Escolar Documentos
Profissional Documentos
Cultura Documentos
SUMÁRIO
1 OBJETIVO .............................................................................................................................................................. 3
2 ABRANGENCIA ...................................................................................................................................................... 3
3 DEFINIÇÕES ........................................................................................................................................................... 3
4 REFERENCIAS ........................................................................................................................................................ 3
5.2.2. DEFINIÇÃO DE VALOR DE IMPACTO DOS ATIVOS À EMPRESA OU PROCESSOS DE NEGÓCIO ........................ 5
5.2.9. REAVALIAÇÃO DE NÍVEL DE EXPOSIÇÃO DOS ATIVOS E CÁLCULO DE RISCO RESIDUAL ................................11
1. AMEAÇAS .............................................................................................................................................................12
2. VULNERABILIDADES .............................................................................................................................................13
6 ANEXOS ...............................................................................................................................................................16
9. VERSIONAMENTO ....................................................................................................................................................16
INDICE DE TABELAS
1 OBJETIVO
Esta norma tem como objetivo estabelecer regras e métodos para a efetiva gestão dos riscos a fim de
minimizar consequências negativas que possam ocorrer em decorrência da falta de proteção de ativos.
Este documento também estabelece as responsabilidades das partes envolvidas na identificação,
classificação e mitigação dos riscos.
2 ABRANGENCIA
Esta norma abrange todos as empresas que compõem o Grupo PAYTECH HOLDING, incluindo seus
sistemas, equipamentos, redes e informações, os seus colaboradores e fornecedores e de provedores
de serviços onde estes efetuem o manuseio ou processamento eletrônico das informações.
3 DEFINIÇÕES
Ameaça: Eventos que podem colocar em risco um ativo e comprometer sua disponibilidade,
integridade e/ou confidencialidade.
Análise de Riscos: Avaliação de riscos baseando-se em uma metodologia
Ativo: Tudo que agrega valor a uma empresa, como pessoas, equipamentos, sistemas, etc.
Gestão de Riscos: Processo de análise
Risco: Efeito da incerteza nos objetivos (Fonte: ISO 31000:2009).
Vulnerabilidade: Falha ou fraqueza que pode ser explorada, fazendo com que uma ameaça se
concretize.
4 REFERENCIAS
Como pré-requisito deste método e para a realização de uma análise de Riscos eficiente, deve-se realizar
uma Análise de Impacto do Negócio (Business Impact Analysis – BIA).
O BIA servirá para identifica quais são os recursos necessários para a realização das atividades de negócio
das empresas do Grupo PAYTECH HOLDING e fornecerá também uma visão geral dos impactos em caso de
parada inesperada dos serviços ou dos processos de negócio realizados.
Este processo possibilita a identificação e a classificação dos processos de negócio considerados mais
importantes para a empresa e proporciona o subsídio necessário para a priorização dos planos de mitigação
a serem executados ao final da análise de riscos.
O Processo de análise e avaliação dos riscos é dividida em etapas, conforme lista abaixo:
Toda análise de risco deverá ser documentada em planilhas (ver modelo no anexo B) com controle de
acesso restrito apenas àqueles envolvidos no processo de análise de riscos. Esta planilha deverá compor o
rol de instrumentos normativos vigentes, ser controlada e versionada para identificar quais mudanças
foram realizadas e por quem.
Todos os riscos levantados deverão possuir um identificador único (ID), de maneira que todos os planos de
ação relacionados a eles possuam referências únicas para identificar quais riscos são cobertos.
A etapa de inventário de ativos e identificação de seus responsáveis tem como objetivo realizar o
levantamento de todos os ativos, levando-se em conta os processos de negócio que serão avaliados na
análise de riscos. Entende-se por ativo tudo aquilo que agrega valor à organização.
O levantamento de ativos deverá ser realizado pelas áreas envolvidas na análise de riscos, sendo cada área
responsável por identificar os ativos críticos aos seus processos e ativos que são gerenciados por sua área.
a) Físico,
b) Pessoas,
c) Aplicações e;
d) Dados.
