Escolar Documentos
Profissional Documentos
Cultura Documentos
RISCO
Michel Bernardo Fernandes da Silva
E-book 1
Neste E-Book:
INTRODUÇÃO���������������������������������������������� 3
INTRODUÇÃO À GESTÃO DE RISCOS�� 5
GESTÃO DE RISCOS�����������������������������������11
Paradoxo da Segurança���������������������������������������� 18
CONSIDERAÇÕES FINAIS���������������������� 33
SÍNTESE������������������������������������������������������� 35
2
INTRODUÇÃO
Apesar da conotação negativa que a palavra risco
carrega, inevitavelmente o risco faz parte da vida.
Por exemplo, quando um empresário abre um negó-
cio, quando um médico opera um paciente, ao tocar
projetos de engenharia etc., todas essas atividades
envolvem riscos.
3
ISO/IEC 27005:2008 — Tecnologia da Informação,
Técnicas de segurança, Gestão de riscos de segu-
rança da informação.
4
INTRODUÇÃO À
GESTÃO DE RISCOS
Diariamente, são relatados vários problemas rela-
cionados a riscos tecnológicos de segurança da
informação em publicações das mais diversas áreas.
Episódios como roubos de mídias de backup e de
notebooks, vazamento de números de cartões de
crédito, manuseio impróprio de registros eletrôni-
cos, roubo de identidade e quebra de propriedade
intelectual ocorrem por todo o mundo.
5
risco, pois o risco implica incerteza, probabilidade
de algo acontecer.
REFLITA
Em 11 de setembro de 2001, houve o atentado às
torres gêmeas do World Trade Center, na cidade
de Nova Iorque (EUA). Será que o risco de ataque
a uma torre tinha sido identificado? Se tivesse
sido previsto, como seria o ataque?
6
Em segurança da informação, a incerteza se faz pre-
sente nos aspectos tecnológicos envolvidos, nos pro-
cessos executados e, principalmente, nas pessoas
que em algum instante interagem com a tecnologia
e com os processos.
SAIBA MAIS
Em Desafio aos deuses: a fascinante história do
risco, Peter Bernstein (1997) detalha a evolução
histórica de controle e previsão dos riscos pela
humanidade, desde a Grécia Antiga. Em suas pa-
lavras: “[...] aconteça o que acontecer e apesar de
todos os nossos esforços, os seres humanos não
possuem o conhecimento completo sobre as leis
que definem a ordem do mundo objetivamente
existente”. Com isso, Bernstein desqualifica o ser
humano enquanto “previsor perfeito do futuro”.
7
Os sistemas de informação eletrônicos apresentam
riscos de interromperem seu funcionamento devido
a erros no hardware, erros no software ou à má utili-
zação dos operadores. Conforme alerta Marcos Assi
(2012), caso não ocorra um controle adequado dos
sistemas e tecnologias de informação, bem como
não sejam adotadas as medidas de segurança físi-
ca e lógica adequadas, as empresas podem sofrer
perdas de dados.
8
Por isso, existem alguns princípios da Gestão de
Riscos, os quais se encontram elencados a seguir:
Podcast 1
9
Nesse sentido, a gestão de riscos é primordial ao
contribuir com a realização demonstrável dos obje-
tivos, mas também com a melhoria do desempenho,
referente à segurança e à saúde das pessoas, à con-
formidade legal e regulatória, à aceitação pública, à
proteção do meio ambiente, à qualidade do produto,
ao gerenciamento de projetos, à eficiência nas ope-
rações, à governança e à reputação (ENAP, 2018).
10
GESTÃO DE RISCOS
Neste tópico, vamos definir conceitos relevantes
para a Gestão de Risco, como ativos, vulnerabilida-
des, evento de segurança de informação, ameaças,
incidentes de segurança, impacto do risco e controle.
Posteriormente, vamos estabelecer a relação entre
cada um desses conceitos.
11
de segurança cibernética e que sofreram ataques
maliciosos com roubos de informações confiden-
ciais, como dados de cartões de créditos de clientes,
enfrentam uma redução de reputação e na imagem
da empresa, o que acarreta sérias consequências
negativas, como uma potencial queda de receitas.
FIQUE ATENTO
A existência de uma vulnerabilidade por si só
não causa incidentes. As vulnerabilidades são
elementos passivos que dependem também
da existência de um agente causador, isto é, as
ameaças.
12
falhas de hardware, ações de natureza, terrorismo,
vandalismo, entre outros.
13
dem ter uma grande probabilidade de comprometer
as operações de negócios e ameaçar a segurança
da informação (ISO 27000:2009).
14
negativo valorado, haverá sempre uma incerteza
associada a tal estimativa. Com isso, podemos ter
baixa, média ou alta confiança de que o evento tem
50% de chance de ocorrer, bem como podemos ter
baixa, média ou alta confiança de que o impacto
negativo real será do valor que estimamos.
15
Por exemplo, segundo o Manual de Gestão de Risco
do Instituto Nacional de Propriedade Intelectual
(INPI, 2018), a escala utilizada é:
Muito baixo: quando a ocorrência do evento gera
consequências insignificantes.
Baixo: consequências menores em atividades ou
processos que não sejam considerados prioritários.
Médio: consequências relevantes em atividades e
processos que não sejam considerados prioritários
ou consequências menores em atividades e proces-
sos prioritários.
Alto: consequências relevantes em atividades e
processos prioritários.
16
• Custo de aquisição, configuração e instalação de
um novo ativo ou de seu backup.
• Custo de operações suspensas devido ao acidente,
até que o serviço seja restaurado.
• Resultados devido a brechas na segurança da
informação.
• Violação de obrigações.
• Violação de códigos de conduta, entre outros.
17
valores como “muito alto”, “alto”, “médio”, “baixo” e
“muito baixo”.
Paradoxo da Segurança
A segurança é um processo que implica o emprego
de uma quantidade considerável de recursos não
diretamente relacionados à satisfação das neces-
sidades de uma organização. Empregam-se tais
recursos com a finalidade de analisar os eventos,
processos e sistemas, bem como conceber, imple-
mentar, operar e aprimorar os controles.
18
que a vida seja descontinuada. A preocupação com
a segurança aumenta à medida que a organização
vive mais.
19
eventos, fazendo com que os próprios ambientes
externo e interno se ajustem à medida que os con-
troles são adotados.
20
NORMAS PARA
GESTÃO DE RISCOS
DA SEGURANÇA DA
INFORMAÇÃO
A International Standardization Organization (ISO)
criou uma família de normas voltadas à gestão e
operação da Segurança da Informação, a ISO 27.000
e suas variantes. Tal medida reflete o amadureci-
mento da área de segurança, impondo-lhe então
novos desafios.
21
brasileiro responsável pela normalização técnica no
país, ou seja, o órgão que fornece a base necessária
ao desenvolvimento tecnológico brasileiro.
22
Gestão de Riscos – Princípios e Diretrizes. Essa nor-
ma estabeleceu os princípios e as diretrizes genéri-
cas para qualquer indústria ou setor. No mesmo ano,
foi lançada a ABNT ISO GUIDE 73:2009 — Gestão de
Riscos – Vocabulário, apresentando as definições
de termos genéricos relativos à gestão de riscos.
23
O grupo de normas ora comentado visa a atender
a qualquer tipo de ambiente de uma organização.
Proporciona, portanto, uma concepção ampla e gené-
rica da gestão de riscos, sendo aplicada para avaliar
e tratar qualquer tipo de risco corporativo. Durante o
desenvolvimento dessas normas, foi publicada em
2008, pelo grupo de trabalho específico de tecnologia
da informação, a ABNT NBR ISO/IEC 27005: 2008
Tecnologia da Informação – Técnicas de Segurança
– Gestão de riscos de segurança da informação.
24
segurança da informação. Emprega os conceitos da
norma ABNT NBR ISO 27001:2005, que especifica
os requisitos de sistemas de gestão da segurança
da informação. Descreve, ainda, todo o processo
necessário para a gestão de riscos de segurança
da informação e as atividades necessárias para a
perfeita execução da gestão. Apresenta práticas para
gestão de riscos da segurança da informação.
Podcast 2
25
• Entrada: refere-se a insumos e premissas neces-
sários para a realização da atividade.
• Ação: descrição da atividade, sempre acompanha-
da do “convém”.
• Diretrizes para implementação: são as diretrizes
necessárias para a realização da ação, isto é, o deta-
lhamento de como a ação pode ser realizada. Essas
diretrizes devem ser adaptadas a cada tipo de organi-
zação. Também estão acompanhadas do “convém”.
• Saída: apresenta os resultados que devem ser al-
cançados e que vão servir para gerar evidências.
26
e infraestrutura, sistemas operacionais, software,
aplicação web, entre outras.
• O perfil de Processos é fundamental para o en-
tendimento dos processos, pois, pela análise de
processos, podem-se localizar ameaças e vulnerabi-
lidades. Portanto, são elaborados planos de gestão
e tratamentos dos riscos identificados.
27
PROCESSO DE
GESTÃO DE RISCOS
De Segurança Da Informação
A ABNT NBR ISO/IEC 27005:2011 estabeleceu o pro-
cesso de gestão de riscos de segurança, conforme
ilustrado na Figura 1.
DEFINIÇÃO DO CONTEXTO
AVALIAÇÃO DE RISCOS
IDENTIFICAÇÃO DE RISCOS
ANÁLISE DE RISCOS
AVALIAÇÃO DE RISCOS
TRATAMENTO DO RISCO
ACEITAÇÃO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS INTERAÇÕES
28
Podemos notar, pela Figura 1, que as atividades estão
coordenadas para o direcionamento e controle de
uma empresa na gestão de riscos. É possível separar
os processos em seis grandes grupos de atividades:
• Definição do contexto.
• Análise/Avaliação de riscos.
• Tratamento do risco.
• Aceitação do risco.
• Comunicação do risco.
• Monitoramento e análise crítica.
29
Contexto está completa, com isso, o tratamento do
risco pode continuar.
30
cujo enquadramento nesta categoria deve ser justi-
ficado. Assim, o risco residual representa o nível de
risco remanescente após o tratamento de riscos.
Uma vez que o PTR tenha sido definido, os riscos
residuais precisam ser estimados.
31
a próxima iteração, o que permite o aprofundamento
e o detalhamento da avaliação em cada passo.
32
CONSIDERAÇÕES FINAIS
A fim de enfrentar novas ameaças e demandas, as
organizações devem desenvolver uma atitude pro-
ativa, antecipando-se em conhecer suas fraque-
zas e suas vulnerabilidades. Esse processo pode
ser obtido com a adoção de um processo formal
de gerenciamento de riscos de segurança da infor-
mação, que permite à organização estabelecer um
nível aceitável de risco.
33
Na sequência, analisamos as ameaças e vulnerabi-
lidades de uma organização, detalhando cada uma
delas para que o entendimento fosse o mais claro
possível. Por fim, passamos à análise das conse-
quências e dos impactos que as ameaças exercem
sobre as empresas, caso não tenham um plano de
contingenciamento.
34
SÍNTESE
GESTÃO DE
RISCOS
INTRODUÇÃO À GESTÃO DE RISCO
Têm propriedade e
Proprietários quantificam o valor dos Ativos
Inserem Possuem
Reduzem a
Controle exposição ao Risco
Expõem
Minimizam