Escolar Documentos
Profissional Documentos
Cultura Documentos
Gestao de Riscos E1670338488
Gestao de Riscos E1670338488
INFORMAÇÃO
Gestão de Riscos
SISTEMA DE ENSINO
Livro Eletrônico
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
Sumário
Apresentação......................................................................................................................................................................4
Gestão de Riscos. . .............................................................................................................................................................5
1. Escopo.................................................................................................................................................................................5
2. Referência Normativa. . ..............................................................................................................................................5
3. Termos e Definições...................................................................................................................................................5
4. Organização deste Documento. . ..........................................................................................................................6
5. Contextualização.........................................................................................................................................................6
6. Visão Geral do Processo de Gestão de Riscos de Segurança............................................................7
7. Definição do Contexto...............................................................................................................................................9
7.1. Considerações Gerais. . ...........................................................................................................................................9
7.2. Critérios Básicos......................................................................................................................................................9
7.3. Escopo e Limites................................................................................................................................................... 10
7.4. Organização para Gestão de Riscos de Segurança da Informação. ...........................................11
8. Processo de Avaliação de Riscos de Segurança da Informação.....................................................11
8.1. Descrição Geral do Processo de Avaliação de Riscos de Segurança da Informação. . .....11
8.2. Identificação de Riscos......................................................................................................................................12
8.3. Análise de Riscos.. .................................................................................................................................................14
8.4. Avaliação de Riscos.............................................................................................................................................15
9. Tratamento do Risco de Segurança da Informação...............................................................................16
9.1. Descrição Geral do Processo de Tratamento do Risco.....................................................................16
9.2. Modificação do Risco.. .........................................................................................................................................18
9.3. Retenção do Risco.. ...............................................................................................................................................18
9.4. Ação de Evitar o Risco........................................................................................................................................18
9.5. Compartilhamento do Risco............................................................................................................................18
10. Aceitação do Risco de Segurança da Informação. ................................................................................19
11. Comunicação e Consulta do Risco de Segurança da Informação..................................................19
12. Monitoramento e Análise Crítica de Riscos de Segurança da Informação. ............................19
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 2 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 3 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
Apresentação
Olá, querido(a) amigo(a), tudo bem?
Hoje veremos uma série de conceitos e questões relacionados à gestão de riscos, com
destaque para os conceitos mais cobrados nos últimos certames.
Que Deus o(a) abençoe, e vamos ao que interessa !
Profa Patrícia Quintão.
Instagram: @coachpatriciaquintao
WhatsApp: (31) 99442.0615
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 4 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
GESTÃO DE RISCOS
A norma ABNT NBR ISO/IEC 27005:2019 – Tecnologia da informação — Técnicas de
segurança — Gestão de riscos de segurança da informação fornece diretrizes para a gestão
de riscos de segurança da informação em uma organização.
É baseada no método de identificação de riscos de ativos, ameaças e vulnerabilidades,
que não é mais requerido pela ABNT NBR ISO/IEC 27001. Existem outras abordagens que
podem ser usadas.
Aplicável a gestores e pessoal envolvidos com a gestão de riscos de segurança da infor-
mação em uma organização e, quando apropriado, em entidades externas que dão suporte a
essas atividades.
1. Escopo
Fornece diretrizes para o processo de gestão de riscos de segurança da informação.
Estabelece os conceitos gerais especificados na ABNT NBR ISO/IEC 27001 e foi elabo-
rado para facilitar uma implementação satisfatória da segurança da informação tendo como
base uma abordagem de gestão de riscos.
Aplicável a todos os tipos de organização (por exemplo: empreendimentos comerciais,
agências governamentais, organizações sem fins lucrativos), que pretendam gerenciar os ris-
cos que podem comprometer a segurança da informação da organização.
2. Referência Normativa
O seguinte documento é referenciado no texto de tal forma que partes ou todo o seu
conteúdo constituem requisitos deste documento.
