Escolar Documentos
Profissional Documentos
Cultura Documentos
Revisão Textual:
Prof. Me. Claudio Brites
Arquitetura e Infraestrutura para Nuvem
Objetivo
• Conhecer os conceitos das normas ISO 31000/31022 e ISO 27005, as metodologias de Gestão
de Riscos utilizadas na Computação em Nuvem.
Caro Aluno(a)!
Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl-
timo momento o acesso ao estudo, o que implicará o não aprofundamento no material
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.
Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns
dias e determinar como o seu “momento do estudo”.
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de
troca de ideias e aprendizagem.
Bons Estudos!
UNIDADE
Arquitetura e Infraestrutura para Nuvem
Contextualização
A Gestão de Riscos, conforme as normas ISO 31000/27005, são instrumentos que
habilitam uma organização para prever, controlar, mitigar e administrar aspectos rela-
cionados aos riscos que são relativos aos produtos, serviços e às operações, através do
controle e do gerenciamento das variáveis que estão sob sua influência.
6
Introdução à Gestão de Riscos (ISO 31000)
Conceito
O termo risco é proveniente da palavra, em latim, risicu ou riscu, que em português
significa ousar (to dare, em inglês).
Definição
Risco é definido como um conjunto de eventos, externos ou internos, que podem im-
pactar os objetivos estratégicos da pessoa ou organização, inclusive os relacionados aos
ativos intangíveis, e que envolvem uma atuação preventiva de antecipação dos possíveis
eventos. Além dos riscos conhecidos, há também, os riscos desconhecidos, e que exi-
gem uma atuação de maneira prescritiva, ou seja, quando o risco se manifesta sem ter
sido previsto. Assim, o processo de identificação e análise de riscos deve ser monitorado
e aprimorado (melhoria contínua dos processos).
O risco é inerente a qualquer atividade, seja na vida pessoal, profissional ou nas orga-
nizações. Pode envolver perdas, bem como gerar oportunidades. As oportunidades,
por exemplo, são mais evidentes na área financeira, pois a relação risco-retorno indica
que, quanto maior o nível de risco aceito, maior o retorno esperado dos investimentos.
Essa relação é válida tanto para investimentos financeiros, quanto para qualquer outra
solução que gere “retorno positivo” aos negócios, que agregue valor econômico ou dife-
rencial corporativo às organizações.
Introdução
Conforme Fia (2018) o gerenciamento de riscos é uma prática usual e antiga que
faz parte da rotina de qualquer empresário desde tempos muito remotos (BERNSTEIN,
1996). Historicamente, na área de seguros, uma ampla literatura foi elaborada sobre os
conceitos de risco e, mais recentemente, o tema entrou em difusão, sendo desenvolvido
como uma metodologia estruturada a partir de várias perspectivas, das quais se desta-
cam as áreas de Finanças, Auditoria e Tecnologia da Informação.
7
7
UNIDADE
Arquitetura e Infraestrutura para Nuvem
O conceito de seguro nos remete a um período anterior a Cristo, com o advento dos
transportes, o qual foi impulsionado pelas navegações marítimas comerciais. Os primei-
ros seguros patrimoniais surgiram em uma época em que sucessivos incêndios ocorriam
em Hamburgo (Alemanha), entre 1672 e 1676. Nesse período, é fundada a mais antiga
seguradora do mundo, a Hamburger Feuerkasse. Desde então, a preocupação com o
risco e a busca por soluções para a avaliação dos processos e controles internos nas or-
ganizações continuou. Até que, em 1947, é fundada a ISO (International Organization
for Standardization) – em português, Organização Internacional de Normatização –,
a qual tem o objetivo de incorporar novos conceitos nas organizações e adequá-las às
exigências do mercado e de órgãos reguladores.
O Regulamento da Gestão de Riscos da norma ISO 31000 traz diretrizes para o desen-
volvimento, a implementação e manutenção de processos de Gestão de Riscos em organi-
zações de qualquer tamanho, segmento ou área de atuação.
• Princípios: a Norma ISO 31000 possui um framework com 8 princípios focados
na criação e proteção de valor para a empresa e que servem de orientação para a
Gestão de Riscos mais eficaz e eficiente;
8
Integrada
Melhoria Estruturada e
contínua abrangente
Fatores
Criação e
humanos e Personalizada
proteção de valor
culturais
Melhor
informação Inclusiva
disponível
Dinâmica
Estabelecer o contexto
Monitoramento e análise crítica da estrutura
Identificação do risco
Comunicação e consulta
avaliação do risco
Processo de
Análise do risco
Avaliação do risco
Tratamento do risco
9
9
UNIDADE
Arquitetura e Infraestrutura para Nuvem
10
Vejamos os principais conceitos na avaliação de riscos para a Gestão de Riscos em
Segurança da Informação:
Riscos
Por definição, o risco é o efeito da incerteza, é um desvio do curso e objetivos em
relação ao que é esperado pelas pessoas. O risco pode ser um evento, uma circunstância
ou uma condição futura.
