NO - PTH.DIT-013 Norma de Gestion de Riesgos Paytech v1

GESTIÓN DE RIESGOS DE TI – PAYTECH HOLDING
IDENTIFICADOR INÍCIO DA VIGÊNCIA VERSÃO PÁGINA

NO.PTH.DIT-013 01/07/2017 01 1 de 17
ELABORACIÓN APROVACION CLASIFICACIÓN
Riesgos y Compliance TI Director Tec. Informacion ☒ Confidencial ☐Público ☐ Sigiloso ☐ Restrito
SUMÁRIO
1 OBJETIVO .............................................................................................................................................................. 3
2 ABRANGENCIA ...................................................................................................................................................... 3
3 DEFINIÇÕES ........................................................................................................................................................... 3
4 REFERENCIAS ........................................................................................................................................................ 3
5 NORMA DE GESTION DE RISCOS. .......................................................................................................................... 3
5.1. PREMISSAS A SEREM CONSIDERADAS. ............................................................................................................. 3
5.2. PROCESSO DE AVALIAÇÃO DE RISCOS ............................................................................................................... 4
5.2.1. INVENTÁRIO DE ATIVOS E IDENTIFICAÇÃO DE SEUS RESPONSÁVEIS ............................................................. 4
5.2.2. DEFINIÇÃO DE VALOR DE IMPACTO DOS ATIVOS À EMPRESA OU PROCESSOS DE NEGÓCIO ........................ 5
5.2.3. LEVANTAMENTO DE AMEAÇAS E VULNERABILIDADES APLICÁVEIS AOS ATIVOS .......................................... 6
5.2.4. IDENTIFICAÇÃO DE NÍVEIS E PROBABILIDADES DAS AMEAÇAS E VULNERABILIDADES .................................. 6
5.2.5. CÁLCULO DO NÍVEL DE EXPOSIÇÃO DO ATIVO .............................................................................................. 7
5.2.6. IDENTIFICAÇÃO DO GRAU DE RISCO ............................................................................................................. 8
5.2.7. CLASSIFICAÇÃO DOS RISCOS COMO INACEITÁVEIS OU ACEITÁVEIS .............................................................. 9
5.2.8. CRIAÇÃO E ACOMPANHAMENTO DE PLANOS DE TRATAMENTO DOS RISCOS .............................................. 9
5.2.9. REAVALIAÇÃO DE NÍVEL DE EXPOSIÇÃO DOS ATIVOS E CÁLCULO DE RISCO RESIDUAL ................................11
ANEXO A. AMEAÇAS E VULNERABILIDADES POR TIPO DE ATIVO .............................................................................12
1. AMEAÇAS .............................................................................................................................................................12
1.1. ATIVOS FÍSICOS ................................................................................................................................................12
1.2. ATIVOS PESSOAS..............................................................................................................................................12
1.3. ATIVOS APLICAÇÕES ........................................................................................................................................12
1.4. ATIVOS INFORMAÇÕES ....................................................................................................................................12
2. VULNERABILIDADES .............................................................................................................................................13
2.1. ATIVOS FÍSICOS ................................................................................................................................................13
2.2. ATIVOS PESSOAS..............................................................................................................................................13
2.3. ATIVOS APLICAÇÕES ........................................................................................................................................14
2.4. ATIVOS INFORMAÇÕES ....................................................................................................................................15
ANEXO B. MODELO DE PLANILHA PARA ANÁLISE DE RISCOS ...................................................................................16
6 ANEXOS ...............................................................................................................................................................16
 FR.PTH.DIT-010 – MAPA DE GESTIÓN DE RIESGOS - PAYTECH ..............................................................................16
São consideradas cópias controladas SOMENTE os documentos fornecidos Governança Corporativa.

