Gestao de Riscos de TI - NBR 27005

Edson Kowask Bezerra profissional A RNP Rede Nacional de Ensino
da rea de segurana da informao e

governana h mais de quinze anos,
e Pesquisa qualificada como
atuando como auditor lder, pesquisa- uma Organizao Social (OS),
dor, gerente de projeto e gerente tc-
nico, em inmeros projetos de gesto sendo ligada ao Ministrio da
de riscos, gesto de segurana da Cincia, Tecnologia e Inovao
informao, continuidade de negcios, PCI, auditoria e recu-
perao de desastres em empresas de grande porte do (MCTI) e responsvel pelo
setor de telecomunicaes, financeiro, energia, indstria e Programa Interministerial RNP,
governo. Com vasta experincia nos temas de segurana e
governana, tem atuado tambm como palestrante nos que conta com a participao dos
principais eventos do Brasil e ainda como instrutor de trei- ministrios da Educao (MEC), da
namentos focados em segurana e governana. professor
Gesto de
e coordenador de cursos de ps-graduao na rea de Sade (MS) e da Cultura (MinC).
O livro de apoio ao curso apresenta os conceitos de
LIVRO DE APOIO AO CURSO

segurana da informao, gesto integrada, inovao e tec- Pioneira no acesso Internet no
nologias web. Hoje atua como Coordenador Acadmico de gesto de riscos a partir da norma NBR ISO 27005.
Brasil, a RNP planeja e mantm a
Gesto de Riscos de TI NBR 27005

Segurana e Governana de TI da Escola Superior de Redes.
Riscos de TI
Possui a certificao CRISC da ISACA, alm de diversas Define conceitos e trabalha a contextualizao do am-
rede Ip, a rede ptica nacional
outras em segurana e governana.
biente, identificao e levantamento dos riscos atravs
acadmica de alto desempenho.
do conhecimento das ameaas, ativos, vulnerabilidades,
Com Pontos de Presena nas
probabilidade de ocorrncia e impactos. So realizados
27 unidades da federao, a rede
a estimativa e o clculo de risco e definido o tratamento
mais adequado. Todo o trabalho baseado em um es-
NBR 27005 tem mais de 800 instituies
conectadas. So aproximadamente
tudo de caso, visando consolidar o conhecimento terico.
3,5 milhes de usurios usufruindo
Este livro inclui os roteiros das atividades prticas e o con-
de uma infraestrutura de redes
tedo dos slides apresentados em sala de aula, apoiando
avanadas para comunicao,
profissionais na disseminao deste conhecimento em
computao e experimentao,
suas organizaes ou localidades de origem.
Edson Kowask Bezerra que contribui para a integrao
entre o sistema de Cincia e
Tecnologia, Educao Superior,
Sade e Cultura.
Ministrio da
Cultura
Ministrio da
Sade
Ministrio da
Educao
ISBN 978-85-63630-06-3
Ministrio da
Cincia, Tecnologia
e Inovao
9 788563 630063
A RNP Rede Nacional de Ensino
uma Organizao Social (OS),
sendo ligada ao Ministrio da
Cincia, Tecnologia e Inovao
(MCTI) e responsvel pelo
Programa Interministerial RNP,
que conta com a participao dos
ministrios da Educao (MEC), da
Sade (MS) e da Cultura (MinC).
Pioneira no acesso Internet no
tem mais de 800 instituies
que contribui para a integrao
Sade e Cultura.
Ministrio da
Cultura
Ministrio da
Sade
Ministrio da
Educao
Ministrio da
Cincia, Tecnologia
e Inovao
Gesto de
Riscos de TI
NBR 27005
Edson Kowask Bezerra

Gesto de
Riscos de TI
NBR 27005
Rio de Janeiro
Escola Superior de Redes
2013
Copyright 2013 Rede Nacional de Ensino e Pesquisa RNP
Rua Lauro Mller, 116 sala 1103
22290-906 Rio de Janeiro, RJ
Diretor Geral
Nelson Simes
Diretor de Servios e Solues

Jos Luiz Ribeiro Filho

Coordenao
Luiz Coelho
Edio
Pedro Sangirardi
Coordenao Acadmica de Segurana e Governana de TI

Equipe ESR (em ordem alfabtica)

Celia Maciel, Cristiane Oliveira, Derlina Miranda, Elimria Barbosa, Evellyn Feitosa,
Felipe Nascimento, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, Renato Duarte
e Yve Abel Marcial.
Capa, projeto visual e diagramao

Tecnodesign
Verso
2.0.1
Este material didtico foi elaborado com fins educacionais. Solicitamos que qualquer erro encon-
trado ou dvida com relao ao material ou seu uso seja enviado para a equipe de elaborao de
contedo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e
Pesquisa e os autores no assumem qualquer responsabilidade por eventuais danos ou perdas, a
pessoas ou bens, originados do uso deste material.
As marcas registradas mencionadas neste material pertencem aos respectivos titulares.
Distribuio
Rua Lauro Mller, 116 sala 1103
22290-906 Rio de Janeiro, RJ
http://esr.rnp.br
info@esr.rnp.br
Dados Internacionais de Catalogao na Publicao (CIP)
B574g Bezerra, Edson Kowask

Gesto de riscos de TI: NBR 27005 / Edson Kowask Bezerra. Rio de Janeiro: RNP/ESR, 2013.
138 p. : il. ; 28 cm.
Bibliografia: p.137.
ISBN 978-85-63630-32-2
1. Tecnologia da informao - Tcnicas de segurana. 2. Redes de computadores Medidas

de segurana. 3. Gesto de riscos de segurana da informao. I. Ttulo.
CDD 005.8
Sumrio
A metodologia da ESRix
Sobre o curso x
A quem se destinax
Convenes utilizadas neste livrox
Permisses de usoxi
Sobre o autorxii
1. Introduo Gesto de Riscos

Introduo1
Exerccio de nivelamento 1 Introduo gesto de riscos2
Conceitos fundamentais2
Exerccio de fixao 1 Conceitos fundamentais5
Princpios da Gesto de Riscos5
Normas de gesto de segurana e de riscos7
Norma ABNT NBR ISO/IEC 27005:20089
Viso geral da gesto de riscos10
Exerccio de fixao 2 Viso geral12
Exerccio de fixao 3 PDCA15
Fatores crticos para o sucesso15
reas de conhecimento necessrias16
iii
Roteiro de Atividades 119
Atividade 1.1 Conhecendo os conceitos19
Atividade 1.2 Conhecendo a norma19
Atividade 1.3 Identificando o processo20
Atividade 1.4 Fatores crticos20
2. Contexto da gesto de riscos

Introduo21
Exerccio de nivelamento 1 Contexto21
Processo de gesto de riscos de segurana da informao21
Contexto 22
Estabelecimento do contexto23
Contexto da norma ABNT NBR ISO/IEC 2700523
Definindo o contexto24
Itens para identificao24
Exerccio de fixao 1 Definindo o contexto25
Definindo escopo e limites26
Exerccio de fixao 2 Definindo o escopo e limites27
Critrios para avaliao de riscos28
Critrios de impacto28
Critrios para aceitao do risco 29
Exerccio de fixao 3 Definindo os critrios31
Organizao para a gesto de riscos32
Anexo A Descrio da empresa36
3. Identificao de riscos
Introduo41
Exerccio de nivelamento 1 Identificao dos riscos41
Processo de anlise de riscos de segurana da informao41
Identificao de riscos42
Identificando os ativos43
Identificando os ativos primrios45
iv
Identificando os ativos de suporte e infraestrutura46
Exerccio de fixao 1 Identificando os ativos46
Identificando as ameaas47
Exerccio de fixao 2 Identificando as ameaas49
Identificando os controles existentes49
Anexo B Infraestrutura55
4. Anlise de riscos: Vulnerabilidades e consequncias

Introduo 59
Exerccio de nivelamento 1 Vulnerabilidades e consequncias59
Processo de anlise de riscos de segurana da informao60
Identificando as vulnerabilidades60
Exerccio de fixao 1 Identificando vulnerabilidades63
Identificao das consequncias63
Exerccio de fixao 2 Identificando as consequncias65
Anexo C Problemas relatados69
5. Anlise de Riscos: Avaliao das consequncias

Introduo83
Exerccio de nivelamento 1 Avaliao das consequncias83
Viso geral do processo de estimativa de risco83
Metodologias84
Metodologia de anlise qualitativa85
Metodologia de anlise quantitativa85
Exerccio de fixao 1 Metodologias86
Estimativa de riscos86
Avaliao das consequncias87
v
6. Anlise de riscos: avaliao da probabilidade
Introduo91
Exerccio de nivelamento 1 Avaliao da probabilidade91
Viso geral do processo de avaliao de risco92
Avaliao da probabilidade de ocorrncia de incidentes92
Exerccio de fixao 1 Avaliao da probabilidade94
Determinao do nvel de risco94
7. Avaliao de riscos
Introduo101
Exerccio de nivelamento 1 Avaliao de riscos101
Processo de avaliao de riscos de segurana da informao101
Avaliao de riscos de segurana da informao102
Exerccio de fixao 1 Avaliao de risco103
8. Tratamento e aceitao de riscos

Introduo107
Exerccio de nivelamento 1 Tratamento e aceitao dos riscos107
Viso geral do processo de tratamento do risco107
Tratamento do risco109
Riscos residuais111
Modificao do risco111
Reteno do risco113
Ao de evitar o risco113
Compartilhamento do risco113
Exerccio de fixao 1 Tratamento de risco114
Viso geral do processo de aceitao do risco114
Aceitando o risco115
vi
9. Comunicao e monitoramento dos riscos
Introduo121
Exerccio de nivelamento 1 Comunicao e consulta dos riscos121
Processo de comunicao e consulta do risco de segurana

da informao122
Comunicao e consulta do risco de segurana da informao123
Exerccio de fixao 1 Comunicao e consulta dos riscos124
10. Monitoramento dos riscos

Introduo127
Exerccio de nivelamento 1 Monitoramento de riscos127
Processo de monitoramento e anlise crtica de riscos de

segurana da informao127
Monitoramento e anlise crtica dos fatores de risco129
Exerccio de fixao 1 Monitoramento e anlise crtica dos riscos130
Monitoramento, anlise crtica e melhoria do processo de

gesto de riscos130
Concluso135
Bibliografia 137
vii
viii
A Escola Superior de Redes (ESR) a unidade da Rede Nacional de Ensino e Pesquisa (RNP)
responsvel pela disseminao do conhecimento em Tecnologias da Informao e Comunica-
o (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competncias
em TIC para o corpo tcnico-administrativo das universidades federais, escolas tcnicas e
unidades federais de pesquisa. Sua misso fundamental realizar a capacitao tcnica do
corpo funcional das organizaes usurias da RNP, para o exerccio de competncias aplic-
veis ao uso eficaz e eficiente das TIC.
A ESR oferece dezenas de cursos distribudos nas reas temticas: Administrao e Projeto
de Redes, Administrao de Sistemas, Segurana, Mdias de Suporte Colaborao Digital e
Governana de TI.
A ESR tambm participa de diversos projetos de interesse pblico, como a elaborao e

execuo de planos de capacitao para formao de multiplicadores para projetos edu-
cacionais como: formao no uso da conferncia web para a Universidade Aberta do Brasil
(UAB), formao do suporte tcnico de laboratrios do Proinfo e criao de um conjunto de
cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).
A metodologia da ESR
A filosofia pedaggica e a metodologia que orientam os cursos da ESR so baseadas na
aprendizagem como construo do conhecimento por meio da resoluo de problemas tpi-
cos da realidade do profissional em formao. Os resultados obtidos nos cursos de natureza
terico-prtica so otimizados, pois o instrutor, auxiliado pelo material didtico, atua no
apenas como expositor de conceitos e informaes, mas principalmente como orientador do
aluno na execuo de atividades contextualizadas nas situaes do cotidiano profissional.
A aprendizagem entendida como a resposta do aluno ao desafio de situaes-problema

semelhantes s encontradas na prtica profissional, que so superadas por meio de anlise,
sntese, julgamento, pensamento crtico e construo de hipteses para a resoluo do pro-
blema, em abordagem orientada ao desenvolvimento de competncias.
Dessa forma, o instrutor tem participao ativa e dialgica como orientador do aluno para as
atividades em laboratrio. At mesmo a apresentao da teoria no incio da sesso de apren-
dizagem no considerada uma simples exposio de conceitos e informaes. O instrutor
busca incentivar a participao dos alunos continuamente.
ix
As sesses de aprendizagem onde se do a apresentao dos contedos e a realizao das
atividades prticas tm formato presencial e essencialmente prtico, utilizando tcnicas de
estudo dirigido individual, trabalho em equipe e prticas orientadas para o contexto de atua-
o do futuro especialista que se pretende formar.
As sesses de aprendizagem desenvolvem-se em trs etapas, com predominncia de tempo

para as atividades prticas, conforme descrio a seguir:
Primeira etapa: apresentao da teoria e esclarecimento de dvidas (de 60 a 90 minutos).

O instrutor apresenta, de maneira sinttica, os conceitos tericos correspondentes ao tema
da sesso de aprendizagem, com auxlio de slides em formato PowerPoint. O instrutor levanta
questes sobre o contedo dos slides em vez de apenas apresent-los, convidando a turma
reflexo e participao. Isso evita que as apresentaes sejam montonas e que o aluno se
coloque em posio de passividade, o que reduziria a aprendizagem.
Segunda etapa: atividades prticas de aprendizagem (de 120 a 150 minutos).

Esta etapa a essncia dos cursos da ESR. A maioria das atividades dos cursos assncrona e
realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no
livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dvidas e oferecer
explicaes complementares.
Terceira etapa: discusso das atividades realizadas (30 minutos).

O instrutor comenta cada atividade, apresentando uma das solues possveis para resolv-la,
devendo ater-se quelas que geram maior dificuldade e polmica. Os alunos so convidados a
comentar as solues encontradas e o instrutor retoma tpicos que tenham gerado dvidas,
estimulando a participao dos alunos. O instrutor sempre estimula os alunos a encontrarem
solues alternativas s sugeridas por ele e pelos colegas e, caso existam, a coment-las.
Sobre o curso
O curso apresenta os conceitos de gesto de riscos a partir da norma NBR ISO 27005.
Define conceitos e trabalha a contextualizao do ambiente, identificao e levantamento
dos riscos atravs do conhecimento das ameaas, ativos, vulnerabilidades, probabilidade
de ocorrncia e impactos. So realizados a estimativa e o clculo de risco e definido o
tratamento mais adequado. Todo o trabalho baseado em um estudo de caso, visando
consolidar o conhecimento terico. Ao final do curso o participante estar apto a realizar
uma anlise de risco qualitativa no ambiente da sua organizao.
A quem se destina
Curso direcionado a gestores, tcnicos e profissionais de informtica ou reas afins, que
esto em busca do desenvolvimento de competncias na realizao de gesto e anlise
de riscos no ambiente de tecnologias da informao e comunicao (TIC). Profissionais de
outras reas podem participar desde que possuam conhecimentos de TIC, segurana da
informao e normas ISO 27001 e 27002.
Convenes utilizadas neste livro

As seguintes convenes tipogrficas so usadas neste livro:
Itlico
Indica nomes de arquivos e referncias bibliogrficas relacionadas ao longo do texto.
x
Largura constante
Indica comandos e suas opes, variveis e atributos, contedo de arquivos e resultado da sada
de comandos. Comandos que sero digitados pelo usurio so grifados em negrito e possuem
o prefixo do ambiente em uso (no Linux normalmente # ou $, enquanto no Windows C:\).
Contedo de slide
Indica o contedo dos slides referentes ao curso apresentados em sala de aula.
Smbolo
Indica referncia complementar disponvel em site ou pgina na internet.
Smbolo
Indica um documento como referncia complementar.
Smbolo
Indica um vdeo como referncia complementar.
Smbolo
Indica um arquivo de adio como referncia complementar.
Smbolo
Indica um aviso ou precauo a ser considerada.
Smbolo
Indica questionamentos que estimulam a reflexo ou apresenta contedo de apoio ao
entendimento do tema em questo.
Smbolo
Indica notas e informaes complementares como dicas, sugestes de leitura adicional ou
mesmo uma observao.
Permisses de uso
Todos os direitos reservados RNP.
Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra.
Exemplo de citao: BEZERRA, E. K. Gesto de Riscos de TI NBR 27005. Rio de Janeiro: Escola
Superior de Redes, RNP, 2013.
Comentrios e perguntas
Para enviar comentrios e perguntas sobre esta publicao:
Escola Superior de Redes RNP
Endereo: Av. Lauro Mller 116 sala 1103 Botafogo
Rio de Janeiro RJ 22290-906
E-mail: info@esr.rnp.br
xi
Sobre o autor
Edson Kowask Bezerra profissional da rea de segurana da informao e governana
h mais de quinze anos, atuando como auditor lder, pesquisador, gerente de projeto e
gerente tcnico, em inmeros projetos de gesto de riscos, gesto de segurana da infor-
mao, continuidade de negcios, PCI, auditoria e recuperao de desastres em empresas
de grande porte do setor de telecomunicaes, financeiro, energia, indstria e governo.
Com vasta experincia nos temas de segurana e governana, tem atuado tambm como
palestrante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados
em segurana e governana. professor e coordenador de cursos de ps-graduao na rea
de segurana da informao, gesto integrada, inovao e tecnologias web. Hoje atua como
Coordenador Acadmico de Segurana e Governana de TI da Escola Superior de Redes. Pos-
sui a certificao CRISC da ISACA, alm de diversas outras em segurana e governana.
xii
1
Introduo Gesto de Riscos
Conceituar e compreender ameaas, vulnerabilidades, probabilidade e riscos;
objetivos
conhecer e utilizar a norma de gesto de riscos; identificar as atividades do

processo de gesto de riscos e os fatores crticos para o sucesso; identificar
e definir as reas necessrias para a gesto de riscos.
conceitos
Ameaas, vulnerabilidades, probabilidade, riscos, segurana da informao e gesto
de riscos.
Introduo
11 A ao e interao dos objetivos com as incertezas originam o risco, que se apresenta q
no dia a dia de toda e qualquer atividade.
11 Muitas vezes, o risco no se apresenta visvel, sendo necessrias aes para identific-lo.
11 Outras vezes, o risco fruto de aes repentinas que fogem ao controle humano,
como em eventos de causas naturais.
Nas fases do ciclo de vida de qualquer atividade humana planejada, convivemos com duas cer-
tezas bsicas: daquilo que deve acontecer (os objetivos) e o que pode acontecer (as incertezas).
A ao e interao dos objetivos com as incertezas do origem ao risco, que se apresenta no

dia a dia de toda e qualquer atividade desenvolvida. Muitas vezes, o risco no se apresenta
visvel, sendo necessrias aes para identific-lo; em outras situaes o risco proveniente
de aes repentinas que fogem ao controle do ser humano, como no caso de eventos de
causas naturais.
Captulo 1 - Introduo Gesto de Riscos
Diariamente vemos manchetes em publicaes das mais diversas reas que destacam, com
nfase, os problemas relacionados aos riscos tecnolgicos de segurana da informao: roubos
de mdias de backup e de notebooks, vazamento de nmeros de cartes de crdito, manuseio
imprprio de registros eletrnicos, roubo de identidade e quebra de propriedade intelectual.
Este captulo abordar os conceitos fundamentais para a Gesto de Riscos e apresentar a

norma ABNT NBR ISO/IEC 27005:2008 - Tecnologia da Informao Tcnicas de segurana
Gesto de riscos de segurana da informao.
1
Exerccio de nivelamento 1 e
Introduo gesto de riscos
Como voc avalia na sua organizao o processo de gesto de riscos?
Existem riscos para os trabalhos e atividades da sua organizao?
Conceitos fundamentais
11 Norma ISO Guide 73:2009 Gesto de riscos Vocabulrio q
22 Recomendaes para uso em normas.
22 Apresenta as principais terminologias para uso nas atividades de gesto de riscos.
11 Esta terminologia deve ser combinada com os termos apresentados nas normas:
22 ABNT NBR ISO/IEC 27001.
22 ABNT ISO/IEC 27002.
11 Termos apresentados nas normas:
22 Segurana da Informao.
22 Ameaa.
22 Vulnerabilidade.
22 Risco.
22 Riscos de segurana da informao.
22 Identificao de riscos.
22 Impacto.
22 Estimativa de riscos.
22 Modificao do risco.
22 Comunicao do risco.
22 Ao de evitar o risco.
22 Reteno do risco.
22 Compartilhamento do risco.
importante ter sempre em mente os seguintes conceitos:

Segurana da Informao a proteo da informao de vrios tipos de ameaas, visando

garantir a continuidade do negcio, minimizar os riscos que possam compromet-lo,
maximizar o retorno sobre os investimentos e as oportunidades de negcio. A segurana
da informao obtida como resultado da implementao de um conjunto de controles,
compreendendo polticas, processos, procedimentos, estruturas organizacionais e funes
de hardware e software.
A segurana da informao obtida com a implementao de controles que devero ser

monitorados, analisados e continuamente melhorados, com o intuito de atender aos
2
objetivos do negcio, mitigando os riscos e garantindo os preceitos de segurana da organi-
zao: Confidencialidade, Integridade, Disponibilidade e Autenticidade (CIDA).
11 Ameaa todo e qualquer evento que possa explorar vulnerabilidades. q

11 Causa potencial de um incidente indesejado, que pode resultar em dano para os
sistemas, pessoas ou a prpria organizao.
11 As ameaas podem ser classificadas em:
22 Ameaas intencionais.
22 Ameaas da ao da natureza.
22 Ameaas no intencionais.
So exemplos de ameaas:
11 Erros humanos;
11 Falhas de hardware;
11 Falhas de software;
11 Aes da natureza;
11 Terrorismo;
11 Vandalismo, entre outras.
Vulnerabilidade qualquer fraqueza que possa ser explorada para comprometer a segu-
rana de sistemas ou informaes. Fragilidade de um ativo ou grupo de ativos que pode ser
explorada por uma ou mais ameaas.
Para pensar
Ameaa versus Vulnerabilidade
Entende-se que a ameaa o evento ou incidente, enquanto a vulnerabilidade

a fragilidade que ser explorada para que a ameaa se torne concreta. Ameaas
podem assumir diversas formas, como furto de equipamentos, mdia e docu-
mentos, escuta no autorizada, incndio, inundao e radiao eletromagntica,
at fenmenos climticos e ssmicos. Por exemplo, um computador cuja senha seja
do conhecimento de todos, sofre ameaas como roubo, destruio ou alterao de
informaes; a vulnerabilidade que permite que estas ameaas se concretizem
justamente a senha ser conhecida e compartilhada por todos.
Vulnerabilidade Ameaa
Falta de treinamento de funcionrios Erros humanos
Interrupo no servidor por queima da fonte Falha de hardware
Sistema aplicativo aceita qualquer valor nos seus campos Falha de software
Tabela 1.1 Inundao da sala em virtude das fortes chuvas Aes da natureza
Exemplos de
vulnerabilidades Exploso provocada intencionalmente no terminal de nibus Terrorismo
e ameaas.
Mquina ATM virada e pichada Vandalismo
3
Os conceitos a seguir dizem respeito s atividades aps a identificao dos riscos e relacio-
nadas ao seu tratamento.
11 Risco: combinao da probabilidade (chance da ameaa se concretizar) de um evento

indesejado ocorrer e de suas consequncias para a organizao. a incerteza resultante
da combinao da probabilidade de ocorrncia de um evento e suas consequncias.
A pergunta Qual o risco? levanta dvidas a respeito da ocorrncia de algo incerto ou
inesperado. Em segurana da informao, esta incerteza reside nos aspectos tecno-
lgicos envolvidos, nos processos executados e, principalmente, nas pessoas que em
algum momento interagem com a tecnologia e se envolvem com os processos.
11 Riscos de segurana da informao: possibilidade de uma determinada ameaa explorar

vulnerabilidades de um ativo ou de um conjunto de ativos, assim prejudicando a organizao.
11 Identificao de riscos: processo para localizar, listar e caracterizar elementos de risco.

Por menor que seja a probabilidade de ocorrncia de um risco, pode ser que determinada
incerteza ocorra e explore uma vulnerabilidade, concretizando uma ameaa. Para se pre-
parar para isso necessrio conhecer os riscos de todo o ambiente, atravs da realizao
de um processo formalizado de identificao de riscos.
11 Impacto: mudana adversa no nvel obtido dos objetivos de negcios. Consequncia ava-
liada dos resultados com a ocorrncia de um evento em particular, em que determinada
vulnerabilidade foi explorada, uma ameaa ocorreu e o risco se concretizou. Qual foi o
impacto deste evento nos negcios? Quanto se perdeu? A organizao ser responsabili-
zada? Haver multas? Aes legais sero impetradas? Haver danos de imagem?
Imagine as seguintes situaes hipotticas:
1. Em uma faculdade, um usurio com acesso s informaes dos alunos deixou sua senha
escrita num papel aps renov-la. O que pode ocorrer? Qual o impacto?
2. Em plena preparao para o vestibular de uma determinada instituio, as provas

vazaram. Qual o impacto se este vazamento ocorreu seis meses antes da realizao do
vestibular? E se ocorreu nas 48 horas que antecedem a realizao do vestibular?
Exemplos de impactos: perdas financeiras, paralisao de servios essenciais, perda de

confiana dos clientes, pane no fornecimento de energia e falhas de telecomunicaes,
entre tantos outros.
11 Estimativa de riscos: processo utilizado para atribuir valores probabilidade e conse-

quncias de um risco. A estimativa de riscos permite quantificar ou descrever de forma
qualitativa um risco, permitindo s organizaes priorizar os riscos de acordo com os
critrios estabelecidos.
11 Aes de modificao do risco: aes tomadas para reduzir a probabilidade, as conse-

quncias negativas, ou ambas, associadas a um risco.
11 Comunicao do risco: troca ou compartilhamento de informaes sobre o risco entre o

tomador de deciso e outras partes interessadas.
11 Ao de evitar o risco: deciso de no se envolver ou agir de forma a mitigar uma

situao de risco.
11 Reteno do risco: aceitao do nus da perda ou do benefcio do ganho associado a um

determinado risco.
11 Compartilhamento do risco: compartilhamento com outra entidade do nus da perda

ou do benefcio do ganho associado a um risco.
4
Exerccio de fixao 1 e
Conceitos fundamentais
Durante uma apresentao sobre os conceitos de gesto de riscos para a alta direo da sua
organizao, voc foi questionado sobre duas possveis ameaas existentes e seus riscos.
Como voc responderia?
Em funo da sua resposta para a alta direo, lhe pediram para explicar os possveis
impactos relacionados a estes riscos. Como voc responderia?
Princpios da Gesto de Riscos

Princpios da gesto de riscos: q
11 A gesto de riscos cria e protege valor.
11 A gesto de riscos parte integrante de todos os processos organizacionais.
11 A gesto de riscos parte da tomada de decises.
11 A gesto de riscos aborda explicitamente a incerteza.
11 A gesto de riscos sistemtica, estruturada e oportuna.
11 A gesto de riscos baseia-se nas melhores informaes disponveis.
11 A gesto de riscos feita sob medida.
11 A gesto de riscos considera fatores humanos e culturais.
11 A gesto de riscos transparente e inclusiva.

