Gestão de Risco de TI - RNP

Gestão
de
Riscos
de
TI
–
NBR
27005
ISBN 978-85-63630-06-3
9 788563 630063
O livro de apoio ao curso apresenta os conceitos de
gestão de riscos a partir da norma NBR ISO 27005.
Define conceitos e trabalha a contextualização do am-
biente, identificação e levantamento dos riscos através
do conhecimento das ameaças, ativos, vulnerabilidades,
probabilidade de ocorrência e impactos. São realizados
a estimativa e o cálculo de risco e definido o tratamento
mais adequado. Todo o trabalho é baseado em um es-
tudo de caso, visando consolidar o conhecimento teórico.
Este livro inclui os roteiros das atividades práticas e o con-
teúdo dos slides apresentados em sala de aula, apoiando
profissionais na disseminação deste conhecimento em
suas organizações ou localidades de origem.
Gestão de
Riscos de TI
NBR 27005
LIVRO
DE
APOIO
AO
CURSO
Edson Kowask Bezerra
A RNP – Rede Nacional de Ensino
e Pesquisa – é qualificada como
uma Organização Social (OS),
sendo ligada ao Ministério da
Ciência, Tecnologia e Inovação
(MCTI) e responsável pelo
Programa Interministerial RNP,
que conta com a participação dos
ministérios da Educação (MEC), da
Saúde (MS) e da Cultura (MinC).
Pioneira no acesso à Internet no
Brasil, a RNP planeja e mantém a
rede Ipê, a rede óptica nacional
acadêmica de alto desempenho.
Com Pontos de Presença nas
27 unidades da federação, a rede
tem mais de 800 instituições
conectadas. São aproximadamente
3,5 milhões de usuários usufruindo
de uma infraestrutura de redes
avançadas para comunicação,
computação e experimentação,
que contribui para a integração
entre o sistema de Ciência e
Tecnologia, Educação Superior,
Saúde e Cultura.
Ciência, Tecnologia
e Inovação
Ministério da
Educação
Ministério da
Saúde
Ministério da
Cultura
Ministério da
Edson Kowask Bezerra é profissional
da área de segurança da informação e
governança há mais de quinze anos,
atuando como auditor líder, pesquisa-
dor, gerente de projeto e gerente téc-
nico, em inúmeros projetos de gestão
de riscos, gestão de segurança da
informação, continuidade de negócios, PCI, auditoria e recu-
peração de desastres em empresas de grande porte do
setor de telecomunicações, financeiro, energia, indústria e
governo. Com vasta experiência nos temas de segurança e
governança, tem atuado também como palestrante nos
principais eventos do Brasil e ainda como instrutor de trei-
namentos focados em segurança e governança. É professor
e coordenador de cursos de pós-graduação na área de
segurança da informação, gestão integrada, inovação e tec-
nologias web. Hoje atua como Coordenador Acadêmico de
Segurança e Governança de TI da Escola Superior de Redes.
Possui a certificação CRISC da ISACA, além de diversas
outras em segurança e governança.

A RNP – Rede Nacional de Ensino
e Pesquisa – é qualificada como
uma Organização Social (OS),
sendo ligada ao Ministério da
Ciência, Tecnologia e Inovação
(MCTI) e responsável pelo
Programa Interministerial RNP,
que conta com a participação dos
ministérios da Educação (MEC), da
Saúde (MS) e da Cultura (MinC).
Pioneira no acesso à Internet no
Brasil, a RNP planeja e mantém a
rede Ipê, a rede óptica nacional
acadêmica de alto desempenho.
Com Pontos de Presença nas
27 unidades da federação, a rede
tem mais de 800 instituições
conectadas. São aproximadamente
3,5 milhões de usuários usufruindo
de uma infraestrutura de redes
avançadas para comunicação,
computação e experimentação,
que contribui para a integração
entre o sistema de Ciência e
Tecnologia, Educação Superior,
Saúde e Cultura.
Ciência, Tecnologia
e Inovação
Ministério da
Educação
Ministério da
Saúde
Ministério da
Cultura
Ministério da

Gestão de
Riscos de TI
NBR 27005

Rio de Janeiro
Escola Superior de Redes
2013
Gestão de
Riscos de TI
NBR 27005

Copyright © 2013 – Rede Nacional de Ensino e Pesquisa – RNP
Rua Lauro Müller, 116 sala 1103
22290-906 Rio de Janeiro, RJ
Diretor Geral
Nelson Simões
Diretor de Serviços e Soluções
José Luiz Ribeiro Filho
Coordenação
Luiz Coelho
Edição
Pedro Sangirardi
Coordenação Acadêmica de Segurança e Governança de TI
Equipe ESR (em ordem alfabética)
Celia Maciel, Cristiane Oliveira, Derlinéa Miranda, Elimária Barbosa, Evellyn Feitosa,
Felipe Nascimento, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, Renato Duarte
e Yve Abel Marcial.
Capa, projeto visual e diagramação
Tecnodesign
Versão
2.0.1
Este material didático foi elaborado com fins educacionais. Solicitamos que qualquer erro encon-
trado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de
conteúdo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e
Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas, a
pessoas ou bens, originados do uso deste material.
As marcas registradas mencionadas neste material pertencem aos respectivos titulares.
Distribuição
Rua Lauro Müller, 116 – sala 1103
22290-906 Rio de Janeiro, RJ
http://esr.rnp.br
info@esr.rnp.br
Dados Internacionais de Catalogação na Publicação (CIP)
B574g Bezerra, Edson Kowask
Gestão de riscos de TI: NBR 27005 / Edson Kowask Bezerra. – Rio de Janeiro: RNP/ESR, 2013.
138 p. : il. ; 28 cm.
Bibliografia: p.137.
ISBN 978-85-63630-32-2
1. Tecnologia da informação - Técnicas de segurança. 2. Redes de computadores – Medidas
de segurança. 3. Gestão de riscos de segurança da informação. I. Título.
CDD 005.8

