Escolar Documentos
Profissional Documentos
Cultura Documentos
PRJR16001
Avaliação dos Riscos dos Ativos de Infraestrutura do Sistema PJe -
Produção
Emissão 23/11/2017 15:03:00
As informações contidas neste documento são direcionadas aos usuários do sistema Módulo Risk Manager™,
desenvolvido pela Módulo Security Solutions S/A.
Caso não tenha autorização de acesso a essas informações, saiba que sua leitura, divulgação ou cópia são
proibidas. O uso impróprio será tratado pela legislação em vigor com base nos acordos de sigilo.
Os controles existentes nos knowledge bases criados pela Módulo Security Solutions S/A estão protegidos pela
legislação autoral e patrimonial.
A reprodução não autorizada, em todo ou em parte, poderá resultar em punições civis e criminais.
Relatório Executivo da Análise
PRJR16001
ATENÇÃO
As informações existentes neste documento e em seus anexos são para uso restrito aos
usuários do sistema Módulo Risk Manager™ desenvolvido pela Módulo Security Solutions
S.A, sendo seu sigilo protegido por lei.
Caso não tenha autorização de acesso a estas informações, saiba que sua leitura,
divulgação e cópia são proibidas. O uso impróprio será tratado pela legislação em vigor
com base em acordos de sigilo.
Os controles e informações existentes nas bases de conhecimento são criação e/ou objeto
de compilação da Módulo Security Solutions S/A, encontrando-se protegidos pela
legislação de direito autoral. A reprodução não autorizada, em todo ou em parte, gerará
a competente responsabilização civil e criminal dos envolvidos.
PRJR16001
1. INTRODUÇÃO
Este relatório apresenta, de forma resumida, o resultado da análise de riscos realizada no projeto
Avaliação dos Riscos dos Ativos de Infraestrutura do Sistema PJe - Produção. As investigações
foram realizadas nos ativos da organização e podem ter utilizado diversos métodos de coleta de
evidências, tais como: coletores tecnológicos, análise de documentos, entrevistas, vistorias às
instalações, dentre outros.
Algumas das principais questões tratadas aqui são: (i) Quais as principais ameaças para o negócio?
(ii) Quais os níveis de risco dos controles não implementados? (iii) Quais os próximos passos para
reduzir os riscos? (iv) Como priorizar as ações de segurança a serem tomadas?
Informações mais detalhadas e recomendações técnicas podem ser obtidas através do Relatório
da Análise de Riscos e do Relatório Operacional de Riscos, ambos gerados pelo Módulo Risk
ManagerÔ, o sistema da Módulo Security Solutions S/A que utiliza a exclusiva metodologia GRC
MetaframeworkÔ. Essa metodologia está em conformidade com as diretrizes fornecidas pelas
normas NBR ISO/IEC 27001, NBR ISO/IEC 27002, NBR ISO/IEC 27005, ISO 31000 e ISO Guia 73. Por
isso, a utilização do Módulo Risk Manager proporciona um aumento de produtividade, controle e
padronização das atividades e auxilia a organização a obter os resultados desejados.
Caso o projeto esteja em andamento, com situação "Aberto" na data de emissão do relatório, os
resultados apresentados serão parciais.
PRJR16001
É a possibilidade das A severidade pontua o nível do impacto É o grau de importância do ativo para a
vulnerabilidades/fraquezas serem na organização, caso ocorra o risco organização, considerando os
exploradas por uma ou mais ameaças previsto. Isto significa que, se o incidente componentes de negócio que ele suporta.
devido à ausência de controles. oorrer, a severidade pontuará o grau de
comprometimento da performance, da
confiabilidade ou da qualidade do ativo.
PRJR16001
Para fornecer a estimativa dos riscos, o sistema Módulo Risk Manager utiliza os seguintes índices:
PSR - É calculado por meio da soma do PSR dos controles não implementados. Calcula-se o produto dos fatores P, S e R
de cada controle não implementado e em seguida somam-se os resultados obtidos. O PSR é consolidado por ativo, por
tipo de ativo, por perímetro, por agrupamento, por knowledge base, por questionário, por componentes de negócio
etc., e expresso em números inteiros.