11 A gesto de riscos dinmica, iterativa e capaz de reagir a mudanas.
11 A gesto de riscos facilita a melhoria contnua da organizao.
Para a gesto de riscos ser eficaz, convm que uma organizao, em todos os nveis, atenda
aos princpios descritos a seguir.
a. A gesto de riscos cria e protege valor.
A gesto de riscos contribui para a realizao demonstrvel dos objetivos e para a melhoria
do desempenho, referente segurana e sade das pessoas, conformidade legal e regula-
tria, aceitao pblica, proteo do meio ambiente, qualidade do produto, ao geren-
ciamento de projetos, eficincia nas operaes, governana e reputao.
5
b. A gesto de riscos parte integrante de todos os processos organizacionais.
A gesto de riscos no uma atividade autnoma separada das principais atividades e

processos da organizao. A gesto de riscos faz parte das responsabilidades da adminis-
trao e parte integrante de todos os processos organizacionais, incluindo o planejamento
estratgico e todos os processos de gesto de projetos e gesto de mudanas.
c. A gesto de riscos parte da tomada de decises.
A gesto de riscos auxilia os tomadores de deciso a fazer escolhas conscientes, priorizar

aes e distinguir entre formas alternativas de ao.
d. A gesto de riscos aborda explicitamente a incerteza.
A gesto de riscos explicitamente leva em considerao a incerteza, a natureza dessa incer-

teza, e como ela pode ser tratada.
e. A gesto de riscos sistemtica, estruturada e oportuna.
Uma abordagem sistemtica, oportuna e estruturada para a gesto de riscos contribui para
a eficincia e para os resultados consistentes, comparveis e confiveis.
f. A gesto de riscos baseia-se nas melhores informaes disponveis.
As entradas para o processo de gerenciar riscos so baseadas em fontes de informao, tais

como dados histricos, experincias, retroalimentao das partes interessadas, obser-
vaes, previses e opinies de especialistas. Entretanto, convm que os tomadores de
deciso se informem e levem em considerao quaisquer limitaes dos dados ou mode-
lagem utilizados, ou a possibilidade de divergncias entre especialistas.
g. A gesto de riscos feita sob medida.
A gesto de riscos est alinhada com o contexto interno e externo da organizao e com o
perfil do risco.
h. A gesto de riscos considera fatores humanos e culturais.
A gesto de riscos reconhece as capacidades, percepes e intenes do pessoal interno e

externo, que podem facilitar ou dificultar a realizao dos objetivos da organizao.
i. A gesto de riscos transparente e inclusiva.
O envolvimento apropriado e oportuno de partes interessadas e, em particular, dos toma-

dores de deciso em todos os nveis da organizao assegura que a gesto de riscos perma-
nea pertinente e atualizada. O envolvimento tambm permite que as partes interessadas
sejam devidamente representadas e tenham suas opinies levadas em considerao na
determinao dos critrios de risco.
j. A gesto de riscos dinmica, iterativa e capaz de reagir a mudanas.
A gesto de riscos continuamente percebe e reage s mudanas. medida que acontecem

eventos externos e internos, o contexto e o conhecimento modificam-se, o monitoramento
e a anlise crtica de riscos so realizados, novos riscos surgem, alguns se modificam e
outros desaparecem.
6
k. A gesto de riscos facilita a melhoria contnua da organizao.
Convm que as organizaes desenvolvam e implementem estratgias para melhorar a sua

maturidade na gesto de riscos, juntamente com todos os demais aspectos da sua organizao.
Estes princpios da gesto dos riscos devem ser os norteadores desta nobre ativi-
dade no dia a dia das organizaes.
Normas de gesto de segurana e de riscos

11 Norma ABNT NBR ISO/IEC 27001:2006 q
11 Norma ABNT NBR ISO/IEC 27002:2005
A rea de segurana da informao possui um conjunto de normas para serem utilizadas

nas mais diversas organizaes, a fim de permitir uma padronizao dos requisitos e proce-
dimentos para a implementao de um SGSI.
ABNT Norma ABNT NBR ISO/IEC 27001:2006

Fundada em 1940, a
Associao Brasileira 22 Tecnologia da Informao Tcnicas de segurana Sistemas de gesto de segurana
de Normas Tcnicas o da informao Requisitos
rgo responsvel pela
normalizao tcnica 22 Apresenta e descreve os requisitos que devem ser implementados no estabeleci-
no pas, fornecendo mento de um Sistema de Gesto de Segurana da Informao (SGSI).
a base necessria ao
desenvolvimento tecno- 11 Norma ABNT NBR ISO/IEC 27002:2005
lgico brasileiro. uma 22 Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto
entidade privada, sem
fins lucrativos. de segurana da informao
22 Apresenta as melhores prticas para uma gesto adequada da segurana da informao.
Podendo ser aplicadas a qualquer ambiente de uma organizao (particularmente ao ambiente

de TI), estas normas destacam a necessidade das organizaes de possurem uma gesto de
l
riscos estruturada, com a padronizao de processos e requisitos de gesto de riscos.
Saiba mais Em 1995, a comisso de padronizao da Austrlia e Nova Zelndia lanou a primeira
norma tratando do tema: AS/NZS 4360 Gesto de Risco. Genrica, a norma estabelece um
As normas descritas
acima so apresentadas processo de gesto de riscos amplamente aceito, tendo sido atualizada em 1999 (AS/NZS
no curso Gesto de Segu- 4360:1999). Em 1996, a International Organization for Standardization (ISO) criou um grupo
rana da Informao
de trabalho baseado na AS/NZS 4360 para criar um projeto de gesto de risco, que passou
NBR 27001 e 27002,
oferecido pela Escola por diversos problemas e s foi concludo em 2009.
Superior de Redes.
ABNT NBR ISO 31000:2009 Gesto de Riscos Princpios e diretrizes: q
11 Norma que fornece os princpios e diretrizes genricas para qualquer indstria ou setor.
11 Criada para ser aplicada a qualquer ambiente ou organizao.
ABNT ISO GUIDE 73:2009 Gesto de Riscos Vocabulrio:
11 Norma que apresenta as definies de termos genricos relativos gesto de riscos.
11 Referncia de conceitos ligados gesto de risco.
7
ISO/IEC 31010:2009 Gesto de riscos Tcnicas de avaliao de riscos: q
11 Norma que deve ser trabalhada em apoio norma ABNT NBR ISO 31000:2009 Gesto
de Riscos Princpios e diretrizes.
11 Descreve as diversas tcnicas e ferramentas de anlise de risco, e no foi ainda tradu-

zida pela ABNT.
Em 2009 lanada pela ISO e imediatamente pela Associao Brasileira de Normas Tc-
nicas (ABNT) a norma ABNT NBR ISO 31000:2009 Gesto de Riscos Princpios e diretrizes.
Esta norma fornece os princpios e diretrizes genricas para qualquer indstria ou setor.
No mesmo ano foi lanada a norma ABNT ISO GUIDE 73:2009 Gesto de Riscos Vocabu-
lrio. Ela apresenta as definies de termos genricos relativos gesto de riscos. Quando
se pretende fazer referncia a um conceito de gesto de riscos, deve ser utilizada a defi-
nio da norma ABNT ISO GUIDE 73:2009 Gesto de Riscos Vocabulrio. Segundo a ABNT:
Este guia fornece as definies de termos genricos relativos gesto de riscos. Destina-se
a incentivar uma compreenso mtua e consistente, uma abordagem coerente na descrio
das atividades relativas gesto de riscos e a utilizao de terminologia uniforme de gesto
de riscos em processos e estruturas para gerenciar riscos.
Em 2012, foi lanada em portugus a norma ABNT NBR ISO/IEC 31010:2012 Gesto de riscos
Tcnicas para o processo de avaliao de riscos deve ser trabalhada em apoio norma
ABNT NBR ISO 31000:2009 Gesto de Riscos Princpios e diretrizes. A norma descreve as
diversas tcnicas e ferramentas de anlise de risco, fornecendo orientaes sobre a seleo
e aplicao de tcnicas sistemticas para o processo de avaliao de riscos.
Este grupo de normas da srie 31000 visa atender a qualquer tipo de ambiente de uma
organizao. Proporcionam, portanto, uma concepo ampla e genrica da gesto de riscos,
sendo aplicadas para avaliar e tratar qualquer tipo de risco corporativo. Durante o desen-
volvimento destas normas, foi publicada em 2008, pelo grupo de trabalho especfico de
tecnologia da informao, a norma ABNT NBR ISO/IEC 27005: 2008 Tecnologia da Infor-
mao Tcnicas de Segurana Gesto de riscos de segurana da informao. Esta norma
foi desenvolvida com base nos estudos da ISO 31000:2009, e portanto atende aos seus
requisitos e ao seu processo de gesto de risco. A ISO/IEC 27005 faz parte do conjunto de
normas da srie de 27000, sobre o Sistema de Gesto de Segurana da Informao (SGSI),
onde so includas ainda as normas ISO/IEC 27001 e ISO/IEC 27002. Esta norma apresenta as
melhores prticas e possibilita o aprofundamento em aspectos exclusivos da segurana da
informao, enquanto a ISO 31000 mais genrica e contempla todos os setores.
O enfoque deste curso est na norma ABNT NBR ISO/IEC 27005: 2008 Tecnologia
da Informao Tcnicas de Segurana Gesto de riscos de segurana da infor-
mao. Os conceitos, processos e atividades apresentados se adequam ao que
prope a norma ABNT NBR ISO 31000:2009 Gesto de Riscos Princpios e dire-
trizes, podendo ser aplicados em qualquer outra rea que no a de TI.
8
O quadro abaixo apresenta um resumo comparativo entre estas normas:
Norma Ttulo Objetivo Observao
27001 Tecnologia da infor- Especifica os requisitos para estabelecer, Trata mais especifica-
mao Tcnicas de implementar, operar, monitorar, analisar criti- mente de diretrizes
segurana Sistemas camente, manter e melhorar um SGSI docu- e princpios para um
de gesto de segu- mentado no contexto dos riscos de negcio sistema de gesto de
rana da informao globais da organizao. Especifica requisitos segurana da infor-
Requisitos para a implementao de controles de segu- mao.
rana personalizados para as necessidades
individuais de organizaes ou de suas partes.
Cobre todos os tipos de organizao (empre-
endimentos comerciais, agncias governamen-
tais, organizaes sem fins lucrativos, entre
diversas outras).
27002 Tecnologia da infor- Estabelece diretrizes e princpios gerais para Voltada para controles
mao Tcnicas de iniciar, implementar, manter e melhorar a de segurana.
segurana Cdigo de gesto de segurana da informao. Os obje-
prtica para a gesto tivos definidos nesta norma estabelecem dire-
de segurana da infor- trizes gerais para as metas e melhores prticas
mao para a gesto da segurana da informao.
27005 Tecnologia da infor- Apresenta um sistema de gesto de riscos de Esclarece como geren-
mao Tcnicas de segurana da informao com foco em tecno- ciar riscos de segu-
segurana Gesto logia da informao. rana da informao.
de riscos de segu-
rana da informao
31000 Gesto de riscos Norma que apresenta princpios e diretrizes Editada em

Princpios e diretrizes bsicas para a gesto de riscos em geral em 2009,deste ano em
qualquer tipo de ambiente. diante as demais
normas de gesto de
riscos devem estar
alinhadas a ela.
31010 Gesto de riscos Descreve as diversas tcnicas e ferramentas Editada em 2012.

Tcnicas para o de anlise de riscos.
processo de avaliao
de riscos
GUIDE 73 Gesto de risos Apresenta as definies de termos genricos Editada em 2009.

Vocabulrio relativos gesto de riscos.
Tabela 1.2
Resumo Norma ABNT NBR ISO/IEC 27005:2008
comparativo entre
as normas. ABNT NBR ISO/IEC 27005:2008 Tecnologia da Informao Tcnicas de Segurana q
Gesto de riscos de segurana da informao
11 Apresenta as diretrizes para o gerenciamento dos riscos de segurana da informao.

11 Emprega os conceitos da norma ABNT NBR ISO 27001:2005.
A norma ABNT NBR ISO/IEC 27005:2008 Tecnologia da Informao Tcnicas de Segu-

rana Gesto de riscos de segurana da informao foi publicada em julho de 2008 e
apresenta as diretrizes para o gerenciamento dos riscos de segurana da informao.
Emprega os conceitos da norma ABNT NBR ISO 27001:2005, que especifica os requisitos de
sistemas de gesto da segurana da informao.
9
Esta norma descreve todo o processo necessrio para a gesto de riscos de segurana da
informao e as atividades necessrias para a perfeita execuo da gesto. Apresenta pr-
ticas para gesto de riscos da segurana da informao. As tcnicas nela descritas seguem
o conceito, os modelos e os processos globais especificados na norma ABNT NBR ISO/IEC
27001, alm de apresentar a metodologia de avaliao e tratamento dos riscos requeridos
pela mesma norma.
Partindo do princpio de que a gesto de riscos um processo cclico e contnuo, a norma

est dividida em sesses e anexos. As sesses contm as informaes do processo e das
atividades necessrias para a sua execuo. Existem 12 sesses ao todo: as sesses de 1
a 4 tratam das referncias e da estrutura da norma, e as sesses 5 e 6 apresentam a viso
geral do processo de gesto de riscos. As sesses a partir da 7 tratam especificamente do
processo de gesto de riscos. Os seis anexos so identificados de A a F e trazem informaes
adicionais e exemplos.
Nas sesses de 7 a 12 as atividades de gesto so apresentadas de acordo com a

seguinte estrutura:
11 Entrada: refere-se aos insumos e premissas necessrias para a realizao da atividade.
11 Ao: descrio da atividade, sempre acompanhada do convm.
11 Diretrizes para implementao: diretrizes necessrias para a realizao da ao, isto ,

o detalhamento de como a ao pode ser realizada. Estas diretrizes devem ser adaptadas
a cada tipo de organizao. Tambm esto acompanhadas do convm.
11 Sada: apresenta os resultados que devem ser alcanados e que vo servir para gerar evidncias.
Este curso utiliza o processo de gesto de riscos normatizado contido na norma ABNT NBR
ISO/IEC 27005.
Viso geral da gesto de riscos

11 necessria uma abordagem sistemtica de gesto de riscos que varia de organi- q
zao para organizao assim como o nvel de risco aceitvel de cada uma.
11 Risco aceitvel o grau de risco que a organizao est disposta a aceitar para con-
cretizar os seus objetivos.
11 Necessidade de aumentar a capacidade de gerir o risco e otimizar o retorno.
11 A abordagem de gesto de riscos de segurana da informao deve ser:
22 Contnua.
22 Realizada no tempo apropriado.
22 Repetitiva.
22 Prpria ao ambiente da organizao.

22 Ajustada ao processo de gesto de riscos corporativos.
22 Alinhada com os requisitos de negcios.
22 Apoiada pela alta direo.
Gesto de riscos so atividades formalizadas e coordenadas para controlar e dirigir um con-

junto de instalaes e pessoas com relaes e responsabilidades, entre si e externamente,
no que se refere a riscos nos negcios sob a tica da segurana da informao.
10
Definio do contexto;
11 Anlise/Avaliao de riscos;
11 Tratamento do risco;
11 Aceitao do risco;
11 Comunicao do risco;
11 Monitoramento e anlise crtica;
11 Ciclo de melhoria contnua PDCA.
A Tabela 1.3 mostra as principais atividades de gesto de riscos da segurana da informao.
Processo do SGSI Processo de gesto de riscos de segurana da informao
11Definio do contexto
11Anlise/Avaliao de riscos
PLANEJAR
11Definio do plano de tratamento do risco
11Aceitao do risco
Tabela 1.3 EXECUTAR Implementao do plano de tratamento do risco

Principais
atividades de VERIFICAR Monitoramento contnuo e anlise crtica de riscos
gesto de riscos
Manuteno e melhoria do processo de gesto de riscos de segu-
da segurana da AGIR
rana da informao
informao.
Em seu livro Desafio aos deuses: a fascinante histria do risco, Peter Bernstein nos pre-
l senteia com uma detalhada anlise histrica da evoluo do controle e previso dos riscos
Saiba mais pela humanidade, desde a Grcia antiga. Segundo o autor, somos possuidores de elevado
potencial tcnico para a preveno das perdas e ganhos, mesmo que o comportamento dos
Dica de leitura:
BERNSTEIN, Peter. agentes seja imprevisvel. Nas suas palavras: ... acontea o que acontecer e apesar de todos
Desafio aos deuses: a fas- os nossos esforos, os seres humanos no possuem o conhecimento completo sobre as leis
cinante histria do risco.
que definem a ordem do mundo objetivamente existente. Portanto, o autor nos desquali-
Editora Campus, 1997.
fica como previsores perfeitos do futuro.
Bernstein diz ainda que Quando investidores compram aes, cirurgies realizam opera-
es, engenheiros projetam pontes, empresrios abrem seus negcios e polticos concorrem
a cargos eletivos, o risco um parceiro inevitvel. Contudo, suas aes revelam que o risco
no precisa ser to temido: administrar o risco sinnimo de desafio e oportunidade.
O risco faz parte de nosso cotidiano, de modo que precisamos conhec-lo para poder trat-
-lo e dele extrair novas oportunidades.
inquestionvel a importncia do papel que a tecnologia da informao exerce na socie-

dade para que esta alcance seus objetivos. A integrao do ambiente tecnolgico, caracte-
rizado pela complexidade e interdependncia, produz contextos muitas vezes hostis que
propiciam ataques cada vez mais frequentes segurana da informao, exigindo respostas
cada vez mais rpidas das organizaes. A este quadro vm somar-se novas obrigaes
legais, de proteo de privacidade e governana corporativa, gerando a necessidade das
organizaes gerenciarem mais efetivamente sua infraestrutura de tecnologia.
Para enfrentar estas novas ameaas e demandas as organizaes devem desenvolver uma
atitude proativa, antecipando-se em conhecer suas fraquezas e vulnerabilidades. Isto pode
ser obtido atravs da adoo de um processo formal de gerenciamento de riscos de segu-
rana da informao, que permita organizao estabelecer um nvel aceitvel de risco.
11
Para isso necessria uma abordagem sistemtica de gesto de riscos, que ir variar de
acordo com o negcio de cada organizao, assim como o nvel de risco aceitvel estabele-
cido pela direo de cada organizao.
Risco aceitvel o grau de risco que a organizao est disposta a aceitar para a
concretizao dos seus objetivos estratgicos.
Viso geral
Na sua organizao, qual seria o risco aceitvel na realizao das suas atividades? Explique.
Aumentar a capacidade de gerir o risco e otimizar o retorno so aes integrantes de uma

abordagem sistmica, que proporciona um processo formal para a melhoria da capacidade
de identificao e avaliao dos riscos. Esta abordagem deve estar de acordo com os obje-
tivos da organizao, atendendo s suas necessidades especficas de acordo com os requi-
sitos de segurana da informao. Para isso, a abordagem de gesto de riscos de segurana
da informao deve ser:
11 Contnua;
11 Realizada no tempo apropriado;
11 Repetitiva;
11 De acordo com o ambiente da organizao;
11 Ajustada ao processo de gesto de riscos corporativos;
11 Alinhada com os requisitos de negcios;
11 Apoiada pela alta direo.
Partindo do conceito amplo de que o processo de gesto composto de atividades coordenadas

e formalizadas para controlar e dirigir uma organizao formada por suas instalaes e pessoal,
com relaes e responsabilidades entre si e com agentes externos , pode-se inferir que a gesto
de riscos composta de atividades formalizadas e coordenadas para controlar e dirigir um
conjunto de instalaes e pessoas com relaes e responsabilidades, entre si e com o ambiente
externo, no que se refere a riscos nos negcios sob a tica da segurana da informao.
12
A Figura 1.1 apresenta uma viso do processo de gesto de riscos de segurana da infor-
mao segundo a norma ABNT NBR ISO/IEC 27005.
DEFINIO DO CONTEXTO
PROCESSO DE AVALIAO DE RISCOS
MONITORAMENTO E ANLISE CRTICA DE RISCOS

IDENTIFICAO DE RISCOS
COMUNICAO E CONSULTA DO RISCO
ANLISE DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 No
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
Tratamento satisfatrio
Sim
Figura 1.1
Processo de
ACEITAO DO RISCO
gesto de riscos
de segurana da
informao. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
O processo tem seis grandes grupos de atividades:
11 Definio do contexto;
11 Anlise/Avaliao de riscos;
11 Tratamento do risco;
11 Aceitao do risco;
11 Comunicao do risco;
11 Monitoramento e anlise crtica.
Como pode ser visto na Figura 1.1, o ciclo de vida da gesto de riscos de segurana da infor-
mao iterativo, onde a gesto se desenvolve de maneira incremental, atravs de uma
sucesso de iteraes, e cada iterao libera uma entrega (sada) para a seguinte, minimi-
zando tempo e esforo.
Definio do contexto
Dentro do processo, a definio do contexto responsvel pela definio do ambiente,
escopo, critrios de avaliao, entre outras definies.
13
Esta etapa essencial para a equipe que realiza a gesto de risco conhecer todas as infor-
maes sobre a organizao.
Anlise/Avaliao de riscos
A prxima iterao de anlise e avaliao de risco, que permitir a identificao dos riscos
e a determinao das aes necessrias para reduzir o risco a um nvel aceitvel.
Tratamento do risco
A partir dos resultados obtidos na anlise e avaliao do risco so definidos os controles
necessrios para o tratamento do risco. A norma ABNT NBR ISO/IEC 27001 especifica os
controles que devero ser implementados.
Aceitao do risco
Assegura os riscos aceitos pela organizao, ou seja, os riscos que por algum motivo no
sero tratados ou sero tratados parcialmente. So os chamados riscos residuais, cujo
enquadramento nesta categoria dever ser justificado.
Comunicao do risco
Nesta etapa feita a comunicao do risco e da forma como ser tratado, para todas as
reas operacionais e seus gestores.
Monitoramento e anlise crtica

So as atividades de acompanhamento dos resultados, implementao dos controles e de
anlise crtica para a melhoria contnua do processo de gesto de riscos.
Todas estas etapas sero detalhadas nas prximas sesses.
A norma ABNT NBR ISO/IEC 27001 especifica que os controles implementados no escopo,
limites e contexto do Sistema de Gesto de Segurana da Informao (SGSI) devem estar
baseados no risco. Este requisito deve ser atendido atravs da aplicao do processo de
gesto de riscos de segurana da informao.
No ambiente de um SGSI, a definio do contexto, a anlise e avaliao de riscos, o desen-

volvimento do plano de tratamento do risco e a aceitao do risco fazem parte da fase Pla-
nejar do ciclo de melhoria contnua PDCA. J a fase Executar do SGSI a implementao
de controles para conduzir os riscos ao nvel aceitvel pela organizao. A fase Verificar
do SGSI, por sua vez, inclui as aes de reviso. Finalmente, a fase Agir compreende as
aes necessrias para execuo, incluindo a reaplicao do processo de gesto de riscos de
segurana da informao.
Podemos resumir da seguinte forma as principais atividades de Gesto de riscos de segu-

rana da informao:
Definio do contexto
Anlise/Avaliao de riscos
PLANEJAR
Definio do plano de tratamento do risco
Aceitao do risco
EXECUTAR Implementao do plano de tratamento do risco
14
VERIFICAR Monitoramento contnuo e anlise crtica de riscos
Manuteno e melhoria o processo de Gesto de Riscos de Segu-

AGIR
rana da Informao
PLA
NE
I R J AR
AG
Manuteno Denio
e melhoria do contexto
do processo
PL A
AR
NE J A
VERI FIC
Monitoramento Anlise/Avaliao
R
e anlise de riscos
crtica
Implementar Denio
o plano de do plano de
tratamento tratamento
LA P
N
R
Aceitao
EJ
TA
AR
do risco
U
EC
Figura 1.2 EX
Processo de gesto
de riscos e o P L ANE JAR
modelo PDCA.
PDCA
Explique como a fase planejar (PDCA) do processo do SGSI executado no processo de
gesto de riscos de segurana da informao.
Fatores crticos para o sucesso

q
11 Reduo das surpresas operacionais e prejuzos.
11 Identificao de oportunidades de crescimento e melhorias.
11 Racionalizao do capital estabelecendo uma ordem de prioridades de investimento.
11 Pr-atividade com o uso dos recursos computacionais nos negcios.
11 Envolvimento e participao da alta direo no processo.
11 Comunicao e treinamento.
11 Definio de objetivos.
11 Papis e responsabilidades definidos.
11 Integrao com as atividades de gesto de segurana da informao.
15
A gesto de riscos de segurana da informao implementada pelas organizaes na
busca por vantagens competitivas para os negcios. fundamental demonstrar, para as
partes interessadas, uma postura de segurana na gesto dos riscos relacionados pro-
teo dos ativos e informaes.
Os fatores crticos para o sucesso esto relacionados aos benefcios que devem ser alcan-
ados pelas organizaes, a depender da natureza de cada organizao. Para atingir tais
benefcios preciso realizar as etapas que envolvem os fatores crticos para o sucesso.
Como exemplos destes fatores podemos mencionar os listados a seguir.
Envolvimento e participao da alta direo no processo

essencial para o sucesso de qualquer projeto que a direo esteja envolvida e comprometida
com o seu desenvolvimento e sucesso de acordo com os objetivos estratgicos definidos.
Comunicao e treinamento
Todo o processo precisa ser comunicado a todas as partes envolvidas antes do seu incio,
durante o seu desenvolvimento e aps sua concluso, com a apresentao dos resultados
alcanados e metas atingidas. Em um processo de gesto de riscos todos os participantes
devem ser envolvidos, e para isso necessria a realizao de campanhas de conscienti-
zao e treinamentos.
Definio de objetivos
O estabelecimento de objetivos contribui decisivamente com o alcance das metas da gesto
de riscos.
Papis e responsabilidades definidas

Todos os integrantes das partes envolvidas devem conhecer as suas atribuies e responsa-
bilidades durante todo o processo de gesto de riscos de segurana da informao.
Integrao com a gesto de segurana da informao

As atividades de gesto de riscos devem estar totalmente integradas s atividades do SGSI.
No desenvolvimento deste curso sero explorados os fatores crticos de sucesso perten-

centes a cada etapa da gesto de riscos de segurana da informao.
reas de conhecimento necessrias

Os profissionais envolvidos nas atividades de anlise de risco possuem um perfil com q
conhecimento em diversas reas:
11 Tcnico.
11 Negcios.
11 Legislao.
11 Processos.
Para a melhor aplicao do processo de gesto de riscos, importante que os profissionais

envolvidos possuam um perfil com conhecimento de reas diversas, permitindo a identifi-
cao das ameaas e vulnerabilidades em qualquer ambiente organizacional.
Na equipe encarregada da realizao da anlise de risco preferencialmente devem ser

encontrados os seguintes perfis:
16
11 Tcnico: contribui no atendimento das demandas das diversas reas tcnicas da organi-
zao, incluindo as reas de hardware, software, sistemas operacionais, infraestrutura e
aplicaes web, entre outras.
11 Negcios: auxilia a equipe no entendimento preciso dos negcios da organizao e seus

mltiplos processos, alm de ter importncia no clculo dos impactos.
11 Legislao: perfil voltado ao entendimento dos aspectos legais e normativos com os

quais a organizao analisada necessita se alinhar.
11 Processos: permite a compreenso dos processos e atravs de sua anlise identifica pos-
sveis ameaas e vulnerabilidades, contribuindo com a elaborao de planos de gesto e
tratamento de riscos.
Estes so alguns exemplos de perfis ou conhecimentos necessrios para a anlise de risco.