iii
Sumário
A metodologia da ESR ix
Sobre o curso x
A quem se destina x
Convenções utilizadas neste livro x
Permissões de uso xi
Sobre o autor xii
1. Introdução à Gestão de Riscos
Introdução 1
Exercício de nivelamento 1 – Introdução à gestão de riscos 2
Conceitos fundamentais 2
Exercício de fixação 1 – Conceitos fundamentais 5
Princípios da Gestão de Riscos 5
Normas de gestão de segurança e de riscos 7
Norma ABNT NBR ISO/IEC 27005:2008 9
Visão geral da gestão de riscos 10
Exercício de fixação 2 – Visão geral 12
Exercício de fixação 3 – PDCA 15
Fatores críticos para o sucesso 15
Áreas de conhecimento necessárias 16

iv
Roteiro de Atividades 1 19
Atividade 1.1 – Conhecendo os conceitos 19
Atividade 1.2 – Conhecendo a norma 19
Atividade 1.3 – Identificando o processo 20
Atividade 1.4 – Fatores críticos 20
2. Contexto da gestão de riscos
Introdução 21
Exercício de nivelamento 1 – Contexto 21
Processo de gestão de riscos de segurança da informação 21
Contexto 22
Estabelecimento do contexto 23
Contexto da norma ABNT NBR ISO/IEC 27005 23
Definindo o contexto 24
Itens para identificação 24
Exercício de fixação 1 – Definindo o contexto 25
Definindo escopo e limites 26
Exercício de fixação 2 – Definindo o escopo e limites 27
Critérios para avaliação de riscos 28
Critérios de impacto 28
Critérios para aceitação do risco 29
Exercício de fixação 3 – Definindo os critérios 31
Organização para a gestão de riscos 32
Anexo A – Descrição da empresa 36
3. Identificação de riscos
Introdução 41
Exercício de nivelamento 1 – Identificação dos riscos 41
Processo de análise de riscos de segurança da informação 41
Identificação de riscos 42
Identificando os ativos 43
Identificando os ativos primários 45

v
Identificando os ativos de suporte e infraestrutura 46
Exercício de fixação 1 – Identificando os ativos 46
Identificando as ameaças 47
Exercício de fixação 2 – Identificando as ameaças 49
Identificando os controles existentes 49
Anexo B – Infraestrutura 55
4. Análise de riscos: Vulnerabilidades e consequências
Introdução 59
Exercício de nivelamento 1 – Vulnerabilidades e consequências 59
Processo de análise de riscos de segurança da informação 60
Identificando as vulnerabilidades 60
Exercício de fixação 1 – Identificando vulnerabilidades 63
Identificação das consequências 63
Exercício de fixação 2 – Identificando as consequências 65
Anexo C – Problemas relatados 69
5. Análise de Riscos: Avaliação das consequências
Introdução 83
Exercício de nivelamento 1 – Avaliação das consequências 83
Visão geral do processo de estimativa de risco 83
Metodologias 84
Metodologia de análise qualitativa 85
Metodologia de análise quantitativa 85
Exercício de fixação 1 – Metodologias 86
Estimativa de riscos 86
Avaliação das consequências 87

vi
6. Análise de riscos: avaliação da probabilidade
Introdução 91
Exercício de nivelamento 1 – Avaliação da probabilidade 91
Visão geral do processo de avaliação de risco 92
Avaliação da probabilidade de ocorrência de incidentes 92
Exercício de fixação 1 – Avaliação da probabilidade 94
Determinação do nível de risco 94
7. Avaliação de riscos
Introdução 101
Exercício de nivelamento 1 – Avaliação de riscos 101
Processo de avaliação de riscos de segurança da informação 101
Avaliação de riscos de segurança da informação 102
Exercício de fixação 1 – Avaliação de risco 103
8. Tratamento e aceitação de riscos
Introdução 107
Exercício de nivelamento 1 – Tratamento e aceitação dos riscos 107
Visão geral do processo de tratamento do risco 107
Tratamento do risco 109
Riscos residuais 111
Modificação do risco 111
Retenção do risco 113
Ação de evitar o risco 113
Compartilhamento do risco 113
Exercício de fixação 1 – Tratamento de risco 114
Visão geral do processo de aceitação do risco 114
Aceitando o risco 115

vii
9. Comunicação e monitoramento dos riscos
Introdução 121
Exercício de nivelamento 1 – Comunicação e consulta dos riscos 121
Processo de comunicação e consulta do risco de segurança
da informação 122
Comunicação e consulta do risco de segurança da informação 123
Exercício de fixação 1 – Comunicação e consulta dos riscos 124
10.
Monitoramento dos riscos
Introdução 127
Exercício de nivelamento 1 – Monitoramento de riscos 127
Processo de monitoramento e análise crítica de riscos de
segurança da informação 127
Monitoramento e análise crítica dos fatores de risco 129
Exercício de fixação 1 – Monitoramento e análise crítica dos riscos 130
Monitoramento, análise crítica e melhoria do processo de
gestão de riscos 130
Conclusão 135
Bibliografia 137

ix
A Escola Superior de Redes (ESR) é a unidade da Rede Nacional de Ensino e Pesquisa (RNP)
responsável pela disseminação do conhecimento em Tecnologias da Informação e Comunica-
ção (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competências
em TIC para o corpo técnico-administrativo das universidades federais, escolas técnicas e
unidades federais de pesquisa. Sua missão fundamental é realizar a capacitação técnica do
corpo funcional das organizações usuárias da RNP, para o exercício de competências aplicá-
veis ao uso eficaz e eficiente das TIC.
A ESR oferece dezenas de cursos distribuídos nas áreas temáticas: Administração e Projeto
de Redes, Administração de Sistemas, Segurança, Mídias de Suporte à Colaboração Digital e
Governança de TI.
A ESR também participa de diversos projetos de interesse público, como a elaboração e
execução de planos de capacitação para formação de multiplicadores para projetos edu-
cacionais como: formação no uso da conferência web para a Universidade Aberta do Brasil
(UAB), formação do suporte técnico de laboratórios do Proinfo e criação de um conjunto de
cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).
A metodologia da ESR
A filosofia pedagógica e a metodologia que orientam os cursos da ESR são baseadas na
aprendizagem como construção do conhecimento por meio da resolução de problemas típi-
cos da realidade do profissional em formação. Os resultados obtidos nos cursos de natureza
teórico-prática são otimizados, pois o instrutor, auxiliado pelo material didático, atua não
apenas como expositor de conceitos e informações, mas principalmente como orientador do
aluno na execução de atividades contextualizadas nas situações do cotidiano profissional.
A aprendizagem é entendida como a resposta do aluno ao desafio de situações-problema
semelhantes às encontradas na prática profissional, que são superadas por meio de análise,
síntese, julgamento, pensamento crítico e construção de hipóteses para a resolução do pro-
blema, em abordagem orientada ao desenvolvimento de competências.
Dessa forma, o instrutor tem participação ativa e dialógica como orientador do aluno para as
atividades em laboratório. Até mesmo a apresentação da teoria no início da sessão de apren-
dizagem não é considerada uma simples exposição de conceitos e informações. O instrutor
busca incentivar a participação dos alunos continuamente.

