Gestão de Riscos

Relatório Executivo da Análise

PRJR16001
Avaliação dos Riscos dos Ativos de Infraestrutura do Sistema PJe -
Produção
Emissão 23/11/2017 15:03:00

As informações contidas neste documento são direcionadas aos usuários do sistema Módulo Risk Manager™,
desenvolvido pela Módulo Security Solutions S/A.
Caso não tenha autorização de acesso a essas informações, saiba que sua leitura, divulgação ou cópia são
proibidas. O uso impróprio será tratado pela legislação em vigor com base nos acordos de sigilo.
Os controles existentes nos knowledge bases criados pela Módulo Security Solutions S/A estão protegidos pela
legislação autoral e patrimonial.
A reprodução não autorizada, em todo ou em parte, poderá resultar em punições civis e criminais.
Relatório Executivo da Análise

PRJR16001

ATENÇÃO

As informações existentes neste documento e em seus anexos são para uso restrito aos
usuários do sistema Módulo Risk Manager™ desenvolvido pela Módulo Security Solutions
S.A, sendo seu sigilo protegido por lei.
Caso não tenha autorização de acesso a estas informações, saiba que sua leitura,
divulgação e cópia são proibidas. O uso impróprio será tratado pela legislação em vigor
com base em acordos de sigilo.
Os controles e informações existentes nas bases de conhecimento são criação e/ou objeto
de compilação da Módulo Security Solutions S/A, encontrando-se protegidos pela
legislação de direito autoral. A reprodução não autorizada, em todo ou em parte, gerará
a competente responsabilização civil e criminal dos envolvidos.

Modulo Security Solutions S.A.

www.modulo.com.br
suporteriskmanager@modulo.com

2 de 16 Copyright © 2017 Módulo Solutions for GRC

Relatório Executivo da Análise

PRJR16001

1. INTRODUÇÃO
Este relatório apresenta, de forma resumida, o resultado da análise de riscos realizada no projeto
Avaliação dos Riscos dos Ativos de Infraestrutura do Sistema PJe - Produção. As investigações
foram realizadas nos ativos da organização e podem ter utilizado diversos métodos de coleta de
evidências, tais como: coletores tecnológicos, análise de documentos, entrevistas, vistorias às
instalações, dentre outros.

Algumas das principais questões tratadas aqui são: (i) Quais as principais ameaças para o negócio?
(ii) Quais os níveis de risco dos controles não implementados? (iii) Quais os próximos passos para
reduzir os riscos? (iv) Como priorizar as ações de segurança a serem tomadas?

Informações mais detalhadas e recomendações técnicas podem ser obtidas através do Relatório
da Análise de Riscos e do Relatório Operacional de Riscos, ambos gerados pelo Módulo Risk
ManagerÔ, o sistema da Módulo Security Solutions S/A que utiliza a exclusiva metodologia GRC
MetaframeworkÔ. Essa metodologia está em conformidade com as diretrizes fornecidas pelas
normas NBR ISO/IEC 27001, NBR ISO/IEC 27002, NBR ISO/IEC 27005, ISO 31000 e ISO Guia 73. Por
isso, a utilização do Módulo Risk Manager proporciona um aumento de produtividade, controle e
padronização das atividades e auxilia a organização a obter os resultados desejados.

Na tabela abaixo, seguem os dados do projeto:

Nome: Avaliação dos Riscos dos Ativos de Código: PRJR16001

Infraestrutura do Sistema PJe - Produção
Situação: Aberto Data de Criação: 07/04/2016 13:43

Autor: Erica Filgueiras de Faria Início da Análise: 07/07/2016 09:31

Líder: Heberson Lobo Neiva Término da Análise: 04/11/2017 15:45

Líder Substituto: Grupo Gestão de Riscos do Projeto PJe Fechamento do Projeto:

Caso o projeto esteja em andamento, com situação "Aberto" na data de emissão do relatório, os
resultados apresentados serão parciais.

