Gestão de Riscos

29/08/2020

Prof. Rogério Aparecido Silva

rogeriofacilitador@gmail.com
1. Efeito da incerteza nos objetivos, podendo
gerar consequências positivas ou negativas:
• Risco
2. VUCA é um acrônimo para descrever quatro características marcantes do momento em
que estamos vivendo. Apesar de o termo ter sido incorporado mais recentemente ao
vocabulário corporativo, ele surgiu na década de 90 no ambiente militar. Neste contexto, a
letra "U" significa

• Incerteza
3. Estado, mesmo que parcial, da deficiência de informações
relacionadas a um evento, sua compreensão, seu conhecimento,
sua consequência ou sua probabilidade.

• Incerteza
4. Processo conduzido em uma organização pela alta gerência, diretoria e demais
empregados, aplicado no estabelecimento de estratégias formuladas para identificar
potenciais eventos capazes de afetar seus objetivos, e administrar os riscos de modo a
mantê-los compatíveis com o apetite da organização. (COSO)

• Gestão de riscos
5. V ou F
• Nível de Risco é a “magnitude de um risco, expressa em termos da
combinação das incertezas e de suas probabilidades”.
• Risco = Incerteza x Probabilidade
• Falso
• Risco = Probabilidade x Impacto
6. V ou F
• A rigor, não existem “Riscos Positivos” e “Riscos Negativos”.
Normalmente utilizamos esses termos entre aspas, apenas para
simplificar frases do tipo “riscos com consequências positivas” e
“riscos com consequências negativas”.
• Verdadeiro
7. Na gestão de Riscos, existem diversas respostas possível aos riscos.
Se uma organização optar por redução da probabilidade ou do impacto do risco pelo
compartilhamento de uma porção do risco, ela estará, genericamente utilizando a resposta:

• Transferir
8
• Organização criada originalmente em 1985 nos Estados Unidos, a
National Commission on Fraudulent Financial Reporting (Comissão
Nacional sobre Fraudes em Relatórios Financeiros), também
conhecida como Treadway Commission, foi uma iniciativa
independente do setor privado com a finalidade de:
• estudar as causas da ocorrência de fraudes em relatórios financeiros e
contábeis; e
• desenvolver recomendações para empresas públicas e seus auditores
independentes e para as instituições educativas.
• COSO
9. A nova versão, COSO ERM – Integrating with Strategy and Performance, também denominado
como Framework, destaca a importância de considerar os riscos tanto no processo de
estabelecimento da estratégia quanto na melhoria da performance. A primeira parte da publicação
oferece uma perspectiva dos conceitos atuais e em desenvolvimento e aplicações do gerenciamento
de riscos corporativos. A segunda parte da publicação apresenta 20 princípios organizados em 5
componentes inter-relacionados. Os processos abaixo referem-se a qual dos 5 componentes?

• Fiscalização dos riscos pela diretoria: A diretoria deve fiscalizar a estratégia e executar responsabilidades de governança de
forma a apoiar os administradores em alcançar a estratégia e os objetivos do negócio;
• Estabelecimento de estruturas operacionais: A organização estabelece estruturas organizacionais na busca do atingimento
da estratégia e dos objetivos do negócio;
• Define a cultura desejável: A organização define comportamentos desejáveis que caracterizam a cultura desejável;
• Demonstra comprometimento com valores chave: A organização demonstra comprometimento com valores chave da
instituição;
• Atrai, desenvolve e mantém indivíduos capazes: A organização é comprometida em construir capital humano alinhado
com a estratégia e os objetivos do negócio.
•

Governança e cultura
10. V ou F
• Invasões a sistemas são possíveis porque existem
vulnerabilidades a serem exploradas por meio de conhecimento
técnico ou engenharia social. Deficiências na concepção,
implementação, configuração ou gerenciamento dos serviços e
sistemas permitem essas invasões, que constituem as principais
“brechas” de segurança da informação.