x
As sessões de aprendizagem onde se dão a apresentação dos conteúdos e a realização das
atividades práticas têm formato presencial e essencialmente prático, utilizando técnicas de
estudo dirigido individual, trabalho em equipe e práticas orientadas para o contexto de atua-
ção do futuro especialista que se pretende formar.
As sessões de aprendizagem desenvolvem-se em três etapas, com predominância de tempo
para as atividades práticas, conforme descrição a seguir:
Primeira etapa: apresentação da teoria e esclarecimento de dúvidas (de 60 a 90 minutos).
O instrutor apresenta, de maneira sintética, os conceitos teóricos correspondentes ao tema
da sessão de aprendizagem, com auxílio de slides em formato PowerPoint. O instrutor levanta
questões sobre o conteúdo dos slides em vez de apenas apresentá-los, convidando a turma
à reflexão e participação. Isso evita que as apresentações sejam monótonas e que o aluno se
coloque em posição de passividade, o que reduziria a aprendizagem.
Segunda etapa: atividades práticas de aprendizagem (de 120 a 150 minutos).
Esta etapa é a essência dos cursos da ESR. A maioria das atividades dos cursos é assíncrona e
realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no
livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dúvidas e oferecer
explicações complementares.
Terceira etapa: discussão das atividades realizadas (30 minutos).
O instrutor comenta cada atividade, apresentando uma das soluções possíveis para resolvê-la,
devendo ater-se àquelas que geram maior dificuldade e polêmica. Os alunos são convidados a
comentar as soluções encontradas e o instrutor retoma tópicos que tenham gerado dúvidas,
estimulando a participação dos alunos. O instrutor sempre estimula os alunos a encontrarem
soluções alternativas às sugeridas por ele e pelos colegas e, caso existam, a comentá-las.
Sobre o curso
O curso apresenta os conceitos de gestão de riscos a partir da norma NBR ISO 27005.
Define conceitos e trabalha a contextualização do ambiente, identificação e levantamento
dos riscos através do conhecimento das ameaças, ativos, vulnerabilidades, probabilidade
de ocorrência e impactos. São realizados a estimativa e o cálculo de risco e definido o
tratamento mais adequado. Todo o trabalho é baseado em um estudo de caso, visando
consolidar o conhecimento teórico. Ao final do curso o participante estará apto a realizar
uma análise de risco qualitativa no ambiente da sua organização.
A quem se destina
Curso direcionado a gestores, técnicos e profissionais de informática ou áreas afins, que
estão em busca do desenvolvimento de competências na realização de gestão e análise
de riscos no ambiente de tecnologias da informação e comunicação (TIC). Profissionais de
outras áreas podem participar desde que possuam conhecimentos de TIC, segurança da
informação e normas ISO 27001 e 27002.
Convenções utilizadas neste livro
As seguintes convenções tipográficas são usadas neste livro:
Itálico
Indica nomes de arquivos e referências bibliográficas relacionadas ao longo do texto.

xi
Largura constante
Indica comandos e suas opções, variáveis e atributos, conteúdo de arquivos e resultado da saída
de comandos. Comandos que serão digitados pelo usuário são grifados em negrito e possuem
o prefixo do ambiente em uso (no Linux é normalmente # ou $, enquanto no Windows é C:).
Conteúdo de slide
Indica o conteúdo dos slides referentes ao curso apresentados em sala de aula.
Símbolo
Indica referência complementar disponível em site ou página na internet.
Símbolo
Indica um documento como referência complementar.
Símbolo
Indica um vídeo como referência complementar.
Símbolo
Indica um arquivo de aúdio como referência complementar.
Símbolo
Indica um aviso ou precaução a ser considerada.
Símbolo
Indica questionamentos que estimulam a reflexão ou apresenta conteúdo de apoio ao
entendimento do tema em questão.
Símbolo
Indica notas e informações complementares como dicas, sugestões de leitura adicional ou
mesmo uma observação.
Permissões de uso
Todos os direitos reservados à RNP.
Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra.
Exemplo de citação: BEZERRA, E. K. Gestão de Riscos de TI – NBR 27005. Rio de Janeiro: Escola
Superior de Redes, RNP, 2013.
Comentários e perguntas
Para enviar comentários e perguntas sobre esta publicação:
Escola Superior de Redes RNP
Endereço: Av. Lauro Müller 116 sala 1103 – Botafogo
Rio de Janeiro – RJ – 22290-906
E-mail: info@esr.rnp.br

xii
Sobre o autor
Edson Kowask Bezerra é profissional da área de segurança da informação e governança
há mais de quinze anos, atuando como auditor líder, pesquisador, gerente de projeto e
gerente técnico, em inúmeros projetos de gestão de riscos, gestão de segurança da infor-
mação, continuidade de negócios, PCI, auditoria e recuperação de desastres em empresas
de grande porte do setor de telecomunicações, financeiro, energia, indústria e governo.
Com vasta experiência nos temas de segurança e governança, tem atuado também como
palestrante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados
em segurança e governança. É professor e coordenador de cursos de pós-graduação na área
de segurança da informação, gestão integrada, inovação e tecnologias web. Hoje atua como
Coordenador Acadêmico de Segurança e Governança de TI da Escola Superior de Redes. Pos-
sui a certificação CRISC da ISACA, além de diversas outras em segurança e governança.