3. Termos e Definições
Aplicam-se os termos e definições a seguir e os da ISO/IEC 27000.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 5 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
5. Contextualização
Uma abordagem sistemática de gestão de riscos de segurança da informação é necessária
para se identificar as necessidades da organização em relação aos requisitos de segurança da
informação e para criar um sistema de gestão de segurança da informação (SGSI) que seja eficaz.
Convém que a gestão de riscos de segurança da informação seja parte integrante das ati-
vidades de gestão da segurança da informação e seja aplicada tanto à implementação quanto
à operação cotidiana de um SGSI.
Convém que a gestão de riscos de segurança da informação seja um processo contínuo.
O processo de gestão de riscos de segurança da informação pode ser aplicado à organização
como um todo, a uma área específica da organização (por exemplo: um departamento, um local fí-
sico, um serviço), a qualquer sistema de informações, a controles já existentes, planejados ou ape-
nas a aspectos particulares de um controle (por exemplo: o plano de continuidade de negócios).
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 6 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 7 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
Figura. Processo de Gestão de Riscos de Segurança da Informação Fonte: (ABNT NBR ISO/IEC 27005:2019, p. 5)
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 8 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
7. Definição do Contexto
7.1. Considerações Gerais
Entrada: todas as informações sobre a organização relevantes para a definição do con-
texto da GRSI.
Ação: convém que os contextos externo e interno para GRSI sejam estabelecidos.
Diretrizes para implementação:
É essencial determinar o propósito da GRSI, pois ele afeta o processo em geral e a defini-
ção do contexto em particular. Esse propósito pode ser:
• suporte a um SGSI;
• conformidade legal e evidência da devida diligência (“due diligence”);
• preparação de um PCN;
• preparação de um plano de resposta a incidentes; e
• descrição dos requisitos de segurança da informação para um produto, um serviço ou
um mecanismo.
Convém que esses critérios sejam desenvolvidos para avaliar os riscos de segurança da
informação na organização, considerando:
• o valor estratégico do processo que trata as informações de negócio;
• a criticidade dos ativos de informação envolvidos;
• importância do ponto de vista operacional e dos negócios, da disponibilidade, da confi-
dencialidade e da integridade, e
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 9 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
Convém que esses critérios sejam desenvolvidos e especificados em função do montante dos
danos ou custos à organização causados por um evento relacionado à segurança da informação.
www.grancursosonline.com.br 10 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
Ainda, convém que a organização forneça justificativa para quaisquer exclusões do escopo.
Convém que essa organização seja aprovada pelos gestores apropriados da organização.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 11 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
A identificação de riscos busca determinar o que possa causar uma perda potencial e dei-
xar claro como, onde e por que a perda pode acontecer.
Convém que a identificação de riscos inclua os riscos cujas fontes estejam ou não sob
controle da organização, mesmo que a fonte ou a causa dos riscos não seja evidente.
Um ativo é algo que tem valor para a organização e que, portanto, requer proteção.
Convém que a identificação dos ativos seja executada com um detalhamento adequado
que forneça informações suficientes para o processo de avaliação de riscos.
Convém que um responsável seja identificado para cada ativo, para fornecer responsabili-
dade e responsabilização pelo ativo.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 12 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
Obs.: O responsável pelo ativo pode não ter direitos de propriedade sobre este, mas tem res-
ponsabilidade sobre sua produção, desenvolvimento, manutenção, utilização e segu-
rança, conforme apropriado.
Convém que tanto as fontes das ameaças acidentais, quanto as intencionais, sejam identificadas.
Uma ameaça pode surgir de dentro ou de fora da organização.
Convém que as ameaças sejam identificadas genericamente e por classe (por exemplo:
ações não autorizadas, danos físicos, falhas técnicas) e, quando apropriado, ameaças especí-
ficas identificadas dentro das classes genéricas. Isto significa que, nenhuma ameaça é ignora-
da, incluindo as não previstas, mas que o volume de trabalho requerido é limitado.