O tipo da organizao e seus objetivos de negcios indicaro os perfis realmente importantes
para compor a equipe de trabalho. No existe a necessidade de um profissional para cada
perfil citado, pois os conhecimentos podem ser encontrados em um mesmo profissional.
A quantidade de profissionais alocados ser determinada pelo escopo da anlise e prazo.
Leitura complementar
11 Sesses 4, 5 e 6 da norma ABNT NBR ISO/IEC 27005.
11 Item 4 da Norma Complementar Gesto de Riscos de Segurana da Informao e Comuni-

caes GRSIC, do DSIC/GSI/PR: http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf
11 Enterprise Risk Management: Past, Present and Future:

http://www.casact.org/education/erm/2004/handouts/kloman.pdf
11 Interdisciplinary Risk Management:

http://www.riskinfo.com/rmr/rmrjun05.htm
11 Quatro dicas para uma gesto de riscos eficiente:

http://cio.uol.com.br/gestao/2009/07/03/quatro-dicas-para-a-boa-gestao-de-riscos/
11 AS/NZS 4360:
http://www.standards.org.au/
11 Histria da AS/NZS 4360:

http://www.riskinfo.com/rmr/rmrsept00.htm
17
18
Atividade 1.1 Conhecendo os conceitos
Para cada conceito a seguir, explique e apresente um exemplo baseado na organizao em
que voc trabalha. Justifique sua resposta:
Conceito Definio Exemplo Justificativa
Riscos de segurana
da informao
Identificao de riscos
Impacto
Compartilhamento do
risco
Evitar o risco
Comunicao do risco
Estimativa do risco
Tratamento do risco
Aceitao do risco
Atividade 1.2 Conhecendo a norma

Descreva como est organizada a norma ABNT NBR ISO/IEC 27005, citando suas sesses.
Explique como esto estruturadas as atividades das sesses 7 a 12 da norma

ABNT NBR ISO/IEC 27005.
Captulo 1 - Roteiro de Atividades
19
Atividade 1.3 Identificando o processo
Descreva a sequncia das etapas do processo de gesto de riscos.
Atividade 1.4 Fatores crticos

O que a gesto de riscos de segurana da informao e como ela se aplica na sua organizao?
Quais so os fatores crticos de sucesso? D exemplos baseados na sua organizao.
Em sua opinio qual a importncia de entendermos a gesto de risco para o exerccio das
nossas atividades cotidianas?
O que foi aprendido

11 Conceito de gesto de risco. q

11 Viso geral da gesto de risco.
11 Fatores crticos de sucesso.
20
2
Contexto da gesto de riscos
objetivos
Conceituar e definir o contexto do ambiente da gesto de riscos; identificar o escopo

e as atividades de definio de critrios no processo de gesto de riscos.
conceitos
Contexto, escopo, limites e critrios.
Introduo
Ao iniciar qualquer tipo de trabalho, a primeira atividade a ser feita conhecer o ambiente em
que o trabalho ser desenvolvido, as pessoas que de alguma forma iro interagir, o que ser
desenvolvido; em resumo, conhecer o terreno para saber conduzir o andamento dos trabalhos.
Nas atividades que envolvem gesto de riscos de segurana da informao a definio do con-
texto a parte inicial e tem como objetivo permitir o conhecimento do ambiente da organizao.
Contexto
No seu entendimento qual o contexto atual da sua organizao?
Captulo 2 - Contexto da gesto de riscos
Processo de gesto de riscos de segurana da informao

11 Conhecer a sequncia das fases da gesto de riscos. q
11 Ter acesso a toda a documentao da organizao.
Na sesso anterior foi apresentada a viso geral do processo de gesto de riscos. neces-
srio que o conhecimento da sequncia das fases do processo faa parte do dia a dia dos
profissionais envolvidos com a gesto de riscos.
21
DEFINIO DO CONTEXTO

ANLISE DE RISCOS
AVALIAO DE RISCOS
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
Sim
ACEITAO DO RISCO
Figura 2.1
Definio do
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES contexto.
Para realizar esta atividade, os profissionais devero ter acesso a toda documentao sobre a
organizao, permitindo assim o amplo conhecimento sobre as especificidades da organizao.
Contexto
necessrio entender o significado conceitual de contexto e sua aplicao na gesto de
riscos. Ao buscar o seu significado nos dicionrios, encontra-se, entre outras definies,
que contexto um substantivo masculino que significa inter-relao de circunstncias que
acompanham um fato ou uma situao.
Assim, ao nos referirmos a contexto queremos na verdade tratar da totalidade de circunstn-

cias que possibilitam, condicionam ou determinam a realizao de um texto, projeto, ativi-
dade ou mesmo de um evento de segurana da informao. Em outras palavras, contexto o
conjunto de circunstncias que se relacionam de alguma forma com um determinado aconteci-

mento. a situao geral ou o ambiente a que est sendo referido um determinado assunto.
Chamamos de contextualizao a atividade de mapear todo o ambiente que envolve

o evento em anlise. No processo de gesto de riscos esta a primeira atividade a
ser desempenhada.
22
Segundo a norma ABNT NBR ISO 31000:2009 o contexto pode ser analisado sob dois aspectos:
11 Contexto Externo: o ambiente externo no qual a organizao se situa e busca atingir q

seus objetivos (ambiente cultural, financeiro, regulatrios, tecnolgico, econmico,
competitivo, entre outros).
11 Contexto Interno: o ambiente interno no qual a organizao busca atingir seus

objetivos (governana, estrutura organizacional, polticas, objetivos, capacidades,
sistemas de informao, cultura organizacional, normas, diretrizes, entre outras).
Estabelecimento do contexto
De acordo com a norma ABNT NBR ISO/IEC 31000, no momento em que a organizao q
estabelece seu contexto ela:
11 Articula seus objetivos.
11 Define parmetros internos e externos.
11 Define o escopo e os critrios de risco para todo o processo de gesto de riscos.
De acordo com a norma ABNT NBR ISO/IEC 31000, no momento que a organizao estabe-
lece seu contexto ela articula seus objetivos, definindo parmetros internos e externos que
devem ser levados em considerao para gerenciar o risco, e define o escopo e os critrios
de risco para todo o processo de gesto de riscos.
Contexto da norma ABNT NBR ISO/IEC 27005

Seo 7 da ABNT NBR ISO/IEC 27005: trata as atividades desenvolvidas durante a fase q
de contexto da gesto de riscos.
11 Apresentaes da organizao.
11 Entrevistas.
11 Questionrios:
22 Seo 7.1 Consideraes iniciais.
22 Seo 7.2 Critrios bsicos.
22 Seo 7.3 Escopo e limites.
22 Seo 7.4 Organizao para gesto de riscos de segurana da informao.
11 Anexo A Informativo.
A seo 7 da norma ABNT NBR ISO/IEC 27005 trata das atividades que devem ser desen-
volvidas durante a fase de contexto da gesto de riscos. Essas atividades devem ser
desenvolvidas pela equipe responsvel pela gesto de riscos, sendo realizadas por meio de
interaes com os profissionais da organizao avaliada atravs de:
11 Apresentaes da organizao;
11 Entrevistas com diretores, gerentes, tcnicos e usurios;
11 Questionrios.
A seo 7 desta norma est organizada da seguinte forma:
11 Seo 7.1 Consideraes iniciais: finalidade de realizar a contextualizao;
11 Seo 7.2 Critrios bsicos: critrios de avaliao;
23
11 Seo 7.3 Escopo e limites: importncia da definio do escopo e os limites da gesto
de riscos;
11 Seo 7.4 Organizao para gesto de riscos de segurana da informao: organizao

e responsabilidades do processo de gesto de riscos;
11 Anexo A Informativo: detalhes para a definio do escopo e restries que podem

impactar nos trabalhos.
Definindo o contexto
11 Suporte a SGSI. q
11 Conformidade legal.
11 Plano de continuidade de negcios.
11 Plano de resposta a incidentes.
Ao iniciar o trabalho de gesto de riscos deve-se primeiramente fazer um levantamento de

todas as informaes relevantes sobre o ambiente onde ser executada a anlise de riscos.
Deve estar claro ainda o entendimento sobre as atividades da organizao e os propsitos
que a levaram gesto de riscos de segurana da informao.
So exemplos destes propsitos:
11 Suporte a SGSI: a organizao optou por implementar um SGSI e para isso deve realizar
a gesto de risco de segurana da informao como requisito obrigatrio.
11 Conformidade legal: atendimento a uma determinao legal ou normatizadora.

Ex: bancos, operadoras de carto de crdito.
11 Plano de Continuidade de Negcios: necessrio para a preparao do plano que visa

estruturar o modo como a organizao enfrentar um evento catastrfico. Para que no
ocorra um impacto significativo ao negcio necessria a realizao do processo de
gesto de riscos.
11 Plano de resposta a incidentes: para que a organizao possa ter seu plano de res-
postas a incidentes necessrio o conhecimento de seus riscos e vulnerabilidades.
De modo geral, o entendimento dos propsitos da implantao da gesto de riscos possibi-

lita uma viso da importncia desta atividade para os negcios da organizao. Na norma
ABNT NBR ISO/IEC 27005 o propsito faz parte das diretrizes para implementao da ativi-
dade de definio do contexto: vide 7.1 Consideraes gerais.
Itens para identificao

Ao analisar o ambiente da organizao, a equipe de analistas deve identificar os elementos
Tabela 2.1
que caracterizam a organizao e contribuem para o seu desenvolvimento. Na anlise da Itens para anlise
organizao devem constar pelo menos os seguintes itens: da organizao.
Itens para identificao Exemplo de questionamentos
Propsito principal da
Qual a finalidade da empresa? Quais seus objetivos?
organizao
O negcio Qual o seu negcio? Qual a finalidade do que produzido / desenvolvido?
A misso Qual a sua misso? Para que ela existe? O que ela se prope a fazer? Para quem?
24
Itens para identificao Exemplo de questionamentos
A viso de futuro Qual sua viso de futuro? O que se espera dela no tempo?
Os valores Quais os seus valores? Como eles so evidenciados?
Como ela est organizada e estruturada? E a segurana das informaes?

A estrutura organizacional
E as responsabilidades pela segurana?
Qual o seu organograma? Quem quem e em que setor trabalha?

O organograma
H rea de segurana da informao?
As estratgias Quais so as suas principais estratgias de negcios? E de segurana da informao?
Os produtos Quais so os seus produtos? Qual o principal produto de alavancagem dos negcios?
Quem so seus parceiros? Como so escolhidos? Como contribuem? Como o

Os parceiros relacionamento da segurana da informao com eles? Quais as obrigaes da
segurana da informao?
Quem so os terceiros? Como so escolhidos? Como contribuem? Como o rela-

Os terceiros cionamento da segurana da informao com eles? Como o contrato? Quais as
obrigaes da segurana da informao?
Como est dividida a organizao? Onde esto os servidores? H algum mecanismo

As instalaes
de preveno de incndio? Como feita a proteo fsica? Como so os acessos?
Como so contratados? H treinamento de segurana da informao?

Os funcionrios
Como so contratados?
Definindo o contexto
Qual a finalidade da sua organizao? Explique.
Qual deve ser um dos propsitos que devem levar a gesto de riscos de segurana da infor-
mao na sua organizao? Justifique.
25
Definindo escopo e limites
11 Escopo descrio dos limites do projeto, sua abrangncia, seus resultados e q
entregas. a finalidade da gesto de riscos.
11 Devem ser considerados:
22 Os objetivos e polticas da organizao.
22 Estrutura e funes da organizao.
22 Processos de negcios.
22 Ativos.
22 Expectativas.
22 Restries.
11 As restries afetam a organizao e determinam o direcionamento da segurana

da informao.
11 Algumas destas restries podem causar impactos no escopo e a equipe tem que
estar preparada para identific-las e determinar a influncia que tero no escopo.
Exemplos de restries:
22 Restries tcnicas.
22 Restries financeiras.
22 Restries ambientais.
22 Restries temporais (tempo um fator determinante).
22 Restries organizacionais.
11 O anexo A da norma ABNT NBR ISO/IEC 27005 apresenta e detalha estas restries.
11 Exemplos de escopo e limites:
22 Uma aplicao de TI.
22 A infraestrutura de TI.
22 Um processo de negcio.
22 O departamento de TI.
22 Uma filial.
22 O sistema de internet banking de uma instituio financeira.
22 O servio de e-mail da organizao.
22 O processo de controle de acesso fsico da organizao.
22 O datacenter da organizao.
22 A infraestrutura que atende aos servios ADSL de uma operadora.
22 O servio de callcenter.
22 O sistema logstico de distribuio de provas de concurso pblico nacional.
22 A intranet da organizao.
Para lidar com a complexidade da definio do escopo, recomendvel escrev-la

por tpicos, tendo a certeza de que todos os pontos foram includos e que no
existem dvidas, principalmente entre o entendimento da equipe de gesto de
riscos e a organizao.
26
importante que a organizao defina o escopo e os limites da gesto de riscos de segurana
da informao. Mas o que escopo?
Escopo a maneira como so descritos os limites do projeto, sua abrangncia, seus resul-
tados e suas entregas. a finalidade, o alvo, o intento ou propsito da gesto de riscos. Se
o escopo for nebuloso, ou deixar margem para interpretao, ser difcil para a equipe de
gesto de riscos identificar os limites do seu trabalho. Portanto, o escopo deve ser claro,
bem definido e entendido pela equipe de trabalho e pela organizao. Desta forma, com
o escopo e os limites identificados, a equipe de anlise e a organizao estaro aptos a
levantar os ativos, pessoas, processos e instalaes que sero envolvidas na atividade de
anlise e avaliao dos riscos.
Ao definir o escopo, a organizao dever levar em conta os objetivos que devem ser alcanados
com a anlise/avaliao (propsitos). Para isso devem ser considerados:
11 Os objetivos e polticas da organizao;
11 Estrutura e funes da organizao;
11 Processos de negcios;
11 Ativos;
11 Expectativas;
11 Restries.
importante considerar as restries que afetam a organizao e determinam o direciona-

mento da segurana da informao. Algumas destas restries podem causar impactos no
escopo, de modo que a equipe precisa estar preparada para identific-las e determinar a
influncia que tero no escopo. Alguns exemplos de restries:
11 Restries tcnicas;
11 Restries financeiras;
11 Restries ambientais;
11 Restries temporais (tempo um fator determinante);
11 Restries organizacionais.
Existem muitas outras restries, que iro variar em funo do tipo ou do negcio da orga-
nizao, assim como tambm ir variar a influncia destas restries na gesto de riscos.
O anexo A da norma ABNT NBR ISO/IEC 27005 apresenta e detalha estas restries, sendo
uma leitura obrigatria para um melhor entendimento. Estes so apenas alguns exemplos
bem objetivos. preciso avaliar a complexidade do escopo e fazer um detalhamento dos
seus objetivos, para que no haja dvida a respeito da sua amplitude.
Definindo o escopo e limites
Quais propsitos devem ser considerados na sua organizao para definio do escopo?
Justifique.
27
Cite uma restrio tcnica e uma restrio organizacional possvel de existir na sua
organizao? Justifique.
Critrios para avaliao de riscos

11 Os critrios fazem parte do mtodo da gesto de riscos. q
11 Os critrios so a forma e o valor (pesos) com que os riscos e impactos sero valorados.
A palavra critrio, do grego kritrion pelo latim critrio, significa estabelecer um padro que
serve de base para que coisas e pessoas possam ser comparadas e julgadas.
Os critrios para avaliao de riscos servem para avaliar os riscos de segurana e

devem considerar:
11 O valor estratgico do processo;
11 A criticidade dos ativos;
11 O histrico de ocorrncias de eventos de segurana;
11 O valor do ativo para o processo;
11 A probabilidade de ocorrncias e outros, de acordo com a organizao e escopo.
Os critrios tambm sero utilizados para definir as prioridades para o tratamento dos riscos.
Exemplo:
Em um ambiente que possui uma sala usada como depsito de papel e com um precrio
sistema de preveno e combate a incndios, o risco de um incndio pode ser ALTO.
No desenvolvimento dos critrios importante que:
1. Definir a quantidade de nveis necessrios para o critrio;
2. Definir o nome do nvel;
3. Definir os valores de cada nvel;
4. Fazer uma descrio detalhada de cada nvel. Colocar o mximo de informaes do que
abrange aquele nvel a fim de permitir que qualquer outra pessoa possa entender cada
nvel do critrio e aplica-lo de forma igualitria e uniforme.
Critrios de impacto
Impacto a mudana adversa no nvel obtido nos objetivos de negcios. Os critrios de
impacto servem para mensurar o montante dos danos ou custos organizao causados
pela ocorrncia de um evento de segurana da informao. Geralmente esto relacionados
a perdas financeiras. Devem considerar, entre outros:
11 O comprometimento das operaes;
11 O descumprimento de prazos;
11 Os danos de reputao e imagem;
28
11 Violaes de requisitos legais e regulatrios;
11 Severidade e criticidade;
11 O comprometimento da confidencialidade, integridade e disponibilidade;
11 Outros, de acordo com a organizao e escopo.
Exemplo
Se na ocorrncia de um incndio os prejuzos foram apenas locais, restritos a uma sala, o
impacto pode ser classificado como BAIXO. Na situao do incndio ter se alastrado, e no
ter sido possvel control-lo, de modo a ter destrudo diversas salas, equipamentos e docu-
mentos importantes, o impacto pode ser classificado como ELEVADO.
Critrios para aceitao do risco

Servem para a organizao definir o seu nvel ou a sua escala de aceitao dos riscos.
Dependem das polticas, metas e objetivos da organizao, sendo definidos com a partici-
pao da alta direo da organizao. Devem considerar:
11 Aspectos legais e regulatrios;
11 Finanas;
11 Aspectos sociais;
11 Repercusso na imagem;
11 Aspectos operacionais;
11 Negcios;
11 Tecnologias.
11 Outros, de acordo com a organizao e planejamento futuro dos negcios.
Exemplo:
A empresa definiu que todo risco MUITO BAIXO que possuir IMPACTO BAIXSSIMO ou que
possa causar perdas financeiras abaixo de R$ 10 mil ser classificado como RISCO ACEITVEL
e no ser tratado com prioridade.
Exemplos de critrios:
Nvel Definio
Frequente > 0,92
Provvel > 0,65 e < = 0,92
Ocasional > 0,39 e < = 0,65

Tabela 2.2 Remoto > 0,15 e < = 0,39

Exemplo de critrio
de probabilidade. Improvvel > = 0 e < =0,15
Valor Definio
1 Apenas na rede local.
Tabela 2.3 2 Restringe-se ao setor, departamento ou gerncia.

Exemplo de critrio
de abrangncia. 3 Atinge parte do site onde est o ativo.
29
Valor Definio
4 As consequncias incidem sobre todo o site/filial onde est o ativo.
5 O ativo tem consequncias sobre toda a organizao.
Nvel de risco Valor Descrio
Extremo 5 De acordo com a organizao
Altssimo 4 De acordo com a organizao
Alto 3 De acordo com a organizao
Mdio 2 De acordo com a organizao
Baixo 1 De acordo com a organizao Figura 2.4

Exemplo de critrio
Irrelevante 0,5 De acordo com a organizao
de nvel de risco.
Outro ponto importante a definio dos critrios (7.2 Critrios bsicos). Os critrios fazem
parte do mtodo com o qual ser feita a gesto de riscos. Em outras palavras, os critrios so a
forma e o valor (pesos) com que sero valorados os riscos e os impactos. Para identificar o maior
ou menor risco, e o mais alto ou mais baixo impacto, preciso definir os critrios. Critrio um
padro que serve de base para que coisas e pessoas possam ser comparadas e julgadas.
A definio de critrios de risco envolve decidir sobre: q

11 A natureza e os tipos de consequncias a serem includos e a forma como sero
medidos.
11 A maneira pela qual as probabilidades sero representadas.
11 O modo como um nvel de risco ser determinado.
11 Os critrios que nortearo a deciso pelo tratamento do risco.
11 Os parmetros para definir quando um risco aceitvel e/ou tolervel.
11 Se as combinaes de riscos sero tomadas em considerao.
Os critrios podem ser baseados em fontes como:
11 Os objetivos acordados do processo;
11 Os critrios identificados no caderno de encargos;
11 As fontes de dados;
11 Critrios geralmente aceitos pela indstria, como nveis de integridade, segurana

(melhores prticas);
11 O apetite de risco da organizao;

11 Os requisitos legais cumpridos pela organizao;
11 Outros atravs de informaes tcnicas de equipamentos especficos ou aplicaes.
Os critrios a serem adotados devem ser determinados em comum acordo entre a equipe
de gesto de riscos e a organizao. Caso a organizao j possua critrios para outros sis-
temas de gesto, estes podero ser adaptados a depender da demanda, facilitando o enten-
dimento dos critrios de gesto de riscos por parte da organizao, pois sero semelhantes
aos j utilizados por outros sistemas de gesto implementados.
30
Nvel de risco Valor Descrio
11No ocorrem leses, mortes na fora de trabalho e/ou de pessoas

externas empresa. Podem ocorrer casos de primeiros socorros ou
tratamento mdico (sem afastamento).
Desprezvel 1
11Sem danos ou com danos insignificantes aos equipamentos e/ou
instalaes.
11Os sistemas de TI ficaram fora de operao por at 5 minutos.
11Leses leves na fora de trabalho, ausncia de leso.

Levemente 11Danos leves aos equipamentos ou instalaes, controlveis e/ou de
2
prejudicial baixo custo de reparo.
11Os sistemas de TI ficaram fora de operao por at 30 minutos.
11Leses de gravidade moderada na fora de trabalho ou em pessoas

externas empresa.
11Leses leves em pessoas externas empresa. Danos severos a
Prejudicial 3 equipamentos e/ou instalaes.
11Os sistemas de TI ficaram fora de operao acima de 30 minutos.
Emisso de nota fiscal por sistema alternativo. Necessidade de recu-
perar backup.
11Provoca morte ou leses graves em uma ou mais pessoas (na fora d

e trabalho e/ou em pessoas externas empresa).
Extremamente 11Danos irreparveis a equipamentos ou instalaes (reparao lenta
5
prejudicial ou impossvel).
11Acionado site alternativo. Perda de dados e informaes. Clientes sem
atendimento total.
Tabela 2.5 Cabe ressaltar que estes exemplos provavelmente no se aplicam a qualquer tipo de
Exemplos de organizao, mas quelas para as quais foram desenvolvidos. Entretanto, fornecem uma
critrios de
impacto. ideia sobre a criao de critrios aplicados s atividades de gesto de riscos. No decorrer
deste curso sero desenvolvidos critrios durante a realizao das atividades.
Definindo os critrios
Que critrios j existem atualmente na sua organizao? Justifique.
Considerando o ambiente da sua organizao, faa a descrio dos nveis baixo e

altssimo da Tabela 2.5? Justifique.
31
Organizao para a gesto de riscos
11 A definio dos papis e responsabilidades importante para o sucesso do processo q
de gesto de riscos.
11 Devem ser definidos:
22 O processo de gesto de risco adequado organizao.
22 As partes interessadas.
22 Os papis e responsabilidades das partes envolvidas, internas e externas organizao.
22 As relaes necessrias entre a organizao, suas partes interessadas e

outros projetos.
22 A cadeia de comunicao e de decises.
22 Os registros que devem ser mantidos.
22 Outros registros que atendam a particularidades especficas de cada tipo

de organizao.
11 Todas estas atividades devem gerar evidncias para a aplicao dos processos de
gesto de riscos.
A definio dos papis e responsabilidades um fator importante para o sucesso do

processo de gesto de riscos. Para tal isto deve estar formalmente definida, comunicada,
documentada e aprovada pelos gestores da alta administrao.
Deve ficar claro para todos os envolvidos que o conjunto destas atividades deve gerar
evidncias que auxiliem para uma aplicao adequada dos processos de gesto de riscos.
Sendo assim, importante que todas as informaes e dados sejam documentados para o
caso de uma futura auditoria.
11 Sesso 7 da norma ABNT NBR ISO/IEC 27005.
11 Sesses 5, 6 e 7 da norma ABNT NBR ISO/IEC 27002.
11 Captulo 5 do livro O risco de TI (Desenvolvendo o processo de governana de risco), de

George Westerman e Richard Hunter: Harvard Business School Press, 2008.
32
Viso geral da atividade
Sero realizadas as atividades necessrias para a Definio do contexto. A figura a seguir
apresenta graficamente a localizao destas atividades no processo de gesto de riscos.
DEFINIO DO CONTEXTO

ANLISE DE RISCOS
AVALIAO DE RISCOS
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
Sim
Figura 2.2
ACEITAO DO RISCO
Atividades para
a Definio do
contexto. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
A realizao desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
27005, do material de apoio fornecido e ainda pela vivncia e experincia em sua organizao.
Para esta atividade, o aluno deve se valer do Anexo A (Descrio da Empresa), que permitir
a criao de uma empresa fictcia ou ainda auxiliar em algumas observaes sobre sua orga-
nizao. A planilha desta atividade composta de perguntas bsicas para o entendimento
do contexto organizacional.
A sequncia das atividades ser:
1. Leitura da Seo 7 e do Anexo A da norma ABNT NBR ISO/IEC 27005;
2. Leitura do Anexo A (Descrio da Empresa) deste caderno de atividades;
3. Explicao e demonstrao pelo instrutor da planilha de anlise de risco.
33
4. Execuo das atividades da planilha:
a. Exerccios da guia Definir Contexto
O objetivo desta atividade , atravs de respostas a algumas perguntas, desenvolver no aluno

o entendimento do que deve ser pensado, planejado e verificado ao definirmos o contexto.
Devem ser respondidas as perguntas que permitiro que a equipe de anlise de risco identi-
fique e compreenda o contexto do ambiente onde ser desenvolvida a anlise.
Para cada tpico devero ser colocadas direita as observaes ou justificativas correspondentes.
S passe para a guia seguinte aps concluir.
b. Exerccios da guia Restries
Esta atividade conduz ao entendimento da importncia da identificao das restries existentes.
Nesta guia sero inseridas as restries aplicveis organizao, de acordo com o Anexo A
da ABNT NBR ISO/IEC 27005.
A coluna Restries apresenta uma lista baseada na norma, cabendo ao aluno escolher as
que se aplicam e escrever a justificativa.
Figura 2.3
Anlise das
restries.
Existem restries que afetam a organizao e restries que afetam o escopo da gesto de riscos.
a. Exerccios da guia Escopo
O objetivo desta atividade , atravs de respostas a algumas perguntas, desenvolver no

aluno o entendimento do que deve ser pensado, planejado e verificado ao definirmos o
escopo e seus limites.
Esta guia apresenta exerccios para que a equipe de anlise tenha um perfeito entendi-
mento do escopo e seus limites. Para cada tpico devero ser colocadas direita as observa-
es correspondentes.

b. Exerccios da guia Critrios
Esta guia apresenta um exerccio para permitir a definio dos critrios que sero traba-
lhados durante toda a anlise de risco.
Aqui a equipe de anlise de risco da organizao onde realizado o trabalho, definir os cri-
trios que conduziro os trabalhos durante todo o processo. importante que estes critrios
sejam factveis e vlidos para o ambiente do escopo da gesto de riscos e para a organizao.
34
Critrios a serem definidos:
11 Probabilidade representa o percentual de chance de um evento ocorrer;
11 Relevncia do ativo importncia do ativo para os negcios/servios da organizao;
11 Severidade das consequncias grau das consequncias sofridas por um ativo em

relao aos servios/negcios (disponibilizados pelo ativo ou que passam por ele) ao ser
atacado ou parar de funcionar;
11 Impacto ndice para mensurar o montante dos danos ou custos organizao causados
pela ocorrncia de um evento de segurana da informao;
11 Critrio de risco define o nvel ou sua escala de aceitao dos riscos e depende das
polticas, metas e objetivos da organizao.
IMPACTO
Nvel Descrio
Desprezvel De acordo com a organizao - DEFINA
Baixo De acordo com a organizao - DEFINA
Significativo De acordo com a organizao - DEFINA
Afetam a imagem da organizao e causam interrupo de 12 horas nos

Importante
Tabela 2.6 negcios. A empresa deixa de funcionar/produzir por 12 horas.
Definio de
critrios. Desastre De acordo com a organizao - DEFINA
Cada critrio composto por nvel e descrio. Para cada um deles a equipe de anlise
dever definir seus critrios.
Para a atividade, as descries que possuem a palavra DEFINA devero ser comple-
tadas pela equipe e alguns nveis podero ser alterados. Os critrios definiro as
demais atividades no decorrer do curso.
5. Verificao e correo pelo instrutor.
Ao concluir o Roteiro de Atividades 2, a equipe de anlise conhecer o ambiente da organi-

zao. O escopo da anlise estar definido, assim como os critrios de anlise que nortearo
todos os trabalhos da gesto de risco.
35
Anexo A Descrio da empresa
A empresa
Com sede na cidade de Braslia, um escritrio comercial situado em Campinas e outro
escritrio no Rio de Janeiro, a KWX Indstria Grfica e Servios LTDA atua no mercado desde
1998. Atualmente conta com aproximadamente 230 funcionrios. Possui equipamentos de
alta tecnologia e o objetivo de produzir e distribuir produtos e servios com padro de quali-
dade internacional, atendendo ao mercado de empresas do setor educacional.
A empresa detm uma pequena fatia do mercado nacional, com um faturamento mdio de R$
45 milhes anuais. Tendo como meta dobrar sua participao de mercado em trs anos,
a KWX planeja a reestruturao de seus processos internos e tambm a reformulao de sua
cultura, visando a Segurana da Informao e a preparao para a certificao ISO 27001.
Atualmente possui a certificao ISO 9001, obtida h dois anos.
Viso
A alta administrao visa aperfeioar a maneira de trabalhar, reduzindo custos e procu-
rando preservar e investir em seu ativo intelectual e parque tecnolgico, trabalhando em
busca da melhoria contnua e da excelncia operacional, para se firmar cada vez mais como
uma marca de sucesso.
A KWX tem como viso ser uma marca de expresso nacional, conquistando o pblico
atravs de produtos inovadores, relaes ticas com parceiros e a comunidade, e a prtica
constante de responsabilidade social, tendo como prioridade a preservao ecolgica.
Apesar de tudo isso, a KWX tambm aposta no fator humano e na satisfao dos seus funcio-
nrios e colaboradores. A satisfao pessoal algo que buscamos oferecer aos nossos funcio-
nrios. Queremos que eles sejam mais que simples trabalhadores, mas que venham para a
KWX com satisfao e orgulho de serem parte desta empresa, afirma o diretor presidente.
Estrutura organizacional
Diretor Presidente
Diretor Administrativo/
Diretor Operacional Diretor Comercial
Financeiro
Gerente de Pesquisa Gerente de