1

Capítulo
1
-
Introdução
à
Gestão
de
Riscos
objetivos
conceitos
1
Introdução à Gestão de Riscos
Conceituar e compreender ameaças, vulnerabilidades, probabilidade e riscos;
conhecer e utilizar a norma de gestão de riscos; identificar as atividades do
processo de gestão de riscos e os fatores críticos para o sucesso; identificar
e definir as áreas necessárias para a gestão de riscos.
Ameaças, vulnerabilidades, probabilidade, riscos, segurança da informação e gestão
de riscos.
Introdução
q
1
1 A ação e interação dos objetivos com as incertezas originam o risco, que se apresenta
no dia a dia de toda e qualquer atividade.
1
1 Muitas vezes, o risco não se apresenta visível, sendo necessárias ações para identificá-lo.
1
1 Outras vezes, o risco é fruto de ações repentinas que fogem ao controle humano,
como em eventos de causas naturais.
Nas fases do ciclo de vida de qualquer atividade humana planejada, convivemos com duas cer-
tezas básicas: daquilo que deve acontecer (os objetivos) e o que pode acontecer (as incertezas).
A ação e interação dos objetivos com as incertezas dão origem ao risco, que se apresenta no
dia a dia de toda e qualquer atividade desenvolvida. Muitas vezes, o risco não se apresenta
visível, sendo necessárias ações para identificá-lo; em outras situações o risco é proveniente
de ações repentinas que fogem ao controle do ser humano, como no caso de eventos de
causas naturais.
Diariamente vemos manchetes em publicações das mais diversas áreas que destacam, com
ênfase, os problemas relacionados aos riscos tecnológicos de segurança da informação: roubos
de mídias de backup e de notebooks, vazamento de números de cartões de crédito, manuseio
impróprio de registros eletrônicos, roubo de identidade e quebra de propriedade intelectual.
Este capítulo abordará os conceitos fundamentais para a Gestão de Riscos e apresentará a
norma ABNT NBR ISO/IEC 27005:2008 - Tecnologia da Informação – Técnicas de segurança –
Gestão de riscos de segurança da informação.

2

Gestão
de
Riscos
de
TI
NBR
27005
Exercício de nivelamento 1 e
Introdução à gestão de riscos
Como você avalia na sua organização o processo de gestão de riscos?
Existem riscos para os trabalhos e atividades da sua organização?
Conceitos fundamentais
q
1
1 Norma ISO Guide 73:2009 Gestão de riscos – Vocabulário
2
2 Recomendações para uso em normas.
2
2 Apresenta as principais terminologias para uso nas atividades de gestão de riscos.
1
1 Esta terminologia deve ser combinada com os termos apresentados nas normas:
2
2 ABNT NBR ISO/IEC 27001.
2
2 ABNT ISO/IEC 27002.
1
1 Termos apresentados nas normas:
2
2 Segurança da Informação.
2
2 Ameaça.
2
2 Vulnerabilidade.
2
2 Risco.
2
2 Riscos de segurança da informação.
2
2 Identificação de riscos.
2
2 Impacto.
2
2 Estimativa de riscos.
2
2 Modificação do risco.
2
2 Comunicação do risco.
2
2 Ação de evitar o risco.
2
2 Retenção do risco.
2
2 Compartilhamento do risco.
É importante ter sempre em mente os seguintes conceitos:
Segurança da Informação é a proteção da informação de vários tipos de ameaças, visando
garantir a continuidade do negócio, minimizar os riscos que possam comprometê-lo,
maximizar o retorno sobre os investimentos e as oportunidades de negócio. A segurança
da informação é obtida como resultado da implementação de um conjunto de controles,
compreendendo políticas, processos, procedimentos, estruturas organizacionais e funções
de hardware e software.
A segurança da informação é obtida com a implementação de controles que deverão ser
monitorados, analisados e continuamente melhorados, com o intuito de atender aos

3

Capítulo
1
-
Introdução
à
Gestão
de
Riscos
objetivos do negócio, mitigando os riscos e garantindo os preceitos de segurança da organi-
zação: Confidencialidade, Integridade, Disponibilidade e Autenticidade (CIDA).
q
1
1 Ameaça é todo e qualquer evento que possa explorar vulnerabilidades.
1
1 Causa potencial de um incidente indesejado, que pode resultar em dano para os
sistemas, pessoas ou a própria organização.
1
1 As ameaças podem ser classificadas em:
2
2 Ameaças intencionais.
2
2 Ameaças da ação da natureza.
2
2 Ameaças não intencionais.
São exemplos de ameaças:
1
1 Erros humanos;
1
1 Falhas de hardware;
1
1 Falhas de software;
1
1 Ações da natureza;
1
1 Terrorismo;
1
1 Vandalismo, entre outras.
Vulnerabilidade é qualquer fraqueza que possa ser explorada para comprometer a segu-
rança de sistemas ou informações. Fragilidade de um ativo ou grupo de ativos que pode ser
explorada por uma ou mais ameaças.
Para pensar
Ameaça versus Vulnerabilidade
Entende-se que a ameaça é o evento ou incidente, enquanto a vulnerabilidade é
a fragilidade que será explorada para que a ameaça se torne concreta. Ameaças
podem assumir diversas formas, como furto de equipamentos, mídia e docu-
mentos, escuta não autorizada, incêndio, inundação e radiação eletromagnética,
até fenômenos climáticos e sísmicos. Por exemplo, um computador cuja senha seja
do conhecimento de todos, sofre ameaças como roubo, destruição ou alteração de
informações; a vulnerabilidade que permite que estas ameaças se concretizem é
justamente a senha ser conhecida e compartilhada por todos.
Vulnerabilidade Ameaça
Falta de treinamento de funcionários Erros humanos
Interrupção no servidor por queima da fonte Falha de hardware
Sistema aplicativo aceita qualquer valor nos seus campos Falha de software
Inundação da sala em virtude das fortes chuvas Ações da natureza
Explosão provocada intencionalmente no terminal de ônibus Terrorismo
Máquina ATM virada e pichada Vandalismo
Tabela 1.1
Exemplos de
vulnerabilidades
e ameaças.