• Verdadeiro.
Aula passada falamos da ISO 27005

Fonte: Módulo – 10ª Pesquisa Anual de Segurança da Informação, Dezembro de 2007

Normas ISO/IEC da série 27000 de Segurança
da Informação
• ISO/IEC 27000:2009 - Sistema de Gerenciamento de Segurança -
Explicação da série de normas, objetivos e vocabulários;
• ISO/IEC 27001:2005 - Sistema de Gestão de Segurança da Informação
- Especifica requerimentos para estabelecer, implementar, monitorar
e rever, além de manter e provisionar um sistema de gerenciamento
completo. Utiliza o PDCA como princípio da norma e é certificável
para empresas.
• ISO/IEC 27002:2005 - Código de Melhores Práticas para a Gestão de
Segurança da Informação - Mostra o caminho de como alcançar os
controles certificáveis na ISO 27001. Essa ISO é certificável para
profissionais e não para empresas.
Normas ISO/IEC da série 27000 de Segurança
da Informação
• ISO/IEC 27003:2010 - Diretrizes para Implantação de um Sistema de
Gestão da Segurança da Informação - Segundo a própria ISO/IEC 27003, “O
propósito desta norma é fornecer diretrizes práticas para a implementação
de um Sistema de Gestão da Segurança da Informação (SGSI), na
organização, de acordo com a ABNT NBR ISO/IEC 27001:2005.
• ISO/IEC 27004:2009 - Gerenciamento de Métricas e Relatórios para um
Sistema de Gestão de Segurança da Informação - Mostra como medir a
eficácia do sistema de gestão de SI na corporação.
• ISO/IEC 27005:2008 - Gestão de Riscos de Segurança da Informação - Essa
norma é responsável por todo ciclo de controle de riscos na organização,
atuando junto à ISO 27001 em casos de certificação ou através da ISO
27002 em casos de somente implantação.
Normas ISO/IEC da série 27000 de Segurança
da Informação
• ISO/IEC 27006:2007 - Requisitos para auditorias externas em um
Sistema de Gerenciamento de Segurança da Informação - Especifica
como o processo de auditoria de um sistema de gerenciamento de
segurança da informação deve ocorrer.
• ISO/IEC 27007 - Referências(guidelines) para auditorias em um
Sistema de Gerenciamento de Segurança da Informação.
• ISO/IEC 27008 - Auditoria nos controles de um SGSI - O foco são nos
controles para implementação da ISO 27001.
 Gestão de Riscos

A importância da Gestão de Riscos relacionada

a Segurança Cibernética
Como fazer
isso ?
 As 3 Principais
Propriedades da
Segurança da
Informação

• Confidencialidade: Apenas
pessoas explicitamente
autorizadas tem acesso a
informação
• Integridade: A informação
acessada está completa, sem
alterações e, portanto,
confiável.
• Disponibilidade: Está
accessível, para pessoas
autorizadas, sempre que
necessário.
Aplicação da Segurança da Informação em
Níveis

DEFINIÇÕES
ESTRATÉGICO: GOVERNANÇA, LEIS E
NORMAS

TÁTICO: POLÍTICAS DE SEGURANÇA,

MAPEAMENTO DE RISCOS, PLANOS
DE CONTINGÊNCIAS

AÇÕES
OPERACIONAL: FERRAMENTAS,
CERTIFICADOS, CRIPTOGRAFIA
Revisando alguns conceitos ligados a
Segurança da Informação
• Ativo
• Incidente
• Ameaça
• Vulnerabilidade
• Probabilidade
• Impacto
• Risco
 • É qualquer elemento que possui valor para a
organização e consequentemente necessita ser
Ativo adequadamente protegido.
 Incidente
• Em segurança da informação, um incidente é
qualquer acontecimento que prejudique o
andamento normal dos sistemas e/ou do
negócio.
• Ex.: Uma falha de segurança no sistema de alunos do
Instituto Federal do Rio Grande do Sul (IFRS) dava
acesso irrestrito ao banco de dados para qualquer
usuário logado. A partir da falha, era possível acessar
informações de quase 50 mil estudantes, ex-alunos e
servidores de todas as unidades da instituição, bem
como alterar informações de cadastro, além de
manipular notas, faltas e o sistema como um todo,
com direito à criação de novas pastas e até apagar as
que já existiam nos servidores.
• Por Felipe Demartini | 25 de Março de 2020 às
08h40
Ameaça