Gerente de Vendas
& Desenvolvimento Recursos Humanos
Coordenao
Gerente de Produo Gerente Financeiro
Atendimento
ao Cliente
Gerente Compras/
Gerente de Logstica Coordenao de
Materiais
Plaejamento
de Produo
Gerente de Manuteno Gerente de Manuteno
Gerente de Marketing
Gerente de Segurana, Gerente de Tecnologia
Sade e Meio Ambiente de Informao
Gerente de Coordenao
Infraestrutura Segurana de Figura 2.4
Corporativa Informao Organograma
da KWX.
36
Diretoria Operacional
Pesquisa e Desenvolvimento
A KWX est sempre em busca de novas tendncias e tecnologias para ser uma referncia no
mercado nacional de cursos apostilados. A elaborao de novos cursos e produtos, alinhada
s tendncias de mercado e a concorrncia, so de vital importncia para o sucesso da
empresa. neste departamento que novas ideias, materiais e produtos so concebidos,
alm de melhorias no processo de fabricao de produtos existentes. Todas as anlises de
novos cursos e apostilas so feitas neste departamento, que o principal capital intelectual
da empresa, por isso devendo ser protegido de todas as formas.
Produo
O planejamento de produo realizado com base nas informaes recebidas pela rea de
atendimento ao cliente, e tambm no histrico de produo dos ltimos dois anos. Para o bom
funcionamento do planejamento, necessria uma grande interao com as reas de atendi-
mento ao cliente, compras, vendas, controle de materiais (almoxarifado) e principalmente com
as reas de cho de fbrica. A rea de planejamento gera uma programao de produo para
os prximos 5 dias, embora essa programao seja revisada e atualizada diariamente.
Almoxarifado
Responsvel pelo recebimento dos materiais, alm do estoque de produtos considerados

essenciais para o funcionamento do processo fabril. Materiais de escritrio tambm ficam
no almoxarifado.
Logstica
rea responsvel por toda a movimentao de produtos dentro e fora da companhia,

definindo a estratgia de distribuio dos produtos para os clientes. Garante que o produto
seja entregue no destino final, dentro dos prazos e especificaes corretos. Controla ainda a
movimentao dos produtos e materiais no cho de fbrica.
Manuteno
Engloba a manuteno eltrica e mecnica. O time da manuteno trabalha durante o

horrio administrativo, com um funcionrio alocado em cada turno para acompanhar e
resolver eventuais problemas no processo de produo. A manuteno tem a responsabili-
dade de manter todas as mquinas em funcionamento, alm da parte eltrica, ar-condicio-
nado, alarmes e catracas da fbrica, cuidando ainda de manutenes preventivas.
Segurana, Sade e Meio Ambiente
A rea de segurana ambiental engloba os seguintes elementos: Sade Ocupacional,

Segurana Patrimonial e Meio Ambiente, alm da integridade dos funcionrios. respon-
svel pelas normas de meio ambiente, pelo relacionamento com rgos ambientais, pela
aplicao de ferramentas e procedimentos de segurana, realizao de mapa de riscos das
reas da empresa, e ainda pela definio e aprovao dos EPIs utilizados pelos funcionrios.
37
Esta rea tambm responsvel pela definio dos treinamentos e da conscientizao dos
funcionrios sobre a importncia de se trabalhar com segurana. , ainda, de responsabili-
dade desta rea a investigao de acidentes e incidentes ocorridos na empresa, e tambm
por tomar aes corretivas para evitar uma nova ocorrncia. Esta uma rea de vital
importncia para a KWX, uma vez que a conformidade com as leis e a proteo ambiental
so prioridades para a organizao. Fortes investimentos foram feitos nesta rea, ajudando
a tornar a KWX uma referncia no aspecto socioambiental.
Diretoria Administrativo-Financeira
Recursos Humanos
Tem a responsabilidade da contratao e demisso de pessoal, organizao de treinamentos

internos e externos, gerenciamento da folha de pagamento, controle de ponto, refeies e
benefcios. Tambm de responsabilidade do RH a pesquisa por mdias salariais de mercado,
programas de promoo de funcionrios e controle do programa de participao nos lucros.
Finanas
Departamento que engloba a parte financeira: tesouraria, rea fiscal, custos, contas a pagar
e a receber, controladoria e ativo fixo. Por se tratar de uma rea de grande sensibilidade
e importncia, a rea financeira suportada por uma srie de sistemas e aplicaes que
garantem o bom funcionamento da empresa e a confiabilidade nos nmeros e planos de
conta apresentados.
Compras e Materiais
Este setor tem a responsabilidade por todo o processo de compras, desde a negociao com
os fornecedores at a compra final dos produtos. Informam preos mdios de mercado a
funcionrios especficos, para que possam fazer uma requisio de compras. Funcionrios
que no sejam da rea de compras no podem ter contato com fornecedores. Os contratos
tambm so negociados pela rea de compras.
Diretoria Comercial
Vendas
rea responsvel por planejar o volume de vendas a realizar no ms, atravs de dados
recebidos do pessoal de planejamento de produo, e tambm encarregada de estimar os
pedidos dos clientes. A rea de vendas responsvel por todo o processo de vendas dos
produtos da empresa, e tambm pelo relacionamento com os clientes, que so as institui-
es de ensino que comercializam a linha KWX. Esta rea tambm fornece o suporte tcnico
aos consumidores finais, alm de informaes para a manuteno do website da empresa.
Marketing
rea responsvel por desenvolver toda a estratgia de comercializao e divulgao dos

produtos da linha KWX. Coordena campanhas publicitrias em diferentes mdias, alm de
desenvolver e manter atualizado o website da companhia.
38
Infraestrutura
Figura 2.5
Planta atual da KWX
fbrica.
39
Figura 2.6
Planta atual da
KWX escritrio
comercial.
O que foi aprendido

11 Descrio do contexto. q
11 Definio do escopo.
11 Identificao das restries.
11 Definio dos critrios.
40
3
objetivos
Compreender o processo de identificao de riscos e identificar ativos, ameaas

e controles existentes.
conceitos
Anlise e identificao de riscos, ameaas e controles.
Introduo
Aps as fases de identificao do contexto e definio do escopo, a prxima fase a de
anlise/avaliao de riscos, composta por duas grandes etapas de trabalho:
11 Anlise de riscos;
11 Avaliao de riscos.
Nesta sesso de aprendizagem, iniciaremos o estudo da etapa de anlise de riscos.
Identificao dos riscos
No seu entendimento o que identificao dos riscos?
Processo de anlise de riscos de segurana da informao

Captulo 3 - Identificao de riscos
A fase de processo anlise de riscos identifica e valora ativos, ameaas e vulnerabili- q

dades, sendo composta pelas seguintes etapas:
11 Identificao de riscos onde so determinados os eventos que podem causar

perdas potenciais.
11 Anlise de riscos onde determinada a probabilidade de ocorrncia dos eventos.
11 Avaliao de riscos ordena os riscos de acordo com os critrios de avaliao estabele-

cidos na definio de contexto.
41
Aps a identificao do contexto e a definio do escopo, com o perfeito entendimento de
todo ambiente, iniciado o processo de anlise/avaliao de riscos de segurana da infor-
mao. Veja em destaque na figura a seguir as atividades no processo de gesto de riscos.
DEFINIO DO CONTEXTO

ANLISE DE RISCOS
AVALIAO DE RISCOS
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
Sim
Figura 3.1
ACEITAO DO RISCO Posio da fase de
anlise de riscos no
processo de gesto
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES de riscos.
Neste captulo sero apresentados os detalhes da identificao de riscos. Recomendamos o

seu acompanhamento com a leitura do item 8.2.1 da norma ABNT NBR ISO/IEC 27005.
11 Realizada para que se possa conhecer e determinar os possveis eventos com poten- q
cial de causar perdas, e fazer o levantamento de como isso pode acontecer.
11 Os resultados desta etapa sero os dados de entrada da etapa de estimativa de riscos.

importante que qualquer organizao identifique as suas fontes de risco, suas causas e
consequncias. A finalidade gerar uma lista abrangente de riscos baseada em eventos que
possuam capacidade de criar, aumentar, evitar, reduzir, acelerar ou atrasar a conquista dos
seus objetivos.
Na fase de anlise de risco, a primeira etapa a identificao de riscos. Esta identificao

realizada para que se possa conhecer e determinar os possveis eventos que tenham um
potencial de causar perdas, assim como levantar de que forma isso pode acontecer. As ativi-
dades de identificao de riscos so as mostradas na figura 3.2:
42
ANLISE DE RISCOS
Figura 3.2
Identificao de AVALIAO DE RISCOS
riscos na fase de
anlise de riscos.
As atividades de identificao de riscos so mostradas na figura abaixo:
Identicao de Riscos
Identicao
dos ativos
Identicao
das ameaas
Identicao dos
controles existentes
Identicao das
vulnerabilidades
Identicao das
consequncias
Figura 3.3
Atividades de
identificao de
Avaliao de Riscos
riscos.
Identificando os ativos
11 Ativo qualquer elemento com valor para a organizao que necessite de proteo. q
22 Entrada: resultados da etapa de definio do escopo.
22 Ao: desenvolvimento da atividade de identificao dos ativos.
11 Nvel de detalhamento que permita o fornecimento de informaes adequadas

e suficientes para a anlise e avaliao de riscos.
11 A primeira informao sobre cada ativo quem o seu responsvel?
11 Identificao de ativos:
22 Ativos primrios.
22 Ativos de suporte e infraestrutura.
43
Identicao de Riscos
Identicao
dos ativos
Identicao
das ameaas
Identicao dos
Identicao das
vulnerabilidades
Identicao das
consequncias
Figura 3.4
Avaliao de Riscos Identificao
dos ativos.
De posse das informaes levantadas durante a fase de definio de contexto, como escopo,
lista de componentes e responsveis, entre outras, inicia-se a identificao dos ativos.
Ativo qualquer elemento de valor para a organizao, isto , qualquer item tangvel
(como hardware) ou intangvel (por exemplo, propriedade intelectual), recurso ou
habilidade que tenha valor ou seja crtico para a existncia da organizao, e que por
consequncia necessite de proteo.
Na atividade de identificao dos ativos:
11 Entrada: contempla os resultados da etapa de definio do escopo.
11 Ao: desenvolvimento da atividade de identificao dos ativos. A identificao dos

ativos deve ser feita em um nvel de detalhamento que permita o fornecimento de infor-
maes adequadas e suficientes para a anlise e avaliao de riscos. Como o processo
define a necessidade de diversas iteraes, o detalhamento pode ser aprofundado em
cada iterao.
11 Sada: lista dos ativos considerados sensveis para a organizao e tambm uma lista dos
negcios relacionados a estes ativos.
Entrada Ao Sada
Escopo
Lista de Componentes Identicao
Responsveis dos ativos Lista de Ativos
Localidade
(8.2.2 da ABNT NBR Lista de negcios
Funo
ISO/IEC 27005)
Estrutura Organizacional Figura 3.5
Misso, Objetivos Identificao
dos ativos.
44
A primeira informao sobre cada ativo quem o seu responsvel?. Este profissional tem
responsabilidade sobre a produo, desenvolvimento, manuteno, utilizao e segurana
do ativo; possui a maioria das informaes sobre o ativo e frequentemente ser a pessoa
mais adequada para determinar o valor do ativo.
Dois tipos de ativos podem ser identificados:
11 Ativos primrios;
11 Ativos de suporte e infraestrutura.
Identificando os ativos primrios

11 Os ativos primrios so processos e atividades de negcios e a informao. q
11 Tipos de ativos primrios:
22 Processos ou subprocessos.
22 Atividades de negcio.
11 A informao primria pode compreender:
22 Informao vital para o exerccio das atividades da organizao.
22 Informao de carter pessoal, como as definidas em leis nacionais de privacidade.
Os ativos primrios so processos e atividades de negcios e as informaes relacionadas.

A melhor forma de identificar estes ativos atravs de entrevistas com um grupo hete-
rogneo de profissionais que represente o processo, como gestores, especialistas nos
sistemas de informao e usurios. importante a participao de representantes de todos
os nveis da organizao.
Normalmente, os ativos primrios so os principais processos e informaes das atividades

includas no escopo. Os ativos primrios podem ser de dois tipos:
11 Processos ou subprocessos e atividades do negcio. Por exemplo:
22 Processos cuja interrupo (mesmo que parcial) impossibilita a organizao de prosseguir

com seu negcio;
22 Processos que contm procedimentos secretos ou que envolvam tecnologia proprietria.
11 A informao primria pode compreender:
22 Informao vital para o exerccio das atividades da organizao;
22 Informao de carter pessoal, como as definidas em leis nacionais sobre privacidade.
Normalmente as informaes para a identificao detalhada dos ativos primrios so

obtidas no nvel gerencial e da alta direo da organizao. Estes ativos sero considerados
sensveis para a organizao. Cabe ressaltar que existiro processos e informaes que no
sero sensveis, mas que frequentemente herdaro controles para a proteo de processos
e informaes sensveis.
45
Identificando os ativos de suporte e infraestrutura
11 Os ativos de suporte e infraestrutura so compostos por: q
22 Elementos fsicos (hardware) que suportam os processos
22 Programas (software) que contribuem para a operao de um sistema
22 Aplicaes de negcios
22 Dispositivos de telecomunicaes (redes)
22 Recursos humanos
22 Instalaes fsicas
22 Estrutura organizacional
11 Normalmente todas as informaes necessrias equipe de anlise de riscos no

sero obtidas numa primeira entrevista.
11 A realizao de outras iteraes e de entrevistas nos nveis gerencial, tcnico e com

usurios, somadas s observaes in loco na organizao permitiro que sejam
obtidas informaes suficientes para a identificao dos ativos.
O anexo B da norma ABNT NBR ISO/IEC 27005 em seu item B.1.2 apresenta em deta-
lhes exemplos de ativos de suporte e infraestrutura.
importante salientar a importncia do detalhamento destas informaes sobre os ativos.

Normalmente todas as informaes necessrias equipe de anlise de riscos no sero
obtidas numa primeira entrevista. A realizao de outras iteraes e de entrevistas nos
nveis gerencial, tcnico e de usurios, somadas s observaes in loco na organizao, per-
mitiro que sejam obtidas informaes suficientes para a identificao dos ativos.
Para a atividade de identificao dos ativos, a equipe de anlise ter como sada uma lista
dos ativos considerados sensveis para a organizao e tambm uma lista dos negcios
relacionados a estes ativos.
Identificando os ativos
Cite dois ativos primrios da sua organizao e justifique.
Cite dois ativos de suporte e infraestrutura da sua organizao e justifique.

46
Identificando as ameaas
11 Ameaa qualquer evento que explore vulnerabilidades, com potencial de causar inci- q
dentes indesejados, que podem resultar em dano para um sistema ou organizao.
11 Na identificao das ameaas so realizadas aes para identificar dentro do escopo

as ameaas existentes na organizao.
22 Entrada: as informaes do histrico e de incidentes passados, das observaes

dos responsveis e usurios dos ativos, e ainda de catlogos externos de ameaas.
22 Ao: identificao das ameaas e suas fontes.
22 Sada: lista de ameaas identificadas por tipo e fonte.
11 Identificao da fonte da ameaa e de seu agente
22 A ameaa tem o potencial de comprometer os ativos e as organizaes e devem

ser identificadas.
22 O agente da ameaa uma entidade com potencial para criar uma ameaa, explo-
rando ou evidenciando alguma vulnerabilidade.
22 O ser humano um dos principais e mais perigosos agentes da ameaa.
22 As ameaas podem ser intencionais, acidentais ou de origem natural e ambiental.
22 Entrevistas, visitas ao local e checklists ajudam nas aes de identificao de ameaas.
11 comum as ameaas afetarem mais de um ativo.
22 Nesses casos, a equipe de anlise deve considerar que as ameaas podem afetar
cada ativo de maneira diferente.
11 importante lembrar o cuidado com os dados e as informaes recebidas, pois tratam

de dados confidenciais e sensveis da organizao e como tal devem ser tratados.
Identicao de Riscos
Identicao
dos ativos
Identicao
das ameaas
Identicao dos
Identicao das
vulnerabilidades
Figura 3.6 Identicao das

Identificao consequncias
das ameaas.
Como foi visto, ameaa qualquer evento que explore vulnerabilidades, com potencial de
causar um incidente indesejado, que pode resultar em dano para um sistema ou organi-
zao. Na atividade de Identificao das Ameaas sero realizadas aes para levantar e
identificar, dentro do escopo estabelecido, as ameaas existentes na organizao.
47
Desta atividade de identificao das ameaas, a equipe de anlise ter como:
11 Entrada: informaes de seu histrico, obtidas de incidentes ocorridos, de observaes

apresentadas pelos responsveis e usurios dos ativos, e ainda informaes coletadas de
catlogos externos de ameaas.
11 Ao: identificao das ameaas e suas fontes. A fonte da ameaa est relacionada ao seu
agente, entidade que pode provocar uma ameaa explorando ou evidenciando alguma
vulnerabilidade. Um dos principais e mais perigosos agentes da ameaa o ser humano.
11 Sada: uma lista de ameaas com a identificao do tipo e da fonte das ameaas.
Entrada Ao Sada
Informaes Identicao
Anlise crtica de incidentes das ameaas Lista de Ameaas
Tipo e fonte Figura 3.7
Informao dos Responsveis (8.2.3 da ABNT NBR das ameaas
Catlogo de ameaas ISO/IEC 27005) Identificao das
ameaas.
As ameaas podem ser intencionais, acidentais ou de origem natural e ambiental. O anexo C

da norma ABNT NBR ISO/IEC 27005 apresenta uma lista com 43 exemplos de ameaas que
abrangem vrios tipos. Neste anexo tambm consta uma tabela com a origem de ameaas
representadas por seres humanos e suas motivaes e consequncias.
As ameaas tm o potencial de comprometer os ativos e as organizaes, e por isso

devem ser identificadas. Durante a atividade de identificao necessria a criao de um
catlogo das ameaas organizao. Neste catlogo deve constar a categoria de ameaa:
se interna (origem dentro da organizao), externa (origem de fora da organizao) ou
interna e externa simultaneamente.
Durante as aes de identificao de ameaas, devero ser realizadas entrevistas, observa-

es no local e checklists, com os nveis gerenciais, tcnicos e tambm com usurios, para
obter o mximo possvel de informaes. Assim podem ser obtidas informaes como:
dados de incidentes ocorridos, quantidade de ocorrncias, aspectos culturais e de ambiente
dos ativos, experincias em ocorrncias anteriores, avaliaes e outras informaes cole-
tadas nas reunies. Todas estas informaes devem ser registradas e compiladas em um
documento para posterior utilizao como evidncias, caso seja necessrio.
comum algumas ameaas afetarem mais de um ativo. Nesses casos a equipe deve ter a
viso de que estas ameaas podem atuar de forma diferente em cada ativo, afetando-os de
maneira diferente.
importante lembrar o cuidado com os dados e as informaes recebidas, pois

tratam de dados confidenciais e sensveis da organizao e como tal devem ser tra-
tados por todos os envolvidos na anlise de riscos.
48
Identificando as ameaas
Utilizando a norma, cite trs ameaas existentes na sua organizao e justifique sua resposta.
Identificando os controles existentes

11 Controle qualquer mecanismo administrativo, fsico ou operacional capaz de tratar q
os riscos da ocorrncia de um incidente de segurana.
11 O objetivo identificar no ambiente do escopo os controles planejados para imple-

mentao e os controles existentes, j implementados e em uso.
22 Entrada: documentaes dos controles j implementados e os planos de imple-

mentao de controle para o tratamento do risco.
22 Ao: identificao dos controles implementados e planejados.
22 Sada: lista de todos os controles existentes e planejados, sua implementao e

status de utilizao.
11 Objetivos da identificao de controles:
22 Evitar custos e retrabalho com duplicao de controles.
22 Assegurar que os controles existentes estejam funcionando de forma adequada e

tratando o risco de forma desejada.
11 Atividades da identificao de controles:
22 Reunies com os responsveis pela segurana da informao.
22 Entrevistas com usurios para identificao dos controles existentes.
22 Analisar de forma crtica a documentao sobre os controles existentes.
22 Realizar questionrios e checklists.
22 Fazer inspees fsicas, visitas e observaes nos locais.
11 Controles complementares podem ser necessrios para o tratamento efetivo do risco.
11 Controles ineficazes ou insuficientes devem ser removidos e substitudos.
11 Controles planejados devem ser avaliados se realmente sero capazes de sanar os

riscos a que se referem quando forem implementados.
49
Identicao de Riscos
Identicao
dos ativos
Identicao
das ameaas
Identicao dos
Figura 3.8
Identicao das Fase de
vulnerabilidades identificao
dos controles
existentes no
Identicao das processo de
consequncias identificao de
riscos.
Controle qualquer mecanismo administrativo, fsico ou operacional capaz de tratar os

riscos da ocorrncia de um incidente de segurana. Exemplos de controles incluem pol-
ticas, procedimentos, estruturas organizacionais, antivrus, patches, fechaduras, extintor e
backups, entre outros.
Na atividade de identificao dos controles existentes o objetivo identificar no ambiente

do escopo os controles que esto planejados para implementao, e os controles j imple-
mentados e em uso corrente. Nesta atividade:
11 Entrada: documentaes dos controles existentes e planos de implementao de con-

trole para tratamento de riscos.
11 Ao: identificao dos controles implementados e planejados.
11 Sada: lista de todos os controles existentes e planejados, sua implementao e

status de utilizao.
Entrada Ao Sada
Identicao dos Lista de Controles

Documentao dos controles controles existentes existentes e planejados Figura 3.9
Identificao
Planos de Implementao (8.2.4 da ABNT NBR Sua implementao
dos controles
ISO/IEC 27005) e status de utilizao
existentes.
Os objetivos desta atividade so evitar retrabalho e custos adicionais com a duplicao de

controles e assegurar que os controles existentes estejam funcionando de forma adequada,
tratando efetivamente o risco. Uma forma de realizar esta atividade analisando relatrios
de auditorias no SGSI, os relatrios de anlise crtica pela direo e os indicadores de efi-
ccia dos controles. Caso estas informaes no estejam disponveis, altamente recomen-
dada a realizao de:
11 Reunies com os responsveis pela segurana da informao;
11 Entrevistas com usurios para levantamento dos controles existentes;
11 Anlise crtica da documentao sobre os controles existentes;
50
11 Questionrios e checklists;
11 Inspees fsicas e visitas aos locais.
Uma observao importante sobre a eficcia e eficincia dos controles existentes e plane-
jados. Um controle pode no atender plenamente e falhar no tratamento do risco. Assim con-
troles complementares podem ser necessrios para o tratamento efetivo do risco. Outro ponto
sobre controles ineficazes ou insuficientes. Nestes casos pode ser necessrio que o controle
seja removido e substitudo por outro. Estes pontos devem constar na anlise dos controles
existentes, realizada pela equipe de anlise. Controles planejados devem ser avaliados se real-
mente sero capazes de sanar os riscos a que se referem quando forem implementados.
11 Sesso 8.1, 8.2.1, 8.2.2 e 8.2.3 da norma ABNT NBR ISO/IEC 27005.
11 Sesso B.1 do anexo B da norma ABNT NBR ISO/IEC 27005.
11 Anexos C e D da norma ABNT NBR ISO/IEC 27005.
51
52
Aps identificar o ambiente, delimitar o escopo e definir os critrios, a equipe de anlise de
risco j est em condies de iniciar a etapa de identificao dos riscos, executando as ativi-
dades necessrias Identificao de riscos: ameaas, ativos e controles existentes.
A figura a seguir apresenta graficamente a localizao destas atividades no processo de

gesto de riscos:
DEFINIO DO CONTEXTO

ANLISE DE RISCOS
AVALIAO DE RISCOS
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
Sim
Figura 3.10
ACEITAO DO RISCO
Atividades do
processo de gesto
de riscos. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
Para esta atividade o aluno deve se valer do Anexo B (Infraestrutura), que permitir o levan-
tamento dos equipamentos, processos, pessoas e tecnologias da empresa KWX.
Sequncia das atividades:
1. Leitura das sees 8.1, 8.2 e ainda B.1 do Anexo A da ABNT NBR ISO/IEC 27005;
2. Leitura do Anexo B (Infraestrutura) deste caderno de atividades;
53
3. Explicao e demonstrao da planilha de anlise de riscos pelo instrutor;
4. Execuo das atividades da planilha:
Na guia Sesso de atividades 3 da Planilha encontram-se trs guias: q

1) A guia Ativos
2) a guia Ameaas
3) a guia Controles Existentes
a. Exerccio da guia Ativos Identificao dos ativos do escopo da anlise de riscos
Neste exerccio a equipe de anlise listar todos os ativos da organizao que estejam
dentro do escopo da anlise de riscos, dividindo-os em dois grupos: Ativos Primrios e
Ativos de Suporte e Infraestrutura. Cada ativo listado dever ser justificado.
Devero ser listados 20 ativos, sendo 10 primrios e 10 de suporte e infraestrutura.
b. Exerccio da guia Ameaas Identificao das ameaas aos ativos.
Com os ativos j identificados e conhecidos a equipe de anlise agora identificar TODAS as

ameaas s quais est sujeito cada um dos ativos levantados.
Para a realizao do exerccio, devero ser listadas apenas duas ameaas para cada ativo,
mas lembre-se de que em uma atividade prtica real todas as ameaas devero ser listadas.
Como meio auxiliar para isso, ser utilizado o Anexo C (Exemplos de ameaas comuns) da
norma ABNT NBR ISO/IEC 27005.
Na nossa planilha, os ativos listados na atividade anterior so copiados automaticamente

para a guia Ameaas, aparecendo ao lado uma lista de ameaas para que sejam selecio-
nadas as ameaas que podem vir a afetar cada ativo. No se esquea de justificar as suas
escolhas. S passe para a guia seguinte aps concluir.
c. Exerccio da guia Controles Existentes Identificao dos controles existentes ou com

implementao planejada.
Com os ativos e ameaas j identificados pela equipe de anlise, a prxima atividade

identificar os controles existentes e os que esto em processo de implementao. Para cada
ameaa identificada e para cada ativo, a equipe de anlise de risco dever identificar se j
existem controles implementados ou que esto planejados para ser implementados. Isto
feito com o objetivo de evitar que estes controles sejam recomendados novamente no futuro.
Neste exerccio devero ser apresentados dois controles para cada ameaa identificada,
CASO EXISTAM. Para cada ativo devem ser identificados pelo menos quatro controles. Na
realidade este nmero pode ser varivel para cada ativo. Estes controles no precisam
necessariamente ser referentes s ameaas listadas na etapa anterior. Se no existir con-

trole implementado ou a ser implementado, basta colocar a resposta No existe.
As respostas das guias anteriores so copiadas para esta guia. Para cada tpico devero ser colo-
cadas direita as justificativas correspondentes. S passe para a guia seguinte aps concluir.
Ao concluir o Roteiro de Atividades 3, a equipe de anlise ter uma listagem contendo os

ativos, as ameaas que afetam ou podem vir a afetar cada ativo e os controles atualmente
existentes ou previstos para serem implementados.
54
Anexo B Infraestrutura
Infraestrutura fsica
A segurana fsica mantida por uma equipe formada por profissionais relacionados
Segurana Patrimonial.
A segurana fsica/patrimonial da KWX contempla os seguintes ativos:
11 Portaria/Guarita: duas catracas para controle de acesso (sem funcionamento), 5 guardas

terceirizados da empresa GuarFull24;
11 Estacionamentos: portes eletrnicos (dois sem funcionar) e cercas eltricas;
11 Data Center: controle de acesso atravs de chaves, sprinklers e racks destrancados;
11 No h sala cofre;
11 Estaes de trabalho sem controles especficos.
Infraestrutura tecnolgica
A rea de TI encontra-se atualmente subordinada ao diretor administrativo-financeiro. tambm
a responsvel pela recm-criada rea de Segurana da Informao. Aloca dois profissionais
em funes multitarefa, que se revezam nas tarefas do dia a dia, como por exemplo help desk,
administrao da rede, criao e excluso de contas de usurio, entre outras.
Ativos de tecnologia
A estrutura suportada pela rea de TI da KWX atualmente composta por:
11 750 usurios com acesso rede e e-mail;
11 800 mquinas (sendo 550 notebooks);
11 25 impressoras;
11 Redes Windows;
11 Redes Linux;
11 1 servidor de e-mail Windows Exchange;
11 6 servidores de arquivos;
11 6 servidores de backup;
11 1 servidor web para suporte ao ambiente de comrcio eletrnico via internet;
11 1 servidor DNS;
11 5 firewalls;
11 3 roteadores para acesso internet (um em cada sede);
11 4 switches core para suporte infraestrutura de acesso internet;