Risk Index - É calculado por meio da divisão do PSR dos controles não implementados (riscos encontrados) pelo PSR
dos controles aplicáveis, e expresso em números percentuais, podendo variar de 0% a 100%.
Security Index - É calculado por meio da divisão do PSR dos controles implementados (riscos evitados) pelo PSR dos
controles aplicáveis. Complementa, portanto, o Risk Index. Também é expresso em números percentuais e pode variar
de 0% a 100%.
Control Index - É calculado por meio da divisão da quantidade de controles implementados pela quantidade de
controles aplicáveis, e expresso em números percentuais, podendo variar de 0% a 100%.
Gap Index - É calculado por meio da divisão da quantidade de controles não implementados pela quantidade de
controles aplicáveis. Complementa o Control Index. Também é expresso em números percentuais e pode variar de 0% a
100%.
PRJR16001
2. RESUMO
É importante observar que, quanto maior o valor do Control Index, mais controles estarão em
conformidade com as recomendações dos knowledge bases utilizados na análise.
PRJR16001
Quanto maior o Security Index, mais baixo é o nível de riscos nos ativos analisados.
IMPORTANTE:
Quando o Security Index for maior que o Control Index, deduz-se que a gestão dos riscos é eficaz, uma
vez que os controles implementados são os que atuam nos maiores riscos (PSR mais altos). Caso
contrário, deduz-se que houve uma menor eficácia na gestão de riscos, já que a maior parte dos
controles implementados corresponde aos menores riscos (PSR mais baixos). Já se os valores forem
semelhantes, conclui-se que existe uma distribuição homogênea entre o nível de risco e a prioridade
conferida aos controles implementados.
PRJR16001
PRJR16001
O risco identificado (PSR) associado a cada ameaça (potencial incidente), é calculado pela soma
dos riscos de todos os controles não implementados associados a essa ameaça. O Risk Index é
calculado pelo valor dos riscos identificados dividido pelo valor dos riscos aplicáveis, para cada
controle associado às ameaças.
Esses resultados podem ser utilizados para priorizar as ações sobre os componentes de negócio e
ativos mais críticos, sob a perspectiva dos riscos provenientes das principais ameaças à
organização (ver Figura 4).
PRJR16001
PRJR16001
Segunda Instância Muito Alta 892 559 61,47% 38,53% 44950 24635 64,60% 35,40%
Primeira Instância Muito Alta 961 616 60,94% 39,06% 48435 27530 63,76% 36,24%
Tabela 4 - Riscos no Nível Estratégico
O valor do risco identificado de cada componente de negócio de primeiro nível (Nível Estratégico)
é composto pela soma dos riscos identificados (PSR dos controles não implementados) de todos os
ativos que o suportam.
O Risk Index é calculado pelo valor dos riscos identificados dividido pelo valor dos riscos
aplicáveis, tanto em cada componente de negócio como no total de componentes.
Esse resultado deve ser utilizado para priorizar as ações nos ativos que suportam os componentes
de negócio de primeiro nível (Nível Estratégico) com maior risco (ver figura 5). Observe que os
componentes de negócio são mostrados em ordem decrescente de Risk Index.
PRJR16001
Pje 2º Grau Muito Alta 892 559 61,47% 38,53% 44950 24635 64,60% 35,40%
PJe 1º Grau Muito Alta 961 616 60,94% 39,06% 48435 27530 63,76% 36,24%
Tabela 5 - Riscos no Nível Tático
O valor do risco identificado de cada componente de negócio de segundo nível (Nível Tático) é
composto pela soma dos riscos identificados (PSR dos controles não implementados) de todos os
ativos que o suportam.
O Risk Index é calculado pelo valor dos riscos identificados dividido pelo valor dos riscos
aplicáveis, tanto para cada componente de negócio como no total de componentes.
Esse resultado deve ser utilizado para priorizar as ações nos ativos que suportam os componentes
de negócio de segundo nível (Nível Tático) com maior risco (ver figura 6). Observe que os
componentes de negócio são mostrados em ordem decrescente de Risk Index.
PRJR16001
JBOSS 5 Tecnologia Muito Alta 15945 7490 47,0% 8455 53,0% 11,1%
BANCO DE DADOS PRD Tecnologia Muito Alta 15360 9850 64,1% 5510 35,9% 7,3%
BLADE MT Tecnologia Muito Alta 5625 2450 43,6% 3175 56,4% 4,2%
SWITCH CORE - MT Tecnologia Muito Alta 6510 4155 63,8% 2355 36,2% 3,1%
LINK DE INTERNET -
Tecnologia Muito Alta 3265 1635 50,1% 1630 49,9% 2,1%
PRINCIPAL
ROTEADOR DO LINK DE
Tecnologia Muito Alta 3115 1525 49,0% 1590 51,0% 2,1%
BETIM
DATA CENTER - MT Ambiente Muito Alta 15005 13575 90,5% 1430 9,5% 1,9%
LINK MPLS - BH -
Tecnologia Muito Alta 3265 1960 60,0% 1305 40,0% 1,7%
PRINCIPAL
TAPE LIBRARY - MT Tecnologia Muito Alta 2030 1180 58,1% 850 41,9% 1,1%
APACHE 2.0 Tecnologia Muito Alta 2000 1535 76,8% 465 23,3% 0,6%
PRJR16001
Níveis de Riscos
De acordo com a tabela acima, é possível verificar que 30,36% dos controles não implementados
representam 45,75% dos riscos considerados “Muito Alto” na organização.
PRJR16001
3. PRÓXIMOS PASSOS
A análise identificou os principais riscos nos ativos e seus resultados irão auxiliar nas tomadas de
decisão para tratar as situações que afetam os objetivos da organização. O nível de risco e a sua
respectiva interpretação para cada valor possível são sugeridos na tabela 8 - “Valores possíveis do
PSR”:
Níveis de Risco
Interpretação Valores possíveis para o PSR®
do Controle
São riscos inaceitáveis, e os gestores dos ativos devem ser orientados que os
Muito Alto 60, 64, 75, 80, 100, 125
eliminem imediatamente.
São riscos inaceitáveis e os gestores dos ativos devem ser orientados para
Alto 32, 36, 40, 45, 48, 50
pelo menos controlá-los.
São riscos que podem ser aceitáveis após revisão e confirmação dos gestores
Médio 18, 20, 24, 25, 27, 30
dos ativos, contudo a aceitação do risco deve ser feita por meios formais.
São riscos que podem ser aceitáveis após revisão e confirmação dos gestores
Baixo 8, 9, 10, 12, 15, 16
dos ativos.
Muito Baixo São riscos aceitáveis e devem ser informados para os gestores dos ativos. 1, 2, 3, 4, 5, 6
Os resultados da análise são insumos importantes para a correta execução dos próximos passos:
avaliação e tratamento dos riscos. O uso do sistema Módulo Risk Manager para avaliar os riscos e
monitorar os tratamentos permite ganho de produtividade e utilização de ferramentas adicionais,
tais como simulação do tratamento - “What-if”, que permite avaliações de resultados em
possíveis cenários.
Para os próximos passos, sugerimos usar o módulo de avaliação do sistema e adotar a seguinte
abordagem:
• Identificar os controles com riscos “Muito Alto” e “Alto”;
• Avaliar possíveis impactos da implementação dos controles na operação dos ativos, sistemas e
negócios;
• Enviar para tratamento imediato os controles que possuem nível de risco “Muito Alto” e “Alto”;
• Identificar os controles que possuem nível de risco “Médio”;
• Avaliar possíveis impactos da implementação dos controles na operação dos ativos e sistemas;
• Avaliar a necessidade de implementar, em curto prazo, os controles com nível de risco “Médio”;
• Identificar os benefícios da redução dos riscos na organização, usando o índice Risk Index;
PRJR16001