3 de 16 Copyright © 2017 Módulo Solutions for GRC

Relatório Executivo da Análise

PRJR16001

1.1 Cálculo do PSR®

Em conformidade com o ISO Guia 73, que define que o valor do risco é expresso pela
“combinação da probabilidade de um evento e suas consequências”, o Módulo Risk Manager
considera para cálculo do risco o índice PSR, que representa a estimativa desses fatores
conjugados, os quais recebem uma pontuação que varia de 1 a 5. Portanto, o valor PSR representa
o grau de risco associado à ausência de um controle e é calculado através da seguinte fórmula:

Risco = Probabilidade x Severidade x Relevância

Os fatores probabilidade e severidade são pontuados durante as análises técnicas, enquanto o
fator relevância é pontuado conforme a importância do ativo para a organização, na gestão de
ativos.

Probabilidade Severidade Relevância

É a possibilidade das
vulnerabilidades/fraquezas serem
exploradas por uma ou mais ameaças
devido à ausência de controles.
A severidade pontua o nível do impacto É o grau de importância do ativo para a
na organização, caso ocorra o risco organização, considerando os
previsto. Isto significa que, se o incidente componentes de negócio que ele suporta.
oorrer, a severidade pontuará o grau de
comprometimento da performance, da
confiabilidade ou da qualidade do ativo.

Tabela 2 - Probabilidade x Severidade x Relevância

4 de 16 Copyright © 2017 Módulo Solutions for GRC

Relatório Executivo da Análise

PRJR16001

1.2 Índices de Riscos

Conhecer e avaliar os riscos deixou de ser uma necessidade técnica e se tornou uma questão
estratégica para as organizações, em função das exigências do mercado, governo, agências
reguladoras e clientes.

Para fornecer a estimativa dos riscos, o sistema Módulo Risk Manager utiliza os seguintes índices:

PSR - É calculado por meio da soma do PSR dos controles não implementados. Calcula-se o produto dos fatores P, S e R
de cada controle não implementado e em seguida somam-se os resultados obtidos. O PSR é consolidado por ativo, por
tipo de ativo, por perímetro, por agrupamento, por knowledge base, por questionário, por componentes de negócio
etc., e expresso em números inteiros.

Risk Index - É calculado por meio da divisão do PSR dos controles não implementados (riscos encontrados) pelo PSR
dos controles aplicáveis, e expresso em números percentuais, podendo variar de 0% a 100%.

Security Index - É calculado por meio da divisão do PSR dos controles implementados (riscos evitados) pelo PSR dos
controles aplicáveis. Complementa, portanto, o Risk Index. Também é expresso em números percentuais e pode variar
de 0% a 100%.

Control Index - É calculado por meio da divisão da quantidade de controles implementados pela quantidade de
controles aplicáveis, e expresso em números percentuais, podendo variar de 0% a 100%.

Gap Index - É calculado por meio da divisão da quantidade de controles não implementados pela quantidade de
controles aplicáveis. Complementa o Control Index. Também é expresso em números percentuais e pode variar de 0% a
100%.

5 de 16 Copyright © 2017 Módulo Solutions for GRC

Relatório Executivo da Análise

PRJR16001

2. RESUMO

2.1 Análise de Gap (Por Quantidade de Controles)

De uma lista de 1755 controles investigados, 1577 foram considerados aplicáveis. Desse total
aplicável, 961 controles foram identificados como implementados (control index(1) de 60,94%), e
616 controles foram identificados como não implementados (gap index(2) de 39,06%).

É importante observar que, quanto maior o valor do Control Index, mais controles estarão em
conformidade com as recomendações dos knowledge bases utilizados na análise.

Figura 1 - Quantidade dos controles por situação

6 de 16 Copyright © 2017 Módulo Solutions for GRC

Relatório Executivo da Análise

PRJR16001

2.2 Análise de Riscos (Por PSR)

Considerando o risco com PSR total de 84855, foram considerados aplicáveis 75965. Desse total,
48435 podem ser considerados como riscos controlados (controles implementados), representando
um Security Index de 63,76%. De forma complementar, o risco 27530 relativo aos controles não
implementados (riscos identificados) representa um Risk Index de 36,24%.

Quanto maior o Security Index, mais baixo é o nível de riscos nos ativos analisados.