11 1 PABX contendo ramais analgicos e digitais (total de 1200 ramais, sendo 300 com identi-
ficador de chamadas para a fbrica);
11 1 PABX contendo ramais digitais (total de 400 ramais, todos com identificador de cha-
madas para o escritrio);
11 7 salas reunies com rede wireless, videoconferncia e projetor;
11 1 servidor dedicado para o sistema ERP;
11 Servidor de e-mail/antivrus (Linux Debian);
11 Servidor de Proxy (Linux Debian);
55
11 Servidor ADM/Intranet (Windows 2000 Server/IIS);
11 Servidor Unix Criao (AIX 4);
11 10 estaes de trabalho (Windows 2003);
11 35 estaes de trabalho (Windows 8 Professional);
11 20 estaes de trabalho (Windows 7 Professional);
11 15 estaes de trabalho (Macintosh);
11 100 estaes de trabalho rodando Ubuntu 12;
11 10 notebooks (para diretoria, totalmente liberados);
11 6 switch (3 com 12 portas);
11 4 hubs (3 com 24 portas);
11 3 roteador (Cisco);
11 1 Access Point Wirelles (D-Link);
11 Link com internet (1 GB) em cada sede;
11 3 links ADSL de 10 MB inoperantes por falta de uso.
Sistemas de suporte aos negcios

Os seguintes sistemas so suportados pela rea de TI:
11 ERP: controla processos financeiro-contbeis, de fabricao, gerenciamento de

materiais e logstica;
11 Sistemas de RH (folha de pagamento, controle de ponto): terceirizado com um

fornecedor externo;
11 Segurana patrimonial: sistema leitor de crachs para acesso a reas controladas/restritas;
11 Site e-commerce da KWX: site institucional e de comrcio eletrnico B2B para relaciona-
mento com clientes e fornecedores;
11 Intranet: local onde esto contidas as notcias internas da KWX, sua viso e misso, bem
como todas as polticas, procedimentos e regras da empresa;
11 Sistemas de produo: aplicaes especficas de cada uma das reas produtivas que
trabalham de maneira integrada entre si, suportando, assim, os processos de produo
e planejamento da KWX;
11 Sistemas de catracas/acessos: controles dos acessos, bases de dados e logs das catracas,
data center e sala cofre;
11 Sistema de CFTV.
Situao atual da Segurana da Informao na empresa

Subordinada a rea de TI, a rea de Segurana da Informao conta com um profissional

que atua na funo de coordenador de segurana da informao, sendo responsvel pela
elaborao e gerenciamento de polticas e prticas de segurana. Trabalha em conjunto com
o pessoal de TI e tambm executa periodicamente auditorias internas, alm de trabalhos de
conscientizao junto aos funcionrios. O poder de deciso deste profissional no muito
grande, estando ele subordinado ao gerente de TI.
56
Buscando maior competitividade, credibilidade e segurana, a KWX contratou uma equipe
de consultores de segurana de informao. Essa ao foi tomada com base em uma pes-
quisa feita por uma consultoria de mercado realizada junto a outras empresas do mesmo
segmento, motivada pelo objetivo de internacionalizao da marca no futuro. Foi definido,
na contratao, um trabalho de levantamento da atual situao da empresa em termos de
segurana da informao, entendimento dos processos, anlise dos riscos, propostas de
melhorias, tudo isso dentro de um escopo definido com a alta gerncia.
O que foi aprendido

11 Viso geral da identificao de riscos. q
11 Metodologia e atividades para identificar os riscos.
57
58
4
Anlise de riscos: Vulnerabilidades
e consequncias
objetivos
Identificar vulnerabilidades e suas consequncias.
conceitos
Vulnerabilidades e suas consequncias.
Introduo
11 A anlise de risco um processo formal de identificao de ameaas e vulnerabilidades. q
11 A partir da identificao do risco planejado o tratamento necessrio.
11 Identificao dos ativos, ameaas e controles existentes e a implementar.
11 Identificao das vulnerabilidades e consequncias se forem exploradas.
A anlise de risco um processo formal para identificar ameaas e vulnerabilidades, e a partir

desta identificao categorizar o risco envolvido e estabelecer o tratamento adequado.
Na sequncia deste processo, aps o conhecimento do contexto do ambiente onde ser

realizada a anlise de risco, devem ser identificados os ativos, ameaas, alm dos controles
Captulo 4 - Anlise de riscos: Vulnerabilidades e consequncias

existentes e tambm aqueles que precisam ser implementados. O prximo passo identi-
ficar as vulnerabilidades e as consequncias que podem ser provocadas caso as vulnerabili-
dades sejam exploradas.
Esta sesso aborda as atividades de identificao das vulnerabilidades e identificao das

consequncias.
Vulnerabilidades e consequncias
No seu entendimento, o que so vulnerabilidades e consequncias?
59
Processo de anlise de riscos de segurana da informao
Esta etapa de identificao do risco possui cinco atividades, conforme a figura abaixo:
Identicao de Riscos
Identicao
dos ativos
Identicao
das ameaas
Identicao dos
Identicao das
vulnerabilidades
Identicao das
consequncias
Figura 4.1
Identificao das
vulnerabilidades e
Avaliao de Riscos
consequncias.
Cada atividade deve ser executada na sequncia. Estas atividades permitiro, ao final da
etapa, que os riscos tenham sido identificados.
Identificando as vulnerabilidades
11 A atividade de identificao das vulnerabilidades tem por objetivo criar uma lista com q
as vulnerabilidades associadas aos ativos, ameaas e controles.
11 Vulnerabilidade qualquer fraqueza que possa ser explorada e comprometa a segu-

rana de sistemas ou informaes.
22 Entrada: as listas de ameaas conhecidas, de ativos e de controles existentes,

e todas sadas das atividades anteriores.
22 Ao: atividade de identificao das vulnerabilidades que possam ser exploradas

por ameaas e assim comprometer os ativos da organizao.
22 Sada: lista de cenrios de incidentes com suas consequncias associadas aos

ativos e processos do negcio.
11 Durante o desenvolvimento da atividade, as seguintes reas devero ser observadas

para a identificao de vulnerabilidades:
22 Organizao.
22 Processos e procedimentos.
22 Rotinas de gesto e documentao.
22 Recursos humanos (incluindo terceiros e prestadores de servios).
22 Ambiente fsico e instalaes prediais.
60
22 Configurao dos sistemas de informao (incluindo os sistemas operacionais q
e aplicativos).
22 Hardware, software e equipamentos de comunicao.
22 Dependncias de entidades externas.
11 Mtodos proativos:
22 Ferramentas automatizadas de procura e identificao de vulnerabilidades.
22 Avaliao e testes de segurana.
22 Teste de invaso.
22 Anlise crtica de cdigo.
Vulnerabilidade qualquer fraqueza que possa ser explorada e comprometa a segurana

de sistemas ou informaes. uma fragilidade de um ativo ou grupo de ativos que pode ser
explorada para concretizar uma ou mais ameaas.
Identicao de Riscos
Identicao
dos ativos
Identicao
das ameaas
Identicao dos
Identicao das
vulnerabilidades
Figura 4.2 Identicao das

Identificao das consequncias
vulnerabilidades.

A atividade de identificao das vulnerabilidades tem por objetivo criar uma lista com as
vulnerabilidades associadas aos ativos, ameaas e controles. Nesta atividade, a equipe de
anlise ter como:
11 Entrada: listas de ameaas conhecidas, listas de ativos e de controles existentes, alm de

todas as sadas das atividades anteriores.
11 Ao: atividade de identificao das vulnerabilidades que possam ser exploradas por
ameaas com a possibilidade de comprometer os ativos.
11 Sada: lista de cenrios de incidentes com suas consequncias associadas aos ativos e
processos do negcio.
61
Entrada Ao Sada
Lista de vulnerabilidades
associadas aos ativos, s
Identicao das ameaas e aos controles
Lista de ameaas
Vulnerabilidades
Lista de ativos
(8.2.5 da ABNT NBR Lista de vulnerabilidades
Lista de controles existentes ISO/IEC 27005) que no se referem a
Figura 4.3
nenhuma ameaa
Identificao das
identicada
vulnerabilidades.
Na realizao da atividade de identificao de vulnerabilidade, a equipe deve trabalhar

atravs de dois olhares: de fora para dentro e de dentro para fora. No olhar de dentro para
fora, a viso interna, com diversos privilgios, sendo confivel. Que vulnerabilidades
podem existir ou podem ser exploradas? Como os sistemas podem ser comprometidos pelo
pessoal interno?
Na segunda, de fora para dentro, os sistemas tentaro ser comprometidos de fora. O que
pode ser acessado externamente que possa comprometer os ativos e informaes da orga-
nizao? O que pode ser explorado para conferir privilgios no permitidos? Esta a viso
de um atacante que tenta invadir o sistema: endereos IP publicamente roteveis, sistemas
na DMZ (DeMilitarized Zone zona desmilitarizada), interfaces externas do firewall etc. H
diferenas notveis entre estes dois tipos de avaliao de vulnerabilidades.
A equipe de anlise deve ter em mente que a existncia de vulnerabilidades por si s no

produz prejuzos, pois para isso preciso que haja uma ameaa. Mesmo assim necessrio
monitorar a vulnerabilidade, para o caso de identificar mudanas em sua configurao.
Uma boa prtica para esta atividade a equipe de anlise percorrer todas as dependncias
abrangidas pelo escopo e realizar as entrevistas no prprio ambiente de trabalho dos entre-
vistados, facilitando a formulao de questionamentos a partir das observaes no ambiente.
uma forma de observar vulnerabilidades e a partir delas identificar outras. Outra prtica que
pode ser empregada a identificao de vulnerabilidades atravs do uso de mtodos proa-
tivos de testes, apesar do custo mais elevado. Entre os mtodos podem ser citados:
11 Ferramentas automatizadas de procura e identificao de vulnerabilidades:

softwares criados para testes de segurana e descobertas de vulnerabilidades de forma
automtica, gerando relatrios detalhados dos problemas e vulnerabilidades identifi-
cados no sistema. As ferramentas automatizadas so capazes de cruzar informaes,
analis-las e testar as vulnerabilidades encontradas de maneira eficiente. Tais ferra-
mentas tm amadurecido, catalogando em suas bases de conhecimento a maioria das
vulnerabilidades existentes, embora ainda possuam um custo relativamente alto.
11 Avaliao e testes de segurana: avaliao de vulnerabilidade um primeiro passo de

d
verificao de vulnerabilidades. Os resultados e informaes obtidos atravs das avalia-
O anexo D da norma
es sero utilizados para a realizao dos testes. A avaliao verifica vulnerabilidades ABNT NBR ISO/IEC
potenciais e os testes de segurana tentam explor-las. 27005 apresenta uma
lista com diversos
11 Teste de invaso: tem como objetivo a verificao da resistncia do ativo em relao aos exemplos de vulnerabi-
lidades, suas ameaas
mtodos de ataque conhecidos.
relacionadas e mtodos
11 Anlise crtica de cdigo: identificao de vulnerabilidades em cdigos-fonte. para avaliao de
vulnerabilidades
Em resumo, os resultados destes tipos de testes de segurana ajudam na identificao das tcnicas.
vulnerabilidades de um sistema.
62
Identificando vulnerabilidades
Cite trs vulnerabilidades, sob a viso interna, da sua organizao? Justifique.
Cite trs vulnerabilidades, sob a viso de fora para dentro, da sua organizao? Justifique.
Identificao das consequncias

11 Entende-se por consequncia o resultado de um incidente ou evento que pode ter um q
impacto nos objetivos da organizao. Na anlise de riscos uma consequncia pode ser:
22 A perda da eficcia no funcionamento operacional dos sistemas.
22 Instabilidade no funcionamento de sistemas.
22 Condies adversas de operao.
22 Perda de oportunidade de negcios.
22 Imagem e reputao afetadas.
22 Violao de obrigaes regulatrias.
22 Prejuzo financeiro.
22 Perda de dados e informaes.
22 Perda de vidas humanas.

22 Perda de competitividade.
11 Um cenrio nada mais do que a descrio de uma ameaa explorando uma ou mais
vulnerabilidades em um incidente de segurana da informao.
11 Exemplos de consequncias operacionais:
22 Oportunidade perdida.
22 Sade e segurana dos profissionais envolvidos.
22 Tempo de investigao e tempo de reparo.
22 Tempo de trabalho perdido.
22 Custo financeiro para reparar o prejuzo.
22 Imagem e reputao.
63
Identicao de Riscos
Identicao
dos ativos
Identicao
das ameaas
Identicao dos
Identicao das
vulnerabilidades
Identicao das Figura 4.4

consequncias Identificao das
consequncias.
Entende-se por consequncia o resultado de um incidente ou evento que pode ter um

impacto nos objetivos da organizao. Nesta parte da anlise de riscos, uma consequncia
pode ser, por exemplo:
11 A perda da eficcia no funcionamento operacional dos sistemas;
11 Instabilidade no funcionamento de sistemas;
11 Condies adversas de operao;
11 Perda de oportunidade de negcios;
11 Imagem e reputao afetadas;
11 Violao de obrigaes regulatrias;
11 Prejuzo financeiro;
11 Perda de dados e informaes;
11 Perda de vidas humanas;
11 Perda de competitividade,
11 Entre diversas outras, de acordo com os negcios da organizao.
Entrada Ao Sada
Lista de vulnerabilidades
associadas aos ativos, s
Identicao das Lista de cenrios de
ameaas e aos controles
consequncias incidentes e suas
consequncias
Lista de vulnerabilidades (8.2.6 da ABNT NBR associadas aos ativos e
que no se referem a ISO/IEC 27005) processos do negcio Figura 4.5
nenhuma ameaa
identicada Identificao das
consequncias.
Esta atividade visa identificar as consequncias ou prejuzos para a organizao que podem
decorrer de um cenrio de incidentes, fruto das vulnerabilidades identificadas. A configurao
de um cenrio de incidentes considerada uma falha de segurana.
64
Um cenrio nada mais do que a descrio de uma ameaa que explora uma ou mais vulnera-
bilidades em um incidente de segurana da informao, podendo afetar um ou mais ativos ou
apenas parte de um ativo, de acordo com os critrios estabelecidos na Definio do Contexto.
Como exemplos de consequncias operacionais citam-se:
11 Oportunidade perdida;
11 Sade e segurana;
11 Tempo de investigao e tempo de reparo;
11 Tempo de trabalho perdido;
11 Custo financeiro para reparar o prejuzo;
11 Imagem e reputao.
Identificando as consequncias
Apresente uma consequncia para trs vulnerabilidades respondidas nos exerccios de
fixao 1? Justifique.
11 Sesso 8.2.5 e 8.2.6 da ABNT NBR ISO/IEC 27005.
11 Anexo D da ABNT NBR ISO/IEC 27005.
11 Norma Complementar Gesto de Riscos de Segurana da Informao e Comunicaes

GRSIC, do DSIC/GSI/PR: http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf
11 SANS The Top Cyber Security Risks Twenty Critical Security Controls for Effective Cyber
Defense: http://www.sans.org/

11 Security Focus Vulnerabilities: http://www.securityfocus.com/
11 CERT.br Security Related Links: http://www.cert.br/links/
11 CAIS Centro de Atendimento a Incidentes de Segurana

RNP: http://www.rnp.br/cais/alertas/
65
66
Com os ativos, ameaas e controles j levantados e identificados pela equipe de anlise, os
prximos passos so a identificao das vulnerabilidades e as consequncias caso essas
vulnerabilidades sejam exploradas pelos agentes para concretizao das ameaas. Agora
sero realizadas as atividades necessrias para a Anlise de riscos identificao de riscos:
vulnerabilidades e consequncias.

gesto de riscos:
DEFINIO DO CONTEXTO

ANLISE DE RISCOS
AVALIAO DE RISCOS
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
Sim
Figura 4.6
Atividades no
ACEITAO DO RISCO
processo de gesto
Para esta atividade o aluno deve se valer do Anexo C (Problemas relatados e observados)
que permitir o levantamento dos problemas da empresa KWX.
67
1. Leitura das Sees 8.2.1.5, 8.2.1.6 e do Anexo D da ABNT NBR ISO/IEC 27005;
2. Leitura do Anexo C (Problemas relatados e observados) deste caderno de atividades;
3. Explicao e demonstrao da planilha de anlise de risco pelo instrutor;
4. Execuo das atividades da planilha;
Na guia Sesso 4 da Planilha encontram-se dois botes: q

1) Identifique as Vulnerabilidades abre a guia Vulnerabilidades
2) Identifique as Consequncias abre a guia Consequncias
a. Exerccio da guia Vulnerabilidades Identificao das vulnerabilidades no atendidas

pelos controles existentes
Nesta atividade a equipe de anlise identificar e listar as vulnerabilidades existentes para

cada ativo da organizao.
Com os ativos, ameaas e controles j levantados e identificados pela equipe de anlise, a

prxima atividade identificar as vulnerabilidades e fraquezas existentes nestes ativos e
que podem ser exploradas pelos agentes para concretizarem as ameaas. Para cada vulne-
rabilidade deve ser apresentada a evidncia (Justificativa).
Para o exerccio prtico, para cada ativo devem ser identificadas at oito vulnerabilidades,
quatro para cada ameaa identificada. Na realidade este nmero varivel para cada ativo
e para cada ameaa.
Para auxiliar a atividade, o Anexo C deste caderno de atividades apresenta fotografias

tiradas do ambiente da organizao, que revelam diversas vulnerabilidades. Alm disso, na
planilha existe uma guia denominada Vulnerabilidades e Controles. Este material serve
apenas como apoio para a realizao desta atividade.
A planilha permite a edio apenas das clulas de vulnerabilidades e da justificativa.
b. Exerccio da guia Consequncias Identificao das consequncias das vulnerabilidades

levantadas
Nesta atividade a equipe de anlise vai identificar as consequncias para cada vulnerabili-
dade caso ela ocorra. Essas consequncias podem variar para cada tipo de ativo e cada tipo
de ameaa. Para cada consequncia deve ser apresentada a evidncia ( Justificativa).
Para o exerccio, para cada vulnerabilidade identificaremos apenas uma consequncia de

uma lista pr-definida. Essa lista composta por:
11 Perda ou degradao da confidencialidade;
11 Perda ou degradao da integridade;
11 Perda ou degradao da disponibilidade;
11 Perda ou degradao da autenticidade;
11 Prejuzo financeiro por retrabalho;
11 Afeta imagem e reputao.
68
Esta lista apenas para a realizao exerccio. Normalmente estas consequncias so espe-
cficas para cada tipo de organizao. Assim como a quantidade de consequncias para cada
vulnerabilidade tambm um nmero varivel.
As respostas das guias anteriores so copiadas para esta guia.
Ao concluir o Roteiro de Atividades 4, a equipe de anlise ter uma listagem dos ativos,
ameaas que afetam ou podem vir a afetar cada ativo, os controles existentes ou com pre-
viso de implementao, as vulnerabilidades de cada ativo e as consequncias caso estas
vulnerabilidades sejam exploradas pelos agentes da ameaa.
Anexo C Problemas relatados
Situao do ambiente de trabalho no almoxarifado de Braslia.
A conexo entre duas reas da mesma empresa apresenta instabilidade. Os tcnicos j utili-
zaram todas as ferramentas tecnolgicas disponveis, porm no identificaram o motivo da
instabilidade na linha de produo, que no consegue salvar as informaes na base de dados.
69
Vista da parte lateral da sede em Campinas (SP).
Recentemente o departamento de informtica da empresa identificou srios problemas de

instabilidade eltrica em sua rede. A surpresa dos tcnicos que na sala de servidores no
ocorreu nenhum problema. O problema somente aconteceu na rea de estoque da organi-
zao. Os tcnicos esto desconfiados da falta de conhecimento dos operadores do estoque
(fonte: http://www.arqcoop.com/patologias-da-construcao/).
70
A equipe responsvel pela rea de TI da organizao tem sido surpreendida com a falta de
link com a internet. Eles esto buscando o que pode estar ocorrendo uma vez que os fios
que entram no prdio por parte da operadora esto cortados e parte desses fios foi roubada
(fonte: http://brazil.indymedia.org/content/2007/02/373244.shtml).
A contabilidade da organizao e o setor de contas a pagar tiveram problemas na impresso

dos boletos, e o departamento de recursos humanos da organizao no consegue emitir
a folha de pagamento. Aps a anlise na impressora, percebeu-se que no havia problema
com ela, mas o problema ocorria na conexo de rede. Tcnicos esto trabalhando no local
para identificar o motivo. Ultimamente tem ocorrido interrupo na conexo das mquinas
da empresa com o servidor de impresso. Os tcnicos j reinstalaram o software e reini-
cializaram o servio de impresso. Porm, o problema permanece (fonte: http://sfsonline.
wordpress.com/2009/03/08/victor-konder/).
71
J aconteceu do filho do dono da empresa entrar na sala de equipamentos da organizao e
colocar seu pendrive no servidor de banco de dados. Houve uma parada no servio e toda
a linha de produo teve suas atividades interrompidas por duas horas. A equipe tcnica
ainda est pesquisando por que o problema pode ter acontecido e o que pode ser feito para
impedir que se repita.
A equipe responsvel do link de internet da organizao foi surpreendida com a reiniciali-

zao do roteador da operadora aps terem finalizado o chamado para o acerto do mesmo
e o reestabelecimento da conexo com a internet. Ao chegar na sala de equipamentos
perceberam que o rack estava aberto.
72
Aps interrupo na sala de conferncia da organizao durante reunio entre a diretoria e
a presidncia, os tcnicos de TI (terceirizados) foram acionados para identificar o que tinha
ocorrido. Os tcnicos levaram 5 horas para responder diretoria. Por este motivo tiveram
o seu contrato finalizado. E a organizao optou pela contratao de outra empresa para o
fornecimento do suporte de TI.
Este emaranhado de fios atrapalha o bom andamento e a agilidade na soluo de pro-

blemas. A organizao, preocupada com este cenrio, contratou uma firma terceirizada para
resolver o problema.
73
A situao dos equipamentos de energia e telefonia tem se mostrado sem cuidado e os
equipamentos so constantemente encontrados abertos. No existe qualquer controle de
acesso aos equipamentos.
Certa vez, ao chegarem para trabalhar, os funcionrios foram surpreendidos pela queda de
parte do teto por causa das fortes chuvas que ocorreram. A equipe tcnica de redes teve
srios problemas para resolver a conexo dos equipamentos de toda a empresa para que os
mesmos pudessem trabalhar em rede e dar suporte ao restante da organizao.
74
No passado, parte da empresa teve sua estrutura abalada por fortes ventos e chuvas.
A equipe de suporte do provedor de internet da localidade teve sua rede isolada da internet
por todo o perodo em que ocorreram as chuvas na regio.
Tem havido instabilidade na conexo de rede do prdio entre os equipamentos dos dife-
rentes departamentos da empresa e a sala de servidores, ocasionando parada ao longo do
dia nos servios e a insatisfao dos usurios com a rede. O que pode estar gerando esta
instabilidade est sendo avaliado pelos tcnicos responsveis de TI.
75
Foi verificado pela equipe de TI que existem pessoas utilizando os equipamentos da orga-
nizao para jogos eletrnicos durante o expediente, o que vai contra a poltica organiza-
cional. O administrador de sistemas da organizao utiliza o seu perfil para habilitar jogos
durante o perodo de trabalho e passa parte do dia jo-gando. O responsvel de TI est
buscando uma forma de educar o administrador para que evite esta prtica durante o seu
perodo de trabalho
Situao dos cabos no rack do almoxarifado.
76
Viso do cabeamento na parte traseira dos equipamentos do datacenter.
Uma viso na filial da organizao.
No escritrio do diretor encontram-se expostos lembretes das senhas de diversos

sistemas. Segundo este diretor a empresa no tem problemas de segurana. Aqui todo
mundo de confiana.
77
comum encontrar funcionrios utilizando suas tabuletas para acessar jogos durante o
expediente via rede sem fio da organizao.
Situao encontrada em um notebook em uso por gerente.

Situao da documentao dos visitantes na portaria onde o sistema de vigilncia e a

catraca no funcionam h seis meses.
78
Tem sido encontrado um grande nmero de funcionrios utilizando tabuletas e
smartphones para acessar a rede sem fio da empresa.
Depsito de material ao lado do depsito de material inflamvel.
Sala de guarda de documentao de software e sistemas.
79
Foi encontrada uma visitante fotografando a tela de um computador com seu celular.
Infiltrao na sala de servidores em Campinas.