4

Gestão
de
Riscos
de
TI
NBR
27005
Os conceitos a seguir dizem respeito às atividades após a identificação dos riscos e relacio-
nadas ao seu tratamento.
1
1 Risco: combinação da probabilidade (chance da ameaça se concretizar) de um evento
indesejado ocorrer e de suas consequências para a organização. É a incerteza resultante
da combinação da probabilidade de ocorrência de um evento e suas consequências.
A pergunta “Qual o risco?” levanta dúvidas a respeito da ocorrência de algo incerto ou
inesperado. Em segurança da informação, esta incerteza reside nos aspectos tecno-
lógicos envolvidos, nos processos executados e, principalmente, nas pessoas que em
algum momento interagem com a tecnologia e se envolvem com os processos.
1
1 Riscos de segurança da informação: possibilidade de uma determinada ameaça explorar
vulnerabilidades de um ativo ou de um conjunto de ativos, assim prejudicando a organização.
1
1 Identificação de riscos: processo para localizar, listar e caracterizar elementos de risco.
Por menor que seja a probabilidade de ocorrência de um risco, pode ser que determinada
incerteza ocorra e explore uma vulnerabilidade, concretizando uma ameaça. Para se pre-
parar para isso é necessário conhecer os riscos de todo o ambiente, através da realização
de um processo formalizado de identificação de riscos.
1
1 Impacto: mudança adversa no nível obtido dos objetivos de negócios. Consequência ava-
liada dos resultados com a ocorrência de um evento em particular, em que determinada
vulnerabilidade foi explorada, uma ameaça ocorreu e o risco se concretizou. Qual foi o
impacto deste evento nos negócios? Quanto se perdeu? A organização será responsabili-
zada? Haverá multas? Ações legais serão impetradas? Haverá danos de imagem?
Imagine as seguintes situações hipotéticas:
1. Em uma faculdade, um usuário com acesso às informações dos alunos deixou sua senha
escrita num papel após renová-la. O que pode ocorrer? Qual o impacto?
2. Em plena preparação para o vestibular de uma determinada instituição, as provas
vazaram. Qual o impacto se este vazamento ocorreu seis meses antes da realização do
vestibular? E se ocorreu nas 48 horas que antecedem a realização do vestibular?
Exemplos de impactos: perdas financeiras, paralisação de serviços essenciais, perda de
confiança dos clientes, pane no fornecimento de energia e falhas de telecomunicações,
entre tantos outros.
1
1 Estimativa de riscos: processo utilizado para atribuir valores à probabilidade e conse-
quências de um risco. A estimativa de riscos permite quantificar ou descrever de forma
qualitativa um risco, permitindo às organizações priorizar os riscos de acordo com os
critérios estabelecidos.
1
1 Ações de modificação do risco: ações tomadas para reduzir a probabilidade, as conse-
quências negativas, ou ambas, associadas a um risco.
1
1 Comunicação do risco: troca ou compartilhamento de informações sobre o risco entre o
tomador de decisão e outras partes interessadas.
1
1 Ação de evitar o risco: decisão de não se envolver ou agir de forma a mitigar uma
situação de risco.
1
1 Retenção do risco: aceitação do ônus da perda ou do benefício do ganho associado a um
determinado risco.
1
1 Compartilhamento do risco: compartilhamento com outra entidade do ônus da perda
ou do benefício do ganho associado a um risco.

5

Capítulo
1
-
Introdução
à
Gestão
de
Riscos
Exercício de fixação 1 e
Conceitos fundamentais
Durante uma apresentação sobre os conceitos de gestão de riscos para a alta direção da sua
organização, você foi questionado sobre duas possíveis ameaças existentes e seus riscos.
Como você responderia?
Em função da sua resposta para a alta direção, lhe pediram para explicar os possíveis
impactos relacionados a estes riscos. Como você responderia?
Princípios da Gestão de Riscos
q
Princípios da gestão de riscos:
1
1 A gestão de riscos cria e protege valor.
1
1 A gestão de riscos é parte integrante de todos os processos organizacionais.
1
1 A gestão de riscos é parte da tomada de decisões.
1
1 A gestão de riscos aborda explicitamente a incerteza.
1
1 A gestão de riscos é sistemática, estruturada e oportuna.
1
1 A gestão de riscos baseia-se nas melhores informações disponíveis.
1
1 A gestão de riscos é feita sob medida.
1
1 A gestão de riscos considera fatores humanos e culturais.
1
1 A gestão de riscos é transparente e inclusiva.
1
1 A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças.
1
1 A gestão de riscos facilita a melhoria contínua da organização.
Para a gestão de riscos ser eficaz, convém que uma organização, em todos os níveis, atenda
aos princípios descritos a seguir.
a. A gestão de riscos cria e protege valor.
A gestão de riscos contribui para a realização demonstrável dos objetivos e para a melhoria
do desempenho, referente à segurança e saúde das pessoas, à conformidade legal e regula-
tória, à aceitação pública, à proteção do meio ambiente, à qualidade do produto, ao geren-
ciamento de projetos, à eficiência nas operações, à governança e à reputação.

6

Gestão
de
Riscos
de
TI
NBR
27005
b. A gestão de riscos é parte integrante de todos os processos organizacionais.
A gestão de riscos não é uma atividade autônoma separada das principais atividades e
processos da organização. A gestão de riscos faz parte das responsabilidades da adminis-
tração e é parte integrante de todos os processos organizacionais, incluindo o planejamento
estratégico e todos os processos de gestão de projetos e gestão de mudanças.
c. A gestão de riscos é parte da tomada de decisões.
A gestão de riscos auxilia os tomadores de decisão a fazer escolhas conscientes, priorizar
ações e distinguir entre formas alternativas de ação.
d. A gestão de riscos aborda explicitamente a incerteza.
A gestão de riscos explicitamente leva em consideração a incerteza, a natureza dessa incer-
teza, e como ela pode ser tratada.
e. A gestão de riscos é sistemática, estruturada e oportuna.
Uma abordagem sistemática, oportuna e estruturada para a gestão de riscos contribui para
a eficiência e para os resultados consistentes, comparáveis e confiáveis.
f. A gestão de riscos baseia-se nas melhores informações disponíveis.
As entradas para o processo de gerenciar riscos são baseadas em fontes de informação, tais
como dados históricos, experiências, retroalimentação das partes interessadas, obser-
vações, previsões e opiniões de especialistas. Entretanto, convém que os tomadores de
decisão se informem e levem em consideração quaisquer limitações dos dados ou mode-
lagem utilizados, ou a possibilidade de divergências entre especialistas.
g. A gestão de riscos é feita sob medida.
A gestão de riscos está alinhada com o contexto interno e externo da organização e com o
perfil do risco.
h. A gestão de riscos considera fatores humanos e culturais.
A gestão de riscos reconhece as capacidades, percepções e intenções do pessoal interno e
externo, que podem facilitar ou dificultar a realização dos objetivos da organização.
i. A gestão de riscos é transparente e inclusiva.
O envolvimento apropriado e oportuno de partes interessadas e, em particular, dos toma-
dores de decisão em todos os níveis da organização assegura que a gestão de riscos perma-
neça pertinente e atualizada. O envolvimento também permite que as partes interessadas
sejam devidamente representadas e tenham suas opiniões levadas em consideração na
determinação dos critérios de risco.
j. A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças.
A gestão de riscos continuamente percebe e reage às mudanças. À medida que acontecem
eventos externos e internos, o contexto e o conhecimento modificam-se, o monitoramento
e a análise crítica de riscos são realizados, novos riscos surgem, alguns se modificam e
outros desaparecem.

7

Capítulo
1
-
Introdução
à
Gestão
de
Riscos
k. A gestão de riscos facilita a melhoria contínua da organização.
Convém que as organizações desenvolvam e implementem estratégias para melhorar a sua
maturidade na gestão de riscos, juntamente com todos os demais aspectos da sua organização.
Estes princípios da gestão dos riscos devem ser os norteadores desta nobre ativi-
dade no dia a dia das organizações.
Normas de gestão de segurança e de riscos
q
1
1 Norma ABNT NBR ISO/IEC 27001:2006
1
A área de segurança da informação possui um conjunto de normas para serem utilizadas
nas mais diversas organizações, a fim de permitir uma padronização dos requisitos e proce-
dimentos para a implementação de um SGSI.
Norma ABNT NBR ISO/IEC 27001:2006
2
2 Tecnologia da Informação – Técnicas de segurança – Sistemas de gestão de segurança
da informação – Requisitos
2
2 Apresenta e descreve os requisitos que devem ser implementados no estabeleci-
mento de um Sistema de Gestão de Segurança da Informação (SGSI).
1
2
2 Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão
de segurança da informação
2
2 Apresenta as melhores práticas para uma gestão adequada da segurança da informação.
Podendo ser aplicadas a qualquer ambiente de uma organização (particularmente ao ambiente
de TI), estas normas destacam a necessidade das organizações de possuírem uma gestão de
riscos estruturada, com a padronização de processos e requisitos de gestão de riscos.
Em 1995, a comissão de padronização da Austrália e Nova Zelândia lançou a primeira
norma tratando do tema: AS/NZS 4360 – Gestão de Risco. Genérica, a norma estabelece um
processo de gestão de riscos amplamente aceito, tendo sido atualizada em 1999 (AS/NZS
4360:1999). Em 1996, a International Organization for Standardization (ISO) criou um grupo
de trabalho baseado na AS/NZS 4360 para criar um projeto de gestão de risco, que passou
por diversos problemas e só foi concluído em 2009.
q
ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes:
1
1 Norma que fornece os princípios e diretrizes genéricas para qualquer indústria ou setor.
1
1 Criada para ser aplicada a qualquer ambiente ou organização.
ABNT ISO GUIDE 73:2009 Gestão de Riscos – Vocabulário:
1
1 Norma que apresenta as definições de termos genéricos relativos à gestão de riscos.
1
1 Referência de conceitos ligados à gestão de risco.
ABNT
Fundada em 1940, a
Associação Brasileira
de Normas Técnicas é o
órgão responsável pela
normalização técnica
no país, fornecendo
a base necessária ao
desenvolvimento tecno-
lógico brasileiro. É uma
entidade privada, sem
fins lucrativos.
Saiba mais
As normas descritas
acima são apresentadas
no curso Gestão de Segu-
rança da Informação
– NBR 27001 e 27002,
oferecido pela Escola
Superior de Redes.
l

8

Gestão
de
Riscos
de
TI
NBR
27005
q
ISO/IEC 31010:2009 Gestão de riscos – Técnicas de avaliação de riscos:
1
1 Norma que deve ser trabalhada em apoio à norma “ABNT NBR ISO 31000:2009 Gestão
de Riscos – Princípios e diretrizes”.
1
1 Descreve as diversas técnicas e ferramentas de análise de risco, e não foi ainda tradu-
zida pela ABNT.
Em 2009 é lançada pela ISO e imediatamente pela Associação Brasileira de Normas Téc-
nicas (ABNT) a norma ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes.
Esta norma fornece os princípios e diretrizes genéricas para qualquer indústria ou setor.
No mesmo ano foi lançada a norma ABNT ISO GUIDE 73:2009 Gestão de Riscos – Vocabu-
lário. Ela apresenta as definições de termos genéricos relativos à gestão de riscos. Quando
se pretende fazer referência a um conceito de gestão de riscos, deve ser utilizada a defi-
nição da norma ABNT ISO GUIDE 73:2009 Gestão de Riscos – Vocabulário. Segundo a ABNT:
“Este guia fornece as definições de termos genéricos relativos à gestão de riscos. Destina-se
a incentivar uma compreensão mútua e consistente, uma abordagem coerente na descrição
das atividades relativas à gestão de riscos e a utilização de terminologia uniforme de gestão
de riscos em processos e estruturas para gerenciar riscos”.
Em 2012, foi lançada em português a norma “ABNT NBR ISO/IEC 31010:2012 Gestão de riscos
– Técnicas para o processo de avaliação de riscos” deve ser trabalhada em apoio à norma
“ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes”. A norma descreve as
diversas técnicas e ferramentas de análise de risco, fornecendo orientações sobre a seleção
e aplicação de técnicas sistemáticas para o processo de avaliação de riscos.
Este grupo de normas da série 31000 visa atender a qualquer tipo de ambiente de uma
organização. Proporcionam, portanto, uma concepção ampla e genérica da gestão de riscos,
sendo aplicadas para avaliar e tratar qualquer tipo de risco corporativo. Durante o desen-
volvimento destas normas, foi publicada em 2008, pelo grupo de trabalho específico de
tecnologia da informação, a norma “ABNT NBR ISO/IEC 27005: 2008 Tecnologia da Infor-
mação – Técnicas de Segurança – Gestão de riscos de segurança da informação”. Esta norma
foi desenvolvida com base nos estudos da ISO 31000:2009, e portanto atende aos seus
requisitos e ao seu processo de gestão de risco. A ISO/IEC 27005 faz parte do conjunto de
normas da série de 27000, sobre o Sistema de Gestão de Segurança da Informação (SGSI),
onde são incluídas ainda as normas ISO/IEC 27001 e ISO/IEC 27002. Esta norma apresenta as
melhores práticas e possibilita o aprofundamento em aspectos exclusivos da segurança da
informação, enquanto a ISO 31000 é mais genérica e contempla todos os setores.
O enfoque deste curso está na norma “ABNT NBR ISO/IEC 27005: 2008 Tecnologia
da Informação – Técnicas de Segurança – Gestão de riscos de segurança da infor-
mação”. Os conceitos, processos e atividades apresentados se adequam ao que
propõe a norma “ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e dire-
trizes”, podendo ser aplicados em qualquer outra área que não a de TI.

9

Capítulo
1
-
Introdução
à
Gestão
de
Riscos
O quadro abaixo apresenta um resumo comparativo entre estas normas:
Norma Título Objetivo Observação
27001 Tecnologia da infor-
mação – Técnicas de
segurança – Sistemas
de gestão de segu-
rança da informação
– Requisitos
Especifica os requisitos para estabelecer,
implementar, operar, monitorar, analisar criti-
camente, manter e melhorar um SGSI docu-
mentado no contexto dos riscos de negócio
globais da organização. Especifica requisitos
para a implementação de controles de segu-
rança personalizados para as necessidades
individuais de organizações ou de suas partes.
Cobre todos os tipos de organização (empre-
endimentos comerciais, agências governamen-
tais, organizações sem fins lucrativos, entre
diversas outras).
Trata mais especifica-
mente de diretrizes
e princípios para um
sistema de gestão de
segurança da infor-
mação.
segurança – Código de
prática para a gestão
de segurança da infor-
mação
Estabelece diretrizes e princípios gerais para
iniciar, implementar, manter e melhorar a
gestão de segurança da informação. Os obje-
tivos definidos nesta norma estabelecem dire-
trizes gerais para as metas e melhores práticas
para a gestão da segurança da informação.
Voltada para controles
de segurança.
segurança – Gestão
de riscos de segu-
Apresenta um sistema de gestão de riscos de
segurança da informação com foco em tecno-
logia da informação.
Esclarece como geren-
ciar riscos de segu-
rança da informação.
31000 Gestão de riscos –
Princípios e diretrizes
Norma que apresenta princípios e diretrizes
básicas para a gestão de riscos em geral em
qualquer tipo de ambiente.
Editada em
2009, deste ano em
diante as demais
normas de gestão de
riscos devem estar
alinhadas a ela.
31010 Gestão de riscos
— Técnicas para o
processo de avaliação
de riscos
Descreve as diversas técnicas e ferramentas
de análise de riscos.
Editada em 2012.
GUIDE 73 Gestão de risos –
Vocabulário
Apresenta as definições de termos genéricos
relativos à gestão de riscos.
Editada em 2009.
Norma ABNT NBR ISO/IEC 27005:2008
q
ABNT NBR ISO/IEC 27005:2008 – Tecnologia da Informação – Técnicas de Segurança –
Gestão de riscos de segurança da informação
1
1 Apresenta as diretrizes para o gerenciamento dos riscos de segurança da informação.
1
1 Emprega os conceitos da norma ABNT NBR ISO 27001:2005.
A norma “ABNT NBR ISO/IEC 27005:2008 – Tecnologia da Informação – Técnicas de Segu-
rança – Gestão de riscos de segurança da informação” foi publicada em julho de 2008 e
apresenta as diretrizes para o gerenciamento dos riscos de segurança da informação.
Emprega os conceitos da norma ABNT NBR ISO 27001:2005, que especifica os requisitos de
sistemas de gestão da segurança da informação.
Tabela 1.2
Resumo
comparativo entre
as normas.

10

Gestão
de
Riscos
de
TI
NBR
27005
Esta norma descreve todo o processo necessário para a gestão de riscos de segurança da
informação e as atividades necessárias para a perfeita execução da gestão. Apresenta prá-
ticas para gestão de riscos da segurança da informação. As técnicas nela descritas seguem
o conceito, os modelos e os processos globais especificados na norma ABNT NBR ISO/IEC
27001, além de apresentar a metodologia de avaliação e tratamento dos riscos requeridos
pela mesma norma.
Partindo do princípio de que a gestão de riscos é um processo cíclico e contínuo, a norma
está dividida em sessões e anexos. As sessões contêm as informações do processo e das
atividades necessárias para a sua execução. Existem 12 sessões ao todo: as sessões de 1
a 4 tratam das referências e da estrutura da norma, e as sessões 5 e 6 apresentam a visão
geral do processo de gestão de riscos. As sessões a partir da 7 tratam especificamente do
processo de gestão de riscos. Os seis anexos são identificados de A a F e trazem informações
adicionais e exemplos.
Nas sessões de 7 a 12 as atividades de gestão são apresentadas de acordo com a
seguinte estrutura:
1
1 Entrada: refere-se aos insumos e premissas necessárias para a realização da atividade.
1
1 Ação: descrição da atividade, sempre acompanhada do “convém”.
1
1 Diretrizes para implementação: diretrizes necessárias para a realização da ação, isto é,
o detalhamento de como a ação pode ser realizada. Estas diretrizes devem ser adaptadas
a cada tipo de organização. Também estão acompanhadas do “convém”.
1
1 Saída: apresenta os resultados que devem ser alcançados e que vão servir para gerar evidências.
Este curso utiliza o processo de gestão de riscos normatizado contido na norma ABNT NBR
ISO/IEC 27005.
Visão geral da gestão de riscos
q
1
1 É necessária uma abordagem sistemática de gestão de riscos que varia de organi-
zação para organização assim como o nível de risco aceitável de cada uma.
1
1 Risco aceitável é o grau de risco que a organização está disposta a aceitar para con-
cretizar os seus objetivos.
1
1 Necessidade de aumentar a capacidade de gerir o risco e otimizar o retorno.
1
1 A abordagem de gestão de riscos de segurança da informação deve ser:
2
2 Contínua.
2
2 Realizada no tempo apropriado.
2
2 Repetitiva.
2
2 Própria ao ambiente da organização.
2
2 Ajustada ao processo de gestão de riscos corporativos.
2
2 Alinhada com os requisitos de negócios.
2
2 Apoiada pela alta direção.
Gestão de riscos são atividades formalizadas e coordenadas para controlar e dirigir um con-
junto de instalações e pessoas com relações e responsabilidades, entre si e externamente,
no que se refere a riscos nos negócios sob a ótica da segurança da informação.