Figura 2 - Índice PSR® por situação dos riscos analisados

IMPORTANTE:

Quando o Security Index for maior que o Control Index, deduz-se que a gestão dos riscos é eficaz, uma
vez que os controles implementados são os que atuam nos maiores riscos (PSR mais altos). Caso
contrário, deduz-se que houve uma menor eficácia na gestão de riscos, já que a maior parte dos
controles implementados corresponde aos menores riscos (PSR mais baixos). Já se os valores forem
semelhantes, conclui-se que existe uma distribuição homogênea entre o nível de risco e a prioridade
conferida aos controles implementados.

7 de 16 Copyright © 2017 Módulo Solutions for GRC

Relatório Executivo da Análise

PRJR16001

2.3 Distribuição dos Riscos (PSR) por Níveis de Risco

Os riscos considerados aplicáveis na análise se dividem em:

63,76% de riscos controlados 36,24% de riscos identificados

SECURITY INDEX RISK INDEX

Figura 3 - Distribuição dos riscos (PSR) por níveis de risco

8 de 16 Copyright © 2017 Módulo Solutions for GRC

Relatório Executivo da Análise

PRJR16001

2.4 Riscos por Ameaças

A tabela 3 apresenta os resultados consolidados por ameaças. São mostrados valores absolutos e
percentuais dos riscos controlados e riscos identificados para 10 ameaças com maior Risk Index,
apresentados em ordem decrescente deste índice.

O risco identificado (PSR) associado a cada ameaça (potencial incidente), é calculado pela soma
dos riscos de todos os controles não implementados associados a essa ameaça. O Risk Index é
calculado pelo valor dos riscos identificados dividido pelo valor dos riscos aplicáveis, para cada
controle associado às ameaças.

Riscos (PSR) Riscos (PSR) Security Riscos (PSR)

Ameaças Risk Index
Aplicáveis Controlados Index Identificados

Vazamento de Informação 180 50 27,8% 130 72,2%

Repúdio 440 160 36,4% 280 63,6%

Perda de rastreabilidade 7695 3770 49,0% 3925 51,0%

Ação de código malicioso 4275 2260 52,9% 2015 47,1%

Acesso lógico não autorizado 42365 24530 57,9% 17835 42,1%

Não-atendimento à regulamentação 1045 645 61,7% 400 38,3%

Fraude ou sabotagem 12555 8185 65,2% 4370 34,8%

Sanções Administrativas 120 80 66,7% 40 33,3%

Erros, omissões ou uso indevido 16880 11625 68,9% 5255 31,1%

Queda de performance 7270 5075 69,8% 2195 30,2%

Tabela 3 – Riscos por ameaças

Esses resultados podem ser utilizados para priorizar as ações sobre os componentes de negócio e
ativos mais críticos, sob a perspectiva dos riscos provenientes das principais ameaças à
organização (ver Figura 4).

Figura 4 - Riscos por ameaça

9 de 16 Copyright © 2017 Módulo Solutions for GRC

Relatório Executivo da Análise

PRJR16001

2.5 Riscos por Componente de Negócio

Os riscos identificados nos ativos, que suportam os componentes de negócio da organização,
foram consolidados nos dois níveis que categorizam esses componentes: Nível Estratégico e Nível
Tático.

10 de 16 Copyright © 2017 Módulo Solutions for GRC

Relatório Executivo da Análise

PRJR16001

2.5.1 Riscos no Nível Estratégico

A tabela 4 apresenta os índices consolidados por componente de negócio de primeiro nível (Nível
Estratégico). São mostrados valores absolutos e percentuais dos riscos controlados e riscos
identificados para os 2 componentes com maior Risk Index.
Controles Controles Não Control Gap Riscos (PSR) Riscos (PSR) Security Risk
Componentes Relevância
Implementados Implementados Index Index Controlados Identificados Index Index

Segunda Instância Muito Alta 892 559 61,47% 38,53% 44950 24635 64,60% 35,40%

Primeira Instância Muito Alta 961 616 60,94% 39,06% 48435 27530 63,76% 36,24%
Tabela 4 - Riscos no Nível Estratégico

O valor do risco identificado de cada componente de negócio de primeiro nível (Nível Estratégico)
é composto pela soma dos riscos identificados (PSR dos controles não implementados) de todos os
ativos que o suportam.

O Risk Index é calculado pelo valor dos riscos identificados dividido pelo valor dos riscos
aplicáveis, tanto em cada componente de negócio como no total de componentes.