NO.PTH.DIT-013 01/07/2017 01 2 de 17
7 GESTÃO DE CONFLITOS ........................................................................................................................................16
8 CLASSIFICAÇÃO (CONFIDENCIALIDADE) ...............................................................................................................16
9. VERSIONAMENTO ....................................................................................................................................................16
10. APROVAÇÕES .........................................................................................................................................................17
INDICE DE TABELAS
Tabela 1 – Critérios e valores de impacto de ativos na organização ................................................................... 5

Tabela 2 – Critérios e valores de probabilidades de ameaças ............................................................................. 7
Tabela 3 - Critérios e valores de proteção contra vulnerabilidades .................................................................... 7
Tabela 4 – Critérios para aceitação de riscos ....................................................................................................... 9
Tabela 5 – Valores de planos de ação do PTR .................................................................................................... 10

NO.PTH.DIT-013 01/07/2017 01 3 de 17
1 OBJETIVO
Esta norma tem como objetivo estabelecer regras e métodos para a efetiva gestão dos riscos a fim de
minimizar consequências negativas que possam ocorrer em decorrência da falta de proteção de ativos.
Este documento também estabelece as responsabilidades das partes envolvidas na identificação,
classificação e mitigação dos riscos.
2 ABRANGENCIA
Esta norma abrange todos as empresas que compõem o Grupo PAYTECH HOLDING, incluindo seus
sistemas, equipamentos, redes e informações, os seus colaboradores e fornecedores e de provedores
de serviços onde estes efetuem o manuseio ou processamento eletrônico das informações.
3 DEFINIÇÕES
 Ameaça: Eventos que podem colocar em risco um ativo e comprometer sua disponibilidade,
integridade e/ou confidencialidade.
 Análise de Riscos: Avaliação de riscos baseando-se em uma metodologia
 Ativo: Tudo que agrega valor a uma empresa, como pessoas, equipamentos, sistemas, etc.
 Gestão de Riscos: Processo de análise
 Risco: Efeito da incerteza nos objetivos (Fonte: ISO 31000:2009).
 Vulnerabilidade: Falha ou fraqueza que pode ser explorada, fazendo com que uma ameaça se
concretize.
4 REFERENCIAS
 ISO 31000:2009 – Risk Management - Principles and guidelines
5 NORMA DE GESTION DE RISCOS.

O Grupo PAYTECH HOLDING, por meio desta norma, estabelece o conjunto de regras, métodos e o passo
a passo que deverá ser utilizado na análise e gestão de riscos (12.2).
5.1. PREMISSAS A SEREM CONSIDERADAS.
Como pré-requisito deste método e para a realização de uma análise de Riscos eficiente, deve-se realizar
uma Análise de Impacto do Negócio (Business Impact Analysis – BIA).
O BIA servirá para identifica quais são os recursos necessários para a realização das atividades de negócio
das empresas do Grupo PAYTECH HOLDING e fornecerá também uma visão geral dos impactos em caso de
parada inesperada dos serviços ou dos processos de negócio realizados.
Este processo possibilita a identificação e a classificação dos processos de negócio considerados mais
importantes para a empresa e proporciona o subsídio necessário para a priorização dos planos de mitigação
a serem executados ao final da análise de riscos.

NO.PTH.DIT-013 01/07/2017 01 4 de 17
Outra premissa para a realização da análise de riscos é o comprometimento dos gestores envolvidos com
os processos de negócio que serão avaliados, assim como aqueles que suportam as atividades executadas,
através do fornecimento de recursos computacionais e a contratação de provedores de serviços (TI), ou
dos recursos humanos necessários (RH).
5.2. PROCESSO DE AVALIAÇÃO DE RISCOS
O Processo de análise e avaliação dos riscos é dividida em etapas, conforme lista abaixo:
1. Inventário de ativos e identificação de seus responsáveis

2. Definição de valor de impacto dos ativos à empresa e/ou a seus processos de negócio
3. Levantamento de ameaças e vulnerabilidades aplicáveis aos ativos
4. Identificação de níveis e probabilidades das ameaças e vulnerabilidades identificadas
5. Cálculo do nível de exposição do ativo
6. Identificação do grau de risco levando-se em conta o nível de exposição e valor do ativo
7. Classificação dos riscos como inaceitáveis ou aceitáveis
8. Criação e acompanhamento de planos de tratamento dos riscos identificados
9. Reavaliação de nível de exposição dos ativos e cálculo de risco residual
Toda análise de risco deverá ser documentada em planilhas (ver modelo no anexo B) com controle de
acesso restrito apenas àqueles envolvidos no processo de análise de riscos. Esta planilha deverá compor o
rol de instrumentos normativos vigentes, ser controlada e versionada para identificar quais mudanças
foram realizadas e por quem.
Todos os riscos levantados deverão possuir um identificador único (ID), de maneira que todos os planos de
ação relacionados a eles possuam referências únicas para identificar quais riscos são cobertos.
5.2.1. INVENTÁRIO DE ATIVOS E IDENTIFICAÇÃO DE SEUS RESPONSÁVEIS
A etapa de inventário de ativos e identificação de seus responsáveis tem como objetivo realizar o
levantamento de todos os ativos, levando-se em conta os processos de negócio que serão avaliados na
análise de riscos. Entende-se por ativo tudo aquilo que agrega valor à organização.
O levantamento de ativos deverá ser realizado pelas áreas envolvidas na análise de riscos, sendo cada área
responsável por identificar os ativos críticos aos seus processos e ativos que são gerenciados por sua área.
Para a metodologia de análise de riscos foram criadas 4 categorias de ativos:
a) Físico,
b) Pessoas,
c) Aplicações e;
d) Dados.
Estas categorias foram criadas com o intuito de facilitar a gestão dos riscos, uma vez que ameaças e
vulnerabilidades dentro das categorias costumam se repetir. Ver mais detalhes em “Identificação de níveis
e probabilidades das ameaças e vulnerabilidades identificadas”.

NO.PTH.DIT-013 01/07/2017 01 5 de 17
Exemplos de ativos:
 Físicos – Instalações físicas, salas seguras, servidores (hardware), cofres, etc.;

 Pessoas – Grupos de pessoas divididas por funções – analistas, gerentes, etc.
 Aplicações – Sistemas desenvolvidos, sistemas adquiridos, sistemas operacionais, etc.;
 Dados – Informações trafegadas, armazenadas e/ou processadas pela empresa – dados de clientes,
cartões, relatórios gerenciais, etc.
Ao final do levantamento de ativos, deve-se atribuir responsáveis a todos eles, incluindo um método de
identificar imediatamente, além do responsável, formas para contatos comuns e emergenciais.
5.2.2. DEFINIÇÃO DE VALOR DE IMPACTO DOS ATIVOS À EMPRESA OU PROCESSOS DE NEGÓCIO
Nesta etapa, todos os ativos identificados serão avaliados quanto a seu impacto para os processos de
negócio que estão sendo avaliados em decorrência de perda na integridade, confidencialidade e/ou
disponibilidade do ativo.
Um mesmo ativo pode possuir diferentes impactos para a empresa, dependendo do processo de negócio
que estiver sendo avaliado, por isso a realização de uma etapa de BIA é de extrema importância para o
processo de análise de Riscos.
A avaliação de impacto dos ativos possui quatro diferentes níveis, com valores definidos de 1 a 4, de acordo
com a descrição abaixo:
Nível Critério
 Ruptura de serviços por mais de uma semana
Valor 4  Perda direta de mais de 30% do valor da companhia
 Queda estimada de até 10% das ações da empresa
 Impacto à reputação da empresa - Grande atenção negativa da mídia por um
longo período de tempo
 Impede diretamente o alcance de pelo menos um objetivo corporativo
(Missão/valores/objetivos)
 Ruptura de serviços entre um dia e uma semana
Valor 3  Perda direta de 15 até 30% do valor da companhia
 Fatalidades de saúde e segurança - ex. Morte/invalidez permanente
 Impacto à reputação - Grande atenção negativa da mídia ou órgãos
reguladores
 Ruptura de serviços entre 8 horas e um dia
Valor 2  Perda financeira direta de 5 a 15% do valor da companhia
 Acidentes de saúde e segurança - fraturas, afastamentos
 Impactos à reputação - Atenção negativa da mídia local ou órgãos reguladores
 Ruptura de serviços de até 8 horas
Valor 1  Perda financeira de até 5% do valor da companhia
 Pequenos acidentes de segurança do trabalho
 Impacto à reputação - Ações legais e reclamações formais
Tabela 1 – Critérios e valores de impacto de ativos na organização