Convém que experiências internas de incidentes e avaliações anteriores das ameaças se-
jam consideradas na avaliação atual.
Convém que a identificação dos controles existentes seja realizada para evitar custos e
trabalho desnecessários.
Além disso, enquanto os controles existentes estiverem sendo identificados, convém que
seja feita uma verificação para assegurar que eles estão funcionando corretamente.
Um controle que não funcione como esperado pode provocar o surgimento de vulnerabili-
dades. Convém que seja levada em consideração a possibilidade de um controle selecionado
(ou estratégia) falhar durante sua operação e, sendo assim, controles complementares são
requeridos para tratar efetivamente o risco identificado.
Convém que um controle insuficiente ou não justificado seja verificado para determinar se
convém que este seja removido, substituído por outro controle mais adequado ou se convém
que o controle permaneça em vigor, por exemplo, em função dos custos.
www.grancursosonline.com.br 13 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
A presença de uma vulnerabilidade não causa prejuízo por si só, pois precisa haver uma
ameaça presente para explorá-la.
Um controle implementado, funcionando incorretamente ou sendo usado incorretamente,
pode, por si só, representar uma vulnerabilidade.
Um controle pode ser eficaz ou não, dependendo do ambiente no qual ele opera. Inversa-
mente, uma ameaça que não tenha uma vulnerabilidade correspondente pode não resultar
em um risco.
Uma consequência pode ser, por exemplo, a perda da eficácia, condições adversas de ope-
ração, a perda de oportunidades de negócio, reputação afetada, prejuízo etc.
Convém que as organizações identifiquem as consequências operacionais de cenários de
incidentes em função de (mas não limitado a):
• investigação e tempo de reparo;
• tempo (de trabalho) perdido;
• oportunidade perdida;
• saúde e segurança;
• custo financeiro das competências específicas necessárias para reparar o prejuízo, e
• imagem, reputação e valor de mercado.
A análise de riscos pode ser empreendida com diferentes graus de detalhamento, depen-
dendo da criticidade dos ativos, da extensão das vulnerabilidades conhecidas e dos inciden-
tes anteriores envolvendo a organização.
Uma metodologia para a análise de riscos pode ser qualitativa ou quantitativa ou uma
combinação de ambas, dependendo das circunstâncias.
• Análise Qualitativa de Riscos: utiliza uma escala com atributos qualificadores que des-
crevem a magnitude das consequências potenciais (ex.: pequena, média e grande) e a
probabilidade dessas consequências ocorrerem. É de fácil compreensão pelos envolvi-
dos, enquanto uma desvantagem é a dependência da escolha subjetiva da escala.
• Análise Quantitativa de Riscos: utiliza uma escala com valores numéricos (e não as es-
calas descritivas usadas na análise qualitativa) tanto para consequências quanto para a
probabilidade, usando dados de diversas fontes.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 14 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 15 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 16 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
A norma ABNT NBR ISO/IEC 27005:2019 cita que há quatro opções disponíveis para o trata-
mento do risco. São elas:
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 17 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
www.grancursosonline.com.br 18 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 19 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
RESUMO
• A ABNT NBR ISO/IEC 27005:2019 – Tecnologia da informação — Técnicas de segurança —
Gestão de riscos de segurança da informação fornece diretrizes para a gestão de riscos de
segurança da informação em uma organização.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 20 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 21 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
Figura. Processo de Gestão de Riscos de Segurança da Informação Fonte: (ABNT NBR ISO/IEC 27005:2019, p. 5)
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 22 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 23 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 24 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
QUESTÕES DE CONCURSO
002. (CEBRASPE (CESPE)/ANALISTA DA DEFENSORIA PÚBLICA/DPE-RO/REDES E COMU-
NICAÇÃO DE DADOS/2022) Segundo a Norma NBR ISO/IEC 27005, no que diz respeito ao mo-
nitoramento e análise crítica dos fatores de riscos de segurança da informação, é necessária
uma análise crítica periódica sobre
a) os novos ativos incluídos no escopo da gestão de riscos.