Esse resultado deve ser utilizado para priorizar as ações nos ativos que suportam os componentes
de negócio de primeiro nível (Nível Estratégico) com maior risco (ver figura 5). Observe que os
componentes de negócio são mostrados em ordem decrescente de Risk Index.

Figura 5 - Risk Index em componentes de negócio de primeiro nível (Nível Estratégico)

11 de 16 Copyright © 2017 Módulo Solutions for GRC

Relatório Executivo da Análise

PRJR16001

2.5.2 Riscos no Nível Tático

A tabela 5 apresenta os índices consolidados por componente de negócio de segundo nível (Nível
Tático). São mostrados valores absolutos e percentuais dos riscos controlados e riscos
identificados para os 2 componentes com maior Risk Index.

Sistemas Controles Controles Não Riscos Riscos Security Risk

Relevância Control Index Gap Index
Organizacionais Implementados Implementados Controlados Identificados Index Index

Pje 2º Grau Muito Alta 892 559 61,47% 38,53% 44950 24635 64,60% 35,40%

PJe 1º Grau Muito Alta 961 616 60,94% 39,06% 48435 27530 63,76% 36,24%
Tabela 5 - Riscos no Nível Tático

O valor do risco identificado de cada componente de negócio de segundo nível (Nível Tático) é
composto pela soma dos riscos identificados (PSR dos controles não implementados) de todos os
ativos que o suportam.

O Risk Index é calculado pelo valor dos riscos identificados dividido pelo valor dos riscos
aplicáveis, tanto para cada componente de negócio como no total de componentes.

Esse resultado deve ser utilizado para priorizar as ações nos ativos que suportam os componentes
de negócio de segundo nível (Nível Tático) com maior risco (ver figura 6). Observe que os
componentes de negócio são mostrados em ordem decrescente de Risk Index.

Figura 6 - Risk Index em componentes de negócio de segundo nível (Nível Tático)

12 de 16 Copyright © 2017 Módulo Solutions for GRC

Relatório Executivo da Análise

PRJR16001

2.6 Riscos Encontrados nos Ativos (por PSR)

Os 10 ativos relacionados na tabela 6 - “Riscos identificados nos ativos” correspondem a 94,94%
do total de riscos aplicáveis. Estes ativos devem ser priorizados no tratamento para reduzir os
riscos identificados.

PSR PSR Security PSR Contribuição ao

Ativos Tipo de Ativo Relevância Risk Index
Aplicável Controlado Index Identificado Risk Index

JBOSS 5 Tecnologia Muito Alta 15945 7490 47,0% 8455 53,0% 11,1%

BANCO DE DADOS PRD Tecnologia Muito Alta 15360 9850 64,1% 5510 35,9% 7,3%

BLADE MT Tecnologia Muito Alta 5625 2450 43,6% 3175 56,4% 4,2%

SWITCH CORE - MT Tecnologia Muito Alta 6510 4155 63,8% 2355 36,2% 3,1%
LINK DE INTERNET -
Tecnologia Muito Alta 3265 1635 50,1% 1630 49,9% 2,1%
PRINCIPAL
ROTEADOR DO LINK DE
Tecnologia Muito Alta 3115 1525 49,0% 1590 51,0% 2,1%
BETIM
DATA CENTER - MT Ambiente Muito Alta 15005 13575 90,5% 1430 9,5% 1,9%
LINK MPLS - BH -
Tecnologia Muito Alta 3265 1960 60,0% 1305 40,0% 1,7%
PRINCIPAL
TAPE LIBRARY - MT Tecnologia Muito Alta 2030 1180 58,1% 850 41,9% 1,1%

APACHE 2.0 Tecnologia Muito Alta 2000 1535 76,8% 465 23,3% 0,6%

Consolidado (10) 72120 45355 60,3% 26765 39,7% 35,2%

Tabela 6 – Riscos identificados nos ativos

13 de 16 Copyright © 2017 Módulo Solutions for GRC

Relatório Executivo da Análise

PRJR16001

2.7 Níveis de Riscos dos Controles Não Implementados

A tabela 7 - “Níveis de risco dos controles aplicáveis com situação não implementado” apresenta
a quantidade e o percentual relativos a cada nível de risco dos controles não implementados,
para as visões quantitativa e qualitativa da análise.