• Em inglês, utiliza-se termo “threat” para

definir ameaça.
• É qualquer ação, acontecimento ou
entidade que possa agir sobre um ativo,
processo ou pessoa, através de uma
vulnerabilidade e consequentemente
gerando um determinado impacto.
• As ameaças apenas existem se houverem
vulnerabilidades, sozinhas pouco fazem.
Ameaças

• Tipos de ameaças:
• Naturais – Ameaças decorrentes de fenômenos
da natureza, como incêndios naturais,
enchentes, terremotos, tempestades, poluição,
etc.
• Involuntárias – Ameaças inconscientes, quase
sempre causadas pelo desconhecimento.
Podem ser causados por acidentes, erros, falta
de energia, etc.
• Voluntárias – Ameaças propositais causadas por
agentes humanos como hackers, invasores,
Espiões, ladrões, criadores e disseminadores de
vírus de computador, incendiários.
Vulnerabilidade

• A vulnerabilidade é o ponto
onde qualquer sistema é
suscetível a um ataque ou
falha, ou seja, é uma condição
de risco encontrada em
determinados recursos,
processos, configurações, etc.
Vulnerabilidade

• Conceito de vulnerabilidade
• Principais origens
• Deficiência de projeto: brechas no
hardware/software
• Deficiência de implementação:
instalação/configuração incorreta, por
inexperiência, falta de treinamento ou
desleixo
• Deficiência de gerenciamento:
procedimentos inadequados,
verificações e monitoramento
insuficientes
Vulnerabilidades
Ataques

• Conceito
• Tipos de ataques
• Passivo
• Interceptação, monitoramento,
análise de tráfego (origem,
destino, tamanho, freqüência)
• Ativo
• Adulteração, fraude, reprodução
(imitação), bloqueio
Ataques

• Ataques sobre o fluxo de informação

• Interrupção: ataca a
disponibilidade
• Interceptação: ataca a
confidencialidade
• Modificação: ataca a integridade
• Fabricação: ataca a autenticidade
Melhores
Referencias em
Segurança da
Informação

• Instituições Financeiras

• Principal valor:

• Confiança
 • Dispõe sobre a política
de segurança
cibernética e sobre os
requisitos para a
contratação de serviços
de processamento e
armazenamento de
dados e de computação
em nuvem a serem
observados pelas
instituições financeiras
e demais instituições
autorizadas a funcionar
pelo Banco Central do
RESOLUÇÃO Nº 4.658, DE Brasil.
26 DE ABRIL DE 2018
 A política de
segurança
cibernética deve
contemplar, no
mínimo
I - os objetivos de segurança
cibernética da instituição;

RESOLUÇÃO BACEN Nº 4.658, DE 26 DE ABRIL DE 2018

A política de segurança
cibernética deve
contemplar, no mínimo

• II - os procedimentos e os
controles adotados para reduzir
a vulnerabilidade da instituição
a incidentes e atender aos
demais objetivos de segurança
cibernética;

RESOLUÇÃO BACEN Nº 4.658, DE 26 DE ABRIL DE 2018

A política de segurança
cibernética deve
contemplar, no mínimo

• III - os controles
específicos, incluindo os
voltados para a
rastreabilidade da
informação, que busquem
garantir a segurança das
informações sensíveis;

RESOLUÇÃO BACEN Nº 4.658, DE 26 DE ABRIL DE 2018

 A política de
segurança
cibernética
deve
contemplar, no
mínimo

• IV - o registro, a análise da causa e do impacto,

bem como o controle dos efeitos de incidentes
relevantes para as atividades da instituição;

RESOLUÇÃO BACEN Nº 4.658, DE 26 DE ABRIL DE 2018

EM RESUMO: A política de segurança
cibernética deve contemplar, no mínimo
• I - os objetivos de segurança cibernética da instituição;
• II - os procedimentos e os controles adotados para reduzir a
vulnerabilidade da instituição a incidentes e atender aos demais
objetivos de segurança cibernética;
• III - os controles específicos, incluindo os voltados para a
rastreabilidade da informação, que busquem garantir a segurança das
informações sensíveis;
• IV - o registro, a análise da causa e do impacto, bem como o controle
dos efeitos de incidentes relevantes para as atividades da instituição;
• E AINDA:

RESOLUÇÃO BACEN Nº 4.658, DE 26 DE ABRIL DE 2018

A política de segurança
cibernética deve
contemplar, no mínimo

• V - as diretrizes para:
a) a elaboração de
cenários de incidentes
considerados nos testes de
continuidade de negócios;

RESOLUÇÃO BACEN Nº 4.658, DE 26 DE ABRIL DE 2018

A política de segurança
cibernética deve
contemplar, no mínimo

• V - as diretrizes para:
b) a definição de procedimentos e
de controles voltados à prevenção e
ao tratamento dos incidentes a
serem adotados por empresas
prestadoras de serviços a terceiros
que manuseiem dados ou
informações sensíveis ou que sejam
relevantes para a condução das
atividades operacionais da
instituição;
RESOLUÇÃO BACEN Nº 4.658, DE 26 DE ABRIL DE 2018
A política de segurança
cibernética deve
contemplar, no mínimo

• V - as diretrizes para:
c) a classificação dos
dados e das
informações quanto à
relevância;

RESOLUÇÃO BACEN Nº 4.658, DE 26 DE ABRIL DE 2018

 A política de
segurança
cibernética
deve
contemplar, no
mínimo

• V - as diretrizes para:
d) a definição dos parâmetros a serem
utilizados na avaliação da relevância dos
incidentes;
RESOLUÇÃO BACEN Nº 4.658, DE 26 DE ABRIL DE 2018
A política de segurança
cibernética deve
contemplar, no mínimo

• VI - os mecanismos para
disseminação da cultura de
segurança cibernética na
instituição, incluindo:
a) a implementação de
programas de capacitação e
de avaliação periódica de
pessoal;

RESOLUÇÃO BACEN Nº 4.658, DE 26 DE ABRIL DE 2018

A política de segurança
cibernética deve
contemplar, no mínimo

• VI - os mecanismos para
disseminação da cultura de
segurança cibernética na
instituição, incluindo:
b) a prestação de informações
a clientes e usuários sobre
precauções na utilização de
produtos e serviços
financeiros;

RESOLUÇÃO BACEN Nº 4.658, DE 26 DE ABRIL DE 2018

A política de segurança cibernética
deve contemplar, no mínimo
• VI - os mecanismos para disseminação da
cultura de segurança cibernética na
instituição, incluindo:
c) o comprometimento da alta
administração com a dos
procedimentos relacionados com a
segurança cibernética; e

RESOLUÇÃO BACEN Nº 4.658, DE 26 DE ABRIL DE 2018

A política de segurança
cibernética deve
contemplar, no mínimo

• VII - as iniciativas para

compartilhamento de
informações sobre os
incidentes relevantes,

RESOLUÇÃO BACEN Nº 4.658, DE 26 DE ABRIL DE 2018

Da Divulgação da Política
de Segurança Cibernética

• A política de segurança cibernética

deve ser divulgada aos
funcionários da instituição e às
empresas prestadoras de serviços
a terceiros, mediante linguagem
clara, acessível e em nível de
detalhamento compatível com as
funções desempenhadas e com a
sensibilidade das informações.

RESOLUÇÃO BACEN Nº 4.658, DE 26 DE ABRIL DE 2018

Da Divulgação da Política
de Segurança Cibernética

• As instituições devem
divulgar ao público
resumo contendo as
linhas gerais da política
de segurança
cibernética.

RESOLUÇÃO BACEN Nº 4.658, DE 26 DE ABRIL DE 2018

 Do Plano de Ação e de
Resposta a Incidentes
• I - as ações a serem desenvolvidas pela
instituição para adequar suas estruturas
organizacional e operacional aos princípios e
às diretrizes da política de segurança
cibernética;
• II - as rotinas, os procedimentos, os controles
e as tecnologias a serem utilizados na
prevenção e na resposta a incidentes, em
conformidade com as diretrizes da política de
segurança cibernética; e
• III - a área responsável pelo registro e
controle dos efeitos de incidentes relevantes.

RESOLUÇÃO BACEN Nº 4.658, DE 26 DE ABRIL DE 2018

Relatório Anual

• I - a efetividade da implementação das ações;

• II - o resumo dos resultados obtidos na
implementação das rotinas, dos procedimentos,
dos controles e das tecnologias a serem
utilizados na prevenção e na resposta a
incidentes;
• III - os incidentes relevantes relacionados com
o ambiente cibernético ocorridos no período; e
• IV - os resultados dos testes de continuidade
de negócios, considerando cenários de
indisponibilidade ocasionada por incidentes.

RESOLUÇÃO BACEN Nº 4.658, DE 26 DE ABRIL DE 2018

O Relatório Anual
deve ser

• I - submetido ao comitê de
risco, quando existente; e
• II - apresentado ao conselho de
administração ou, na sua
inexistência, à diretoria da
instituição até 31 de março do
ano seguinte ao da data-base.

RESOLUÇÃO BACEN Nº 4.658, DE 26 DE ABRIL DE 2018

 Contratação de
serviços de
nuvem.
Recomendações:

• I - a adoção de práticas de governança

corporativa e de gestão proporcionais à
relevância do serviço a ser contratado e aos riscos
a que estejam expostas;
 Contratação de
serviços de
nuvem.
Recomendações:
• II - a verificação da capacidade do potencial prestador de serviço
de assegurar:
• a) o cumprimento da legislação e da regulamentação em
vigor;
• b) o acesso da instituição aos dados e às informações a
serem processados ou armazenados pelo prestador de
serviço;
• c) a confidencialidade, a integridade, a disponibilidade e a
recuperação dos dados e das informações processados ou
armazenados pelo prestador de serviço;
 Contratação de serviços de
nuvem. Recomendações:

• II - a verificação da capacidade do
potencial prestador de serviço de
assegurar:
• d) a sua aderência a certificações exigidas
pela instituição para a prestação do serviço
a ser contratado;
• e) o acesso da instituição contratante aos
relatórios elaborados por empresa de
auditoria especializada independente
contratada pelo prestador de serviço,
relativos aos procedimentos e aos controles
utilizados na prestação dos serviços a
serem contratados;
 Contratação de serviços de
nuvem. Recomendações:

• II - a verificação da capacidade do
potencial prestador de serviço de
assegurar:
• f) o provimento de informações e de recursos
de gestão adequados ao monitoramento dos
serviços a serem prestados;
• g) a identificação e a segregação dos dados
dos clientes da instituição por meio de
controles físicos ou lógicos; e
• h) a qualidade dos controles de acesso
voltados à proteção dos dados e das
informações dos clientes da instituição.
 Na política
de gestão de
riscos deve • I - o tratamento dos incidentes relevantes relacionados
ser incluído com o ambiente cibernético ;
ainda: • II - os procedimentos a serem seguidos no caso da
interrupção de serviços relevantes de processamento e
armazenamento de dados e de computação em nuvem
contratados, abrangendo cenários que considerem a
substituição da empresa contratada e o reestabelecimento
da operação normal da instituição; e
• III - os cenários de incidentes considerados nos testes de
continuidade de negócios.

RESOLUÇÃO BACEN Nº 4.658, DE 26 DE ABRIL DE 2018

Instruir mecanismos de
acompanhamento
Incluindo:

• I - a definição de processos,
testes e trilhas de
auditoria;
• II - a definição de métricas
e indicadores adequados; e
• III - a identificação e a
correção de eventuais
deficiências.

RESOLUÇÃO BACEN Nº 4.658, DE 26 DE ABRIL DE 2018

Prazo de retenção: 5 anos
• Planos de ação
• Relatórios Anuais
• Contratos
• Documentações em Geral

RESOLUÇÃO BACEN Nº 4.658, DE 26 DE ABRIL DE 2018

 Gestão de Riscos
Intervalo: retorno: 10:15h
Prof. Rogério Aparecido Silva
rogeriofacilitador@gmail.com