b) as opções selecionadas para o tratamento de riscos.
c) os incidentes relacionados à segurança da informação.
d) a exposição de vulnerabilidades já identificadas a ameaças novas.
e) as novas ameaças ainda não avaliadas e que podem estar ativas.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 25 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 26 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 27 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 28 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
GABARITO
1. b
2. b
3. E
4. b
5. d
6. d
7. C
8. C
9. C
10. e
11. C
12. b
13. E
14. C
15. C
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 29 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
GABARITO COMENTADO
002. (CEBRASPE (CESPE)/ANALISTA DA DEFENSORIA PÚBLICA/DPE-RO/REDES E COMU-
NICAÇÃO DE DADOS/2022) Segundo a Norma NBR ISO/IEC 27005, no que diz respeito ao moni-
toramento e análise crítica dos fatores de riscos de segurança da informação, é necessária uma
análise crítica periódica sobre
a) os novos ativos incluídos no escopo da gestão de riscos.
b) as opções selecionadas para o tratamento de riscos.
c) os incidentes relacionados à segurança da informação.
d) a exposição de vulnerabilidades já identificadas a ameaças novas.
e) as novas ameaças ainda não avaliadas e que podem estar ativas.
Convém que qualquer grande mudança que afete a organização seja seguida por uma análise crí-
tica mais específica. Assim sendo, convém que as atividades de monitoramento de riscos sejam
repetidas regularmente, e que as opções selecionadas para o tratamento do risco sejam analisadas
criticamente periodicamente.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 30 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
A norma ABNT NBR ISO/IEC 27005:2019 destaca as seguintes atividades de Gestão de Ris-
cos de Segurança da Informação (GRSI):
• definição do contexto (Seção 7);
• processo de avaliação de riscos (Seção 8);
• tratamento do risco (Seção 9);
• aceitação do risco (Seção 10);
• comunicação e consulta do risco (Seção 11);
• monitoramento e análise crítica de riscos (Seção 12).
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 31 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
De acordo com a ABNT NBR ISO/IEC 27005:2019, o processo de avaliação de riscos consiste
nas seguintes atividades:
• Identificação de riscos;
• Análise de riscos;
• Avaliação de riscos.
Portanto, a primeira etapa do processo de avaliação de riscos consiste em Identificar os riscos.
Fases da identificação de riscos:
• Introdução à identificação de riscos;
• Identificação dos ativos;
• Identificação das ameaças;
• Identificação dos controles existentes;
• Identificação das vulnerabilidades;
• Identificação das consequências.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 32 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
A figura listada a seguir é de grande valia para resolver inúmeras questões sobre o processo de GRSI.
Figura. O Processo de Gestão de Riscos de Segurança da Informação. Fonte: (ABNT NBR ISO/IEC
27005:2019)
Letra d.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 33 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
A norma ABNT NBR ISO/IEC 27005:2019 destaca que há quatro opções disponíveis para o
tratamento do risco: modificação
do risco, retenção do risco, ação de evitar o risco e Compartilhamento do risco. Conforme vis-
to, a eliminação do risco não é uma das opções aqui elencadas de tratamento do risco.
Letra d.
Cabe destacar que uma metodologia para a análise de riscos pode ser qualitativa ou quanti-
tativa ou uma combinação de ambas, dependendo das circunstâncias.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 34 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
• Análise Qualitativa de Riscos: utiliza uma escala com atributos qualificadores que des-
crevem a magnitude das consequências potenciais (ex.: pequena, média e grande) e a
probabilidade dessas consequências ocorrerem.