Estas categorias foram criadas com o intuito de facilitar a gestão dos riscos, uma vez que ameaças e
vulnerabilidades dentro das categorias costumam se repetir. Ver mais detalhes em “Identificação de níveis
e probabilidades das ameaças e vulnerabilidades identificadas”.
Ao final do levantamento de ativos, deve-se atribuir responsáveis a todos eles, incluindo um método de
identificar imediatamente, além do responsável, formas para contatos comuns e emergenciais.
Nesta etapa, todos os ativos identificados serão avaliados quanto a seu impacto para os processos de
negócio que estão sendo avaliados em decorrência de perda na integridade, confidencialidade e/ou
disponibilidade do ativo.
Um mesmo ativo pode possuir diferentes impactos para a empresa, dependendo do processo de negócio
que estiver sendo avaliado, por isso a realização de uma etapa de BIA é de extrema importância para o
processo de análise de Riscos.
A avaliação de impacto dos ativos possui quatro diferentes níveis, com valores definidos de 1 a 4, de acordo
com a descrição abaixo:
Nível Critério
Ruptura de serviços por mais de uma semana
Valor 4 Perda direta de mais de 30% do valor da companhia
Queda estimada de até 10% das ações da empresa
Impacto à reputação da empresa - Grande atenção negativa da mídia por um
longo período de tempo
Impede diretamente o alcance de pelo menos um objetivo corporativo
(Missão/valores/objetivos)
Ruptura de serviços entre um dia e uma semana
Valor 3 Perda direta de 15 até 30% do valor da companhia
Fatalidades de saúde e segurança - ex. Morte/invalidez permanente
Impacto à reputação - Grande atenção negativa da mídia ou órgãos
reguladores
Ruptura de serviços entre 8 horas e um dia
Valor 2 Perda financeira direta de 5 a 15% do valor da companhia
Acidentes de saúde e segurança - fraturas, afastamentos
Impactos à reputação - Atenção negativa da mídia local ou órgãos reguladores
Ruptura de serviços de até 8 horas
Valor 1 Perda financeira de até 5% do valor da companhia
Pequenos acidentes de segurança do trabalho
Impacto à reputação - Ações legais e reclamações formais
Tabela 1 – Critérios e valores de impacto de ativos na organização
Cada tipo de ativo possui ameaças e vulnerabilidades bastante específicas, por isso foram divididos em
quatro tipos diferentes, conforme descrito no capítulo “Inventário de ativos e identificação de seus
responsáveis”. A lista de ameaças e vulnerabilidades específicas de cada tipo de ativo está descrita no
Anexo A.
Esta lista, contudo, não deve ser exaustiva e os responsáveis pela análise de risco devem ver a aplicabilidade
dela aos ativos e, caso falte alguma coisa, acrescentar outras ameaças e vulnerabilidades.
Banco de Dados Acesso externo não Falta de aplicação periódica de patches de correção
autorizado
Falha na segmentação de rede
Vírus
Etc...
Após a identificação das ameaças e vulnerabilidades, deve-se identificar os níveis e probabilidades das
ameaças e vulnerabilidades. Para isto, são necessários critérios de avaliação de probabilidades para cada
ameaça, assim como o grau de controle aplicado sobre as vulnerabilidades identificadas.
Os valores atribuídos às ameaças variam de acordo com a probabilidade de ocorrência, sendo classificadas
de 1 a 3, levando-se em conta a tabela abaixo:
Nível Critério
Ocorre em 10% ou mais dos casos. Uma ou mais tentativas a cada 10 operações normais.
Valor Pode ocorrer sem o conhecimento adicional dos envolvidos nos processos ou pode ser
3
ocasionado pelo simples uso errado ou descuidado.
Ocorre de 1% a 10% dos casos.
Valor Pode passar despercebido pelos envolvidos nos processos ou pode ser ocasionado pelo
2 uso inconsequente dos ativos.
