Arquitetura

Inserir Títuloe Aqui

Inserir Título Aqui
Infraestrutura
para Nuvem
Arquitetura e Infraestrutura para Nuvem

Responsável pelo Conteúdo:

Prof. Tony Anderson dos Reis da Silva

Revisão Textual:
Prof. Me. Claudio Brites
 Arquitetura e Infraestrutura para Nuvem

Nesta unidade, trabalharemos os seguintes tópicos:

Fonte: Getty Images

• Introdução à Gestão de Riscos (ISO 31000);
• Gestão de Riscos em Segurança
da Informação (ISO 27005);
• Quais são os Benefícios da Gestão de Riscos?
• Implementação da Gestão de Risco
na Computação em Nuvem.

Objetivo
• Conhecer os conceitos das normas ISO 31000/31022 e ISO 27005, as metodologias de Gestão
de Riscos utilizadas na Computação em Nuvem.

Caro Aluno(a)!

Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl-
timo momento o acesso ao estudo, o que implicará o não aprofundamento no material
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.

Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns
dias e determinar como o seu “momento do estudo”.

No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões

de materiais complementares, elementos didáticos que ampliarão sua interpretação e
auxiliarão o pleno entendimento dos temas abordados.

Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de
troca de ideias e aprendizagem.

Bons Estudos!
UNIDADE
Arquitetura e Infraestrutura para Nuvem

Contextualização
A Gestão de Riscos, conforme as normas ISO 31000/27005, são instrumentos que
habilitam uma organização para prever, controlar, mitigar e administrar aspectos rela-
cionados aos riscos que são relativos aos produtos, serviços e às operações, através do
controle e do gerenciamento das variáveis que estão sob sua influência.

Nesse contexto, havendo a necessidade de administrar os eventos imprevistos que

podem impactar negativamente ou positivamente os negócios, abordaremos os princi-
pais conceitos e princípios da Gestão de Riscos no aspecto da Segurança da Informação.

6
Introdução à Gestão de Riscos (ISO 31000)
Conceito
O termo risco é proveniente da palavra, em latim, risicu ou riscu, que em português
significa ousar (to dare, em inglês).

Quando investidores compram ações, cirurgiões realizam operações, en-

genheiros projetam pontes, empresários abrem seus negócios e políticos
concorrem a cargos eletivos, o risco é um parceiro inevitável. Contudo,
suas ações revelam que o risco não precisa ser hoje tão temido: adminis-
trá-lo tornou-se sinônimo de desafio e oportunidade. (BERNSTEIN, 1996)

Definição
Risco é definido como um conjunto de eventos, externos ou internos, que podem im-
pactar os objetivos estratégicos da pessoa ou organização, inclusive os relacionados aos
ativos intangíveis, e que envolvem uma atuação preventiva de antecipação dos possíveis
eventos. Além dos riscos conhecidos, há também, os riscos desconhecidos, e que exi-
gem uma atuação de maneira prescritiva, ou seja, quando o risco se manifesta sem ter
sido previsto. Assim, o processo de identificação e análise de riscos deve ser monitorado
e aprimorado (melhoria contínua dos processos).

O risco é inerente a qualquer atividade, seja na vida pessoal, profissional ou nas orga-
nizações. Pode envolver perdas, bem como gerar oportunidades. As oportunidades,
por exemplo, são mais evidentes na área financeira, pois a relação risco-retorno indica
que, quanto maior o nível de risco aceito, maior o retorno esperado dos investimentos.
Essa relação é válida tanto para investimentos financeiros, quanto para qualquer outra
solução que gere “retorno positivo” aos negócios, que agregue valor econômico ou dife-
rencial corporativo às organizações.

São elementos-chave na Gestão de Riscos ter consciência do risco e a capacidade de

administrá-lo, aliadas à disposição de correr riscos e de tomar decisões. Assumir riscos
diferencia empresas e líderes, mas também, quando mal administrado, pode levar ao
fracasso. O resultado das iniciativas de negócios demonstra que o risco pode ser geren-
ciado a fim de subsidiar os gestores na tomada de decisão, visando alcançar objetivos e
metas dentro do prazo, dentro do custo e de acordo com as condições predeterminadas.