O risco pode ter sua origem de ordem financeira, operacional, relacionada a falhas
humanas ou tecnológicas, incompetência gerencial ou em adventos do acaso. O reconhe-
cimento da origem do risco é importante, porém, a função da Gestão de Risco em Se-
gurança da Informação não é apresentar justificativas, mas sim atuar, preventivamente,
para que os riscos não resultem em consequências negativas para a organização.
11
11
UNIDADE
Arquitetura e Infraestrutura para Nuvem
Componentes do risco
O risco é composto por três componentes: um evento, uma causa e uma consequência.
Vejamos exemplos para melhor compreensão a seguir.
Exemplo 1
Suponhamos que a sua empresa trabalhe com um Firewall, importante componente
para a Segurança da Informação, mas esse recurso não está devidamente configurado e
atualizado para a proteção do Servidor de Dados, que está conectado à Internet. Sua em-
presa sofreu ciberataques, o que resultou no roubo de informações comerciais sigilosas.
• Evento: ciberataque;
• Causa: falha na configuração e atualização do Firewall;
• Consequência: perda/roubo de informações comerciais sigilosas;
• Neste exemplo, a falta de planejamento e a atuação de maneira preventiva ocasio-
nou uma consequência prevista.
Exemplo 2
Suponhamos que a sua empresa utiliza recursos da Computação em Nuvem e os
custos são pagos em moeda estrangeira. Devido à alta na cotação do dólar, os custos de
operação aumentaram e, consequentemente, foi necessário repassar a alta nos custos
para os consumidores, cobrando mais caro pelos serviços para os novos contratos.
• Evento: aumento nos custos de operação;
• Causa: alta na cotação do dólar;
• Consequência: aumento no preço de venda dos serviços.
Observe que a origem do risco pode variar. Lembrando que, para os casos em que os
riscos são desconhecidos, isso é, quando se manifesta sem ter sido previsto, é necessário
12
planejamento e atuação de maneira prescritiva. Conhecido ou não, administrar riscos
requer planejamento estratégico e coragem para a tomada de decisões.
Identificar
Analisar
Analisar
criticamente
Monitorar Avaliar
Tratar
Figura 4
13
13
UNIDADE
Arquitetura e Infraestrutura para Nuvem
Social
Origem dos eventos
Tecnológico
Legal
Financeiro
Ambiental
Interno
Social
Tecnológico
Conformidade
1
Metodologias especializadas consideram dois aspectos fundamentais para uma boa análise da importância e prio-
rização do controle de risco: probabilidade e impacto.
14
A quantificação do grau de exposição ao risco nem sempre é simples, isso é, nem
sempre se trata de um evento independente que tenha efeito sobre uma única área,
podendo haver interdependência entre os riscos em dois níveis: I) os eventos podem
não ser independentes; II) um determinado evento pode gerar impactos múltiplos, sobre
diferentes tipos de riscos, em diversas áreas.
Com relação à definição dos níveis das dimensões, é necessário definir a mesma
quantidade de níveis para probabilidade de impacto. Por exemplo, se for decidido que
a probabilidade será apenas baixa, média e alta (3 níveis), o impacto deverá ser igual.
15
15
UNIDADE
Arquitetura e Infraestrutura para Nuvem
Além disso, critérios para avaliação de riscos podem ser usados para especificar as
prioridades para o tratamento do risco.
Nesse processo, uma metodologia que também oferece suporte de avaliação e moni-
toramento dos riscos é o Mapa de Avaliação dos Riscos (Figura 6), também conhecida
como Matriz de Controles de Riscos, que evidenciam, visualmente, os objetivos e os
riscos associados. Essas atividades de controle têm o propósito de determinar se os obje-
tivos considerados relevantes pela administração estão sendo efetivamente gerenciados.
16
Informação e Comunicação
A comunicação ágil e adequada com as diversas áreas relacionadas e/ou impactadas
na Gestão de Riscos tem a finalidade de permitir avaliações mais rápidas e objetivas a
respeito dos riscos que a organização está exposta. A forma e a frequência da comuni-
cação entre os ambientes internos e externos reflete as políticas, a cultura e as atitudes
desejadas e valorizadas pela alta administração.