NO.PTH.DIT-013 01/07/2017 01 6 de 17
5.2.3. LEVANTAMENTO DE AMEAÇAS E VULNERABILIDADES APLICÁVEIS AOS ATIVOS
Ao final da classificação dos ativos, entendendo-se o impacto de cada um às atividades da empresa, é

necessário levantar quais são as ameaças a estes e as vulnerabilidades que podem incidir sobre os ativos,
fazendo com que as ameaças se concretizem.
Cada tipo de ativo possui ameaças e vulnerabilidades bastante específicas, por isso foram divididos em
quatro tipos diferentes, conforme descrito no capítulo “Inventário de ativos e identificação de seus
responsáveis”. A lista de ameaças e vulnerabilidades específicas de cada tipo de ativo está descrita no
Anexo A.
Esta lista, contudo, não deve ser exaustiva e os responsáveis pela análise de risco devem ver a aplicabilidade
dela aos ativos e, caso falte alguma coisa, acrescentar outras ameaças e vulnerabilidades.
Uma ameaça pode conter diversas vulnerabilidades, vide exemplo abaixo:
Ativo Ameaça Vulnerabilidade
Banco de Dados Acesso externo não Falta de aplicação periódica de patches de correção
autorizado
Falha na segmentação de rede
Vírus
Etc...
5.2.4. IDENTIFICAÇÃO DE NÍVEIS E PROBABILIDADES DAS AMEAÇAS E VULNERABILIDADES
Após a identificação das ameaças e vulnerabilidades, deve-se identificar os níveis e probabilidades das
ameaças e vulnerabilidades. Para isto, são necessários critérios de avaliação de probabilidades para cada
ameaça, assim como o grau de controle aplicado sobre as vulnerabilidades identificadas.
Os valores atribuídos às ameaças variam de acordo com a probabilidade de ocorrência, sendo classificadas
de 1 a 3, levando-se em conta a tabela abaixo:
Nível Critério
Ocorre em 10% ou mais dos casos. Uma ou mais tentativas a cada 10 operações normais.
Valor Pode ocorrer sem o conhecimento adicional dos envolvidos nos processos ou pode ser
3
ocasionado pelo simples uso errado ou descuidado.
Ocorre de 1% a 10% dos casos.
Valor Pode passar despercebido pelos envolvidos nos processos ou pode ser ocasionado pelo
2 uso inconsequente dos ativos.

NO.PTH.DIT-013 01/07/2017 01 7 de 17
Ocorre em menos de 1% dos casos.

Valor Pode ser facilmente identificado pelos envolvidos nos processos ou pode ser ocasionado
1
deliberadamente.
Tabela 2 – Critérios e valores de probabilidades de ameaças
Os valores atribuídos às vulnerabilidades levam em consideração as proteções que estão aplicadas, o nível
de controle sobre elas ou e/ou a maturidade dos controles aplicados, sendo classificados de 1 a 4, conforme
descrito na tabela a seguir:
Nível Critério
Não há quaisquer controles aplicados.
Valor 4
Há controles aplicados para a retenção ou monitoração dos riscos, porém não
Valor 3 há documentação, monitoração de eficiência destes ou ainda estão aplicados
de maneira deficiente necessitando revisões.
Há controles eficientes aplicados e documentados para retenção ou
Valor 2 monitoração dos riscos, porém sem monitoração de eficiência sobre eles.
Há controles aplicados, documentados e sua eficiência é monitorada e
Valor 1 constantemente reavaliada visando sua melhoria.
Tabela 3 - Critérios e valores de proteção contra vulnerabilidades
5.2.5. CÁLCULO DO NÍVEL DE EXPOSIÇÃO DO ATIVO
O nível de exposição do ativo é calculado levando-se em conta cada risco individual, multiplicando os
valores atribuídos para ameaça e vulnerabilidade, representados pela fórmula abaixo:
Valor da Ameaça = A
Valor da Vulnerabilidade = V
Grau de Exposição do Ativo = GDE
GDE = A x V
Também é possível identificar o grau de exposição do ativo a partir da matriz abaixo:
Vulnerabilidade
1 2 3 4
1 1 2 3 4
Ameaça
2 2 4 6 8
3 3 6 9 12

NO.PTH.DIT-013 01/07/2017 01 8 de 17
5.2.6. IDENTIFICAÇÃO DO GRAU DE RISCO
Após a identificação do grau de exposição do ativo, deve-se calcular o valor de cada risco individual,
multiplicando o grau de exposição calculado pelo valor de impacto atribuído ao ativo, conforme
representação a seguir:
Grau de Exposição do Ativo = GDE
Valor do Ativo = VA
Valor do Risco = R
R = GDE x VA
É possível identificar o valor dos riscos de acordo com a matriz a seguir:
Valor do Ativo
1 2 3 4
1 1 2 3 4
2 2 4 6 8
3 3 6 9 12
Grau de Exposição
4 4 8 12 16
6 6 12 18 24
8 8 16 24 32
9 9 18 27 36
12 12 24 36 48

NO.PTH.DIT-013 01/07/2017 01 9 de 17
5.2.7. CLASSIFICAÇÃO DOS RISCOS COMO INACEITÁVEIS OU ACEITÁVEIS
Ao final da etapa de atribuição de valores aos riscos identificados, é necessário que seja aplicado um critério
para ser utilizado na classificação dos riscos para tomada de decisões sobre eles. Os critérios de classificação
de riscos são descritos na tabela abaixo:
Valor do Risco Classificação Aceitável? Ação

Até 5 Insignificante Sim Nenhuma ação necessária
Recomendável rever controles
De 6 a 15 Aceitável Sim aplicados a fim de garantir maior
proteção contra os riscos
Criação de um plano de ação para o
De 16 a 25 Inaceitável Não
risco
Criação de um plano de ação
Acima de 25 Crítico Não
emergencial para o risco
Tabela 4 – Critérios para aceitação de riscos
A classificação dos riscos é o que servirá de critério para criação de um Plano de Tratamento de Riscos
(PTR) e a priorização das ações descritas nele.
5.2.8. CRIAÇÃO E ACOMPANHAMENTO DE PLANOS DE TRATAMENTO DOS RISCOS
O Plano de Tratamento dos Riscos identificados tem como objetivo uma descrição objetiva e formal para
tratamento de todos os riscos classificados na etapa anterior como inaceitáveis ou críticos.
A definição dos planos de tratamento para cada risco deve ser realizada pelos responsáveis de cada ativo,
contudo, por muitas vezes pode depender de outras equipes. Por este motivo, recomenda-se a
apresentação de todos os riscos classificados como inaceitáveis aos envolvidos no processo de avaliação e
análise de riscos e demais partes interessadas que possam estar envolvidas nos planos de tratamento de
riscos, para a definição de planos de ação para cada risco.
As ações para tratamento dos riscos devem estar enquadradas em uma ou mais das opções abaixo:
 Mitigação de riscos – Criação de novos controles, melhoria dos controles existentes ou monitoração
para pronta identificação dos riscos.
 Remoção de ativos – Reavaliação dos processos para diminuir a importância do ativo para a
organização, tornando o ativo menos crítico às operações e consequentemente diminuindo o valor dos
riscos atribuídos a ele.
 Transferência de riscos – Contratação de seguros ou empresas terceiras para gerir os riscos
identificados. Obs.: Transferência dos riscos ainda faz com que eles existam e possam impactar a
organização, incluindo impactos de reputação e perdas financeiras.

NO.PTH.DIT-013 01/07/2017 01 10 de 17
 Aceitação de riscos – Decisão sobre a não realização de ações sobre o risco identificado em virtude
dos altos custos para tratamento destes ou dificuldade para sua realização. A aceitação de riscos deve ser
formalmente consentida por membros da gestão através de uma carta de riscos, atribuindo a si a
responsabilidade sobre a decisão de aceitá-los.
O enquadramento de cada uma das ações do PTR deverá ser acompanhado de um valor, a ser utilizado
futuramente no cálculo de riscos residuais. Eles deverão ser enquadrados de acordo com a tabela abaixo:
Valor do Plano de
Tratamento do Risco Escolhido
Ação
3
Controles para retenção total do risco
2
Controles para retenção parcial do risco
1
Monitoração do risco
3
Remoção total do ativo na operação
2
Remoção parcial do ativo na operação
2
Transferência do risco (contratação de terceiros)
2
Transferência do risco (contratação de seguro)
0
Aceitação de riscos
Tabela 5 – Valores de planos de ação do PTR
Após a atribuição dos valores dos planos de ação, é possível chegar a um novo grau de risco esperado. Este
cálculo é importante para entender a viabilidade dos planos de ação escolhidos e evitar futuros problemas
com riscos residuais, uma vez que planos de ação podem diminuir o grau de exposição do ativo e ainda sim
fazerem com que o risco residual se mantenha acima do permitido por esta metodologia de análise de
riscos.
A fórmula para identificação de viabilidade do plano de ação está descrita a seguir:
Valor do Plano de Ação = VPA
Valor da Vulnerabilidade = V
Valor da Ameaça = A
Novo Grau de Exposição do Ativo = NGDE