Introdução
Conforme Fia (2018) o gerenciamento de riscos é uma prática usual e antiga que
faz parte da rotina de qualquer empresário desde tempos muito remotos (BERNSTEIN,
1996). Historicamente, na área de seguros, uma ampla literatura foi elaborada sobre os
conceitos de risco e, mais recentemente, o tema entrou em difusão, sendo desenvolvido
como uma metodologia estruturada a partir de várias perspectivas, das quais se desta-
cam as áreas de Finanças, Auditoria e Tecnologia da Informação.

7
7
UNIDADE
Arquitetura e Infraestrutura para Nuvem

O conceito de seguro nos remete a um período anterior a Cristo, com o advento dos
transportes, o qual foi impulsionado pelas navegações marítimas comerciais. Os primei-
ros seguros patrimoniais surgiram em uma época em que sucessivos incêndios ocorriam
em Hamburgo (Alemanha), entre 1672 e 1676. Nesse período, é fundada a mais antiga
seguradora do mundo, a Hamburger Feuerkasse. Desde então, a preocupação com o
risco e a busca por soluções para a avaliação dos processos e controles internos nas or-
ganizações continuou. Até que, em 1947, é fundada a ISO (International Organization
for Standardization) – em português, Organização Internacional de Normatização –,
a qual tem o objetivo de incorporar novos conceitos nas organizações e adequá-las às
exigências do mercado e de órgãos reguladores.

Na área da Tecnologia da Informação, a ISO é referência, embora não-obrigatória,

tendo a Norma ISO/IEC 27001, que trata de diretrizes e princípios para a Gestão da
Segurança da Informação, em seus diversos aspectos de riscos, vulnerabilidades e meca-
nismos de controle. Na Segurança da Informação, a Norma ISO/IEC 27001 pode ser
associada à Norma ISO 31000, que, por sua vez, é uma norma geral de gerenciamento
de riscos que consolida os conceitos e as terminologias, na apresentação de diretrizes e
princípios para a implementação de estruturas de gerenciamento de riscos aplicáveis às
organizações de qualquer tamanho, segmento ou área de atuação.

Ainda no tocante à mitigação de riscos, prevenção e redução de danos relacionados à

tecnologia da informação, através de processos, controles e indicadores de desempenho,
constitui referência essencial a metodologia COBIT (Control Objectives for Information
and Related Technologies) – em português, Objetivos de Controle de Informação e
Tecnologia Relacionada.

Conceitos sobre a ISO 31000

Conforme ABNT (2021) a ISO 31000 dispõe de diretrizes para o gerenciamento de
riscos enfrentados pelas diversas organizações. A aplicação dessas diretrizes é persona-
lizável para o contexto de qualquer organização. Ela oferece uma abordagem comum
para o gerenciamento de quaisquer tipos de risco, não é específica de alguma área ou
setor, e pode ser utilizada em todo ciclo de vida da organização e aplicada a quaisquer
atividades, incluindo a tomada de decisões nos diversos níveis hierárquicos.

O Regulamento da Gestão de Riscos da norma ISO 31000 traz diretrizes para o desen-
volvimento, a implementação e manutenção de processos de Gestão de Riscos em organi-
zações de qualquer tamanho, segmento ou área de atuação.
• Princípios: a Norma ISO 31000 possui um framework com 8 princípios focados
na criação e proteção de valor para a empresa e que servem de orientação para a
Gestão de Riscos mais eficaz e eficiente;

8
 Integrada
Melhoria Estruturada e
contínua abrangente

Fatores
Criação e
humanos e Personalizada
proteção de valor
culturais

Melhor
informação Inclusiva
disponível
Dinâmica

Figura 1 – Princípios da ISO 31000:2018

Fonte: Adaptada de Freepik

• Estrutura: o sucesso da Gestão de Risco depende da eficácia da estrutura de ges-

tão, a qual deve fornecer os fundamentos e arranjos que irão incorporá-la em toda
a organização, de modo a auxiliar os processos de Gestão de Risco e assegurar
que as informações obtidas sobre os riscos sejam utilizadas na tomada de decisão.

Estabelecer o contexto
Monitoramento e análise crítica da estrutura

Identificação do risco
Comunicação e consulta

avaliação do risco
Processo de

Análise do risco

Avaliação do risco

Tratamento do risco

Figura 2 – Diagrama de estrutura da gestão de riscos/ISO 31000: 2009/18

9
9
UNIDADE
Arquitetura e Infraestrutura para Nuvem

A ISO 31000, que foi publicada em 2009, é considerada a norma “guarda-chuva”,

que fornece os princípios, o framework e o processo geral de Gestão de Riscos. Por
ser considerada uma norma de alto nível, a ISO 31000 não concorre com os padrões já
existentes na norma ISO 27005, publicada em 2008; ao contrário, permite alinhamento
e são, concomitantemente, adotadas na Gestão de Riscos em Segurança da Informação.

Conceitos sobre a ISO 31022

A ISO 31022 é uma norma que traça as diretrizes para Gestão de Risco legal. Trata-se
de uma importante norma para toda e qualquer organização, que auxilia na gestão dos
processos de risco jurídico. As empresas precisam estar atentas aos diversos requisi-
tos legais que devem ser cumpridos e acompanhar todas as mudanças regulatórias.
É nesse contexto que a Gestão de Risco Legal se torna mais um ponto focal e essencial
nas organizações.

Risco Legal (jurídico)

Segundo a Norma ISO 31022, os riscos jurídicos podem ter sua origem em decisões
políticas, direito nacional ou internacional, incluindo direito estatutário, jurisprudência
ou direito comum, atos administrativos, ordens regulatórias, direito codificado, julga-
mentos e sentenças, regras processuais, memorandos de entendimento ou contratos.
As questões contratuais referem-se a situações em que uma organização não cumpra
suas obrigações contratuais ou cumpra seus direitos contratuais, ou insira contratos com
termos e condições onerosas, inadequadas, injustas e/ou inexequíveis.
O risco de direitos não contratuais é o risco de a organização não afirmar seus direi-
tos não contratuais. Por exemplo, a falha de uma organização em impor seus direitos
de propriedade intelectual, como seus direitos relacionados a direitos autorais, marcas,
patentes, segredos comerciais e informações confidenciais contra terceiros.
O risco de obrigações não contratuais é o risco de que o comportamento e a tomada
de decisões de uma organização possam resultar em comportamento ilegal ou uma falha
no dever de cuidado não legislativo (ou dever civil) a terceiros. Por exemplo, a violação
de direitos de propriedade intelectual de terceiros, o não cumprimento dos padrões de
cuidado necessários devido aos clientes (como venda indevida), ou o uso inadequado
ou o gerenciamento de mídias sociais, resultando em uma alegação de difamação ou
difamação de terceiros.
A gestão efetiva do risco jurídico requer os valores e princípios introduzidos na ISO
31000 (Figura 1) e os valores e princípios introduzidos na ISO 31022 (Figura 2).

Gestão de Riscos em Segurança

da Informação (ISO 27005)
Conforme ISO 27005 (2021), a ISO fornece diretrizes mais específicas para o pro-
cesso de Gestão de Riscos em Segurança da Informação (GRSI). Tem o objetivo de
direcionar e facilitar a implementação eficaz da Segurança da Informação com base na
Gestão de Riscos em Segurança da Informação.

10
 Vejamos os principais conceitos na avaliação de riscos para a Gestão de Riscos em
Segurança da Informação:

Riscos
Por definição, o risco é o efeito da incerteza, é um desvio do curso e objetivos em
relação ao que é esperado pelas pessoas. O risco pode ser um evento, uma circunstância
ou uma condição futura.

Vejamos alguns exemplos no contexto corporativo na Tabela 1.

Tabela 1 – Principais fontes de riscos

O risco pode ter sua origem de ordem financeira, operacional, relacionada a falhas
humanas ou tecnológicas, incompetência gerencial ou em adventos do acaso. O reconhe-
cimento da origem do risco é importante, porém, a função da Gestão de Risco em Se-
gurança da Informação não é apresentar justificativas, mas sim atuar, preventivamente,
para que os riscos não resultem em consequências negativas para a organização.

No caso em que o risco já tenha se convertido em consequências negativas, a atu-

ação sobre o incidente deve ser aplicada no sentido de amenizar essas consequências,
administrar o momento de crise e investir esforços em ações que evitem que o mesmo
risco se repita no futuro.

A Gestão de Riscos é um trabalho, principalmente, de prevenção e planejamento.

11
11
UNIDADE
Arquitetura e Infraestrutura para Nuvem

Figura 3 – Riscos – Prevenção e Planejamento

Fonte: Freepik

Componentes do risco
O risco é composto por três componentes: um evento, uma causa e uma consequência.
Vejamos exemplos para melhor compreensão a seguir.

Exemplo 1
Suponhamos que a sua empresa trabalhe com um Firewall, importante componente
para a Segurança da Informação, mas esse recurso não está devidamente configurado e
atualizado para a proteção do Servidor de Dados, que está conectado à Internet. Sua em-
presa sofreu ciberataques, o que resultou no roubo de informações comerciais sigilosas.
• Evento: ciberataque;
• Causa: falha na configuração e atualização do Firewall;
• Consequência: perda/roubo de informações comerciais sigilosas;
• Neste exemplo, a falta de planejamento e a atuação de maneira preventiva ocasio-
nou uma consequência prevista.

Exemplo 2
Suponhamos que a sua empresa utiliza recursos da Computação em Nuvem e os
custos são pagos em moeda estrangeira. Devido à alta na cotação do dólar, os custos de
operação aumentaram e, consequentemente, foi necessário repassar a alta nos custos
para os consumidores, cobrando mais caro pelos serviços para os novos contratos.
• Evento: aumento nos custos de operação;
• Causa: alta na cotação do dólar;
• Consequência: aumento no preço de venda dos serviços.

Observe que a origem do risco pode variar. Lembrando que, para os casos em que os
riscos são desconhecidos, isso é, quando se manifesta sem ter sido previsto, é necessário

12
planejamento e atuação de maneira prescritiva. Conhecido ou não, administrar riscos
requer planejamento estratégico e coragem para a tomada de decisões.

Etapas fundamentais para a Gestão de Riscos

Uma política eficiente de Gestão de Risco exige, fundamentalmente, planejamento e
ação com relação às seguintes etapas:
1. Organização do ambiente: definir e identificar o responsável pela Gestão de Risco,
garantindo a sua capacitação na área e definindo os processos permanentes;
2. Identificação dos riscos: a partir do conhecimento quanto aos objetivos da empresa,
analisar, identificar e reconhecer quais são os riscos que devem ser gerenciados;
3. Mensuração dos riscos: levando em consideração que nem todos os riscos têm
a mesma importância ou nível de impacto, é necessário avaliar a probabilidade
ou possível impacto na organização, em análises qualitativas e quantitativas;
4. Resposta aos riscos: é de suma importância saber definir quais serão as ações
tomadas para aceitar, evitar, tratar, mitigar e transferir os riscos para que eles, se
possível, transformem-se em oportunidades em vez de ameaças;
5. Monitoramento dos riscos: é fundamental monitorar e analisar criticamente os
riscos residuais, se novos riscos foram gerados, se as ações planejadas surtiram
o resultado esperado e, sempre que necessário, ajustar o plano estratégico.

Identificar

Analisar
Analisar
criticamente

Ciclo da gestão de riscos

Monitorar Avaliar

Tratar

Figura 4

Identificação e Classificação dos Riscos

Identificar e classificar os riscos relaciona-se ao conjunto de eventos esperados ou
inesperados, internos ou externos, e que podem impactar, negativa ou positivamente,
os objetivos estratégicos da organização, inclusive os ativos intangíveis.

13
13
UNIDADE
Arquitetura e Infraestrutura para Nuvem

A identificação e classificação dos riscos devem ser elaboradas, observando-se as

diretrizes da ISO 31000 e ISO 27005 sobre gerenciamento de riscos. A seguir, estão
relacionados os principais itens a serem considerados:
• Associação com os objetivos estratégicos e perfil de riscos;
• Categorização dos Riscos (conhecidos, previsíveis e imprevisíveis);
• Origem dos Eventos (riscos internos e externos);
• Natureza dos Riscos (riscos estratégicos, operacionais, financeiros etc.);
• Tipos de Riscos (tecnológicos, ambientais, conformidade etc.).

Tabela 2 – Exemplo de categorização de riscos

Natureza dos riscos
Tipos
Estratégico Operacional Financeiro
Macroeconômico
Ambiental
Externo

Social
Origem dos eventos

Tecnológico
Legal
Financeiro
Ambiental
Interno

Social
Tecnológico
Conformidade

A ISO 27005 orienta sobre a necessidade da identificação de controles já existentes,

administrativos, físicos ou operacionais para evitar custos e trabalhos desnecessários.
Enquanto os controles existentes são identificados, convém que seja feita uma verifi-
cação para assegurar que eles estão funcionando corretamente, pois o controle que
não funciona pode provocar vulnerabilidades. Uma maneira para estimar o efeito do
controle é ver o quanto ele reduz a probabilidade da ameaça, a facilidade com que a
vulnerabilidade pode ser explorada ou o impacto do incidente.

Avaliação dos Riscos

Conforme Diego Macedo (2012) para definir o tratamento que será aplicado a um
determinado risco, primeiro, é necessário determinar o grau de exposição da organi-
zação àquele risco. Para determinar esse grau de risco, leva-se em consideração, pelo
menos, dois aspectos1: a probabilidade de ocorrência e o seu impacto (consequência).
O impacto pode ser medido pelo desempenho econômico-financeiro para a organiza-
ção. Deve-se levar em consideração, também, o impacto “intangível” a essa análise.

1
Metodologias especializadas consideram dois aspectos fundamentais para uma boa análise da importância e prio-
rização do controle de risco: probabilidade e impacto.

14
 A quantificação do grau de exposição ao risco nem sempre é simples, isso é, nem
sempre se trata de um evento independente que tenha efeito sobre uma única área,
podendo haver interdependência entre os riscos em dois níveis: I) os eventos podem
não ser independentes; II) um determinado evento pode gerar impactos múltiplos, sobre
diferentes tipos de riscos, em diversas áreas.

Figura 5 – Exemplo de mapa de avaliação de riscos

Fonte: Acervo do conteudista

• Probabilidade: a probabilidade (Figura 6, eixo horizontal, Gráfico B) consiste na

medição de o quão provável é a ocorrência do risco. Na probabilidade, deve-se ana-
lisar o quão fácil ou difícil é de determinado risco ocorrer – por exemplo, prever o
quão provável é que chova hoje. Os níveis de medida podem ser: baixo, médio, alto.
Essas probabilidades também podem ser convertidas em números (porcentagens)
para facilitar o entendimento, sendo: baixo (1% a 33%), médio (34% a 67%) e alto
(68% a 100%);
• Impacto: o impacto (Figura 6, eixo vertical, Gráfico B) se refere às consequências do
risco, caso ele venha a ocorrer, isso é, os prejuízos ou danos causados caso o risco
incida de fato. O impacto pode ser negativo, por exemplo, prejuízo financeiro, perda
de clientes, danos aos equipamentos etc; ou, então, positivo, como novas oportuni-
dades de negócio, utilização de uma nova tecnologia, redução de taxas ou impostos
etc. O impacto também é medido em níveis, por exemplo: baixo, médio, alto.

Com relação à definição dos níveis das dimensões, é necessário definir a mesma
quantidade de níveis para probabilidade de impacto. Por exemplo, se for decidido que
a probabilidade será apenas baixa, média e alta (3 níveis), o impacto deverá ser igual.

Critérios para a avaliação de riscos

Segundo a Norma ISO 27005, convém que os critérios para a avaliação de riscos
sejam desenvolvidos para avaliar os riscos de Segurança da Informação na organização,
considerando os seguintes itens:
• O valor estratégico do processo que trata as informações de negócio;
• A criticidade dos ativos de informação envolvidos;
• Requisitos legais e regulatórios, bem como as obrigações contratuais;
• Importância, do ponto de vista operacional e dos negócios, da disponibilidade,
da confidencialidade e da integridade;

15
15
UNIDADE
Arquitetura e Infraestrutura para Nuvem

• Expectativas e percepções das partes interessadas e consequências negativas para o

valor de mercado (em especial, no que se refere aos fatores intangíveis desse valor),
a imagem e a reputação.

Além disso, critérios para avaliação de riscos podem ser usados para especificar as
prioridades para o tratamento do risco.

Mensuração dos Riscos

A mensuração dos riscos identificados passa pela avaliação detalhada de cada um
dos fatores que afetam as transações, operações e os indicadores de desempenho da
organização, resultando em uma avaliação aproximada de exposição alta, média ou
baixa (Figura 6, Gráfico A). Consolida-se, assim, um conjunto organizado e ordenado de
planos e metas das ações, sob o ponto de vista físico, econômico e financeiro.

Tratamento dos Riscos

Processo de tratamento, inicia-se após a identificação, classificação, avaliação e men-
suração dos riscos. É bom salientar que a eliminação total dos riscos é impossível, então,
nesse contexto, é fundamental a elaboração do Mapa de Avaliação dos Riscos (Figura
6) para apoiar a priorização e direcionar os esforços relativos aos projetos e planos de
ação, com o intuito de minimizar os impactos dos eventos adversos e maximizar os
eventos que possam trazer benefícios para a organização. Nesse processo de avaliação
dos riscos, a alta administração poderá determinar seu posicionamento frente aos ris-
cos, considerando suas consequências, grau de aversão e resposta ao evento, após uma
análise de custo-benefício. As alternativas para o tratamento dos riscos devem iniciar a
partir do questionamento: “evitar ou aceitar o risco”?
• Evitar o Risco;
• Aceitar o Risco (Reter, Reduzir, Transferir e/ou Compartilhar, Explorar);
• Prevenção e Redução dos Danos (Risco inerente, Risco residual);
• Capacitação.

Monitoramento dos Riscos

O monitoramento regular ocorre no curso normal das atividades gerenciais. Já o
escopo e a frequência de avaliações ou revisões específicas dependem, normalmente,
de uma avaliação do perfil de riscos e da eficácia dos procedimentos de monitoramento.
As vulnerabilidades e deficiências no plano de Gestão de Riscos devem ser relatadas aos
níveis superiores de gestão e, se necessário, reportadas à alta administração.

Nesse processo, uma metodologia que também oferece suporte de avaliação e moni-
toramento dos riscos é o Mapa de Avaliação dos Riscos (Figura 6), também conhecida
como Matriz de Controles de Riscos, que evidenciam, visualmente, os objetivos e os
riscos associados. Essas atividades de controle têm o propósito de determinar se os obje-
tivos considerados relevantes pela administração estão sendo efetivamente gerenciados.

16
Informação e Comunicação
A comunicação ágil e adequada com as diversas áreas relacionadas e/ou impactadas
na Gestão de Riscos tem a finalidade de permitir avaliações mais rápidas e objetivas a
respeito dos riscos que a organização está exposta. A forma e a frequência da comuni-
cação entre os ambientes internos e externos reflete as políticas, a cultura e as atitudes
desejadas e valorizadas pela alta administração.

Internamente, o Sistema de Gestão de Riscos exerce papel fundamental como instru-

mento para a homogeneização de linguagem, possibilitando: (i) relatórios direcionados
para os diversos níveis de gestão; e (ii) o estabelecimento de um canal claro de comuni-
cação de mão dupla, entre a diretoria e o conselho de administração, os gestores e as
áreas pertinentes. Esse canal é o instrumento pelo qual o conselho orientará a gestão da
diretoria em termos de limites de exposição ao risco e também receber análises qualita-
tivas e quantitativas quanto aos riscos identificados, oportunidades e retornos esperados
das diversas operações sob análise.

Externamente, a comunicação e a transparência para o mercado (stakeholders) sobre

o gerenciamento de riscos adotado pela organização constitui um diferencial, mesmo
quando se trata de uma obrigação legal (legislação).

Quais são os Benefícios da Gestão de Riscos?

Conforme a norma internacional ISO 31000 (2009) a Gestão de Riscos deve ser
requisito mínimo e obrigatório das boas práticas empresariais. É fundamental aprender
a gerenciar riscos de maneira eficaz, pois isso possibilita que os gestores entreguem
melhores resultados às organizações. Ter um plano estratégico de risco alinhado às
orientações e expectativas da alta administração é importante para a identificação e
análise dos eventos incertos, fornecendo assim, uma forma sistemática de tomar deci-
sões embasadas em informações. Além dos eventos incertos, um plano bem estruturado
de Gestão de Riscos, também estimula a identificação de oportunidades para a melhoria
contínua através da inovação.

Vejamos alguns dos benefícios da Gestão de Riscos:

• Alocar e utilizar de forma eficaz os recursos para o tratamento de riscos;
• Aumentar a resiliência da organização e dos colaboradores;
• Economia e eficiência;
• Gestão proativa;
• Melhoria da prevenção de perdas e gestão de incidentes;
• Melhoria da reputação;
• Melhoria das informações para a tomada de decisão;
• Melhoria do planejamento, desempenho e eficácia;
• Melhoria dos controles e processos;
• Melhoria na comunicação e confiança entre as partes interessadas;

17
17
UNIDADE
Arquitetura e Infraestrutura para Nuvem

• Melhoria na governança corporativa;

• Melhoria na identificação de oportunidades e ameaças;
• Redução de incertezas.

Implementação da Gestão de Risco

na Computação em Nuvem
Conforme mencionado pela Backup Garantido (2018) a área de Tecnologia da Infor-
mação e, consequentemente, a Segurança da Informação não são as únicas que devem
se preocupar com riscos. Qualquer estratégia corporativa é suscetível a fatores internos
e externos que podem impactar os processos e comprometer os resultados. É nesse
cenário de incertezas que a Gestão de Riscos atua para evitar, mitigar ou administrar
os eventos que podem ocorrer de forma imprevista, mas, ao mesmo tempo, tornar as
decisões mais assertivas ao minimizar os erros que podem desviar a estratégia do resul-
tado almejado.

Geralmente, na área de Tecnologia da Informação, assim como na Computação em

Nuvem, a estratégia da Gestão de Riscos é baseada nos seguintes objetivos:
• Prevenir ataques cibernéticos e roubos/violações de informações;
• Atenuar problemas, danos e prejuízos relativos aos recursos de TI;
• Promover o backup e a recuperação de dados importantes para o negócio;
• Garantir a disponibilidade e o funcionamento de sistemas e tarefas relativas;
• Adotar métricas e indicadores para analisar continuamente os riscos (de perda de
dados, furto de informações, interrupção das atividades etc.);
• Incluir práticas contínuas de Gestão de Riscos em todas as áreas do negócio;
• Adaptar a infraestrutura de TI (e o modelo organizacional) para acomodar os pro-
cessos de Gestão de Risco em TI.

Etapas para a implementação

1. Identifique e analise os riscos e vulnerabilidades: as ameaças podem ser de
hardware e software (como crimes cibernéticos) e também as ameaças relaciona-
das aos recursos humanos, à engenharia social, em que o colaborador pode ser
responsável pelo vazamento de informações. Após a análise dos riscos ou amea-
ças, classifique-as por nível de impacto, como abordado no item Avaliação dos Ris-
cos, e, a partir da classificação, é possível melhor alocar os recursos para proteção;
2. Formule um plano de contingência: o plano de contingência reúne as ações
ou providências que devem ser tomadas caso as ameaças se concretizem. Com
base nos riscos identificados e na classificação, formule um plano estratégico de
contingenciamento para manter parte ou integralmente os serviços, minimizando
o problema, poupando tempo e reduzindo os danos;

18
3. Planeje e execute um cronograma de testes: testes de vulnerabilidade são fun-
damentais para resolver possíveis falhas e fraquezas do plano de contingência,
antes mesmo que os riscos ou as ameaças acorram. Algumas medidas permitem
evitar desperdícios de recursos e eventuais transtornos que atrasam as medidas de
solução e as ações de segurança. A realização dos testes deve seguir um cronogra-
ma previamente elaborado para aumentar e assegurar a eficiência do processo;
4. Busque a infraestrutura e demais recursos de software atualizados: na
Computação em Nuvem, a preocupação de adequar a infraestrutura, pratica-
mente, não existe, pois os Provedores de Nuvem já realizam essa tarefa de tem-
pos em tempos, mas deve-se estar ciente dos recursos de hardware e software
disponibilizados pelos provedores com o objetivo de minimizar riscos de ameaças
naturais, falhas técnicas, ciberataques e até de obsolescência dos equipamentos
computacionais. Implementar recursos de segurança, instalar e manter atualizado
os softwares de antivírus e firewall, programar, adequadamente, a rotina de
backups são de suma importância;
5. Treine sua equipe: é fundamental para a Gestão de Riscos em tecnologia e
segurança da informação, a capacitação de todos os colaboradores, principal-
mente da área de TI. O treinamento deve abranger cuidados de manutenção
e operação dos sistemas e da infraestrutura, assim como ações de prevenção
contra crimes cibernéticos e privacidade de dados durante a navegação na
internet, uso de e-mail corporativo e pessoal, além da necessidade de definir
as políticas de acesso às informações, restringindo-as por logins, senhas e
duplo fator de autenticação;
6. Monitore constantemente: uma análise crítica e constante das ações de Ges-
tão de Riscos em TI é indispensável para um processo bem-sucedido. Verificar
e supervisionar, todo o ciclo de vida do projeto, observando as possibilidades
de melhoria e a alteração do plano estratégico, caso seja necessário, revendo o
cenário de segurança para a organização, objetivando a estabilidade da empresa
e as atividades dos colaboradores.

A Gestão de Riscos em Segurança da Informação (GRSI) é uma das dimensões do processo

de Segurança da Informação em uma organização e que possibilita que o processo de Se-
gurança da Informação seja mais efetivo, eficiente, eficaz e contínuo. É fundamental para
a proteção da informação que essas dimensões formem um conjunto coeso e orquestrado.
Não é coerente para uma organização ter um estado de excelência em uma dimensão e ter
uma situação deplorável em outra dimensão. Esse é um dos cuidados que se deve observar
ao desenvolver e implantar dimensões de controles na Gestão de Riscos em Segurança da
Informação. Não basta ter boa intenção ao querer que a organização saia do estágio zero
para o estágio de controle total, sem planejamento estratégico e sem uma boa Gestão de
Riscos para a Segurança da Informação, inclusive na Computação em Nuvem.

19
19
UNIDADE
Arquitetura e Infraestrutura para Nuvem

Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:

Livros
Cloud Computing
VERAS, M. Cloud Computing: Nova Arquitetura de TI. São Paulo: Brasport, 2012.
Cloud Computing
SRINIVASAN, A. Cloud Computing. Delhi: Pearson India, 2014.
Cloud Computing
TAURION, C. Cloud Computing – Computação em Nuvem. São Paulo: Brasport.
2012.
Distributed and Cloud Computing: From Parallel Processing to the Internet of Things
HWANG, K.; DONGARRA, J.; FOX, G. C. Distributed and Cloud Computing:
From Parallel Processing to the Internet of Things. São Paulo: Elsevier, 2013.

Leitura
ISO 31000 – Risk Management
https://bit.ly/3rLficU
ISO 27500:2016 – The human-centred organization – Rationale and general principles
https://bit.ly/31Q5weS
ISO 31022:2020 – Risk management – Guidelines for the management of legal risk
https://bit.ly/3sNG7hQ
O Modelo de Computação em Nuvem e sua Aplicabilidade
https://bit.ly/3dzWhoK
Os desafios e oportunidades da integração e migração de empresas com cloud computing
https://bit.ly/2QXKKI3

20
Referências
BERNSTEIN, P. Desafio aos deuses: a fascinante história do risco. 3a. ed. Rio de Janeiro:
Campus, 1996. Acesso em: 16/02/2021.

CORPORATIVA, I. B. D. G. Guia de orientação para o gerenciamento de riscos cor-

porativos. Governança corporativa, São Paulo, 2007. 48p. Acesso em: 17/02/2021.

ISO. ABNT NBR ISO/IEC 27005: 2011. 2a. ed. Rio de Janeiro: [s.n.], 2011. 87 p.

ISO. ISO 31022: 2020 | Gestão de riscos – Diretrizes para a gestão de riscos legais.
1a. ed. Rio de Janeiro: [s.n.], 2020. 38 p.

Sites Visitados
BENEFÍCIOS da Gestão de Riscos. ISO31000QSP. 27 ago. 2009. Disponível em:
<http://www.iso31000qsp.org/2009/08/27ago.html>. Acesso em: 19/02/2021.

CICCO, F. de. A Nova Norma Internacional ISO 27005 de Gestão de Riscos de Segu-
rança da Informação. Centro da Qualidade, Segurança e Produtividade. Disponível em:
<https://www.qsp.org.br/artigo_27005.shtml>. Acesso em: 19/02/2021.

GESTÃO de Riscos em TI: o que é e como implementar? Backup Garantido. 24 set.

2018. Disponível em: <https://backupgarantido.com.br/blog/gestao-de-riscos-em-ti-o-
-que-e-e-como-implementar/>. Acesso em: 19/02/2021.

ISO/IEC 27005:2011. Information technology – Security techniques – Information security

risk management. ISO. Disponível em: <https://www.iso.org/standard/56742.html>. Aces-
so em: 01/02/2021.

LANÇADA a nova versão da norma ISO 31000 – Gestão de Riscos. ABNT. Dispo-
nível em: <http://www.abnt.org.br/imprensa/releases/5753-lancada-a-nova-versao-da-
-norma-iso-31000-gestao-de-riscos>. Acesso em: 19/02/2021.

MACÊDO, D. Gestão de Risco. Diego Macêdo – Um pouco de tudo sobre T.I. 21 Ago.
2012. Disponível em: <https://www.diegomacedo.com.br/gestao-de-riscos//>. Acesso
em: 30/03/2021.

O que é gestão de risco? FIA. 18 julho 2018. Disponível em: <https://fia.com.br/blog/

gestao-de-risco/>. Acesso em: 17/02/2021.

21
21