Os valores atribuídos às vulnerabilidades levam em consideração as proteções que estão aplicadas, o nível
de controle sobre elas ou e/ou a maturidade dos controles aplicados, sendo classificados de 1 a 4, conforme
descrito na tabela a seguir:
Nível Critério
Não há quaisquer controles aplicados.
Valor 4
Há controles aplicados para a retenção ou monitoração dos riscos, porém não
Valor 3 há documentação, monitoração de eficiência destes ou ainda estão aplicados
de maneira deficiente necessitando revisões.
Há controles eficientes aplicados e documentados para retenção ou
Valor 2 monitoração dos riscos, porém sem monitoração de eficiência sobre eles.
Há controles aplicados, documentados e sua eficiência é monitorada e
Valor 1 constantemente reavaliada visando sua melhoria.
Tabela 3 - Critérios e valores de proteção contra vulnerabilidades
O nível de exposição do ativo é calculado levando-se em conta cada risco individual, multiplicando os
valores atribuídos para ameaça e vulnerabilidade, representados pela fórmula abaixo:
Valor da Ameaça = A
Valor da Vulnerabilidade = V
GDE = A x V
Vulnerabilidade
1 2 3 4
1 1 2 3 4
Ameaça
2 2 4 6 8
3 3 6 9 12
Após a identificação do grau de exposição do ativo, deve-se calcular o valor de cada risco individual,
multiplicando o grau de exposição calculado pelo valor de impacto atribuído ao ativo, conforme
representação a seguir:
Valor do Ativo = VA
Valor do Risco = R
R = GDE x VA
Valor do Ativo
1 2 3 4
1 1 2 3 4
2 2 4 6 8
3 3 6 9 12
Grau de Exposição
4 4 8 12 16
6 6 12 18 24
8 8 16 24 32
9 9 18 27 36
12 12 24 36 48
Ao final da etapa de atribuição de valores aos riscos identificados, é necessário que seja aplicado um critério
para ser utilizado na classificação dos riscos para tomada de decisões sobre eles. Os critérios de classificação
de riscos são descritos na tabela abaixo:
A classificação dos riscos é o que servirá de critério para criação de um Plano de Tratamento de Riscos
(PTR) e a priorização das ações descritas nele.
O Plano de Tratamento dos Riscos identificados tem como objetivo uma descrição objetiva e formal para
tratamento de todos os riscos classificados na etapa anterior como inaceitáveis ou críticos.
A definição dos planos de tratamento para cada risco deve ser realizada pelos responsáveis de cada ativo,
contudo, por muitas vezes pode depender de outras equipes. Por este motivo, recomenda-se a
apresentação de todos os riscos classificados como inaceitáveis aos envolvidos no processo de avaliação e
análise de riscos e demais partes interessadas que possam estar envolvidas nos planos de tratamento de
riscos, para a definição de planos de ação para cada risco.
As ações para tratamento dos riscos devem estar enquadradas em uma ou mais das opções abaixo:
Mitigação de riscos – Criação de novos controles, melhoria dos controles existentes ou monitoração
para pronta identificação dos riscos.
Remoção de ativos – Reavaliação dos processos para diminuir a importância do ativo para a
organização, tornando o ativo menos crítico às operações e consequentemente diminuindo o valor dos
riscos atribuídos a ele.
Transferência de riscos – Contratação de seguros ou empresas terceiras para gerir os riscos
identificados. Obs.: Transferência dos riscos ainda faz com que eles existam e possam impactar a
organização, incluindo impactos de reputação e perdas financeiras.
Aceitação de riscos – Decisão sobre a não realização de ações sobre o risco identificado em virtude
dos altos custos para tratamento destes ou dificuldade para sua realização. A aceitação de riscos deve ser
formalmente consentida por membros da gestão através de uma carta de riscos, atribuindo a si a
responsabilidade sobre a decisão de aceitá-los.