NO.PTH.DIT-013 01/07/2017 01 11 de 17
NGDE = A x (V-VPA)
Com o novo grau de exposição é possível chegar a um novo valor de risco, conforme representação na fórmula
a seguir:
Grau de Exposição do Ativo = NGDE
Valor do Ativo = VA
Valor do Risco Residual = RR
RR = NGDE x VA
Desta maneira, todas as ações definidas para tratamento dos riscos identificados deverão possuir um valor de
risco residual dentro dos valores aceitáveis, de acordo com os critérios de aceitação de risco descritos no
capítulo “Classificação dos riscos como Inaceitáveis ou aceitáveis” (ver tabela 4).
Toda documentação do PTR deve ser realizada paralelamente às documentações de análise de risco, uma vez
que a análise de risco tende a ser dinâmica e em constante evolução.
5.2.9. Reavaliação de nível de exposição dos ativos e cálculo de risco residual
O PTR deve ser monitorado periodicamente, identificando o andamento da conclusão das ações nele descritas,
assim como sua eficácia e eficiência. Ao final da realização de algum plano de ação que mitiga um ou mais
riscos, a eficácia de sua implantação deverá ser analisada para assegurar que os objetivos de diminuição dos
riscos levantados foram atendidos de maneira satisfatória.

NO.PTH.DIT-013 01/07/2017 01 12 de 17
Anexo A. Ameaças e Vulnerabilidades por Tipo de Ativo
O capítulo 3.3 descreve os métodos de identificação de ameaças e vulnerabilidades e também indica a
classificação dos ativos por tipo, a fim de ajudar na
1. Ameaças
1.1. Ativos Físicos
Ameaças para Ativos Físicos
(A1) Indisponibilidade
(A2) Quebra ou dano (intencional ou não)
(A3) Mau funcionamento
(A4) Acesso não autorizado
1.2. Ativos Pessoas
Ameaças para Ativos Pessoas
(A6) Ausência de pessoal por longo prazo (demissões, doenças, greves, etc.)
1.3. Ativos Aplicações
Ameaças para Ativos Aplicações
(A3) Mau funcionamento
1.4. Ativos Informações

NO.PTH.DIT-013 01/07/2017 01 13 de 17
Ameaças para Ativos Informações
(A5) Alteração indevida
2. Vulnerabilidades
2.1. Ativos Físicos
Ameaças Vulnerabilidades por Ameaça
(A1) Indisponibilidade (V1) Falta de fornecimento de energia elétrica
(V2) Condições inadequadas de armazenamento
(V3) Obsolescência
(A2) Quebra ou dano (intencional ou não) (V4) Exposição indevida do ativo a agentes externos
(V5) Falta de proteção contra acesso indevido
(V6) Falta de treinamento ou conhecimento específico para

uso do ativo
(V7) Ausência de políticas ou procedimentos
(A3) Mau funcionamento (V2) Condições inadequadas de armazenamento
(V6) Falta de treinamento ou conhecimento específico para

uso do ativo
(V8) Ausência de manutenções preventivas
(V9) Intermitência no fornecimento de energia
(V10) Fragilidade de configuração
(A4) Acesso não autorizado (V4) Exposição indevida do ativo a agentes externos
(V5) Falta de proteção contra acesso indevido
2.2. Ativos Pessoas

NO.PTH.DIT-013 01/07/2017 01 14 de 17
(A5) Ausência de pessoal por longo prazo (V7) Ausência de políticas ou procedimentos
(demissões, doenças, greves, etc.)
(V11) Falta de compartilhamento de conhecimentos específicos
2.3. Ativos Aplicações
(A1) Indisponibilidade (V6) Falta de treinamento ou conhecimento específico para

uso do ativo
(V10) Fragilidade de configuração
(V12) Ausência de aplicação de pacotes de correções lançados

por fabricantes
(V13) Ausência de processo para gestão de novas

vulnerabilidades
(A3) Mau funcionamento (V6) Falta de treinamento ou conhecimento específico para

uso do ativo
(V10) Fragilidade de configuração do ativo

por fabricantes

vulnerabilidades
(A4) Acesso não autorizado (V10) Fragilidade de configuração do ativo

por fabricantes

vulnerabilidades
(V14) Processo ineficiente de gestão de acessos
(V15) Arquitetura de rede deficitária

NO.PTH.DIT-013 01/07/2017 01 15 de 17
2.4. Ativos Informações
(A1) Indisponibilidade (V16) Indisponibilidade de informações fornecidas por

terceiros
(V17) Indisponibilidade de informações fornecidas

internamente
(A4) Acesso não autorizado (V14) Processo ineficiente de gestão de acessos
(V18) Ausência de monitoramento e alertas
(A5) Alteração indevida (V14) Processo ineficiente de gestão de acessos
(V18) Ausência de monitoramento e alertas

NO.PTH.DIT-013 01/07/2017 01 16 de 17
Anexo B. Modelo de Planilha para Análise de Riscos
A avaliação de riscos deve ser formatada de maneira a identificar riscos individualmente, conforme descrito
no capítulo 3 e ilustrado na figura abaixo.
Como ferramenta para auxiliar na documentação da análise de riscos, abaixo há uma planilha contendo os
principais pontos que devem ser cobertos e a maneira como deverão ser documentados.
Este anexo deve ser utilizado como referência para a documentação da análise de riscos, contudo, deverá ser
alterada sempre que algum ponto nela não estiver refletindo a metodologia descrita neste documento.
6 ANEXOS
 FR.PTH.DIT-010 – Mapa de Gestión de Riesgos - Paytech
7 GESTÃO DE CONFLITOS
Os casos omissos, dúvidas e sugestões devem ser comunicados e tratados junto a Diretoria de TI e
Jefe de Gestión de Riesgos e Compliance de TI.
8 CLASSIFICAÇÃO (CONFIDENCIALIDADE)
Público: Este documento tem caráter público devendo ser levado ao conhecimento de todos os
colaboradores das empresas do Grupo PAYTECH HOLDING em todos os níveis hierárquicos, visando
eliminar a alegação de não ter conhecimento de sua responsabilidade e competências.
9. VERSIONAMENTO
Data Versão Responsável Descrição

02/01/2017 1.0 Eurico Haan de Oliveira Criação do Instrumento Normativo

NO.PTH.DIT-013 01/07/2017 01 17 de 17
10. APROVAÇÕES
ELABORAÇÃO: HOMOLOGAÇÃO:
Gestion Riesgos y Compliance Gobierno Corporativo
VALIDACION: APROVACION:
Gestion Riesgo y Compliance Diretoria de Tecnologia - CIO

NO - PTH.DIT-013 Norma de Gestion de Riesgos Paytech v1

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

NO - PTH.DIT-013 Norma de Gestion de Riesgos Paytech v1

Enviado por

Direitos autorais:

Formatos disponíveis

GESTIÓN DE RIESGOS DE TI – PAYTECH HOLDING

IDENTIFICADOR INÍCIO DA VIGÊNCIA VERSÃO PÁGINA

5 NORMA DE GESTION DE RISCOS. .......................................................................................................................... 3

5.1. PREMISSAS A SEREM CONSIDERADAS. ............................................................................................................. 3

5.2. PROCESSO DE AVALIAÇÃO DE RISCOS ............................................................................................................... 4

5.2.1. INVENTÁRIO DE ATIVOS E IDENTIFICAÇÃO DE SEUS RESPONSÁVEIS ............................................................. 4

5.2.3. LEVANTAMENTO DE AMEAÇAS E VULNERABILIDADES APLICÁVEIS AOS ATIVOS .......................................... 6

5.2.4. IDENTIFICAÇÃO DE NÍVEIS E PROBABILIDADES DAS AMEAÇAS E VULNERABILIDADES .................................. 6

5.2.5. CÁLCULO DO NÍVEL DE EXPOSIÇÃO DO ATIVO .............................................................................................. 7

5.2.6. IDENTIFICAÇÃO DO GRAU DE RISCO ............................................................................................................. 8

5.2.7. CLASSIFICAÇÃO DOS RISCOS COMO INACEITÁVEIS OU ACEITÁVEIS .............................................................. 9

