Escolar Documentos
Profissional Documentos
Cultura Documentos
1. Introdução
A Gestão de risco desempenha um papel crucial na proteção do acervo de informações da
organização na era digital tendo em vista que as mesmas dependem cada vez mais de sistemas de
tecnologia da informação automatizados para processar suas informações e oferecer melhor suporte à sua
missão. O planejamento da continuidade de negócios está intimamente ligado à gestão de riscos. Ele é
usado para neutralizar as interrupções das atividades de negócio e proteger os processos críticos dos
efeitos de grandes falhas ou desastres. A Gestão de risco e o planejamento da continuidade de negócios
tornaram-se componentes críticos de operações que mantêm as empresas funcionando.1
O principal objetivo da gestão de riscos é permitir que a organização realize suas missões visando
uma melhor segurança dos sistemas de TI que armazenam, processam ou transmitem informações
organizacionais. Evidências do processo de gestão de risco podem ajudar os gestores a tomar decisões
de gestão de riscos bem informadas, justificar os gastos de um orçamento de TI, e autorizar sistemas de
TI eficazes. Uma metodologia de gerenciamento de risco bem estruturada pode ajudar a administração a
identificar controles apropriados para fornecer capacidades de segurança essenciais a uma missão.
Bens de informações de uma organização enfrentam diversos riscos no ambiente de negócios atual. É
impossível proteger os bens da organização, se o risco não estiver claramente identificado. No entanto, é
necessário esclarecer que risco significa num contexto particular. O risco é a possibilidade de ocorrência
de um ato ou fato que possa prejudicar ou trazer prejuízo para a organização e seus bens de informações.
Riscos neste sentido referem-se aos riscos associados a um evento potencialmente danoso que ocorre na
ausência de controles específicos, que, de outra forma, impediriam o dano. O risco é o impacto negativo
de uma ameaça, pois pode explorar as vulnerabilidades dos bens de uma organização e causar perda ou
dano a esses bens. Geralmente, o risco é expresso por uma fórmula matemática:
Risco = ameaças x vulnerabilidades x valor dos bens.
De acordo com essa fórmula, o risco é uma função da probabilidade de uma determinada ameaça
explorar uma vulnerabilidade particular potencial, e o impacto resultante desse evento adverso sobre os
bens da organização. Existem quatro tipos de riscos empresariais, que são definidos como:
Risco estratégico. Sistemas de informação podem ter efeito estratégico direto sobre a
organização.
Risco operacional. O risco operacional é mais comum do que qualquer um dos outros
fatores de risco de negócios, pois a maioria dos sistemas de informação são projetados para
afetar a forma e a eficácia da organização, uma vez que conduz sua atividade diária.
Conformidade jurídica. Sistemas de informação podem ter um efeito direto sobre a forma
como a organização está em conformidade com as obrigações estatutárias.
Uma ameaça é o potencial para uma determinada fonte de ameaça explorar com sucesso a
vulnerabilidade particular. Uma fonte de ameaça pode explorar a vulnerabilidade intencionalmente ou pode
acionar acidentalmente a vulnerabilidade. A vulnerabilidade é uma falha ou fraqueza que pode ser
acionada acidentalmente ou explorada intencionalmente, para resultar em uma violação de segurança ou
uma violação da política de segurança. Uma fonte de ameaça não apresenta um risco, a menos que a
vulnerabilidade seja exercida. Para determinar a probabilidade de uma ameaça, deve-se considerar fontes
de ameaça, a vulnerabilidade potencial e controles existentes.
3. Avaliação de Risco
O termo gestão de riscos caracteriza um processo global que é contínuo e de complexidade
crescente. A primeira fase é a avaliação de risco. Esta fase inclui a identificação de riscos, medidas para
redução de riscos e o impacto orçamental da implementação de decisões relacionadas à aceitação,
anulação ou transferência do risco. A segunda fase da gestão de risco inclui o processo de atribuição de
prioridade, orçamentos, implementação e manutenção de medidas de redução de risco adequadas.
Na era da informação, a segurança da informação torna-se efetivamente uma tarefa infinita de catch-
up conforme a tecnologia de armazenamento de informação, processamento, transferência e acesso
continua a desenvolver-se rapidamente. É essencial que o processo de análise e avaliação de risco sejam
bem compreendidos por todas as partes e executados em tempo hábil. Os riscos potencialmente
associados à informação e tecnologia da informação devem ser identificados e geridos de uma forma
rentável.
A análise de risco é o processo de análise de um ambiente alvo e identificação das relações entre
seus atributos relacionados a riscos. A análise deve identificar ameaças e vulnerabilidades, incluindo a
vulnerabilidade dos bens relacionados e associados. Ela deve identificar o potencial e a natureza de um
efeito ou resultado indesejável, e identificar e avaliar contramedidas de redução de risco.
A análise de risco continua a ser a espinha dorsal da boa gestão de segurança, pois os gerentes
precisam de um meio para compreender a segurança e os riscos a que suas organizações estão expostas.
A análise de riscos fornece a justificativa para o meio de comunicação e pode agir como tal, dentro da
organização.
O termo avaliação de risco refere-se à atribuição de um valor aos bens, à frequência de ameaças, às
consequências de um evento potencialmente prejudicial, e para quaisquer outros elementos casuais. Os
resultados da análise de risco podem ser usados em uma avaliação ou medição de risco. Assim, o termo
avaliação dos riscos é usado para caracterizar o processo e o resultado da análise e avaliação do risco.
O resultado desta avaliação pode ser usado para orientar e determinar a gestão adequada da ação e
prioridades para o gerenciamento de riscos de segurança de informações para implementação de
controles que tenham sido selecionados para proteção de tais riscos.
A principal vantagem de uma abordagem quantitativa é que esta fornece uma medida da magnitude
do impacto, que pode ser usada na análise de controles de custo-benefício recomendada. A desvantagem
é que o significado da abordagem quantitativa pode não ser claro, dependendo dos intervalos numéricos
utilizados para expressar a medição. Os resultados podem precisar ser interpretados de uma forma
qualitativa. Os prós e contras associados à abordagem quantitativa estão listados abaixo.
Informações de segurança de tomada de decisão orçamentária são apoiadas por uma base
confiável de custo/benefício das medidas de atenuação de risco.
Os cálculos são complexos. Sem explicações eficazes os gestores podem não ser
compreendidos e os resultados dos cálculos mal interpretados.
Pesquisa sobre população e frequência da ameaça deve ser realizada através do esforço dos
usuários quando não há base de conhecimento relevante.
Os problemas com este tipo de avaliação de risco são normalmente associados à insegurança e
imprecisão dos dados. A probabilidade raramente pode ser precisa, e pode, em alguns casos, promover a
complacência. Além disso, controles e medidas defensivas, muitas vezes enfrentam uma série de eventos
em potencial, e os eventos em si são frequentemente inter-relacionados. Não obstante as dificuldades,
uma série de organizações adotaram com sucesso a abordagem quantitativa.
Tem sido afirmado por muitos especialistas que uma abordagem puramente quantitativa não é
possível ou prática, devido à dificuldade na aferição de um valor numérico para amplos impactos de um
incidente. Por conseguinte, uma abordagem qualitativa também pode ser necessária.
A avaliação qualitativa dos riscos é o processo de avaliação de risco com base na análise de
diferentes cenários que exploram o impacto potencial e possível de vários incidentes e ameaças. Na
abordagem qualitativa, uma série de breves cenários de incidentes potenciais é delineada. Os cenários
são desenvolvidos ou pesquisados para examinar quais as áreas da corporação que seriam afetadas e a
provável extensão do dano apresentado no qual esse cenário nunca ocorreria.
A percepção do valor dos bens de informação dirigidos não é desenvolvida em uma base
objetiva monetária, e pode não refletir o valor real em risco.
No entanto, não é possível realizar uma avaliação dos riscos puramente qualitativa. Quantitativas e
qualitativas indicam a categorização binária de métricas de risco e técnicas de informação de gestão de
risco. Na realidade, existe um espectro entre essas abordagens e são praticamente sempre aplicadas em
combinação. Isso pressupõe, naturalmente, um nível elevado de entendimento e conhecimento sobre os
processos de uma empresa e os riscos potenciais.
5. Mitigação de Riscos
Mitigação de riscos é o segundo processo da gestão de riscos. Trata-se de priorizar, avaliar e
implementar controles de redução de risco apropriados, recomendados a partir do processo de avaliação
de risco.
Geralmente para um negócio, controlar o risco a um nível administrável é a opção mais rentável. A
gestão do risco é o caminho atualmente favorecido pela maioria das organizações, pois a eliminação de
todos os riscos é geralmente impraticável ou quase impossível. A responsabilidade da gestão é usar a
abordagem mais eficaz e implementar os controles mais adequados para diminuir o risco a um nível
aceitável, com um impacto negativo mínimo sobre os recursos da organização e missão.
Mitigação de risco é uma metodologia sistemática utilizada pela alta administração para reduzir o
risco da missão. Ela pode ser alcançada através de qualquer uma das seguintes opções:
Prevenção de riscos. Evitar o risco, eliminando o caso de risco e/ou consequência (por
exemplo, abrir mão de certas funções do sistema ou desligar o sistema quando os riscos são
identificados).
Transferência de Risco. Transferir o risco usando outras opções para compensar a perda
(por exemplo, seguro de compra).
Os gerentes têm um forte interesse na identificação e aplicação de proteções que podem ser
esperados para mitigar a vulnerabilidade. Consequentemente, deve ser dada prioridade para identificação
de pares de ameaça e vulnerabilidade que têm o potencial de causar impacto significativo ou dano na
missão. É importante selecionar garantias apropriadas para cada vulnerabilidade alvo. Em seguida,
mapear ou confirmar o mapeamento de pares de proteção/vulnerabilidade de todas as ameaças
relacionadas, e, finalmente, determinar a extensão da redução do risco ativo a ser alcançada através da
aplicação de proteções para cada ameaça.
Controles técnicos de segurança podem ser configurados para proteção contra certos tipos de
ameaças no interesse de mitigação de risco. Esses controles, quando usados adequadamente, podem
evitar, limitar ou impedir a ameaça de danos à missão de uma organização. Esses controles técnicos
podem incluir apoio, detecção, prevenção e controle de recuperação. Todos esses controles devem
trabalhar juntos para proteger dados críticos e sensíveis, informações e funções de sistemas de TI.
6. Avaliação e Pesquisa
O processo de gestão de riscos é um processo contínuo e em constante evolução. Isto se deve ao fato
de que a rede está em contínua expansão e atualização. Suas alterações de componentes e suas
aplicações de software são substituídas ou atualizadas com versões mais recentes. Além disso, mudanças
de equipe ocorrerão, e políticas de segurança podem ser alteradas ao longo do tempo. Estas alterações
podem trazer à tona novos riscos e os que foram previamente mitigados podem se tornar uma preocupação
novamente.
Portanto, um programa de gestão de risco precisa ser revisto e praticado periodicamente. Deve haver
uma programação específica para avaliar e mitigar riscos de missão. Processos realizados apenas
periodicamente também devem ser revistos e flexíveis o suficiente para permitir alterações sempre que
justificáveis.
Um programa de gestão de risco bem sucedido conta com o compromisso da alta administração e
todo o apoio e participação da equipe de TI. Ele também irá contar com a competência da equipe de
avaliação de risco. Essa equipe deve ter a experiência necessária para aplicar a metodologia de avaliação
de risco em um local e sistema específico, identificar os riscos da missão, e fornecer o custo-efetivo das
proteções que atendam às necessidades da organização. Além disso, a sensibilização e a cooperação de
membros da comunidade de usuários será importante, assim como uma avaliação contínua e dos riscos
da missão relacionados a TI.
Um programa de gestão de risco bem administrado e integrado pode ajudar os gestores a melhorar
de forma significativa o desempenho de custo-benefício do ambiente de tecnologia da informação, e
garantir baixo custo de conformidade com os requisitos regulamentares aplicáveis. A capacidade de uma
agência do governo identificar os riscos e prevenir incidentes ou exposições, é um benefício significativo
para garantir a viabilidade do negócio e crescimento contínuo, mesmo em meio a crescentes ameaças e
pressões.
Devido aos avanços na tecnologia da informação, as organizações dependem fortemente de TI. Com
o surgimento do e-government, e-commerce e e-business, um único período de tempo de inatividade
poderia ter consequências desastrosas para uma organização. Um plano de continuidade de negócios
abrangente e rigoroso é necessário para atingir um estado de continuidade de negócios, onde sistemas
críticos e redes estão disponíveis continuamente.
Esta é a fase inicial que irá direcionar as fases subsequentes da atividade. A primeira ação é analisar
as operações de negócios distintas e serviços de suporte ao sistema de informação. Atividades de
planejamento de projetos envolvem a definição do escopo preciso, organização, tempo, recursos humanos
(especialmente aqueles que irão desempenhar um papel vital no desenvolvimento do PCN), e outras
questões, de modo que o status do projeto e os requisitos podem ser articulados em toda a organização.
Esta fase envolve a compreensão do tamanho das potenciais ameaças, e a provável magnitude do
seu impacto, em termos de capacidade de interromper os sistemas de informação e serviços de
comunicação da organização. Esse impacto pode ser financeiro (perda monetária, por exemplo), ou de
natureza operacional (por exemplo, a incapacidade da prestação e monitoramento de serviço de qualidade
ao cliente).
Durante esta fase, a avaliação de alternativas de recuperação com opção de estimativas de custo
serão elaboradas e apresentadas à administração. As informações coletadas na segunda fase podem ser
empregadas para aproximar os recursos de recuperação necessários para apoiar as funções de negócios
com tempo crítico.
Esta é a fase final de um PCN, que envolve o estabelecimento de teste rigoroso e programa de
gestão de manutenção, bem como aborda o teste inicial e contínuo e atividades de manutenção.
6. Todas as estratégias, planos e soluções do PCN devem ser proprietarios e orientado a negócios.
Elas devem ser baseadas nas atividades críticas de negócios da missão.
10. Implicações do PCN devem ser consideradas como parte essencial do processo de gestão de
alterações de negócios.
11. Todos os terceiros dos quais uma organização é extremamente dependente devem ser obrigados
a demonstrar uma eficácia comprovada, e aptidão à finalidade da capacidade do PCN.