17
17
UNIDADE
Arquitetura e Infraestrutura para Nuvem
18
3. Planeje e execute um cronograma de testes: testes de vulnerabilidade são fun-
damentais para resolver possíveis falhas e fraquezas do plano de contingência,
antes mesmo que os riscos ou as ameaças acorram. Algumas medidas permitem
evitar desperdícios de recursos e eventuais transtornos que atrasam as medidas de
solução e as ações de segurança. A realização dos testes deve seguir um cronogra-
ma previamente elaborado para aumentar e assegurar a eficiência do processo;
4. Busque a infraestrutura e demais recursos de software atualizados: na
Computação em Nuvem, a preocupação de adequar a infraestrutura, pratica-
mente, não existe, pois os Provedores de Nuvem já realizam essa tarefa de tem-
pos em tempos, mas deve-se estar ciente dos recursos de hardware e software
disponibilizados pelos provedores com o objetivo de minimizar riscos de ameaças
naturais, falhas técnicas, ciberataques e até de obsolescência dos equipamentos
computacionais. Implementar recursos de segurança, instalar e manter atualizado
os softwares de antivírus e firewall, programar, adequadamente, a rotina de
backups são de suma importância;
5. Treine sua equipe: é fundamental para a Gestão de Riscos em tecnologia e
segurança da informação, a capacitação de todos os colaboradores, principal-
mente da área de TI. O treinamento deve abranger cuidados de manutenção
e operação dos sistemas e da infraestrutura, assim como ações de prevenção
contra crimes cibernéticos e privacidade de dados durante a navegação na
internet, uso de e-mail corporativo e pessoal, além da necessidade de definir
as políticas de acesso às informações, restringindo-as por logins, senhas e
duplo fator de autenticação;
6. Monitore constantemente: uma análise crítica e constante das ações de Ges-
tão de Riscos em TI é indispensável para um processo bem-sucedido. Verificar
e supervisionar, todo o ciclo de vida do projeto, observando as possibilidades
de melhoria e a alteração do plano estratégico, caso seja necessário, revendo o
cenário de segurança para a organização, objetivando a estabilidade da empresa
e as atividades dos colaboradores.
19
19
UNIDADE
Arquitetura e Infraestrutura para Nuvem
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
Livros
Cloud Computing
VERAS, M. Cloud Computing: Nova Arquitetura de TI. São Paulo: Brasport, 2012.
Cloud Computing
SRINIVASAN, A. Cloud Computing. Delhi: Pearson India, 2014.
Cloud Computing
TAURION, C. Cloud Computing – Computação em Nuvem. São Paulo: Brasport.
2012.
Distributed and Cloud Computing: From Parallel Processing to the Internet of Things
HWANG, K.; DONGARRA, J.; FOX, G. C. Distributed and Cloud Computing:
From Parallel Processing to the Internet of Things. São Paulo: Elsevier, 2013.
Leitura
ISO 31000 – Risk Management
https://bit.ly/3rLficU
ISO 27500:2016 – The human-centred organization – Rationale and general principles
https://bit.ly/31Q5weS
ISO 31022:2020 – Risk management – Guidelines for the management of legal risk
https://bit.ly/3sNG7hQ
O Modelo de Computação em Nuvem e sua Aplicabilidade
https://bit.ly/3dzWhoK
Os desafios e oportunidades da integração e migração de empresas com cloud computing
https://bit.ly/2QXKKI3
20
Referências
BERNSTEIN, P. Desafio aos deuses: a fascinante história do risco. 3a. ed. Rio de Janeiro:
Campus, 1996. Acesso em: 16/02/2021.
ISO. ABNT NBR ISO/IEC 27005: 2011. 2a. ed. Rio de Janeiro: [s.n.], 2011. 87 p.
ISO. ISO 31022: 2020 | Gestão de riscos – Diretrizes para a gestão de riscos legais.
1a. ed. Rio de Janeiro: [s.n.], 2020. 38 p.
Sites Visitados
BENEFÍCIOS da Gestão de Riscos. ISO31000QSP. 27 ago. 2009. Disponível em:
<http://www.iso31000qsp.org/2009/08/27ago.html>. Acesso em: 19/02/2021.
CICCO, F. de. A Nova Norma Internacional ISO 27005 de Gestão de Riscos de Segu-
rança da Informação. Centro da Qualidade, Segurança e Produtividade. Disponível em:
<https://www.qsp.org.br/artigo_27005.shtml>. Acesso em: 19/02/2021.
LANÇADA a nova versão da norma ISO 31000 – Gestão de Riscos. ABNT. Dispo-
nível em: <http://www.abnt.org.br/imprensa/releases/5753-lancada-a-nova-versao-da-
-norma-iso-31000-gestao-de-riscos>. Acesso em: 19/02/2021.
MACÊDO, D. Gestão de Risco. Diego Macêdo – Um pouco de tudo sobre T.I. 21 Ago.
2012. Disponível em: <https://www.diegomacedo.com.br/gestao-de-riscos//>. Acesso
em: 30/03/2021.
21
21