5.2.8. CRIAÇÃO E ACOMPANHAMENTO DE PLANOS DE TRATAMENTO DOS RISCOS .............................................. 9

ANEXO A. AMEAÇAS E VULNERABILIDADES POR TIPO DE ATIVO .............................................................................12

1.1. ATIVOS FÍSICOS ................................................................................................................................................12

1.2. ATIVOS PESSOAS..............................................................................................................................................12

1.3. ATIVOS APLICAÇÕES ........................................................................................................................................12

1.4. ATIVOS INFORMAÇÕES ....................................................................................................................................12

2.1. ATIVOS FÍSICOS ................................................................................................................................................13

2.2. ATIVOS PESSOAS..............................................................................................................................................13

2.3. ATIVOS APLICAÇÕES ........................................................................................................................................14

2.4. ATIVOS INFORMAÇÕES ....................................................................................................................................15

ANEXO B. MODELO DE PLANILHA PARA ANÁLISE DE RISCOS ...................................................................................16

 FR.PTH.DIT-010 – MAPA DE GESTIÓN DE RIESGOS - PAYTECH ..............................................................................16

São consideradas cópias controladas SOMENTE os documentos fornecidos Governança Corporativa.

8 CLASSIFICAÇÃO (CONFIDENCIALIDADE) ...............................................................................................................16

10. APROVAÇÕES .........................................................................................................................................................17

Tabela 1 – Critérios e valores de impacto de ativos na organização ................................................................... 5

São consideradas cópias controladas SOMENTE os documentos fornecidos Governança Corporativa.

 ISO 31000:2009 – Risk Management - Principles and guidelines

5 NORMA DE GESTION DE RISCOS.

5.1. PREMISSAS A SEREM CONSIDERADAS.

São consideradas cópias controladas SOMENTE os documentos fornecidos Governança Corporativa.

5.2. PROCESSO DE AVALIAÇÃO DE RISCOS

1. Inventário de ativos e identificação de seus responsáveis

5.2.1. INVENTÁRIO DE ATIVOS E IDENTIFICAÇÃO DE SEUS RESPONSÁVEIS

Para a metodologia de análise de riscos foram criadas 4 categorias de ativos:

São consideradas cópias controladas SOMENTE os documentos fornecidos Governança Corporativa.

 Físicos – Instalações físicas, salas seguras, servidores (hardware), cofres, etc.;

5.2.2. DEFINIÇÃO DE VALOR DE IMPACTO DOS ATIVOS À EMPRESA OU PROCESSOS DE NEGÓCIO

São consideradas cópias controladas SOMENTE os documentos fornecidos Governança Corporativa.

Ao final da classificação dos ativos, entendendo-se o impacto de cada um às atividades da empresa, é

Uma ameaça pode conter diversas vulnerabilidades, vide exemplo abaixo:

Ativo Ameaça Vulnerabilidade

5.2.4. IDENTIFICAÇÃO DE NÍVEIS E PROBABILIDADES DAS AMEAÇAS E VULNERABILIDADES

São consideradas cópias controladas SOMENTE os documentos fornecidos Governança Corporativa.

Ocorre em menos de 1% dos casos.

5.2.5. CÁLCULO DO NÍVEL DE EXPOSIÇÃO DO ATIVO

Grau de Exposição do Ativo = GDE

Também é possível identificar o grau de exposição do ativo a partir da matriz abaixo:

São consideradas cópias controladas SOMENTE os documentos fornecidos Governança Corporativa.

Grau de Exposição do Ativo = GDE

É possível identificar o valor dos riscos de acordo com a matriz a seguir:

São consideradas cópias controladas SOMENTE os documentos fornecidos Governança Corporativa.

Valor do Risco Classificação Aceitável? Ação

5.2.8. CRIAÇÃO E ACOMPANHAMENTO DE PLANOS DE TRATAMENTO DOS RISCOS

São consideradas cópias controladas SOMENTE os documentos fornecidos Governança Corporativa.

A fórmula para identificação de viabilidade do plano de ação está descrita a seguir:

Valor do Plano de Ação = VPA

Novo Grau de Exposição do Ativo = NGDE

São consideradas cópias controladas SOMENTE os documentos fornecidos Governança Corporativa.

Grau de Exposição do Ativo = NGDE

Valor do Risco Residual = RR

5.2.9. Reavaliação de nível de exposição dos ativos e cálculo de risco residual