80
Infiltrao na sala de servidores no Rio de Janeiro (fonte: http://estadodeminas.lugarcerto.
com.br/app/noticia/noticias/2008/12/06/interna_noticias,28526/sinais-de-infiltracao.shtml).
O que foi aprendido

11 Viso geral da identificao de riscos. q
11 Metodologia e atividades para identificar vulnerabilidades e consequncias.
81
82
5
Anlise de Riscos:
Avaliao das consequncias
objetivos
Realizar a avaliao das consequncias.
conceitos
Estimativa de riscos, metodologias de estimativa qualitativa e quantitativa, avaliao
das consequncias.
Introduo
Aps a realizao do processo de identificao de riscos, necessrio um processo de atribuir
valores para os ativos, ameaas, vulnerabilidades e consequncias. Isso possibilita colocar os
riscos em ordem de prioridade, para trat-los de acordo com sua urgncia ou criticidade. Estes
valores seguem os mesmos critrios definidos na fase de definio do contexto.
No seu entendimento o que avaliao das consequncias?
Captulo 5 - Anlise de Riscos: Avaliao das consequncias
Viso geral do processo de estimativa de risco

11 A etapa de estimativa de riscos a realizao de uma estimativa de valores para cada q
um dos itens identificados, para uma ordenao do nvel de criticidade do risco e a
sua posterior mitigao.
11 Pode ser realizada com diferentes graus de detalhamento, a depender do risco, do

objetivo da anlise, e das informaes, dados e recursos disponveis.
11 Pode ser qualitativa, quantitativa ou a combinao das duas.
11 Desenvolvida de acordo com os dados identificados nas atividades das etapas anteriores.
83
11 Estimativa de valores para cada um dos itens identificados para que seja possvel q
uma ordenao do nvel de criticidade, do risco e o tratamento posterior para a
mitigao dos riscos.
A anlise de riscos pode ser realizada com diferentes graus de detalhes, dependendo do
risco, do objetivo da anlise, e das informaes, dados e recursos disponveis. Os fatores
que afetam a probabilidade e consequncias devem ser identificados. Esta anlise pode ser
qualitativa, quantitativa ou a combinao das duas, dependendo das circunstncias.
A estimativa de riscos realizada de acordo com os critrios de risco definidos pela equipe
de anlise durante o incio dos trabalhos. importante considerar a interdependncia dos
diferentes riscos e suas fontes.
A figura seguinte apresenta o posicionamento da etapa de estimativa de riscos dentro do

processo de gesto de riscos.
DEFINIO DO CONTEXTO

ANLISE DE RISCOS
AVALIAO DE RISCOS
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
Sim
ACEITAO DO RISCO
Figura 5.1
Etapa de estimativa
Metodologias
Duas metodologias podem ser usadas para a anlise dos riscos: q
11 Anlise qualitativa de riscos.
11 Anlise quantitativa de riscos.
84
Metodologia de anlise qualitativa
11 Estimativa atravs de atributos qualificadores e descritivos que avaliam a intensidade q
das consequncias e a probabilidade de ocorrncia do risco.
11 No so atribudos valores financeiros aos ativos, consequncias e controles, mas

escalas de atributos, atravs de valores descritivos relativos.
11 Estimativa considerada muito subjetiva.
A anlise qualitativa se baseia na avaliao, atravs de atributos qualificadores e descritivos,

da intensidade das consequncias e probabilidade de ocorrncia do risco identificado. Na
metodologia qualitativa, no se atribuem valores financeiros aos ativos, consequncias e
controles, mas so utilizadas escalas de atributos atravs de valores descritivos relativos.
Esta estimativa considerada muito subjetiva, sendo ideal para uma verificao inicial dos
riscos, quando no esto disponveis dados numricos em quantidade suficiente.
Exemplos de uso da anlise qualitativa:
Para Probabilidade:
11 Alta, Mdia e Baixa;
11 Raro, Improvvel, Possvel, Provvel e Quase Certo;
11 Remotamente possvel, Ocasionalmente, Frequentemente, Vrias vezes ao ms;
11 Improvvel, Provvel e Certo;
11 Pequena, Mdia e Grande;
11 Baixa, Mdia, Alta, Muito Alta e Elevada;
11 Improvvel, Remoto, Ocasional, Provvel, Frequente.
Para Consequncias (Impactos):
11 Alto, Mdio e Baixo;
11 Irrelevante, Negligencivel, Marginal, Crtico, Extremo e Catastrfico;
11 Extremo, Alto, Mdio, Baixo e Desprezvel;
11 Grande, Mdio, Pequeno e Irrisrio;
11 Perturbaes muito graves, Graves, Limitadas, Leves e Muito Leves;
Os critrios citados acima so apenas exemplos para uso didtico. O desenvolvi- Captulo 5 - Anlise de Riscos: Avaliao das consequncias
mento destes critrios deve levar em conta o tipo de organizao, suas informaes
e dados existentes. As escalas devem ser construdas e adaptadas para as diferentes
organizaes e riscos a elas associados.
Metodologia de anlise quantitativa

11 Escala de valores numricos para calcular valores numricos para cada um dos com- q
ponentes coletados durante a etapa de identificao de riscos.
11 Estimativa que utiliza dados histricos, exatos e auditveis, sem os quais torna-se falsa.
Na metodologia da anlise quantitativa utilizada uma escala de valores numricos com

objetivo de tentar calcular valores numricos para cada um dos componentes coletados
durante as atividades de identificao de riscos. A abordagem quantitativa adotada
quando h um cenrio que permita definir os valores financeiros, mesmo que aproximados,
85
dos ativos priorizados, assim como dos impactos. Por exemplo, estima-se o valor real de cada
ativo em termos do custo de sua substituio, ou do custo associado perda de produti-
vidade, e outros valores de acordo com o tipo da organizao. Esta mesma maneira para
calcular pode ser empregada para o levantamento estimado do custo dos controles e outros
valores identificados na etapa anterior. A anlise quantitativa deve utilizar dados histricos e
dados exatos e auditveis. Caso no existam tais dados, este tipo de estimativa torna-se falsa.
Exemplos de uso desta anlise quantitativa:
Para Probabilidade:
11 50 %;
11 0,2;
11 0,75
Para Consequncias (Impactos):
11 Valor de substituio do ativo: R$ 12 mil;
l
11 Valor da manuteno do ativo;
11 Custo de implantao do controle;

Complemente seu
11 Valor da multa por no cumprimento do contrato; aprendizado estu-
dando o item 8.3.1 da
11 Prejuzo pelas horas paradas. norma ABNT NBR ISO/
IEC 27005.
Metodologias
Explique as diferenas entre a metodologia qualitativa e a metodologia quantitativa.
Qual a metodologia que melhor se aplica a sua organizao? Justifique.

Estimativa de riscos
11 Realizada aps a etapa de identificao de riscos. q
11 Composta por trs atividades:
22 Avaliao das consequncias.
22 Avaliao da probabilidade dos incidentes.
22 Estimativa do nvel de risco.
86
A etapa de estimativa de riscos realizada logo aps a identificao de riscos, quando j se
possui levantado e identificado, dentro do escopo acordado, os ativos, as ameaas, as vulne-
rabilidades e suas consequncias.
A figura abaixo ilustra, didaticamente, a sequncia das atividades:
Identicao dos Riscos
Anlise dos Riscos
Avaliao das
consequncias
Avaliao da
probabilidade
Determinao do
Nvel de Risco
Figura 5.2
Atividades da
estimativa de
Avaliao de Riscos
riscos.

11 Objetivo de avaliar os impactos sobre os negcios da organizao levando-se em q
conta as consequncias de uma violao da segurana da informao.
11 A ordenao dos ativos pode ser feita de duas formas:
22 Atravs do valor de reposio do ativo.
22 Atravs das consequncias ao negcio.
11 A valorao dos ativos e sua classificao pela criticidade so fatores importantes

para a determinao do impacto de um cenrio de incidente.
22 O incidente pode afetar mais de um ativo, em virtude da interdependncia dos ativos.
11 As consequncias podero ser expressas em funo de critrios financeiros, tcnicos,

humanos, do impacto nos negcios, entre outros critrios.
Captulo 5 - Anlise de Riscos: Avaliao das consequncias

11 Elaborao de lista de consequncias avaliadas referentes a um cenrio de incidente,
em relao aos ativos e critrios de impacto.
Anlise de Riscos
Avaliao das
consequncias
Avaliao da
probabilidade
Figura 5.3 Determinao do

Avaliao das Nvel de Risco
consequncias.
87
A atividade de avaliao das consequncias tem como objetivo avaliar os impactos sobre os
negcios da organizao, levando em conta as consequncias de uma violao da segurana
da informao, como, por exemplo: perda ou degradao da disponibilidade dos ativos,
perda da confidencialidade ou perda da integridade. Para esta avaliao, a equipe de anlise
levar em conta os critrios e fatores definidos e adotar uma das metodologias de estima-
tiva: qualitativa ou quantitativa.
Entrada Ao Sada
Lista de cenrios de Avaliao das

incidentes, incluindo ativos Lista de
consequncias
afetados, vulnerabilidades e consequncias
consequncias para os (8.3.2 da ABNT NBR avaliadas
ISO/IEC 27005) Figura 5.4
ativos e negcios
Avaliao das
consequncias.
11 Entrada: resultados da etapa de identificao dos riscos.
11 Ao: exatamente o desenvolvimento da atividade de avaliao das consequncias sobre

o negcio da organizao.
11 Sada: lista de consequncias referentes a um cenrio de incidente, estando relacionada

aos ativos e critrios de impacto.
Uma das primeiras aes a ordenao dos ativos de acordo com a sua criticidade e impor-
tncia para a realizao dos objetivos de negcio da organizao. possvel realizar isto de
duas formas:
11 Atravs do valor de reposio do ativo: onde se determina o custo financeiro da

recuperao ou reposio do ativo e tambm do valor da informao que ele contenha.
Por exemplo: um servidor de e-mail de uma determinada empresa queimou e tem o seu
custo de reposio estimado em R$ 5 mil. Na metodologia qualitativa o valor ALTO e na
metodologia quantitativa o valor R$ 5 mil.
11 Atravs das consequncias ao negcio: o valor determinado pelo impacto das conse-
quncias nos negcios. Normalmente este valor mais significativo que somente o valor
do ativo. Prosseguindo no exemplo do servidor de e-mail queimado do item anterior,
identificamos que a empresa trabalha com vendas de material esportivo artesanal, e que
suas vendas so realizadas via e-mail, inclusive o processo de pagamento. O servidor
levou cinco dias para ser reposto e configurado, e o proprietrio estima que deixou de
vender aproximadamente R$ 20 mil por cada dia parado. Na metodologia qualitativa o
valor ELEVADO e na metodologia quantitativa o valor de R$ 100 mil (5 dias parado x
R$ 20 mil por dia).
A valorao dos ativos e sua classificao pela criticidade so importantes para a determi-
nao do impacto de um cenrio de incidente, pois o incidente pode ainda afetar mais de
um ativo, em virtude da interdependncia dos ativos. Assim, a avaliao das consequncias

est fortemente relacionada valorao dos ativos. Lembre-se de que as consequncias
podero ser expressas em funo dos critrios monetrios, tcnicos, humanos, do impacto
nos negcios ou outros critrios importantes para a organizao.
11 Sesso 8.3.2 da norma ABNT NBR ISO/IEC 27005.
88
Aps a equipe ter as listagens de ativos, ameaas, vulnerabilidades e consequncias, tem
incio o trabalho de estimativa dos riscos. Aqui a equipe avalia a relevncia dos ativos e a
severidade das consequncias, com as atividades necessrias para a Anlise de risco
estimativa de riscos.

gesto de riscos:
DEFINIO DO CONTEXTO

ANLISE DE RISCOS
AVALIAO DE RISCOS
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
Sim
Figura 5.5
ACEITAO DO RISCO
Atividades do
processo de gesto
Para esta atividade o aluno deve se valer das observaes sobre a empresa KWX.
1. Leitura da Seo 8.3.2 e do Anexo E da ABNT NBR ISO/IEC 27005;
89
Na guia Sesso 5 da planilha encontram-se duas guias: q

1) a guia Aval. Qual. dos Ativos
2) a guia Aval. Qual. da Severidade
a. Exerccio da guia Aval. Qual. dos Ativos Avaliao da relevncia dos ativos
Neste exerccio a equipe de anlise identificar a relevncia de cada ativo para os negcios da
organizao. Para cada relevncia de cada ativo deve ser apresentada a evidncia (Justificativa).
Os critrios de relevncia foram definidos no Roteiro de Atividades 2 e agora sero aplicados.
Para o exerccio, os critrios sero escolhidos de uma lista que apresentar os critrios
anteriormente definidos. A planilha permite a edio apenas das clulas de relevncia
e da justificativa.
b. Atividade da guia Aval. Qual. da Severidade Avaliao da severidade das consequncias.
Nesta atividade a equipe de anlise identificar a severidade de cada consequncia anterior-

mente levantada sobre determinado ativo e sua relevncia para o negcio da organizao.
A resposta ser dada por um dos nveis do critrio Severidade das Consequncias definido
no Roteiro de Atividades 2 na guia de Critrios.
Para cada consequncia a equipe de anlise definir a severidade das consequncias sobre
aquele ativo. Para cada severidade de cada consequncia deve ser apresentada a evidncia
( Justificativa).
Para o exerccio, os critrios sero escolhidos de uma lista que apresentar os critrios
anteriormente definidos.
A planilha permite a edio apenas das clulas de severidade e da justificativa.
Ao concluir o Roteiro de Atividades 5, a equipe de anlise ter uma listagem contendo os

ativos, as ameaas que afetam ou podem vir a afetar cada ativo, os controles existentes ou
com previso de implementao, as vulnerabilidades que existem em cada ativo e as con-
sequncias caso estas vulnerabilidades sejam exploradas pelos agentes da ameaa. J ter
determinado ainda a relevncia de cada ativo para os negcios da organizao e a severi-
dade das consequncias.
O que foi aprendido

11 Metodologias qualitativa e quantitativa. q
11 Como realizar a estimativa dos riscos.
11 Como realizar a avaliao das consequncias.
90
6
Anlise de riscos:
avaliao da probabilidade
objetivos
Realizar a avaliao da probabilidade e determinar o nvel de risco.
conceitos
Probabilidade, avaliao da probabilidade e nvel de risco.
Introduo
Nesta etapa da anlise de risco, que faz parte do processo de anlise de risco, so tratadas
as atividades de identificao das probabilidades de ocorrncia e a determinao do nvel de
risco. Estas duas atividades iro compor a concluso do processo de anlise de risco.
Avaliao da probabilidade
O que probabilidade em um processo de gesto de riscos?
Captulo 6 - Anlise de riscos: avaliao da probabilidade
91
Viso geral do processo de avaliao de risco
Conforme foi visto, o processo de avaliao de risco composto por trs atividades bsicas.
Nesta sesso sero abordadas duas, como mostra a figura abaixo:
Anlise de Riscos
Avaliao das
IDENTIFICAO DE RISCOS consequncias
Avaliao da
ANLISE DE RISCOS
probabilidade
AVALIAO DE RISCOS
Determinao
do Nvel de Risco Figura 6.1
Estimativa e
avaliao de riscos.
Avaliao da probabilidade de ocorrncia de incidentes

11 Avaliao da probabilidade de ocorrncia de incidentes em cada cenrio e seus impactos. q
11 Para a estimativa da probabilidade ser necessrio:
22 Estudo do histrico de ocorrncias de incidentes de segurana.
22 Relatrio de frequncia de ocorrncia das ameaas e dos nveis de possibilidade de

explorao das vulnerabilidades identificadas.
11 Para a estimativa da probabilidade a equipe de anlise dever levar em conta:
22 A experincia passada e as estatsticas histricas aplicveis determinada ameaa.
22 As vulnerabilidades, individualmente e em conjunto.
22 Os controles existentes e a eficincia e eficcia com que reduzem as vulnerabilidades.
11 Metodologias de anlise:
22 Qualitativa
22 Quantitativa
Anlise de Riscos
Avaliao das
consequncias
Avaliao da
probabilidade
Determinao do Figura 6.2

Nvel de Risco Avaliao da
probabilidade.
Aps a identificao dos cenrios de incidentes e da avaliao das consequncias,

necessrio realizar a avaliao da probabilidade de riscos em cada cenrio e dos impactos
correspondentes. Nesta atividade importantssimo o uso do histrico de ocorrncias de
incidentes de segurana.
92
Na atividade de avaliao da probabilidade de incidentes:
11 Entrada: listas de cenrios de incidentes identificados como relevantes na atividade de

avaliao das consequncias.
11 Ao: avaliao da probabilidade de ocorrncia de incidentes de segurana.
11 Sada: probabilidade dos cenrios de incidentes no mtodo quantitativo ou qualitativo.
Entrada Ao Sada
Lista de cenrios de Avaliao da

Figura 6.3 incidentes, incluindo ativos probabilidade Probabilidade
Avaliao da afetados, vulnerabilidades dos cenrios
exploradas e consequncias (8.3.3 da ABNT NBR de incidentes
probabilidade dos ISO/IEC 27005)
incidentes. para os ativos e negcios
Para esta avaliao so usadas metodologias de anlise quantitativa e qualitativa. Para a

equipe estimar a probabilidade necessrio realizar o estudo do histrico de ocorrncias, da
frequncia da ocorrncia das ameaas e da facilidade com que as vulnerabilidades podem ser
exploradas. Como exemplo considere os seguintes depoimentos em entrevistas:
11 Histrico: consta que h cerca de trs anos ocorreu uma indisponibilidade do servidor
por falha de hardware.
11 Frequncia: tem havido falhas de software e travamento do servidor de e-mail, que logo
depois volta a funcionar. Isto j ocorreu umas cinco vezes nos ltimos dois meses.
11 Facilidade: o servidor de e-mail tem ficado na sala do almoxarifado. Assim fica mais fcil
despachar os pedidos. O pessoal acessa diretamente o servidor de e-mail. No se trata
de um ambiente fechado, pois cerca de nove pessoas trabalham ali.
Na estimativa da probabilidade, a equipe de anlise dever considerar a experincia

passada e as estatsticas histricas aplicveis determinada ameaa.
11 Fontes de ameaas intencionais:
22 Motivao para explorar, como conflitos com superiores e insatisfao profissional.
22 Competncias e conhecimento: determinadas vulnerabilidades s podem ser explo-

radas se o atacante tiver elevado conhecimento tcnico; para explorar outras vulnera-
bilidades basta desligar a energia.
22 Conhecimento da vulnerabilidade, pois nem todos conseguem perceber a existncia

da vulnerabilidade, embora alguns j saibam onde a senha guardada.
22 Poder de atrao do ativo: para um atacante motivado em causar um grande prejuzo,

um servidor de e-mail no o bastante; j para outro atacante com objetivo de pro-
vocar pequenos problemas repetidamente, tirar o servidor do ar suficiente.
11 Para as fontes de ameaas acidentais:
22 Proximidade de lugares insalubres e que possam danificar os equipamentos;
22 Eventos climticos como temporais, inundaes e vendavais;
22 Fatores facilitadores, que permitem que um erro humano acidental (como manuseio
por pessoas tecnicamente despreparadas) acarrete em mau funcionamento
(por exemplo, rede eltrica instvel).
As vulnerabilidades devem ser analisadas tanto individualmente quanto em conjunto, assim como
os controles existentes e a eficincia e eficcia com que esto reduzindo as vulnerabilidades.
93
Assim, ao analisar um determinado ativo de acordo com os fatores mencionados, a equipe
de anlise pode ter o seguinte resultado, baseado em duas metodologias de estimativa:
11 Qualitativa: alta probabilidade de ocorrer uma falha de disponibilidade, pois o equipa-

mento est localizado em rea de grande umidade;
11 Quantitativa: probabilidade de 75% de ocorrer uma falha de disponibilidade, pois o equi-

pamento est localizado em uma rea de grande umidade.
Avaliao da probabilidade
Como voc avaliar a probabilidade na sua organizao? Explique.
Determinao do nvel de risco

11 A determinao do nvel de risco uma atividade na qual a equipe de anlise vai men- q
surar o nvel de risco com o uso dos resultados obtidos nas etapas anteriores.
11 Nesta atividade sero conferidos valores para a probabilidade e consequncias do risco.
11 Esta atividade o incio da construo da tabela de anlise dos riscos.
Avaliao das
consequncias
Avaliao da
probabilidade
Determinao
do Nvel de Risco Figura 6.4
Determinao do
nvel do risco.
A determinao do nvel de risco uma atividade na qual a equipe de anlise vai mensurar o
nvel de risco com o uso dos resultados obtidos nas etapas anteriores. Nesta atividade sero
dados valores para a probabilidade e consequncias do risco.
Nesta atividade de determinao do nvel de risco:

11 Entrada: so as listas de cenrios de incidentes identificados com suas consequncias e

probabilidades na atividade de avaliao da probabilidade.
11 Ao: determinao do nvel de risco para todos os incidentes considerados.
11 Sada: uma lista de riscos com nveis de valores.
94
Entrada Ao Sada
Lista de cenrios de incidentes Determinao do

com suas consequncias nvel de risco Lista de riscos com
associadas aos ativos, nveis de valores
Figura 6.5 (8.3.4 da ABNT NBR designados
processos de negcios e suas
Determinao do ISO/IEC 27005)
probabilidades
nvel de risco.
Esta atividade o incio da construo da tabela para analisar os riscos. O item E.2 do
anexo E da norma ABNT NBR ISO/IEC 27005 detalha os mtodos existentes para esta esti-
mativa. A escolha do mtodo ideal fruto do tipo da organizao e de sua estrutura para a
gesto dos riscos.
A equipe de anlise deve escolher o mtodo que melhor atenda s necessidades de negcio
da organizao e que seja facilmente entendido pelos seus integrantes.
Para pensar
Leia atentamente o Anexo E. Aps a leitura, escolha o mtodo que voc considera
que melhor se adaptaria sua organizao. Aps a escolha comece a trabalhar com
este modelo.
11 Anexo E da norma ABNT NBR ISO/IEC 27005.
95
96
Neste roteiro, sero realizadas as atividades necessrias para a Anlise de risco
probabilidade e estimativa de riscos.

gesto de riscos:
DEFINIO DO CONTEXTO

ANLISE DE RISCOS
AVALIAO DE RISCOS
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
Sim
Figura 6.6
Atividades no ACEITAO DO RISCO
processo de gesto
Para esta atividade o aluno deve se valer das observaes da empresa KWX.
1. Leitura das Sees 8.3.2, 8.3.3 e 8.3.4 da ABNT NBR ISO/IEC 27005;
97
Na guia Sesso 6 da planilha encontram-se trs guias: q
1) a guia Aval. Qualitativa Probabilidade
2) a guia Estimativa
3) a guia Res. Estimativa Qualitativa
a. Exerccio da guia Aval. Qualitativa Probabilidade Avaliao da probabilidade
Neste exerccio a equipe de anlise identificar e definir a probabilidade das vulnerabilidades

serem exploradas e das consequncias acontecerem.
Com uma viso mais ampla das vulnerabilidades e consequncias, a equipe definir a
probabilidade de ocorrncia destes eventos. Os critrios de probabilidades foram definidos
durante o Roteiro de Atividades 2 e sero agora aplicados.
Para cada vulnerabilidade a equipe analisar e definir sua probabilidade. Para cada proba-
bilidade de cada vulnerabilidade dos ativos deve ser apresentada a evidncia (Justificativa).
Para o exerccio, os critrios de probabilidade sero escolhidos de uma lista que apresentar
os critrios anteriormente definidos.
A planilha permite a edio apenas das clulas de probabilidade e da justificativa.
b. Exerccio da guia Estimativa Definio das estimativas (pesos).
Neste exerccio a equipe de anlise j conhecer todo o ambiente, seus ativos, vulnerabilidades
e probabilidade de ocorrncia, e assim definir os pesos para a definio e clculo do risco.
A insero de pesos em cada critrio visa facilitar o clculo dos riscos e assim permitir que
sejam ordenados por criticidade.
Os critrios foram definidos no Roteiro de Atividades 2. Agora ser feita apenas a insero
dos pesos em cada critrio. Note que nesta atividade no ser feita nenhuma alterao nos
critrios anteriormente definidos. Caso se identifique a necessidade de alterar os critrios
durante o processo de gesto de risco, ser necessrio voltar para a atividade de critrios e
refaz-la, revisando todo o trabalho a partir da.
Para o exerccio, a guia Estimativa apresenta os critrios anteriormente definidos, acres-

cidos da coluna Peso. Nesta coluna ser colocado o peso definido pela equipe de anlise
de risco a partir de sua viso da organizao. A planilha j apresenta os pesos com valor 0
e a equipe dever substitu-los pelos valores que julgar vlidos. Por exemplo:
11 1, 2, 3, 4 e 5;
11 1, 3, 5,7 e 9;
11 1, 2, 3, 6 e 10;
11 1, 2, 4, 6 e 8.
Estes pesos podem ser alterados para que possam representar a realidade da organizao.
A equipe define estes pesos pela sua experincia com a organizao. Cada valor de peso
deve ter uma justificativa para o seu valor.
Ao lado dos critrios de risco, aparece a pontuao de cada critrio, calculada automatica-
mente a partir dos pesos dados pela equipe, alm da priorizao de tratamento dos riscos
aceita pela equipe.
98
A planilha permite a edio apenas das clulas de peso e de aceitao.
11 Atividade da guia Res. Estimativa Qualitativa Resultado das estimativas.
Nesta atividade a equipe de anlise analisar o resultado das estimativas para identificar se
ela est realmente atendendo as necessidades do negcio da organizao. A equipe deve
analisar detalhadamente os resultados.
Para o exerccio, analise cada resultado e apresente sua justificativa informando se atendem
ou no aos requisitos da organizao. Para facilitar o entendimento, volte para a atividade
anterior e altere os pesos, verificando o que acontece com os resultados.
Na sua viso de analista de riscos, qual resultado atende melhor aos requisitos de negcios?
Analise todos os resultados da estimativa, e em caso de dvida pergunte ao instrutor.
A planilha permite a edio apenas das clulas da justificativa.
Ao concluir o Roteiro de Atividades 6, a equipe de anlise ter uma viso ampla dos resul-
tados da anlise de risco, podendo identificar o impacto de cada consequncia caso as
vulnerabilidades sejam exploradas pelo agente da ameaa.
O que foi aprendido

11 Conceito de probabilidade e estimativa de riscos. q
11 Clculo da probabilidade de um risco ocorrer.
99
100
7
Avaliao de riscos
objetivos
Conceituar, definir e executar a avaliao de riscos.
conceitos
Avaliao de risco.
Introduo
Com os resultados obtidos nas fases anteriores, a equipe de anlise j possui dados sufi-
cientes para iniciar a fase de avaliao de riscos, fase responsvel por ordenar os riscos por
prioridade, de acordo com os critrios de avaliao de riscos definidos.
Este captulo deve ser realizado com consulta norma ABNT NBR ISO/IEC 27005.
Avaliao de riscos
Quais as informaes voc j possui para iniciar a avaliao de riscos? Explique.
Processo de avaliao de riscos de segurana da informao

A fase de avaliao de riscos auxiliar nas decises tendo como base os resultados da anlise de
riscos. Esta fase da gesto de riscos tem por objetivo comparar os nveis de riscos identificados
Captulo 7 - Avaliao de riscos
na fase anterior com os critrios de avaliao e aceitao de riscos. Estes critrios so definidos
durante a definio do contexto e devero estar alinhados aos objetivos da organizao.
Da fase de avaliao de riscos:
11 Entrada: lista de riscos com os nveis de valores e critrios para avaliao de riscos.
11 Ao: comparao do nvel dos riscos com os critrios de avaliao.
11 Sada: lista de riscos ordenados por prioridade, segundo os critrios de avaliao de riscos.
101
DEFINIO DO CONTEXTO

ANLISE DE RISCOS
AVALIAO DE RISCOS
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
Sim
ACEITAO DO RISCO
Figura 7.1
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES Avaliao de riscos.
Avaliao de riscos de segurana da informao

11 Comparao dos riscos estimados com os critrios de avaliao definidos na fase q
de contexto.
22 A organizao dever tomar as decises desta fase com base no nvel de risco aceitvel.
11 importante que a organizao considere tambm:
22 As propriedades da segurana da informao (CIDA):
33 Confidencialidade.
33 Integridade.
33 Disponibilidade.
33 Autenticidade.
22 A importncia do processo de negcios ou da atividade suportada por um deter-

minado ativo ou conjunto de ativos.
22 A agregao de riscos pequenos e mdios que podem resultar em um risco total

significativo, para assim trat-lo.
22 A considerao aos requisitos contratuais, regulatrios e legais.
33 Atividade a ser concluda em conjunto com a organizao, pois somente ela tem
a viso completa dos objetivos estratgicos de seu negcio.
102
Nesta fase as equipes de anlise juntamente com a organizao devem comparar os riscos
estimados (mtodos no Anexo E da norma) com os critrios de avaliao definidos durante
a fase de contexto. A organizao dever tomar as decises desta fase com base no nvel
de risco aceitvel. Porm, fatores como consequncias, probabilidade e confiana tambm
devero ser considerados para melhor orientar as tomadas de deciso.
Durante esta avaliao importante que a organizao considere:
11 As propriedades da segurana da informao (Confidencialidade, Integridade, Disponi-

bilidade, Autenticidade CIDA): se uma destas propriedades no for importante para a
organizao, ela poder considerar como de baixo valor os riscos que provocam vulnera-
bilidades ligadas a esta propriedade, e assim enquadr-los como riscos aceitveis.
11 A importncia do processo de negcios ou da atividade suportada por determinado ativo ou

conjunto de ativos: se um processo ou atividade avaliado pela organizao como de baixa
importncia, os riscos associados a ele devem ser tambm levados menos em considerao
do que os riscos que causam impactos em processos ou atividades mais importantes.
Avaliao de risco
Explique a importncia das propriedades da segurana da informao para a sua organizao?
Outro ponto importante a ser considerado durante a avaliao de riscos a agregao de

vrios riscos considerados riscos pequenos ou mdios para, atravs desta agregao, que
resulta em um risco total bem mais significativo, poder trat-lo adequadamente.
Nesta fase importante que as equipes de anlise avaliem os requisitos contratuais,

regulatrios e legais. Esta atividade deve ser realizada em conjunto com a organizao, pois
somente ela tem a viso completa dos seus objetivos estratgicos de negcio.
Entrada Ao Sada
Avaliao de
Uma lista de riscos com Lista de riscos ordenados
Riscos
nveis de valores e critrios por prioridade segundo
Figura 7.2 para avaliao de riscos (8.4 da ABNT NBR os critrios de avaliao
Fase de avaliao ISO/IEC 27005)
de riscos.
Captulo 7 - Avaliao de riscos
11 Sesso 8.4 da norma ABNT NBR ISO/IEC 27005.
11 Anexo E da norma ABNT NBR ISO/IEC 27005.
11 Item 5.4.4 da norma ABNT NBR ISO 31000.
103
104
Nesta atividade, sero realizadas as atividades necessrias para a Anlise de riscos
avaliao de riscos numa avaliao qualitativa.

gesto de riscos:
DEFINIO DO CONTEXTO

ANLISE DE RISCOS
AVALIAO DE RISCOS
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
Sim
Figura 7.3
ACEITAO DO RISCO
Atividades no
processo de gesto
1. Leitura da Seo 8.4 da ABNT NBR ISO/IEC 27005;
105
Na guia Sesso 7 da Planilha encontram-se duas guias: q
1) a guia Calcular o Risco
2) a guia Avaliar o Risco
a. Exerccio da guia Calcular o Risco Clculo do risco.
Nesta atividade a equipe de anlise ir realizar o clculo do risco.
Com as atividades anteriores j realizadas, o trabalho nesta atividade de acompanha-

mento e anlise dos resultados com a aplicao dos critrios. Para fins de exerccio, a equipe
deve analisar criteriosamente os resultados e verificar se h concordncia com os resultados
de risco apresentados.
Para facilitar a compreenso, volte para as atividades dos Roteiros 5 e 6 e altere suas res-
postas, observando o que acontece com os resultados neste Roteiro 7.
Comente suas impresses sobre os resultados.
Nesta anlise de riscos, qual a quantidade de riscos extremos? E de riscos considerados

Altos? E de riscos Baixos?
A planilha no permite a edio de nenhuma das clulas.
b. Exerccio da guia Avaliar o risco Avaliao do risco.
Aps a equipe de anlise ter calculado o risco e com o conhecimento de todo o ambiente
e de seus problemas, ela dever fazer uma avaliao dos riscos e de seus resultados,
definindo a prioridade de mitigao destes riscos.
Para fins de exerccio, a prioridade ser escolhida da lista definida na guia Estimativa
da Sesso 6. Para cada prioridade definida a equipe de anlise deve apresentar a
evidncia ( Justificativa).
A planilha permite a edio apenas das clulas de Avaliao de risco (prioridade) e da justificativa.

Ao concluir o Roteiro de Atividades 7, a equipe de anlise estar com uma listagem dos
ativos e riscos para cada vulnerabilidade. Esta listagem permite a definio dos maiores
riscos, colocando-os em ordem de prioridade e definindo os controles que devem ser
empregados para trat-los.
O que foi aprendido

11 Compreender o processo de avaliao de riscos. q
11 Realizar a avaliao de riscos.
106
8
Tratamento e aceitao de riscos
objetivos
Conceituar e definir tratamento de riscos; desenvolver e aplicar o plano de tratamento

de riscos; compreender e aplicar as formas de tratamento de riscos; definir o risco
aceitvel e o risco residual; e executar a aceitao de riscos.
conceitos
Tratamento e aceitao de riscos, risco residual e risco aceitvel.
Introduo
O trabalho realizado pela equipe de anlise at este momento foi basicamente de coleta de
informaes, avaliao dos riscos e ordenao dos riscos por prioridade. Mas como tratar
estes riscos? Como selecionar os controles necessrios? Estas dvidas sero sanadas na fase
de tratamento do risco de segurana da informao.
Este captulo deve ser realizado com consulta norma NBR ISO/IEC 27005.
Tratamento e aceitao dos riscos
Como so executados o tratamento e a aceitao de riscos na sua organizao? Explique.
Captulo 8 - Tratamento e aceitao de riscos
Viso geral do processo de tratamento do risco

11 Fase posterior s fases de definio do contexto, anlise de riscos e avaliao de riscos. q
11 Ao final destas trs fases, a equipe faz uma anlise crtica dos resultados e da situ-
ao dos trabalhos desenvolvidos.
11 Se a avaliao for considerada satisfatria, a equipe prossegue em seus trabalhos e

inicia a fase seguinte, de tratamento do risco.
A fase de tratamento de risco realizada aps as fases de definio do contexto, anlise de

riscos e avaliao de riscos. Ao final destas trs fases, a equipe faz uma anlise crtica dos
resultados e verifica a situao dos trabalhos desenvolvidos.
107
Caso esta avaliao seja considerada insatisfatria ou incompleta, a equipe retorna aos traba-
lhos a partir da definio do contexto, buscando solucionar as dvidas que porventura tenham
surgido, ou seja, refaz os trabalhos desde o incio, buscando um aprofundamento maior. Se a
avaliao for considerada satisfatria, a equipe prossegue em seus trabalhos e realiza a fase
seguinte, de tratamento do risco. A figura abaixo apresenta o posicionamento desta fase:
DEFINIO DO CONTEXTO

ANLISE DE RISCOS
AVALIAO DE RISCOS
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
Sim
ACEITAO DO RISCO
Figura 8.1
Tratamento
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES do risco.
No tratamento do risco a equipe de anlise ter como:
11 Entrada: lista de riscos ordenados por prioridade, associados aos cenrios de incidentes.
11 Ao: identificao dos controles para reduzir, reter, evitar ou transferir os riscos e a
definio do plano de tratamento.
11 Sada: plano de tratamento dos riscos e dos riscos residuais. Este plano estar sujeito
aprovao dos gestores da organizao.
Entrada Ao Sada
Tratamento do Risco Plano de tratamento

Lista de riscos ordenados do risco e dos riscos
(9 da ABNT NBR residuais, sujeito a Figura 8.2
por prioridade
ISO/IEC 27005) aprovao Tratamento
do risco.
108
A figura a seguir apresenta as atividades do processo de tratamento do risco.
RESULTADOS
DA AVALIAO
DE RISCOS
AVALIAO
SATISFATRIA
Ponto de Deciso 1
Tratamento do risco
OPES DE TRATAMENTO DO RISCO
AO DE
MODIFICAO RETENO COMPARTILHAMENTO
EVITAR
DO RISCO DO RISCO DO RISCO
O RISCO
RISCOS RESIDUAIS
Figura 8.3
TRATAMENTO
Atividades
SATISFATRIO
do tratamento
do risco. Ponto de Deciso 2
Tratamento do risco
11 O tratamento de risco utilizado para responder aos riscos identificados. q
11 As escolhas e decises tomadas devem levar em conta:
22 A avaliao do tratamento de risco proposto j realizado.
22 A viabilidade tcnica e financeira.
22 A eficcia dos controles.

22 A eficincia do tratamento.
22 Deciso se os nveis de risco residual so tolerveis.
22 As caractersticas do negcio da organizao.
11 A fase de tratamento do risco possui quatro opes, que no so mutuamente exclusivas:
22 Modificao do risco.
22 Reteno do risco.
22 Ao de evitar o risco .
109
11 Para a deciso de remoo de controles, imprescindvel que a equipe tenha noo q
da interdependncia dos ativos e seus controles, para que esta deciso no provoque
a reduo da segurana como um todo.
11 A equipe dever montar um plano de tratamento.
11 O plano aborda os ndices de reduo do risco com a implementao de cada controle,

permitindo aos gestores uma deciso pautada em indicadores e metas bem definidas.
11 Uma forma de identificar os controles seguindo a norma NBR ISO/IEC 27002.
O tratamento de risco utilizado para responder aos riscos identificados. Existem diferentes
opes para tratar e responder ao risco. As escolhas e decises tomadas pela equipe de
anlise, em conjunto com a direo da organizao, devem levar em conta:
11 A avaliao do tratamento de risco proposto j realizado;
11 A viabilidade tcnica e financeira, isto , os custos de implementao do controle;
11 A eficcia dos controles;
11 A eficincia do tratamento;
11 Deciso se os nveis de risco residual so tolerveis;
11 As caractersticas do negcio da organizao (viabilidade econmica).
Aps esta anlise sobre os controles necessrios para o tratamento dos riscos, a equipe
deve selecionar a melhor opo para reduzir o risco a um nvel aceitvel ou ao mnimo
possvel. A fase de tratamento do risco possui quatro opes que no so mutuamente
exclusivas, ou seja, que podem ser combinadas entre si:
11 Modificao do risco;
11 Reteno do risco;
11 Ao de evitar o risco;
Estas opes so definidas pela equipe de anlise levando em conta tudo o que foi identi-
ficado no processo de anlise. Na definio dos controles necessrios, a equipe vai desen-
volvendo uma viso geral de todos os controles, tanto os identificados como necessrios
quanto os identificados como implementados. Desta maneira permite o levantamento dos
controles redundantes e desnecessrios, passveis de remoo.
Para a deciso de remoo de controles, imprescindvel que a equipe tenha uma noo
precisa da interdependncia dos ativos e dos seus controles, para que a deciso no pro-
voque a reduo da segurana como um todo. Durante esta fase, todas as restries levan-
tadas na definio do contexto devero ser levadas em considerao durante o processo de
tratamento do risco.
Aps a deciso do tratamento necessrio, a equipe dever montar um plano de tratamento.

O plano uma ordenao dos riscos e controles a serem implementados de acordo com o
seu grau de impacto nos negcios. Em princpio os riscos de maior impacto devem ser os
primeiros a serem tratados.
Entretanto, pelo custo e pela demora de implementao dos controles para os riscos mais cr-
ticos, pode ser mais interessante comear pelos controles de custo mais baixo e mais rpidos
de serem implementados. Esta pode ser uma boa opo caso se queira apresentar resultados
rpidos para apoiar uma poltica de conscientizao e treinamento em segurana da infor-
mao. Lembre-se, entretanto, de que isto no significa esquecer os demais controles.
110
Uma forma de identificar os controles seguir a norma NBR ISO/IEC 27002.
A aprovao do plano de tratamento cabe aos gestores da organizao. Por isso extrema-
mente importante que o plano aborde os ndices de reduo do risco. A implementao de cada
controle permitir aos gestores uma deciso pautada em indicadores e metas bem definidas.
Selecionar a opo mais adequada de tratamento de riscos envolve equilibrar os custos e os

esforos necessrios de implementao de um lado e do outro, os benefcios decorrentes
levando-se em conta os requisitos legais, regulatrios ou quaisquer outros. importante
que o plano identifique de forma clara a ordem de prioridade em que cada tratamento e
controle deva ser implementado.
Riscos residuais
11 Riscos residuais so aqueles que restam aps a implantao de controles para evitar, q
transferir ou mitigar riscos.
11 Aps a implementao de um controle, pode ser que o risco no tenha sido total-
mente mitigado.
22 Esta diferena o risco residual.
11 Riscos residuais devem ser tratados atravs da implementao de controles.
11 Caso o risco esteja acima do nvel de aceitao de riscos estabelecido pela organi-
zao, pode ser necessria nova iterao.
11 Entre os riscos residuais incluem-se tambm os riscos sem importncia.
Uma vez que a equipe definiu o plano de tratamento, ela precisa determinar os riscos
residuais que restam aps a implementao de controles para evitar, transferir ou mitigar
riscos. Isto , aps a implementao de um determinado controle, possvel que ele no
seja suficiente para mitigar totalmente um risco. A diferena, isto , a possibilidade restante
de ocorrncia do risco, aps a implementao do controle para mitig-lo, caracteriza o risco
residual. Em outras palavras, so os riscos que restam aps a tomada de medidas para
evit-los, transferi-los ou mitig-los.
O risco residual deve ser identificado e tratado atravs da implementao de controles.

Caso determinado risco esteja acima do nvel de aceitao de riscos estabelecido pela orga-
nizao, pode ser necessrio realizar uma nova iterao. Incluem-se tambm como riscos
residuais aqueles sem importncia, ou seja, que precisam ser aceitos.
Modificao do risco
q
11 A modificao ou mitigao do risco a ao de implementar controles para reduzir

os riscos a um nvel aceitvel.
11 Tipos de proteo:
22 Correo.
22 Eliminao.
22 Preveno.
22 Minimizao do impacto.
22 Dissuaso.
22 Deteco.
111
22 Recuperao. q
22 Monitoramento.
22 Conscientizao.
11 Leva em considerao os custos de aquisio, implementao, administrao,

operao, monitoramento e manuteno dos controles em relao ao valor do ativo
que ser protegido.
11 Deve-se evitar a escolha de controles de custos mais elevados que os custos do ativo
ou dos servios gerados com a sua implementao.
11 necessrio ter ateno falsa sensao de segurana.
A forma de tratamento do risco chamada de modificao ou mitigao dos riscos a ao de

implementar controles que busquem reduzir os riscos a um nvel aceitvel pela organizao.
A escolha destes controles deve levar em conta os critrios da organizao para a aceitao
do risco, tais como: requisitos legais, regulatrios, contratuais, culturais e ambientais e
aspectos tcnicos, alm de custos e prazos para a implementao de controles. De forma
geral, a escolha destes controles deve fornecer, quando aplicados e implementados, um ou
mais tipos de proteo:
11 Correo: atividades atravs da implementao de controle realizadas a fim de corrigir

qualquer anormalidade;
11 Eliminao: aplicao de controles com a finalidade de excluir possveis erros e vulne-

rabilidades ou fontes de erros e vulnerabilidades, sem no entanto eliminar o risco mas
apenas reduzindo-o;
11 Preveno: implementao de controles a fim de prevenir e impedir a explorao de

qualquer vulnerabilidade;
11 Minimizao do impacto: implementao de controles que buscam reduzir ou limitar os

danos caso ocorra um incidente de segurana;
11 Dissuaso: ao, atividade ou medida de controle organizada e realizada a fim de fazer

mudar de opinio, inteno ou ideia;
11 Deteco: atividades de implementao de controles realizadas com a finalidade de

descobrir erros ou anormalidades;
11 Recuperao: atividade de implementao de controle realizada a fim de voltar a situ-

ao de normalidade;
11 Monitoramento: atividade de aplicao de controles para acompanhar, observar, acom-

panhar desvios e perceber os sinais de alerta de vulnerabilidades, ameaas e riscos, tudo
com a finalidade de antecipadamente tomar providncias;
11 Conscientizao: aplicao de controles e atividades de ensino que tem como objetivo

orientar sobre a segurana da informao, a fim de que todos os usurios saibam aplicar
os conhecimentos mostrados em sua rotina pessoal e profissional.
Na definio e seleo de controles, a equipe de anlise deve levar em considerao os

custos de aquisio, implementao, administrao, operao, monitoramento e manu-
teno dos controles em relao ao valor do ativo que ser protegido. Isto permitir que se
evite a escolha de controles cujos custos sero mais elevados que o custo do ativo ou dos
servios gerados nele.
112
l A equipe dever ainda estar atenta falsa sensao de segurana. A implementao de
O anexo F da norma alguns controles pode dar a falsa sensao de segurana, pois, devido sua complexidade
ABNT NBR ISO/IEC ou falta de conhecimento do usurio, este pode achar alternativas para burlar os controles,
27005 apresenta em
detalhes as restries ludibriando os esforos dos administradores em proteger a segurana da informao. Nas
que afetam a reduo aes de reduo do risco tambm devem ser consideradas as restries existentes na orga-
do risco.
nizao, que afetaro a escolha e a implementao dos controles.
Reteno do risco
11 A reteno do risco significa correr o risco. q
11 A reteno do risco inclui ainda os riscos no identificados.
11 Deve ser feita de acordo com os critrios para aceitao de riscos estabelecidos
pela organizao.
11 Deciso da alta direo e embasada.
11 Neste caso no necessria a implementao de controles.
11 Deve ser elaborado um registro dos riscos aceitos, com a justificativa da razo de
terem sido aceitos, e a relao dos responsveis pela aprovao da reteno do risco.
A reteno do risco a aceitao do risco de uma perda, ou seja, correr o risco, incluindo
ainda os riscos que no tenham sido identificados. Deve ser feita de acordo com os critrios
de aceitao de riscos definidos pela organizao, neste caso no sendo necessria a imple-
mentao de controles. uma deciso consciente da alta direo e deve bem embasada e
registrada. importante que seja criado um registro dos riscos aceitos, com a justificativa de
seu aceite e a relao dos responsveis pela sua aprovao.
Ao de evitar o risco
11 Eliminao da atividade ou processo gerador do risco atravs de mudanas na forma q
de sua ocorrncia.
11 Quando a equipe de anlise identifica riscos elevados, cujos custos de implemen-

tao de controles excedem os benefcios, possvel decidir que o risco deve ser
totalmente evitado.
11 Aps as mudanas necessrias dever ser feita uma nova iterao de anlise de riscos.
Quando a equipe de anlise identifica riscos extremamente elevados, e os custos para a

implementao de controles excedem os benefcios do prprio servio ou negcio, pos-
svel decidir que o risco deve ser 100% evitado. Isto feito atravs da eliminao da ativi-
dade ou processo, via mudanas na forma de ocorrncia da atividade ou processo passvel
de produzir o risco. Outra forma de evitar o risco atravs da remoo da fonte de risco.
Algumas mudanas podero ser necessrias, aps as quais deve ser realizada nova iterao
de anlise de riscos.
Compartilhamento do risco
O compartilhamento do risco envolve a transferncia ou compartilhamento dos riscos com
uma entidade externa. Uma forma de compartilhamento do risco o uso de seguros que
cubram as consequncias da ocorrncia de um incidente de segurana da informao.
Outra forma de transferncia a utilizao de servios de parceiros (outsourcing) para a gesto

de eventos de segurana da informao. Apesar de ser possvel a transferncia das operaes
com algum risco, a responsabilidade legal pelas consequncias no ser transferida.
113
Tratamento de risco
Qual a forma de tratamento que voc utilizaria para tratar o risco roubo/extravio de
documentos classificados? Justifique.
Qual a forma de tratamento que voc utilizaria para tratar o risco falta constantes de
energia eltrica? Justifique.
Explique a diferena entre risco aceitvel e risco residual.
Viso geral do processo de aceitao do risco

11 Esta fase trata do aceite formal do plano de tratamento pela direo da organizao. q
11 Entrada: plano de tratamento do risco e a anlise do risco residual.
11 Ao: deciso formal de aceitao do plano pela direo da organizao.
Aps a definio do plano de tratamento e este ser julgado satisfatrio, tem incio a fase
de aceitao do risco. Esta fase trata do aceite formal do plano de tratamento pela direo
da organizao.
114
A figura abaixo apresenta a fase de aceitao do risco.
DEFINIO DO CONTEXTO

ANLISE DE RISCOS
AVALIAO DE RISCOS
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
Sim
ACEITAO DO RISCO
Figura 8.4
Aceitao do risco. FIM DA PRIMEIRA OU DAS DEMAIS ITERAES
Nesta fase de tratamento do risco:
11 Entrada: plano de tratamento do risco e a anlise do risco residual.
11 Ao: deciso formal de aceitao do plano pela direo da organizao.
11 Sada: lista de riscos aceitos e uma justificativa para aqueles que no satisfizeram
os critrios definidos.
Aceitando o risco
11 Anlise criteriosa do plano de tratamento de riscos. q

11 Elaborada pela equipe, definir em documento formal os riscos que sero aceitos.
11 Deciso que cabe aos gestores da organizao, pois seus critrios so complexos
e envolvem as estratgias de negcio da organizao.
11 Este documento formal far parte da chamada Declarao de Aplicabilidade, em

que a organizao apresenta os controles no aplicveis e justifica o fato de no
serem contemplados em seu SGSI.
11 Vide norma ABNT NBR ISO/IEC 27001.
115
Nesta fase, a direo da organizao analisar criteriosamente o plano de tratamento de
riscos elaborado pela equipe, definindo em documento formal os riscos que sero aceitos.
A deciso cabe aos gestores da organizao, pois os critrios da deciso so complexos e
envolvem as estratgias de negcio da organizao. Este documento formal far parte da
chamada Declarao de Aplicabilidade, na qual a organizao apresenta os controles que
no so aplicveis e justifica porque eles no sero contemplados em Sistema de Gesto da
Segurana da Informao (SGSI), de acordo com a norma ABNT NBR ISO/IEC 27001.
Lembre-se de que o risco devidamente calculado e tratado um ingrediente

importante do negcio.
Entrada Ao Sada
Plano de tratamento Aceitao do Risco Lista de riscos

do risco e anlise (10 da ABNT NBR aceitos e Figura 8.5
dos riscos residuais ISO/IEC 27005) justicativas Fase de aceitao
do risco.
11 Anexo F da norma ABNT NBR ISO/IEC 27005.
11 Item 5.5 da norma ABNT NBR ISO 31000.

116
Nesta atividade, sero realizadas as atividades necessrias para a Anlise de Risco
tratamento e aceitao de riscos.

gesto de riscos.
DEFINIO DO CONTEXTO

ANLISE DE RISCOS
AVALIAO DE RISCOS
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
Sim
Figura 8.6
ACEITAO DO RISCO
Atividades no
processo de gesto
Para esta atividade o aluno deve se valer das observaes sobre a empresa KWX.
1. Leitura das Sesses 9 e 10 da ABNT NBR ISO/IEC 27005;
117
Na guia Sesso 8 da Planilha encontram-se quatro guias: q
1) a guia Tratamento
2) a guia Controles do Plano
3) a guia Riscos Residuais
4) a guia Aceitao do Risco
a. Exerccio da guia Tratamento Definio de tratamento dos riscos.
Neste exerccio a equipe de anlise definir a forma de tratamento que determinado risco
dever receber. Para isto a equipe de risco escolher uma dentre as formas de tratamento:
11 Modificao do risco;
11 Reteno do risco;
11 Ao de evitar o risco;
Para cada forma de tratamento dos riscos deve ser apresentada a evidncia (Justificativa).
Para o exerccio, as formas de tratamento sero escolhidas de uma lista.
A planilha permite a edio apenas das clulas de tratamento e da justificativa.
b. Exerccio da guia Controles do plano Definio dos controles
Neste exerccio a equipe definir os controles que devem ser implementados para mitigar os
riscos encontrados. Com sua experincia e conhecimento do ambiente, a equipe selecionar
os melhores controles que realmente sero eficazes e eficientes no tratamento dos riscos.
Estes controles fazem parte do Plano de Tratamento dos Riscos, que um dos resultados de
uma anlise de riscos.
A pergunta chave aqui : Quais controles precisam ser aplicados sobre as vulnerabilidades
para mitigar os riscos provocados por elas?
Para o exerccio, devero ser identificados dois controles que permitam a mitigao dos riscos
no menor prazo possvel. Para fins de aprendizagem, recomenda-se iniciar com os controles
da NBR ISO/IEC 27002. Ao final da planilha, a guia Vulnerabilidades e Controles pode ser
usada para auxiliar na definio de alguns controles para certos tipos de vulnerabilidades.
A equipe de anlise neste exerccio dever analisar cada vulnerabilidade e seus riscos e
decidir os melhores controles, apresentando suas justificativas.
A planilha permite a edio apenas das clulas de controles e da justificativa.

c. Exerccio da guia Riscos Residuais Levantamento dos riscos residuais.
Neste exerccio a equipe de anlise identificar e definir os riscos residuais aps a aplicao
dos controles. Esta uma atividade vital, pois permitir que se verifique se os riscos real-
mente diminuram e chegaram at o nvel aceitvel pela organizao.
Alm de verificar os riscos residuais, a equipe dever, caso o risco ainda permanea acima
do nvel aceitvel, propor novos controles ou ainda controles compensatrios, de tal forma
que o nvel de risco seja reduzido o mximo possvel e o mais prximo do aceitvel.
Caso isso no seja possvel, um novo ciclo de anlise de risco dever ser executado.
118
A resposta ser dada por um dos nveis do critrio Severidade das Consequncias definido
na Sesso 2 na guia Critrios.
Para o exerccio, sero preenchidas as seguintes colunas:
1. Existem riscos residuais? para cada risco e os controles implementados a equipe

dever responder (sim ou no);
2. Quais? Descreva a equipe dever informar os riscos e vulnerabilidades que ainda no

foram tratados (riscos residuais);
3. Justificativa/Evidncia a equipe dever apresentar as evidncias do risco residual;
4. Nova severidade caso existam riscos residuais, a equipe dever analis-los e definir a
nova severidade, escolhendo da lista semelhante da Sesso 5. Ao escolher o item da lista,
automaticamente aparece o peso desta severidade na coluna ao lado;
5. Nova probabilidade depois de preenchida a coluna da nova severidade, dever ser preen-
chida a nova probabilidade, escolhendo da lista semelhante ao feito na Sesso 6. Ao escolher
da lista, automaticamente aparece o peso desta probabilidade na coluna ao lado.
Ao preencher estas colunas surgir o novo valor do risco residual. Caso ainda esteja acima
do nvel aceitvel aparecer uma mensagem de erro ao lado.
A planilha permite a edio apenas das clulas das colunas citadas.
d. Exerccio da guia Aceitao do Risco Aceitao dos riscos.
Nesta atividade a equipe de anlise e a organizao, como partes interessadas, conduziro

as atividades necessrias para a aceitao dos riscos.
Esta aceitao um documento formal que informa que o risco ser aceito, uma justifica-
tiva para isso e o responsvel pela tomada da deciso. Normalmente, quem tem o poder
para tomar esta deciso faz parte da alta direo. Esta aceitao somente ser feita para os
riscos que ainda estejam acima do nvel aceitvel.
Para o exerccio sero preenchidas trs colunas:
1. Deciso qual a deciso de aceitao do risco? A escolha deve ser feita a partir de uma
lista de opes;
2. Justificativa justificativa a para tomada da deciso;
3. Responsvel nome do responsvel pela tomada a deciso.
Caso o risco no seja aceito a clula deve ser deixada em branco.