Níveis de Riscos

Visão Muito Alto Alto Médio Baixo Muito Baixo Total

Quantitativa Controles 187 192 234 3 0 616

% 30,36% 31,17% 37,99% 0,49% 0,00% 100,00%

Qualitativa PSR 12595 8455 6450 30 0 27530

% 45,75% 30,71% 23,43% 0,11% 0,00% 100%

Tabela 7 - Níveis de riscos dos controles aplicáveis com situação não implementado

De acordo com a tabela acima, é possível verificar que 30,36% dos controles não implementados
representam 45,75% dos riscos considerados “Muito Alto” na organização.

14 de 16 Copyright © 2017 Módulo Solutions for GRC

Relatório Executivo da Análise

PRJR16001

3. PRÓXIMOS PASSOS
A análise identificou os principais riscos nos ativos e seus resultados irão auxiliar nas tomadas de
decisão para tratar as situações que afetam os objetivos da organização. O nível de risco e a sua
respectiva interpretação para cada valor possível são sugeridos na tabela 8 - “Valores possíveis do
PSR”:

Níveis de Risco
Interpretação Valores possíveis para o PSR®
do Controle

São riscos inaceitáveis, e os gestores dos ativos devem ser orientados que os
Muito Alto 60, 64, 75, 80, 100, 125
eliminem imediatamente.

São riscos inaceitáveis e os gestores dos ativos devem ser orientados para
Alto 32, 36, 40, 45, 48, 50
pelo menos controlá-los.

São riscos que podem ser aceitáveis após revisão e confirmação dos gestores
Médio 18, 20, 24, 25, 27, 30
dos ativos, contudo a aceitação do risco deve ser feita por meios formais.

São riscos que podem ser aceitáveis após revisão e confirmação dos gestores
Baixo 8, 9, 10, 12, 15, 16
dos ativos.

Muito Baixo São riscos aceitáveis e devem ser informados para os gestores dos ativos. 1, 2, 3, 4, 5, 6

Tabela 8 - Valores possíveis do PSR

Os resultados da análise são insumos importantes para a correta execução dos próximos passos:
avaliação e tratamento dos riscos. O uso do sistema Módulo Risk Manager para avaliar os riscos e
monitorar os tratamentos permite ganho de produtividade e utilização de ferramentas adicionais,
tais como simulação do tratamento - “What-if”, que permite avaliações de resultados em
possíveis cenários.

Adicionalmente, no Módulo Risk Manager, as fases de avaliação e tratamento estão integradas à

fase de análise, permitindo o uso adequado dos resultados desta. Com isso, quando é definido
que determinado risco seja enviado para tratamento, o sistema permite criação de eventos de
tratamento que poderão ser monitorados, atualizando os indicadores de riscos.

Processo de avaliação de riscos

Para os próximos passos, sugerimos usar o módulo de avaliação do sistema e adotar a seguinte
abordagem:
• Identificar os controles com riscos “Muito Alto” e “Alto”;
• Avaliar possíveis impactos da implementação dos controles na operação dos ativos, sistemas e
negócios;
• Enviar para tratamento imediato os controles que possuem nível de risco “Muito Alto” e “Alto”;
• Identificar os controles que possuem nível de risco “Médio”;
• Avaliar possíveis impactos da implementação dos controles na operação dos ativos e sistemas;
• Avaliar a necessidade de implementar, em curto prazo, os controles com nível de risco “Médio”;
• Identificar os benefícios da redução dos riscos na organização, usando o índice Risk Index;

15 de 16 Copyright © 2017 Módulo Solutions for GRC

Relatório Executivo da Análise

PRJR16001

• Verificar, no módulo de avaliação, se os riscos residuais (Risk Index) da avaliação são

satisfatórios;
• Avaliar impactos na aceitação de controles com riscos menores;
• Aceitar os riscos dos controles com menores riscos;
• Caso os riscos residuais não sejam satisfatórios, deve-se continuar o processo para os controles
com níveis de risco “Baixo” e “Muito Baixo”;
• Fechar o projeto e monitorar constantemente o risco residual na execução dos tratamentos.

16 de 16 Copyright © 2017 Módulo Solutions for GRC