Institute of Standards and Technology
63/63