O enquadramento de cada uma das ações do PTR deverá ser acompanhado de um valor, a ser utilizado
futuramente no cálculo de riscos residuais. Eles deverão ser enquadrados de acordo com a tabela abaixo:
Valor do Plano de
Tratamento do Risco Escolhido
Ação
3
Controles para retenção total do risco
2
Controles para retenção parcial do risco
1
Monitoração do risco
3
Remoção total do ativo na operação
2
Remoção parcial do ativo na operação
2
Transferência do risco (contratação de terceiros)
2
Transferência do risco (contratação de seguro)
0
Aceitação de riscos
Tabela 5 – Valores de planos de ação do PTR
Após a atribuição dos valores dos planos de ação, é possível chegar a um novo grau de risco esperado. Este
cálculo é importante para entender a viabilidade dos planos de ação escolhidos e evitar futuros problemas
com riscos residuais, uma vez que planos de ação podem diminuir o grau de exposição do ativo e ainda sim
fazerem com que o risco residual se mantenha acima do permitido por esta metodologia de análise de
riscos.
Valor da Vulnerabilidade = V
Valor da Ameaça = A
NGDE = A x (V-VPA)
Com o novo grau de exposição é possível chegar a um novo valor de risco, conforme representação na fórmula
a seguir:
Valor do Ativo = VA
RR = NGDE x VA
Desta maneira, todas as ações definidas para tratamento dos riscos identificados deverão possuir um valor de
risco residual dentro dos valores aceitáveis, de acordo com os critérios de aceitação de risco descritos no
capítulo “Classificação dos riscos como Inaceitáveis ou aceitáveis” (ver tabela 4).
Toda documentação do PTR deve ser realizada paralelamente às documentações de análise de risco, uma vez
que a análise de risco tende a ser dinâmica e em constante evolução.
O PTR deve ser monitorado periodicamente, identificando o andamento da conclusão das ações nele descritas,
assim como sua eficácia e eficiência. Ao final da realização de algum plano de ação que mitiga um ou mais
riscos, a eficácia de sua implantação deverá ser analisada para assegurar que os objetivos de diminuição dos
riscos levantados foram atendidos de maneira satisfatória.
1. Ameaças
(A1) Indisponibilidade
(A6) Ausência de pessoal por longo prazo (demissões, doenças, greves, etc.)
(A1) Indisponibilidade
(A1) Indisponibilidade
2. Vulnerabilidades
(V3) Obsolescência
(A2) Quebra ou dano (intencional ou não) (V4) Exposição indevida do ativo a agentes externos
(A4) Acesso não autorizado (V4) Exposição indevida do ativo a agentes externos
(A5) Ausência de pessoal por longo prazo (V7) Ausência de políticas ou procedimentos
(demissões, doenças, greves, etc.)
(V11) Falta de compartilhamento de conhecimentos específicos
Como ferramenta para auxiliar na documentação da análise de riscos, abaixo há uma planilha contendo os
principais pontos que devem ser cobertos e a maneira como deverão ser documentados.
Este anexo deve ser utilizado como referência para a documentação da análise de riscos, contudo, deverá ser
alterada sempre que algum ponto nela não estiver refletindo a metodologia descrita neste documento.
6 ANEXOS
FR.PTH.DIT-010 – Mapa de Gestión de Riesgos - Paytech
7 GESTÃO DE CONFLITOS
Os casos omissos, dúvidas e sugestões devem ser comunicados e tratados junto a Diretoria de TI e
Jefe de Gestión de Riesgos e Compliance de TI.
8 CLASSIFICAÇÃO (CONFIDENCIALIDADE)
Público: Este documento tem caráter público devendo ser levado ao conhecimento de todos os
colaboradores das empresas do Grupo PAYTECH HOLDING em todos os níveis hierárquicos, visando
eliminar a alegação de não ter conhecimento de sua responsabilidade e competências.
9. VERSIONAMENTO
ELABORAÇÃO: HOMOLOGAÇÃO:
VALIDACION: APROVACION: