BANCO CENTRAL DO BRASIL

2009/2010
ANLISE E GERENCIAMENTO
DE RISCOS
- Identificao e classificao de ativos;
- Vulnerabilidades;
- Ameaas;
- Probabilidades;
- Impactos; e
- Alternativas de mitigao.
Professor: Hlbert

Em um mundo onde a competio, a

evoluo e a mudana desempenham papel
importante para a inovao e o desenvolvimento
de organizaes, a gesto de segurana da
informao elemento fundamental para o
sucesso das instituies e empresas.
Dentre os diversos assuntos tratados pela
gesto de segurana da informao, um dos
principais elementos que direcionam as aes o
gerenciamento de risco, iniciado com a
implementao de um processo de anlise de

Cada vez mais as organizaes, seus

sistemas de informao e redes de computadores
so colocados prova por diversos tipos de
ameaas, incluindo vazamento de informaes,
fraudes, roubos e invases (fsicas e lgicas).
Problemas causados por vrus e hackers so
freqentes e se proliferam rapidamente.

A Anlise de Riscos tem por objetivo:

- Mapear e tratar adequadamente as ameaas
e vulnerabilidades do ambiente;
- Identificar riscos;
- Quantificar o impacto das ameaas; e
- Conseguir um equilbrio financeiro entre o
impacto do risco e custo da contramedida.

A identificao dos riscos e seu correto

entendimento ir direcionar os investimentos de
forma consciente, obtendo melhores resultados.
Nesse processo necessrio se quantificar o
impacto dos riscos existentes no ambiente sobre os
resultados da empresa ou instituio.
Com a anlise de risco possvel verificar
qual o investimento necessrio infra-estrutura de
segurana de modo que os riscos inaceitveis sejam
gerenciados.

Riscos
Probabilidade de ocorrncia de um acidente
ou evento adverso;
Probabilidade de danos potenciais;
Fator, evento ou condio incerta, com efeito
positivo ou negativo sobre os objetivos da
instituio ou empresa;

O Risco a relao existente entre a

probabilidade de que uma ameaa de evento
adverso ou acidente determinado se concretize e o
grau de vulnerabilidade do sistema receptor e seus
efeitos.
Risco a probabilidade de um agente de
ameaa efetivar uma ameaa, via explorao de
uma vulnerabilidade de um ativo, causando
impactos que comprometem o cumprimento da
misso.

Risco Ambiental
Possibilidade de dano, enfermidade ou morte
resultante da exposio de seres humanos, animais
ou vegetais a agentes ou condies ambientais
potencialmente perigosas.

Ameaas
Ao ou evento que potencialmente pode
romper a segurana e causar danos.
Agentes ou condies dispostos a explorar
vulnerabilidades para gerao de incidentes.
Ex.: funcionrios insatisfeitos, enchentes,
temperatura, ex-funcionrios, concorrentes.

 necessrio identificar as falhas de

segurana e as ameaas ativas, reagindo de acordo
com o nvel de gravidade do risco e as potenciais
perdas.

Identificao da Ameaa
Identificao do agente ou evento adverso,
efeitos favorveis e desfavorveis, populao
vulnervel e condies de exposio.

Caracterizao do Risco
Descrio dos diferentes efeitos potenciais
relacionados com a ameaa.
a etapa final da avaliao de risco, ou seja,
descrio da natureza, incluindo a sua intensidade
para os seres humanos e o grau de incerteza
concomitante (probabilidade de ocorrncia).
Descrio dos diferentes efeitos potenciais
(danos possveis) e a quantificao da relao entre
a magnitude do evento e a intensidade do dano
esperado, mediante metodologia cientfica.

Enumerao dos dados esperados a sade, ao

patrimnio, instalaes, meio ambiente, etc.
Quantificao e definio da proporo, por
meio de estudos epidemiolgicos e de modelos
matemticos, entre a magnitude do evento e a
intensidade dos danos esperados (causa e efeito).
Definio da rea e da populao em risco.

Avaliao da Exposio
Estudo da evoluo do
considerando-se a varivel tempo.

fenmeno,

Definio dos nveis de alerta e alarme.

Estimativa de Risco
Concluso sobre o grau de risco, obtida aps
a comparao entre a caracterizao do risco e a
avaliao da exposio.
Definio de Alternativas de Gesto
Processo de desenvolvimento e anlise de
alternativas, com o objetivo de controlar e
minimizar os riscos e as vulnerabilidades.

Danos
Os desastres no produzem apenas efeitos
facilmente perceptveis, pois tm conseqncias
que se desenvolvem lentamente e se manifestam
muito tempo depois de ocorrido o desastre.

Danos Indiretos
Referem-se basicamente aos bens e servios
que deixam de ser produzidos ou prestados durante
um lapso de tempo que se inicia logo depois de
ocorrido o desastre e pode se prolongar durante a
fase de reabilitao e reconstruo.

Danos Diretos
So
aqueles
sofridos
pelos
imobilizados, destrudos ou danificados.

ativos

Trata-se, essencialmente, dos prejuzos que o

patrimnio sofreu durante o sinistro.

Os desastres podem provocar ainda alguns

efeitos indiretos difceis de se quantificar.
So os efeitos intangveis, como os
sofrimento humano, a insegurana, rejeio pela
forma com que a autoridade enfrentaram as
conseqncias do desastre.

Na anlise de risco realizado um

levantamento das ameaas e vulnerabilidades do
ambiente.
As
informaes
resultantes
deste
levantamento so correlacionadas com os ativos da
empresa ou instituio, onde so analisados os
riscos possveis a cada ativo e o valor financeiro
que este risco representa.

O resultado na anlise de risco fornece

informaes estratgicas que possibilitam a
definio de um limite entre os investimentos em
segurana e os riscos aceitveis.

Vulnerabilidades
So falhas existentes em
ambientes, processos ou pessoas.

tecnologias,

Ex.: falta de treinamento de funcionrios, bug

em software, falta de manuteno de hardware,
falta de extintores de incndio, inexistncia ou
inadequado controle de acesso a instituio, etc.

Anlise de Vulnerabilidades
Tem por objetivo verificar a existncia de
falhas de segurana no ambiente.
Esta anlise uma ferramenta importante
para a implementao de controles de segurana
eficientes sobre os ativos da instituio.

Na anlise de vulnerabilidades realizada

uma verificao detalhada do ambiente da
instituio, verificando se o ambiente atual fornece
condies de segurana compatveis com a
importncia estratgica dos servios realizados.
A anlise de vulnerabilidade sobre ativos da
informao compreende Tecnologias, Processos,
Pessoas e Ambientes.

Tecnologias:
Software e hardware usados em servidores,
estaes de trabalho e outros equipamentos
pertinentes, como sistemas de telefonia, rdio e
gravadores.
Ex.: estaes sem anti-vrus, servidores sem
deteco de intruso, sistemas sem identificao ou
autenticao.

A vulnerabilidade na computao significa a

existncia de brecha em um sistema computacional,
tambm conhecida como bug.

Processos
Anlise do fluxo de informao, da gerao
da informao e de seu consumo. Analisa tambm
como a informao compartilhada entre os
setores da organizao.

Pessoas
As pessoas so ativos da informao e
executam processos, logo, precisam ser analisadas.
Pessoas podem possuir grandes e importantes
vulnerabilidades.
Ex.: Desconhecer a importncia da segurana,
desconhecer suas obrigaes e responsabilidades,
deixando processos com dois pais e outros
rfos.

Ambientes
o espao fsico onde acontecem os
processos, onde as pessoas trabalham e onde esto
instalados os componentes de tecnologia.
Este item responsvel pela anlise de reas
fsicas.
Ex.: Acesso no autorizado a servidores,
arquivos, agendas, cofres e fichrios.

Impacto
Ainda nesse processo necessrio se
determinar qual o grau de prejuzo da empresa ou
instituio se determinado ativo tornar-se
indisponvel, pblico ou no confivel (sem
integridade).

Benefcios da Anlise e Gerenciamento de

Riscos
- Maior conhecimento do ambiente, seus
problemas e riscos;
Possibilidade
de
tratamento
das
vulnerabilidades, com base nas informaes
geradas;
Informaes
investimentos;

estratgicas

sobre

- Maior organizao e aderncia a padres de

segurana;
- Maior confiabilidade do ambiente aps a
anlise;
- Informaes para o desenvolvimento da
Poltica de Segurana da instituio.
- Melhoria na identificao de ameaas e
oportunidades;
- Valorao da incerteza e da variabilidade;

- Gerenciamento pr-ativo ao invs de

reativo;
- Alocao e uso mais efetivo de recursos;
- Melhoria no gerenciamento de incidentes e
reduo nas perdas e no custo do risco;
- Melhoria na confiana do stakeholder e no
relacionamento;
- Menos surpresas;

- Explorao de oportunidades;
- Melhoria no planejamento e no
desempenho da instituio;
- Economia e eficincia;
- Melhoria na reputao;
- Proteo da alta administrao;
- Melhoria pessoal.

Produtos Finais:
- Reunio de concluso da anlise;
- Relatrio de Anlise de Risco;
- Plano de Ao para curto e mdio prazo.

Diagnstico
Para que isso ocorra necessrio
diagnosticar a situao da segurana na
organizao e recomendar aes e contramedidas
para cada vulnerabilidade mapeada.

O Diagnstico consiste em um processo de

identificao dos riscos de segurana a que a
organizao est exposta.
Ele ser realizado atravs de uma avaliao
sistemtica que visa o mapeamento das ameaas e
vulnerabilidades.

O Risco deve ser visto e entendido para que

as oportunidades sejam maximizadas e as
potenciais perdas sejam minimizadas.
O Risco representa a capacidade de
enxergar o futuro e suas conseqncias, podendo
ele ser tanto positivo quanto negativo.
De fato, existe o risco de se perder algo,
mas tambm existe o risco de se ganhar algo.

Os gerenciamento de risco deve ser

modelado, discutido e seguido pelos projetos e
pelas organizaes como um instrumento de
tomada de decises.

A Anlise de Riscos , portanto, fundamental

para maximizar oportunidades e minimizar
potenciais perdas, e deve ser aplicada em todos os
contextos.

Voc deseja uma vlvula que no vaze e faz

todo o possvel para desenvolv-la. Mas no mundo
real s existem vlvulas que vazam. Voc tem de
determinar o grau de vazamento que pode tolerar.

Foi com esta frase que o The New York Times

apresentou, em 3 de janeiro de 1996, o obiturio de
Arthur Rudolph, o cientista responsvel pelo
desenvolvimento do foguete Saturno 5, que lanou
a primeira misso Apolo Lua.
A frase representa, de forma peculiar, a
inquietao dos cientistas quanto ao uso seguro da
tecnologia.

Num mundo de equipamentos complexos,

onde panes podem ter conseqncias desastrosas,
necessrio se estar sempre alerta para possveis
erros e falhas.
Este fato tem ganhado cada vez mais
importncia, uma vez que o uso de diferentes
tecnologias de uma forma interligada aumenta a
complexidade dos sistemas, que ainda sofrem
influncia dos processos das organizaes.

A Segurana da Informao se insere

fortemente
ao
ambiente
de
negcios,
principalmente porque a Anlise de Riscos uma
premissas cada vez mais adotada pelas
organizaes.

A Anlise de Riscos tem como um dos

pilares a segurana da informao, existindo uma
inter-relao entre a gesto da segurana da
informao e o gerenciamento de risco.

Uma das vises do risco que ele est

relacionado com a capacidade de se enxergar o
futuro, de modo a se tomar as aes mais indicadas
e necessrias para minimizar possveis danos e
tambm para maximizar as oportunidades.

Gesto de Segurana da Informao e

Gerenciamento de Risco
A gesto de segurana da informao
influencia cada vez mais os processos das
organizaes.
Uma boa gesto de segurana comea com
uma anlise de risco, que identifica e analisa os
principais riscos capazes de afetar a organizao.

Com base nas informaes de contexto

obtidas pela anlise de risco, as aes mais
indicadas so definidas.
A Anlise de Risco parte do Gerenciamento
de Risco, que uma abordagem importante para
que as organizaes minimizem os riscos negativos
e maximizem as oportunidades.

 crescente o interesse das organizaes

brasileiras por saber qual seu grau de exposio
frente s ameaas capazes de comprometer a
estabilidade da suas operaes.
So ameaas como: concorrentes, hackers,
funcionrios insatisfeitos, que somadas ao grande
nmero de vulnerabilidades nos sistemas
tecnolgicos, materializam o nvel de risco de uma
organizao.

Arriscar faz parte da estratgia, conhecer e

gerenciar os riscos administrar o futuro.
Garantir que as suas estratgias alcanaro o
nvel desejado significa identificar e entender os
riscos, para ento administr-los.

Estar vivo, por exemplo, significa arriscarse diariamente. Atravessar a rua, ir ao jogo de
futebol ou dirigir so exemplos de situaes que
envolvem fatores de risco.
Porm, como j estamos acostumados
enfrent-los, formamos um instinto natural para
clculo de energia utilizada para minimizar
controlar os riscos.

a
o
e

Podemos utilizar a mesma analogia para o

mundo corporativo onde o estilo de vida a
operao da empresa ou instituio, a exposio o
alcance da sua operao, e a energia investida para
minimizar os riscos o investimento despendido
para conhecer e controlar a situao.

Como analisar riscos sem estudar

minuciosamente os processos de negcio que
sustentam sua organizao?
Como classificar o risco destes processos sem
antes avaliar as vulnerabilidades dos componentes
de tecnologia relacionados a cada processo?
Quais so os seus processos crticos? Aqueles
que sustentam a rea comercial, a rea financeira
ou a produo?

Voc saberia avaliar qual a importncia do

seu servidor de web?
Para cada pergunta, uma mesma resposta:
CONHECER PARA PROTEGER.

A Anlise de Risco se divide em cinco

partes de igual importncia:
Isoladas, estas partes representam muito
pouco ou quase nada.
Alinhados e geridos de forma adequada, estes
componentes da anlise de risco podem apontar
caminhos seguros na busca do nvel adequado de
segurana de uma organizao.

Os cinco pontos so:

Identificao e Classificao dos Processos
de Negcio;
Identificao e Classificao dos Ativos
(tecnolgicos, humanos e processuais);
Anlise de Ameaas e Danos;
Anlise de Vulnerabilidades;
Anlise de Risco.

Padres e Normas
O objetivo das normas fornecer
recomendaes para gesto da segurana da
informao para uso por aqueles que so
responsveis pela introduo, implementao ou
manuteno da segurana em suas empresas.

Elas tambm se destinam a fornecer uma base

comum para o desenvolvimento de normas e de
prticas
efetivas
voltadas

segurana
organizacional e tambm, a estabelecer a confiana
nos relacionamentos entre as organizaes.

Utiliza-se como mtrica as melhores prticas

de segurana da informao do mercado, apontadas
na norma ISO/IEC 17799.
A partir destas informaes faz-se possvel a
elaborao do perfil de risco, que segue a frmula:
(Ameaa) x (Vulnerabilidade) x (Valor do
Ativo) = RISCO.
Ateno: a ISO/IEC 17799 no ensina a
analisar o risco, serve apenas como referncia
normativa.

Por que fazer uma anlise de risco?

Durante o planejamento do futuro da empresa
ou instituio, os gestores da organizao devem
garantir que todos os cuidados foram tomados para
que seus planos se concretizem.
A formalizao de uma Anlise de Risco
prov um documento indicador de que este cuidado
foi observado.

O resultado da Anlise de Risco d

organizao o controle sobre seu prprio destino.
Atravs do relatrio final, pode-se identificar
quais controles devem ser implementados em curto,
mdio e longo prazo.
Assim, os ativos sero protegidos com
investimentos adequados ao seu valor e ao seu
risco.

Quando fazer uma anlise de riscos?

Uma anlise de riscos deve ser realizada
sempre antecedendo um investimento.
Quem deve participar da anlise de riscos?
O processo de anlise de riscos deve envolver
especialistas em anlise de riscos e especialistas no
negcio da empresa.

Quanto tempo o projeto deve levar?

A execuo do projeto deve ser realizada em
tempo mnimo. Em ambientes dinmicos a
tecnologia muda muito rapidamente.
Um projeto com mais de um ms, em
determinados ambientes pode ao final j estar
desatualizado e no corresponder ao estado atual da
organizao.

O conceito de anlise de
intimamente relacionado figura da
Competitiva, uma vez que agrega
informao corporativa.

risco est
Inteligncia
solidez

Controlando as ameaas, poderemos chegar

ao conceito de administrao de cenrios.

A Figura 1 apresenta o modelo de

gerenciamento de risco adotado pela AS/NZS
4360:2004. O modelo apresenta os elementos do
gerenciamento de risco:
Estabelecimento de contexto;
Identificao de risco;
Anlise de risco;
Avaliao de risco;
Tratamento de risco;
Monitoramento e reviso;
Comunicao e consulta.

Figura 1: Modelo AS/NZS 4360:2004.

De acordo com a Figura 1, aps a anlise de

risco so necessrias atividades de avaliao de
risco, de tratamento de risco, de monitoramento e
reviso e de comunicao e consulta.
A anlise de risco feita aps o
estabelecimento de contexto e a identificao de
risco.

Um dos grandes
benefcios da
implementao de um processo de anlise de risco
a identificao de pontos que representam ameaa
ao cumprimento da misso estratgica da
organizao.

Esses pontos significam riscos que podem

comprometer o bom desenvolvimento da
organizao, sendo, portanto, necessrio o
tratamento adequado aps a sua avaliao, que
decide pela mitigao (interveno com o intuito de
reduzir ou remediar um determinado impacto),
eliminao, transferncia ou aceitao do risco.

Assim, o rgo pode atuar de forma mais

eficaz, criando as melhores condies para que a
misso seja cumprida, com diminuio da
probabilidade de impactos sociais, polticos ou
econmicos.

A ausncia de um processo bem estruturado

de segurana da informao implica em potenciais
perdas para a organizao, em termos que vo
desde a situao financeira at a produtividade,
passando
pela
oportunidade,
qualidade,
credibilidade e imagem.

Natureza do Risco
importante ressaltar que o risco pode ser
interpretado de diferentes formas.
As pessoas vivem em risco constante, e a
cada momento avaliam as possibilidades de futuro
para tomar cada ao, mesmo que ela seja do
cotidiano.

O simples fato de
exemplo, representa
conseqncias para a
momento de atravess-la.

atravessar uma rua, por

o entendimento das
deciso pelo melhor

Investimentos em bolsas de valores tambm

representam bem o risco, podendo o investidor
obter ganhos e tambm sair com prejuzos.

Desta forma, todos gerenciam o risco

continuamente:
Algumas vezes conscientemente;
Algumas vezes sem que saibamos.

O termo risco vem do italiano risicare,

que por sua vez derivado do baixolatim risicu,
riscu, que significa arriscar.
O termo indica que o risco significa ousadia,
j que permite uma opo, e no relegar os
acontecimentos para o destino.
Significa tambm a colocao do futuro a
servio do presente. Significa desafio e
oportunidade, sendo tambm ponto-chave da
natureza da tomada de decises.

O risco, assim, a chance de algum evento

acontecer, resultando em impactos nos objetivos.
De acordo com a ISO/IEC Guide 73:2002, o
risco a combinao da probabilidade de um
evento acontecer e a sua conseqncia .
As conseqncias e o impacto podem ser
tanto negativos quanto positivos.

Desta forma, o risco deve ser:

Compreendido
Medido
Avaliado (conseqncias)

As aes tomadas com base na compreenso,

na medio e na avaliao do risco fazem com que
as chances de sucesso aumentem, j que danos so
minimizados e oportunidades so maximizadas.
No entendimento do risco deve se considerar
suas diferentes naturezas. Apesar de haver um
inter-relacionamento entre os diferentes tipos de
risco, eles so normalmente abordados de uma
forma particular para cada rea de conhecimento
(Figura 2 ).

A Figura 2 apresenta as diferentes naturezas

do risco:

O gerenciamento de risco deve tratar de uma

forma cada vez mais integrada as diferentes vises
do risco.
Para tanto, o grande desafio est na
sistematizao de um gerenciamento de risco ,
capaz de realizar essa integrao atravs de uma
comunicao eficaz no qual todos os envolvidos
entendam e estejam comprometidos com os
objetivos do gerenciamento de risco.

Gerenciamento do Risco
O gerenciamento de risco segue um modelo
clssico que baseado em normas como a AS/NZS
4360:2004.
O grande desafio a sistematizao da forma
como o gerenciamento deve ser realizado, o que
envolve o uso de diferentes metodologias para cada
elemento do gerenciamento de risco.

 interessante notar que o design e

implementao de um sistema de gerenciamento de
risco so influenciados por aspectos que incluem:
Variedade de necessidades da organizao;
Objetivos particulares;
Produtos e servios;
Processos e prticas especficas.

Assim, a forma como o risco deve ser tratado

definido levando-se em considerao os aspectos
do projeto e o modelo de gerenciamento de risco
como o da Figura 3.

a 3: Modelo de Gesto de Segurana da Informao para APF.

ra

Ciclo PDCA
O Ciclo PDCA nasceu no escopo da
tecnologia TQC (Total Quality Control) como uma
ferramenta que melhor representava o ciclo de
gerenciamento de uma atividade.
O conceito do Ciclo evoluiu ao longo dos
anos vinculando-se tambm com a idia de que,
uma organizao qualquer, encarregada de atingir
um determinado objetivo, necessita planejar e
controlar as atividades a ela relacionadas.

O Ciclo PDCA compe o conjunto de aes

em seqncia dada pela ordem estabelecida pelas
letras que compem a sigla:
P (plan: planejar);
D (do: fazer, executar);
C (check: verificar, controlar); e
A (act: agir, atuar corretivamente).

Como pode ser visto na Figura 4, vrios

processos
definidos
no
PMBOK
tratam
especificamente do risco:
Planejamento do gerenciamento de risco;
Identificao de risco;
Anlise de risco qualitativa;
Anlise de risco quantitativa;
Planejamento de resposta ao risco;
Monitoramento e controle de risco.

Figura 7: Risco no PMBOK.

Figura 4: Risco
no PMBOK.

O
processo
de
planejamento
do
gerenciamento de risco do PMBOK, por exemplo,
definido da seguinte forma:
Inputs;
Fatores organizacionais;
Atitude e tolerncia com relao ao risco;
Processos organizacionais;
Categorias de risco;
Definio de conceitos e termos;
Papis e responsabilidades;
Nveis de autoridade para tomada de
deciso;

 Escopo do projeto;
Plano de gerenciamento do projeto;
Ferramentas e tcnicas;
Reunies e anlises;
Output;
Plano de gerenciamento de risco.

A estrutura do plano do gerenciamento de

risco segue o seguinte formato:
Metodologia;
Papis e responsabilidades;
Investimento;
Cronograma;
Categorias de risco (RBS);
Definio da probabilidade e impacto do
risco;
Matriz de probabilidade e impacto;
Tolerncia dos stakeholders;
Formato dos relatrios;
Auditoria.

O RBS pode ser visto na Figura 5, e divide

os riscos identificados como sendo de natureza
tcnica, externa, organizacional e do prprio
gerenciamento de projeto.
No exemplo do processo de planejamento de
resposta ao risco do PMBOK, ele possui a seguinte
estrutura:
Inputs;
Plano de gerenciamento de risco;
Registro de risco;
Ferramentas e tcnicas;

 Estratgias para riscos negativas ou

ameaas;
Evitar, transferir, mitigar;
Estratgias para riscos positivos ou
oportunidades;
Explorar, compartilhar, maximizar;
Estratgia para ameaa e oportunidade;
Estratgia de contingncia;
Outputs;
Registro de risco atualizado;
Plano de gerenciamento de risco atualizado;
Contrato de acordo sobre os riscos.

Figura 5: Risk Breakdown Structure (RBS) do PMBO

Um ponto importante a ser considerado

quanto aos riscos relacionados segurana da
informao.
Uma das metodologias de anlise de risco que
foca na segurana da informao a OCTAVE,
desenvolvida pela Universidade de Carnegie
Mellon.
As fases da OCTAVE podem ser vistas na
Figura 6.

Figura 6: OCTAVE e suas

fases.

Os elementos do risco tratados, quando

aspectos de segurana da informao so
considerados, podem ser visto na Figura 7, que
teve como foco rgos e instituies da
Administrao Pblica Federal.

 possvel verificar que, partindo do conceito

definido no ISO Guide 73, de que risco a
combinao da probabilidade de um evento e de
suas conseqncias, o conceito mais detalhado
seria:
Risco a probabilidade de um agente de
ameaa efetivar uma ameaa, via explorao de
uma vulnerabilidade de um ativo, causando
impactos que comprometem o cumprimento da
misso.

Os elementos da Figura 7 foram utilizados na

metodologia Risco@Gov, voltada para a
Administrao Pblica Federal.
A metodologia Risco@Gov conta com 5
fases:
Fase 1 Contextualizao;
Fase 2 Levantamento de informaes;
Fase 3 Anlises;
Fase 4 Recomendaes;
Fase 5 Apresentao dos resultados.

Figura 7: Relacionamentos entre elementos do risc

O incio da metodologia prepara todo o

processo de anlise de risco a ser conduzido, de
acordo com o contexto existente.
O levantamento de informaes realizado
usando diferentes tcnicas e, aps a anlise de
risco,
que
envolve
ainda
anlises
de
vulnerabilidades e testes de penetrao, as
recomendaes so geradas, documentadas e
apresentadas.

Os processos definidos na metodologia de

anlise de risco Risco@Gov geram resultados
como o da Figura 8, que apresenta o nvel de risco
existente em um ativo, que pode comprometer o
cumprimento da misso da organizao.
O exemplo mostra uma base de informaes
consolidadas e que analisa os componentes do risco
relacionados com a organizao.

Figura 8:
co@Gov.

Um

dos

resultados

do

As informaes contidas nesse relatrio so:

os agentes de ameaa, as ameaas, vulnerabilidades
e os controles utilizados por cada ativo crtico, com
a determinao do nvel de risco, que leva em
considerao a probabilidade e o impacto
relacionados.

Nessa etapa estimado o impacto que um

determinado risco pode causar ao negcio.
Como praticamente impossvel oferecer
proteo total contra todas as ameaas existentes,
preciso identificar os ativos e as vulnerabilidades
mais crticas, possibilitando a priorizao dos
esforos e os gastos com segurana.
Uma vez que os riscos tenham sido
identificados e a organizao definiu quais sero
tratados, as medidas de segurana devem ser de
fato implementadas.

O Gerenciamento de Riscos um processo

contnuo, que no termina com a implementao de
uma medida de segurana.
Atravs de um monitoramento constante,
possvel identificar quais reas foram bem
sucedidas e quais precisam de revises e ajustes.

Nessa etapa ainda podem ser definidas

medidas adicionais de segurana, como os Planos
de Continuidade dos Negcios que visam manter
em funcionamento os servios de misso-crtica,
essenciais ao negcio da empresa, em situaes
emergenciais e Response Teams que
possibilitam a deteco e avaliao dos riscos em
tempo real, permitindo que as providncias
cabveis sejam tomadas rapidamente.

O processo do gerenciamento das reas de

risco de segurana da informao, normalmente
desenvolve-se em nove etapas:
- Anlise e atribuio de valores de ativos.
- Identificao de riscos de segurana.
- Anlise e priorizao dos riscos.
- Controle, planejamento e agendamento.
- Desenvolvimento de correes.
- Teste de correes.
- Registro de conhecimento.
- Reavaliao de ativos e riscos.
Estabilizao
e
Implantao
de
contramedidas novas e alteradas.

Deve-se buscar implantar a gesto pr-ativa

dos riscos, que envolve um conjunto de etapas
predefinidas que devem ser seguidas para impedir
ataques antes que eles ocorram.
Essas etapas incluem verificar como um
ataque poderia afetar ou danificar o sistema de
computador e quais as suas vulnerabilidades.
O conhecimento obtido nessas avaliaes
pode ajudar a implementar diretivas de segurana
que vo controlar ou minimizar os ataques.

Quatro so as etapas da estratgia pr-ativa:

- Determinar os danos que o ataque causar;
- Vulnerabilidades e os pontos fracos que
podero ser explorados;
- Minimizar as vulnerabilidades e os pontos
fracos; e
- Determinar o nvel apropriado
contramedidas a serem implementadas.

de

Como pode ser notado, este passo est

totalmente associado ao passo anterior e, portanto,
deve-se ter sempre em mente a necessidade de
equilibrar o custo da perda de dados e o custo da
implementao dos controles de segurana.

Identificao dos ativos a serem protegidos

(Inventrio de Ativos)
Dados - Quanto confidencialidade,
integridade e disponibilidade;
Recursos - Quanto
indisponibilidade, outros; e

utilizao,

Reputao - Imagem, credibilidade, outros.

Nessa fase necessrio se determinar quais

so as informaes relevantes ao funcionamento da
organizao, definir responsveis para estas
informaes e classificar o grau necessrio de
segurana
destas
informaes
para
a
organizao.

Dessa forma investiga-se atravs de

entrevistas,
anlises
de
tecnologia
e
checklists os ativos mais relevantes para a
organizao. Os ativos listados podem ser
informaes propriamente ditas, alm de hardware,
softwares, pessoas ou intangveis que do suporte
s informaes.

A correta definio do inventrio de ativos

importante, pois esta serve de base para o
desenvolvimento dos controles de segurana, ou
seja, os controles so implementados sobre os
ativos.

Benefcios:
-Maior conhecimento as informaes da
organizao;
-Definio de responsabilidades;
-Clareza para os colaboradores sobre as suas
responsabilidades;
- Conhecimento sobre a segurana necessria
para cada informao da organizao.

Classificao de Ativos
Em contabilidade o ativo so os bens e
direitos que a empresa tem num determinado
momento, resultante de suas transaes ou eventos
passados da qual futuros benefcios econmicos
podem ser obtidos. Exemplos de ativos incluem
caixa, estoques, equipamentos e prdios.

Para fins de organizao em um Ativo do

Balano Patrimonial, os bens podem ser
classificados da seguinte forma:
Bens tangveis
So os bens que tem um corpo fsico, tais
como terrenos, obras civis, mquinas e utenslios,
mveis, veculos, benfeitorias em propriedades
arrendadas, direitos sobre recursos naturais etc.

Bens intangveis
Os ativos intangveis no possuem
caracterstica fsica e so de difcil avaliao.
So bens no-fsicos. Dentro deste grupo
esto as patentes, franquias, direitos autorais,
marcas, etc.

No Ativo do Balano Patrimonial as contas

devem estar dispostas em ordem decrescente de
grau de liquidez dos elementos nela registrados,
conforme grupos a seguir:

Ativo Circulante
Em contabilidade, uma referncia aos bens
e direitos que podem ser convertidos em dinheiro
em curto prazo. Os ativos que podem ser
considerados como circulantes incluem: dinheiro
em caixa, conta movimento em banco, aplicaes
financeiras, contas a receber, estoques, despesas
antecipadas, numerrio em caixa, depsito
bancrio, mercadorias, matrias-primas e ttulos.

Dinheiro em caixa ou em bancos, bens,

direitos e valores a receber no prazo mximo
realizvel at o trmino do exerccio seguinte,
(duplicatas, estoques de mercadorias produzidas,
etc.).

Ativo No Circulante
Os recursos aplicados no Ativo Fixo ou
Imobilizado, so todas as aplicaes de recursos
feitas pela empresa de forma permanente (fixa) que
a empresa utiliza para a realizao de suas
atividades, e podem ser classificados em bens
tangveis ou intangveis.

Tipo de ativo que a empresa ou a pessoa no

tem inteno de vender em curto prazo e que no
apresenta grande liquidez ou facilidade em ser
convertido imediatamente em dinheiro, diante de
uma necessidade financeira.
O ativo fixo de uma empresa o conjunto de
tudo o que essencial para o funcionamento desta
empresa - como imveis, patentes, ferramentas,
mquinas etc. Tambm conhecido por ativo
permanente.

Consideraes Finais
O gerenciamento de risco um elemento
chave para o sucesso das organizaes, de
tecnologias ou de projetos.
Os benefcios do gerenciamento de risco so
grandes e resultam em ganhos e na melhor
utilizao de recursos.

O gerenciamento de risco faz parte da vida

das pessoas e tambm das empresas.
Um processo formal de gerenciamento de
risco um elemento importante para as tomadas de
deciso, que so cada vez mais crticas devido
rpida evoluo tecnolgica, concorrncia, aos
recursos existentes e necessidade de retorno
financeiro e de imagem.

Recomenda-se que os projetos adotem uma

abordagem de gerenciamento de risco para as
decises tcnicas, operacionais e estratgicas, a fim
de possibilitar que o sucesso do projeto chegue at
o seu principal destino, que a sociedade
brasileira.