• Análise Quantitativa de Riscos: utiliza uma escala com valores numéricos (e não as
escalas descritivas usadas na análise qualitativa). A qualidade da análise depende da
exatidão e da integralidade dos valores utilizados e da validade dos modelos utilizados.
Na maioria dos casos, utiliza dados históricos dos incidentes, proporcionando a vanta-
gem de poder ser relacionada diretamente aos objetivos da segurança da informação e
interesses da organização. Uma desvantagem é a falta de tais dados sobre novos riscos
ou sobre fragilidades da segurança da informação. Quando dados factuais e auditáveis
não estão disponíveis, a exatidão do processo de avaliação de riscos e os valores as-
sociados tornam-se ilusórios (ABNT NBR ISO/IEC 27005:2011, p. 21).
Certo.
A norma ABNT NBR ISO 27005: 2019define a seguinte classificação para ativos:
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 35 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 36 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
Conforme visto na figura seguinte, extraída de ABNT NBR ISO/IEC 27005:2019, as atividades
são: I (Definição do Contexto); II (Tratamento do Risco) e III (Aceitação do Risco).
Figura. Processo de Gestão de Riscos de Segurança da Informação Fonte: (ABNT NBR ISO/IEC 27005:2019)
Letra e.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 37 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 38 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
Figura. A Atividade de Tratamento do Risco. Fonte: (ABNT NBR ISO/IEC 27005:2019, p.26)
Esses itens são especificados na Seção 9 “Tratamento do risco de segurança da informação” da NBR ISO/IEC
27005:2011.
Letra b.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 39 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
Não existe a opção de eliminação do risco. Segundo a ABNT NBR ISO/IEC n. 27005, “as quatro
opções para o tratamento do risco não são mutuamente exclusivas. Às vezes, a organização
pode beneficiar-se substancialmente de uma combinação de opções.
Errado.
www.grancursosonline.com.br 40 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
A comunicação de riscos visa assegurar que as informações sobre os riscos sejam comparti-
lhadas entre os responsáveis pelas decisões e as outras partes envolvidas.
Segundo a norma ABNT NBR ISO/IEC n. 27005:2011, a comunicação de riscos envolve a troca
e/ou compartilhamento de informações sobre o risco entre o tomador de decisão e as outras
partes interessadas.
São diretrizes da comunicação do risco de Segurança da Informação: obter consenso sobre
como gerenciar os riscos devem ser gerenciados, fazendo uso para tal da troca e/ou partilha
das informações sobre o risco entre os tomadores de decisões e as outras partes interessadas
(ABNT NBR ISO/IEC n. 27005:2011).
Certo.
A norma ABNT NBR ISO/IEC n. 27005:2011 destaca que o escopo do processo de GRSI precisa
ser definido para assegurar que todos os ativos relevantes sejam considerados no processo
de avaliação de riscos. Além disso, os limites precisam ser identificados para permitir o reco-
nhecimento dos riscos que possam transpor esses limites.
Ao definir o escopo e os limites, convém que a organização considere as seguintes informa-
ções (ABNT NBR ISO/IEC n.º 27005:2011, p. 14):
• os objetivos estratégicos, políticas e estratégias da organização;
• processos de negócio;
• as funções e estrutura da organização;
• requisitos legais, regulatórios e contratuais aplicáveis à organização;
• a política de segurança da informação da organização;
• a abordagem da organização à gestão de riscos;
• ativos de informação;
• localidades em que a organização se encontra e suas características geográficas;
• restrições que afetam a organização;
• expectativas das partes interessadas;
• ambiente sociocultural;
• interfaces (ou seja: a troca de informação com o ambiente).
Certo.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 41 de 43
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
REFERÊNCIAS
QUINTÃO, P. L. Notas de aula da disciplina “Tecnologia da Informação”. 2022.
Patrícia Quintão
@coachpatriciaquintao /profapatriciaquintao
@plquintao t.me/coachpatriciaquintao
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 42 de 43
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.