A planilha permite a edio apenas das clulas das colunas citadas.
Ao concluir o Roteiro de Atividades 8, a equipe de anlise ter praticamente terminado a

anlise de risco. Nesta etapa ela ter percorrido todas as atividades da gesto de riscos,
tendo pleno conhecimento dos ativos crticos, suas ameaas e vulnerabilidades, o trata-
mento e os controles que precisam ser implementados e, uma vez implementados, identi-
ficar os riscos residuais que ainda podem existir.
119
Observe a figura no incio de cada Roteiro de Atividades e verifique a execuo de todas as
etapas do processo de gesto de riscos.
O que foi aprendido

11 Conceito de tratamento do risco. q
11 Formas de tratar o risco.
11 Como realizar a aceitao do risco.

120
9
Comunicao e monitoramento
dos riscos
objetivos
Compreender a execuo do processo de comunicao e consulta dos riscos.
conceitos
Comunicao.
Introduo
11 Existem duas fases que se desenvolvem simultaneamente com as demais fases: q
22 Comunicao do risco.
22 Monitoramento e anlise crtica de riscos.
11 Estas duas fases so permanentes durante todo o processo de gesto de riscos.
Durante todo o trabalho da equipe de anlise de riscos, existem duas fases que se desen-
volvem simultaneamente s demais fases: a comunicao do risco e o monitoramento e
anlise crtica de riscos.
Durante todo e qualquer tipo de trabalho, a comunicao uma atividade de grande

importncia. atravs dela que so transmitidas informaes sobre o desenvolvimento das
atividades e os resultados alcanados.
Captulo 9 - Comunicao e monitoramento dos riscos

Outra fase de suma importncia e que se desenvolve paralelamente a todas as demais fases
a de monitoramento e anlise crtica de riscos. Esta uma fase em que a equipe realiza o
monitoramento e a anlise crtica dos riscos e do seu trabalho. Uma caracterstica destas
duas fases que so permanentes durante todo o processo de gesto de riscos.
Comunicao e consulta dos riscos
Existe algum processo de comunicao na sua organizao? Explique.
121
Processo de comunicao e consulta do risco de segurana
da informao
Comunicao do risco uma troca interativa de informaes, conhecimentos e percep- q
es sobre como os riscos devem ser gerenciados.
11 uma atividade crtica para o sucesso dos trabalhos, realizada entre a equipe envol-
vida e as partes interessadas nas decises do processo de anlise de riscos.
11 Fase que se desenvolve durante todo o processo de anlise de riscos, desde a pri-
meira atividade da equipe de anlise de riscos.
A comunicao e consulta do risco uma fase que se desenvolve durante todo o processo
de anlise de riscos, desde a primeira atividade da equipe de anlise de riscos. Trata-se de
uma troca interativa, documentada formalmente, contnua e intencional, de informa-
es, conhecimentos e percepes sobre como os riscos devem ser gerenciados.
A comunicao realizada entre a equipe envolvida e as partes interessadas nas decises
do processo de anlise de riscos, sendo uma atividade crtica para o sucesso dos trabalhos.
A Figura 9.1 apresenta a fase dentro do contexto do processo de gesto de riscos.
DEFINIO DO CONTEXTO

ANLISE DE RISCOS
AVALIAO DE RISCOS
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
No
PONTO DE DECISO 2
Figura 9.1
Sim Fase de
comunicao e
ACEITAO DO RISCO consulta do risco
no contexto do
processo de gesto
122
Na fase de comunicao e consulta do risco a equipe de anlise e a organizao tero como:
11 Entrada: TODAS as informaes sobre os riscos e atividades desenvolvidas.
11 Ao: troca e/ou compartilhamento destas informaes entre a equipe, o tomador de

deciso e as partes interessadas.
11 Sada: entendimento contnuo do processo de gesto de riscos e dos resultados obtidos.
importante que a comunicao seja executada durante todo o processo de gesto de riscos
para manter as partes interessadas, internas e externas, de forma bidirecional, para que deci-
ses bem informadas possam ser tomadas sobre o nvel de risco e a necessidade de tratamento.
Comunicao e consulta do risco de segurana da informao

11 Deve conter o mximo de detalhes sobre os riscos encontrados, como: q
22 A existncia da ameaa, vulnerabilidade e risco
22 A natureza e a forma de atuao
22 A estimativa de probabilidade
22 Sua severidade e consequncias possveis
22 Tratamento e aceitao dos riscos.
11 A comunicao permite a rpida tomada de deciso para a implementao de con-

troles de risco a fim de evitar maiores danos.
11 Permitir ainda um trabalho de conscientizao sobre a gesto dos riscos e a segu-

rana da informao.
11 A equipe pode contar com um profissional da organizao como ponto focal, cabendo
a ele o acompanhamento dos trabalhos e as aes iniciais de comunicao.
11 A equipe tambm pode realizar reunies regulares de acompanhamento com os ges-

tores da organizao, para apresentao dos resultados obtidos at o momento.
11 Comunicar tambm dar um retorno (status) sobre a gesto dos riscos para a equipe,
para a direo da organizao e demais partes interessadas.
22 A criao de relatrios permite que as informaes reunidas sejam divulgadas e

usadas na tomada de deciso.
As atividades desta fase so executadas durante todo o processo de anlise de riscos,

devendo conter o mximo possvel de detalhes sobre os riscos encontrados, tais como:
11 A existncia da ameaa, vulnerabilidade e risco; Captulo 9 - Comunicao e monitoramento dos riscos
11 A natureza e forma de atuao;
11 A estimativa de probabilidade;
11 Sua severidade e consequncias possveis;
11 Tratamento e aceitao dos riscos.
A comunicao vai permitir o entendimento adequado e a maior agilidade na tomada de

decises para a implementao de mecanismos de controle de riscos, a fim de evitar danos
mais significativos. Alm disso, ir permitir uma melhor percepo dos riscos e dos benef-
cios do seu rpido tratamento, assim como realizar um trabalho de conscientizao sobre a
gesto dos riscos e a segurana da informao.
123
Uma das formas de realizar esta comunicao integrando equipe um profissional da
organizao como ponto focal, cabendo a ele o acompanhamento dos trabalhos e as aes
iniciais de comunicao. Outra forma a equipe realizar regularmente (semanal, quinzenal,
dependendo do escopo da anlise) uma reunio de acompanhamento com os gestores da
organizao e apresentar os resultados at aquele momento.
Comunicao e consulta dos riscos
Durante o processo de anlise de risco, ao identificar uma vulnerabilidade grave e de alto
risco, qual ser a sua atitude com esta informao? Justifique.
Comunicar tambm dar um retorno (status) sobre a gesto dos riscos para a equipe, para
a direo da organizao e todas as partes interessadas. A criao de relatrios uma forma
de comunicao que permite que as informaes reunidas sejam divulgadas e usadas na
tomada de decises.
A seo 11 da norma ABNT NBR ISO/IEC 27005 apresenta outros detalhes da comunicao
do risco.
Entrada Ao Sada
Comunicao
TODAS as informaes do risco Entendimento contnuo
sobre os riscos obtidas (11 da ABNT NBR do precesso de gesto
nas atividades ISO/IEC 27005) de riscos Figura 9.2
Comunicao
do risco.

124
Nesta atividade, sero realizadas as atividades necessrias para a Anlise de risco
comunicao dos riscos.

gesto de riscos:
DEFINIO DO CONTEXTO

ANLISE DE RISCOS
AVALIAO DE RISCOS
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
Sim
Figura 9.3
Atividades no ACEITAO DO RISCO
processo de gesto
1. Leitura da Seo 11 da ABNT NBR ISO/IEC 27005;
125
Na guia Sesso 9 da planilha encontra-se um boto: q
1) Comunicao dos Riscos abre a guia Comunicao dos Riscos
a. Atividade da guia Comunicao dos Riscos Comunicao dos riscos.
Nesta atividade a equipe de anlise realizar as atividades necessrias para a comuni-

cao durante o processo de gesto dos riscos. Esta atividade realizada durante toda a
gesto de riscos. Em cada atividade realizada a equipe dever realizar a comunicao de
uma forma planejada.
Para fins de exerccio, a equipe de anlise de risco responder a uma sequncia de perguntas
que visam mostrar um encadeamento das comunicaes durante toda a gesto de riscos na
organizao, para assim permitir um perfeito entendimento desta importante atividade.
A comunicao permitir orientar e conscientizar sobre a importncia da gesto de riscos.
A planilha permite a edio apenas das clulas azuis.
Ao concluir o Roteiro de Atividades 9, a equipe de anlise ter conhecimento e compreenso

dos procedimentos adotados para realizar a comunicao durante toda a gesto de riscos.
O que foi aprendido

11 Conceito de comunicar os riscos. q
11 O que deve ser comunicado.
11 Como fazer a comunicao dos riscos.

126
10
Monitoramento dos riscos
objetivos
Executar o monitoramento e a anlise de riscos.
conceitos
Monitoramento de riscos e anlise crtica.
Introduo
Paralelamente s etapas da anlise de risco ocorre tambm uma etapa importantssima
para a verificao e controle dos resultados do trabalho: a etapa do Monitoramento.
A execuo desta etapa durante toda a realizao do projeto permitir que a organizao e
a equipe acompanhem a eficincia dos resultados e a eficcia dos controles.
Monitoramento de riscos
Como realizado o monitoramento na sua organizao? Explique.
Processo de monitoramento e anlise crtica de riscos de

Captulo 10 - Monitoramento dos riscos
segurana da informao
11 Monitoramento a observao contnua e o registro regular das atividades q
e aes da gesto de riscos.
11 Processo rotineiro de coleta de informaes da gesto de riscos em todos

os seus aspectos.
11 Monitorar verificar e acompanhar o progresso das atividades da gesto de riscos.
22 uma observao sistemtica, regular e com propsito de verificar o

desenvolvimento da gesto de riscos.
127
11 A anlise crtica uma avaliao geral e criteriosa sobre os resultados e aes da q
gesto de riscos com relao a requisitos pr-estabelecidos.
22 Objetivo da anlise crtica levantar e identificar problemas e pontos de melhoria.
11 A anlise crtica ocorre simultaneamente s demais fases da gesto de riscos.
11 Durante esta fase so executadas duas atividades:
22 Monitoramento e anlise crtica dos fatores de risco.
22 Monitoramento, anlise crtica e melhoria do processo de gesto de riscos.
DEFINIO DO CONTEXTO

ANLISE DE RISCOS
AVALIAO DE RISCOS
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
Sim Figura 10.1
Fase de
ACEITAO DO RISCO monitoramento e
anlise crtica de
riscos no processo
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES da gesto de riscos.
O monitoramento pode ser definido como a observao contnua e o registro regular das
atividades e aes da gesto de riscos. um processo rotineiro de coleta de informaes da
gesto de riscos em todos os seus aspectos. Monitorar verificar e acompanhar o progresso
das atividades da gesto de riscos, ou seja, uma observao sistemtica, regular e com pro-
psito de verificar o desenvolvimento da gesto de riscos.
A anlise crtica uma avaliao geral e criteriosa sobre os resultados e aes da gesto de
riscos com relao a requisitos pr-estabelecidos, com o objetivo de fazer o levantamento e
a identificao de problemas e pontos de melhoria, para com isso solucionar os problemas e
aprimorar continuamente o processo de gesto de riscos.
128
Esta fase ocorre simultaneamente s demais fase da gesto de riscos. Durante todo o
processo de gesto de riscos, a equipe de anlise estar tambm realizando atividades de
monitoramento e anlise crtica, a fim de fazer as correes necessrias o quanto antes.
Durante esta fase so executadas duas atividades:
11 Monitoramento e anlise crtica dos fatores de risco;
11 Monitoramento, anlise crtica e melhoria do processo de gesto de riscos.
Monitoramento e anlise crtica dos fatores de risco

11 O monitoramento a atividade de identificar e de assegurar o controle do risco, q
monitorando riscos residuais e identificando novas ameaas e vulnerabilidades,
assegurando a execuo dos planos de tratamento do risco e avaliando sua eficincia
e eficcia na reduo dos riscos.
11 A equipe deve estar atenta e preparada para lidar com o dinamismo dos riscos e ameaas.
11 O acompanhamento do dinamismo dos riscos e ameaas deve ser feito atravs do

monitoramento dos ativos, vulnerabilidades e probabilidades, para que seja possvel
a rpida identificao de qualquer mudana.
11 A contratao de servios de terceiros para este monitoramento pode representar

um ganho de eficincia no atendimento s novas ameaas que surgirem.
11 O monitoramento deve ser feito para garantir que:
22 O tratamento do risco est sendo implementado conforme planejado.
22 Novos ativos foram includos no escopo da gesto de riscos.
22 Os controles selecionados como de resposta ao risco ainda esto eficazes.
11 O monitoramento deve ser feito ainda para verificar se:
22 As hipteses de cenrios de incidentes e probabilidades ainda so vlidas.
22 Surgiu um novo agente de ameaa capaz de explorar novos riscos.
22 As polticas e procedimentos esto sendo executados de forma adequada.
22 Tem havido incidentes relacionados segurana da informao.
22 Surgiram novos riscos no identificados anteriormente.
22 Surgiram novos riscos que elevaram as consequncias e impactos a um nvel de

risco inaceitvel.
11 A anlise crtica deve ser feita pela alta direo da organizao no nvel estratgico, para
verificar se a gesto de riscos est atendendo aos objetivos de negcio da organizao.
O monitoramento a atividade de identificar e de assegurar o controle do risco, monitorando

Captulo 10 - Monitoramento dos riscos
riscos residuais e identificando novas ameaas, vulnerabilidades e riscos, assegurando a exe-

cuo dos planos de tratamento do risco e avaliando sua eficincia e eficcia na reduo dos
riscos. A equipe deve estar atenta ao dinamismo dos riscos e ameaas. Bons procedimentos
de monitoramento e anlise crtica do risco fornecem informaes que suportam as tomadas
de deciso eficazes em relao ao surgimento de novas ocorrncias dos riscos.
Da atividade de monitoramento e anlise crtica, a equipe de anlise ter como:
11 Entrada: TODAS as informaes sobre os riscos obtidos e atividades desenvolvidas;
11 Ao: a realizao de procedimentos de monitoramento e anlise crtica para a identifi-

cao de eventuais mudanas no contexto e manuteno de uma viso geral dos riscos.
129
11 Sada: o alinhamento contnuo da gesto de riscos com os objetivos de negcios e com os
critrios de aceitao do risco.
O acompanhamento do dinamismo dos riscos e ameaas deve ser feito atravs do monito-
ramento dos ativos, vulnerabilidades, probabilidades, entre outros, para que seja possvel
a rpida identificao de qualquer mudana. Neste tipo de atividade, a contratao de
servios de terceiros para o monitoramento pode representar para a organizao um ganho
de eficincia no atendimento s novas ameaas que surgirem.
Os resultados do monitoramento sero utilizados como dados de entrada para a realizao

de uma anlise crtica, que deve ser feita pela alta direo da organizao no nvel estrat-
gico, para verificar se a gesto de riscos est atendendo aos objetivos de negcio da orga-
nizao. No processo de anlise de riscos, a equipe de anlise deve identificar problemas e
pontos de ateno que necessitam de melhorias.
Entrada Ao Sada
Monitoramento e
anlise crtica dos Alinhamento contnuo da
TODAS as informaes
fatores de risco gesto de riscos com os Figura 10.2
sobre os riscos obtidas
objetivos de negcio e Atividade de
nas atividades (12.1 da ABNT NBR
com os critrios de risco monitoramento e
ISO/IEC 27005)
anlise crtica.
Monitoramento e anlise crtica dos riscos
O que monitoramento e anlise crtica dos riscos? Explique sua finalidade.
Monitoramento, anlise crtica e melhoria do processo de

gesto de riscos
11 Garante que o processo de gesto de riscos atende aos requisitos estratgicos do q
negcio da organizao.
22 Entrada: TODAS as informaes obtidas sobre os riscos e atividades desenvol-

vidas.
22 Ao: monitoramento, anlise crtica e melhoria do processo de gesto de riscos

de segurana da informao.
22 Sada: a garantia permanente da relevncia do processo de gesto de riscos de segu-

rana para os objetivos de negcio da organizao ou a atualizao do processo.
11 Permite que a organizao analise seu processo de gesto de riscos e execute as

melhorias necessrias ao processo.
11 O trabalho da equipe de anlise nesta atividade ter realizado a atividade anterior e

ter passado os resultados para a organizao, para que estes sejam utilizados como
subsdios para o monitoramento, anlise crtica e melhorias do processo de gesto de
riscos para toda a organizao.
130
11 O monitoramento e anlise da organizao permitiro: q
22 A verificao da disponibilidade dos recursos necessrios gesto e tratamento
do risco.
22 A verificao da necessidade de mudanas nos critrios, na metodologia ou nas

ferramentas utilizadas.
Esta atividade tem por objetivo garantir que o processo de gesto de riscos esteja realmente
atendendo aos requisitos estratgicos do negcio da organizao.
Na atividade de monitoramento, anlise crtica e melhoria do processo de gesto de riscos:
11 Entrada: so TODAS as informaes sobre os riscos obtidos e atividades desenvolvidas
11 Ao: monitoramento, anlise crtica e melhoria do processo de gesto de riscos de segu-

rana da informao.
11 Sada: a garantia permanente da relevncia do processo de gesto de riscos de segu-

rana para os objetivos de negcio da organizao ou a atualizao do processo.
Esta atividade permite que a organizao analise seu processo de gesto de riscos e a possi-
bilidade de execuo das melhorias necessrias ao processo. Nesta atividade, o trabalho
da equipe de anlise ter realizado a atividade anterior e ter passado os resultados para
a organizao, para que sejam utilizados como subsdios para o monitoramento, anlise
crtica e melhoria do processo de gesto de riscos, para toda a organizao.
O monitoramento permite que a organizao verifique se todos os recursos necessrios

gesto e tratamento do risco esto disponveis, e tambm a verificao da necessidade de
mudanas nos critrios, na metodologia ou nas ferramentas utilizadas.
Entrada Ao Sada
Figura 10.3 Monitoramento,

Atividade de Anlise crtica Garantia permanente do
monitoramento, TODAS as informaes e Melhoria processo de gesto de
anlise crtica sobre os riscos obtidas do processo riscos para os objetivos
e melhoria do nas atividades de negcios ou atualizao
(12.2 da ABNT NBR
processo de gesto do processo
ISO/IEC 27005)
de riscos.
11 Sesso 12.1 da norma ABNT NBR ISO/IEC 27005.
11 Sesso 12.2 da norma ABNT NBR ISO/IEC 27005. Captulo 10 - Monitoramento dos riscos
131
132
Nesta atividade, sero realizadas as atividades necessrias para a Anlise de risco
monitoramento dos riscos.

gesto de riscos:
DEFINIO DO CONTEXTO

ANLISE DE RISCOS
AVALIAO DE RISCOS
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
Sim
Figura 10.4
ACEITAO DO RISCO
Atividades do
processo de gesto
1. Leitura da Seo 12 da ABNT NBR ISO/IEC 27005;
133
Na guia Sesso 10 da Planilha encontram-se duas guias: q
1) a guia Monitoramento dos Riscos
2) a guia Monitoramento_Melhoria_Processo
a. Exerccio da guia Monitoramento dos Riscos Monitoramento e anlise crtica dos riscos
de segurana da informao.
Neste exerccio, a equipe de anlise realizar as atividades necessrias para o monitora-

mento e anlise crtica dos riscos. Estas atividades na realidade so desenvolvidas desde a
primeira atividade do processo de gesto de riscos.
Esta atividade visa fazer o monitoramento e a anlise crtica dos riscos encontrados.
A equipe est encontrando os riscos? Est deixando de observar alguma coisa?
Para o exerccio, a equipe de anlise de risco responder a uma sequncia de perguntas que
visam mostrar um processo lgico de monitoramento e anlise crtica de riscos durante toda
a gesto de riscos, para permitir um perfeito entendimento desta importante atividade da
organizao. O monitoramento e a anlise crtica de riscos permitiro orientar e aperfeioar
a execuo dos trabalhos da equipe de anlise da gesto de riscos.
b. Exerccio da guia Monitoramento_Melhoria_Processo Monitoramento, anlise crtica e

melhoria do processo de gesto dos riscos.
Neste exerccio, a equipe de anlise realizar juntamente com a organizao as atividades

necessrias para o monitoramento, anlise crtica e melhoria do processo de gesto dos
riscos. Estas atividades so desenvolvidas com o objetivo de identificar se a gesto dos
riscos est sendo eficiente, eficaz e atendendo aos requisitos dos negcios.
Esta atividade visa fazer o monitoramento do processo de gesto dos riscos e a anlise
crtica para a melhoria contnua da gesto dos riscos. O processo de gesto dos riscos est
funcionando? O que necessrio melhorar no processo de gesto dos riscos?
Para o exerccio, a equipe de anlise de risco responder a uma sequncia de perguntas que
visam mostrar um processo lgico do monitoramento, anlise crtica e melhoria do processo
da gesto dos riscos na organizao, visando o aperfeioamento contnuo do processo e das
atividades que o compem.
Ao concluir o Roteiro de Atividades 10, a equipe de anlise ter concludo todo um ciclo da
gesto dos riscos. Os prximos passos sero:
11 A confeco de um relatrio contendo os resultados (ativos, ameaas, vulnerabilidades,

consequncias, impactos e riscos priorizados);
11 Confeco de um plano de tratamento contendo os controles que devem ser implemen-

tados para a mitigao dos riscos.
Observe a guia Grficos_Exemplos na qual constam alguns exemplos de grficos que

podem ser realizados para ilustrar a apresentao dos resultados e servirem de compa-
rao com outras anlises de risco realizadas.
134
importante que todo o trabalho seja feito baseado nas normas de segurana da infor-
mao que formam a base da gesto da segurana da informao.
O que foi aprendido

11 Conceito de monitoramento, anlise crtica e melhoria do processo. q
11 Razes para a realizao do monitoramento.
11 Atividades para realizao do monitoramento.
11 Razes para executar a anlise crtica e a melhoria contnua.
Concluso
Viso geral da gesto de riscos
Neste curso foram vistos todos os aspectos da gesto dos riscos, de acordo com a NBR ISO/
IEC 27005. A figura a seguir apresenta graficamente a localizao destas atividades no pro-
cesso de gesto de riscos.
DEFINIO DO CONTEXTO

ANLISE DE RISCOS
AVALIAO DE RISCOS
Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
Sim
Figura 10.5
ACEITAO DO RISCO
Atividades no
processo de gesto
Os objetivos de proporcionar conhecimento sobre a gesto dos riscos e fornecer um ferra-

mental para a realizao da gesto de riscos foram detalhados e praticados em cada sesso
de aprendizagem deste curso. importante saber que ao realizar um primeiro ciclo de
gesto de riscos, este processo passa a ser cclico e contnuo.
135
A gesto de riscos um processo que sempre ir trazer benefcios para a organizao.
A melhoria das condies de segurana da informao passa obrigatoriamente pelo conheci-
mento das fraquezas e vulnerabilidades que podem ser exploradas para que as ameaas se
concretizem. E, indiscutivelmente, a melhor forma de fazer isso atravs da gesto de riscos.
136
Bibliografia
11 AS/NZS 4360 Gesto de riscos Princpios e diretrizes.
11 BERNSTEIN, Peter L. Desafio aos deuses: a fascinante histria do risco.

23 ed., Editora Campus, 1997.
11 CERIAS The Center for Education and Research in Information Assurance and
Security: http://www.cerias.purdue.edu/ (acesso em julho de 2013).
11 Cert.br Centro de Estudos, Resposta e Tratamento de Incidentes de

Segurana no Brasil: http://www.cert.br/links/ (acesso em julho de 2013).
11 DE CICCO, Francesco; FANTAZZINI, Mario Luiz. Tecnologias consagradas

de gesto de riscos. So Paulo: Risk Tecnologia Editora, 2003.
11 Enterprise Risk Management: Past, Present and Future: http://www.casact.

org/education/erm/2004/handouts/kloman.pdf (acesso em julho de 2013).
11 Interdisciplinary Risk Management:,

http://www.riskinfo.com/rmr/rmrjun05.htm (acesso em julho de 2013).
11 Marcos Smola website Gesto de Riscos da Informao:

http://www.semola.com.br/conceitos.html (acesso em julho de 2013).
11 NBR Guia 73 Gesto de riscos Vocabulrio
11 NBR ISO/IEC 27001 Tecnologia da informao Tcnicas de segurana

Sistemas de gesto de segurana da informao Requisitos.

Cdigo de prtica para a gesto da segurana da informao.

Gesto de riscos de segurana da informao.
11 NBR ISO/IEC 31000 Gesto de riscos Princpios e diretrizes.
11 PELTIER, Thomas R. Information Security Risk Analysis. CRC Press, 2005.
11 SANS The Cyber Security Risks:

http://www.sans.org/top-cyber-security-risks/?ref=top20 (acesso em
julho de 2013).
11 Security Focus Vulnerabilities: http://www.securityfocus.com/

(acesso em julho de 2013).
11 WESTERMAN, George; HUNTER, Richard. O risco de TI. Harvard Business

Bibliografia
School Press, 2008.
137
138
Edson Kowask Bezerra profissional
atuando como auditor lder, pesquisa-
nico, em inmeros projetos de gesto
de riscos, gesto de segurana da
perao de desastres em empresas de grande porte do
setor de telecomunicaes, financeiro, energia, indstria e
governana, tem atuado tambm como palestrante nos
principais eventos do Brasil e ainda como instrutor de trei-
e coordenador de cursos de ps-graduao na rea de
segurana da informao, gesto integrada, inovao e tec-
nologias web. Hoje atua como Coordenador Acadmico de
Possui a certificao CRISC da ISACA, alm de diversas
Edson Kowask Bezerra profissional A RNP Rede Nacional de Ensino
atuando como auditor lder, pesquisa- uma Organizao Social (OS),
nico, em inmeros projetos de gesto sendo ligada ao Ministrio da
de riscos, gesto de segurana da Cincia, Tecnologia e Inovao
perao de desastres em empresas de grande porte do (MCTI) e responsvel pelo
setor de telecomunicaes, financeiro, energia, indstria e Programa Interministerial RNP,
governana, tem atuado tambm como palestrante nos que conta com a participao dos
principais eventos do Brasil e ainda como instrutor de trei- ministrios da Educao (MEC), da
Gesto de
e coordenador de cursos de ps-graduao na rea de Sade (MS) e da Cultura (MinC).
O livro de apoio ao curso apresenta os conceitos de
LIVRO DE APOIO AO CURSO

segurana da informao, gesto integrada, inovao e tec- Pioneira no acesso Internet no
nologias web. Hoje atua como Coordenador Acadmico de gesto de riscos a partir da norma NBR ISO 27005.

Riscos de TI
Possui a certificao CRISC da ISACA, alm de diversas Define conceitos e trabalha a contextualizao do am-
biente, identificao e levantamento dos riscos atravs
do conhecimento das ameaas, ativos, vulnerabilidades,
probabilidade de ocorrncia e impactos. So realizados
a estimativa e o clculo de risco e definido o tratamento
mais adequado. Todo o trabalho baseado em um es-
NBR 27005 tem mais de 800 instituies
tudo de caso, visando consolidar o conhecimento terico.
Este livro inclui os roteiros das atividades prticas e o con-
tedo dos slides apresentados em sala de aula, apoiando
profissionais na disseminao deste conhecimento em
suas organizaes ou localidades de origem.
Edson Kowask Bezerra que contribui para a integrao
Sade e Cultura.
Ministrio da
Cultura
Ministrio da
Sade
Ministrio da
Educao
ISBN 9 7 8 - 8 5 - 6 3 6 3 0 - 3 2 - 2
Ministrio da
Cincia, Tecnologia
e Inovao
9 788563 630322

Gestao de Riscos de TI - NBR 27005

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Gestao de Riscos de TI - NBR 27005

Enviado por

Direitos autorais:

Formatos disponíveis

Edson Kowask Bezerra profissional A RNP Rede Nacional de Ensino

da rea de segurana da informao e

LIVRO DE APOIO AO CURSO

Gesto de Riscos de TI NBR 27005

Edson Kowask Bezerra

Edson Kowask Bezerra

Diretor de Servios e Solues

Escola Superior de Redes

Coordenao Acadmica de Segurana e Governana de TI

Equipe ESR (em ordem alfabtica)

Capa, projeto visual e diagramao

Dados Internacionais de Catalogao na Publicao (CIP)

B574g Bezerra, Edson Kowask

1. Tecnologia da informao - Tcnicas de segurana. 2. Redes de computadores Medidas

Escola Superior de Redes

Convenes utilizadas neste livrox

1. Introduo Gesto de Riscos

Exerccio de nivelamento 1 Introduo gesto de riscos2

Exerccio de fixao 1 Conceitos fundamentais5

Princpios da Gesto de Riscos5

Normas de gesto de segurana e de riscos7

Norma ABNT NBR ISO/IEC 27005:20089

Viso geral da gesto de riscos10

Exerccio de fixao 2 Viso geral12

Exerccio de fixao 3 PDCA15

Fatores crticos para o sucesso15

reas de conhecimento necessrias16

Atividade 1.1 Conhecendo os conceitos19

Atividade 1.2 Conhecendo a norma19

Atividade 1.3 Identificando o processo20

Atividade 1.4 Fatores crticos20

2. Contexto da gesto de riscos

Exerccio de nivelamento 1 Contexto21

Processo de gesto de riscos de segurana da informao21

Contexto da norma ABNT NBR ISO/IEC 2700523

Itens para identificao24

Exerccio de fixao 1 Definindo o contexto25

Definindo escopo e limites26

Exerccio de fixao 2 Definindo o escopo e limites27

Critrios para avaliao de riscos28

Critrios para aceitao do risco 29

Exerccio de fixao 3 Definindo os critrios31

Organizao para a gesto de riscos32

Roteiro de Atividades 233

Anexo A Descrio da empresa36

Exerccio de nivelamento 1 Identificao dos riscos41

Processo de anlise de riscos de segurana da informao41

Identificando os ativos primrios45

Exerccio de fixao 1 Identificando os ativos46

Exerccio de fixao 2 Identificando as ameaas49

Identificando os controles existentes49

Roteiro de Atividades 353

4. Anlise de riscos: Vulnerabilidades e consequncias

Exerccio de nivelamento 1 Vulnerabilidades e consequncias59

Processo de anlise de riscos de segurana da informao60

Exerccio de fixao 1 Identificando vulnerabilidades63

Identificao das consequncias63

Exerccio de fixao 2 Identificando as consequncias65

Roteiro de Atividades 467

Anexo C Problemas relatados69

5. Anlise de Riscos: Avaliao das consequncias

Exerccio de nivelamento 1 Avaliao das consequncias83

Viso geral do processo de estimativa de risco83

Metodologia de anlise qualitativa85