11

Capítulo
1
-
Introdução
à
Gestão
de
Riscos
Definição do contexto;
1
1 Análise/Avaliação de riscos;
1
1 Tratamento do risco;
1
1 Aceitação do risco;
1
1 Comunicação do risco;
1
1 Monitoramento e análise crítica;
1
1 Ciclo de melhoria contínua PDCA.
A Tabela 1.3 mostra as principais atividades de gestão de riscos da segurança da informação.
Processo do SGSI Processo de gestão de riscos de segurança da informação
PLANEJAR
1
1 Definição do contexto
1
1 Análise/Avaliação de riscos
1
1 Definição do plano de tratamento do risco
1
1 Aceitação do risco
EXECUTAR Implementação do plano de tratamento do risco
VERIFICAR Monitoramento contínuo e análise crítica de riscos
AGIR
Manutenção e melhoria do processo de gestão de riscos de segu-
Em seu livro “Desafio aos deuses: a fascinante história do risco”, Peter Bernstein nos pre-
senteia com uma detalhada análise histórica da evolução do controle e previsão dos riscos
pela humanidade, desde a Grécia antiga. Segundo o autor, somos possuidores de elevado
potencial técnico para a prevenção das perdas e ganhos, mesmo que o comportamento dos
agentes seja imprevisível. Nas suas palavras: “... aconteça o que acontecer e apesar de todos
os nossos esforços, os seres humanos não possuem o conhecimento completo sobre as leis
que definem a ordem do mundo objetivamente existente”. Portanto, o autor nos desquali-
fica como “previsores perfeitos” do futuro.
Bernstein diz ainda que “Quando investidores compram ações, cirurgiões realizam opera-
ções, engenheiros projetam pontes, empresários abrem seus negócios e políticos concorrem
a cargos eletivos, o risco é um parceiro inevitável. Contudo, suas ações revelam que o risco
não precisa ser tão temido: administrar o risco é sinônimo de desafio e oportunidade”.
O risco faz parte de nosso cotidiano, de modo que precisamos conhecê-lo para poder tratá-
-lo e dele extrair novas oportunidades.
É inquestionável a importância do papel que a tecnologia da informação exerce na socie-
dade para que esta alcance seus objetivos. A integração do ambiente tecnológico, caracte-
rizado pela complexidade e interdependência, produz contextos muitas vezes hostis que
propiciam ataques cada vez mais frequentes à segurança da informação, exigindo respostas
cada vez mais rápidas das organizações. A este quadro vêm somar-se novas obrigações
legais, de proteção de privacidade e governança corporativa, gerando a necessidade das
organizações gerenciarem mais efetivamente sua infraestrutura de tecnologia.
Para enfrentar estas novas ameaças e demandas as organizações devem desenvolver uma
atitude proativa, antecipando-se em conhecer suas fraquezas e vulnerabilidades. Isto pode
ser obtido através da adoção de um processo formal de gerenciamento de riscos de segu-
rança da informação, que permita à organização estabelecer um nível aceitável de risco.
Tabela 1.3
Principais
atividades de
gestão de riscos
da segurança da
informação.
Saiba mais
Dica de leitura:
BERNSTEIN, Peter.
Desafio aos deuses: a fas-
cinante história do risco.
Editora Campus, 1997.
l

12

Gestão
de
Riscos
de
TI
NBR
27005
Para isso é necessária uma abordagem sistemática de gestão de riscos, que irá variar de
acordo com o negócio de cada organização, assim como o nível de risco aceitável estabele-
cido pela direção de cada organização.
Risco aceitável é o grau de risco que a organização está disposta a aceitar para a
concretização dos seus objetivos estratégicos.
Visão geral
Na sua organização, qual seria o “risco aceitável” na realização das suas atividades? Explique.
Aumentar a capacidade de gerir o risco e otimizar o retorno são ações integrantes de uma
abordagem sistêmica, que proporciona um processo formal para a melhoria da capacidade
de identificação e avaliação dos riscos. Esta abordagem deve estar de acordo com os obje-
tivos da organização, atendendo às suas necessidades específicas de acordo com os requi-
sitos de segurança da informação. Para isso, a abordagem de gestão de riscos de segurança
da informação deve ser:
1
1 Contínua;
1
1 Realizada no tempo apropriado;
1
1 Repetitiva;
1
1 De acordo com o ambiente da organização;
1
1 Ajustada ao processo de gestão de riscos corporativos;
1
1 Alinhada com os requisitos de negócios;
1
1 Apoiada pela alta direção.
Partindo do conceito amplo de que o processo de gestão é composto de atividades coordenadas
e formalizadas para controlar e dirigir uma organização – formada por suas instalações e pessoal,
com relações e responsabilidades entre si e com agentes externos –, pode-se inferir que a gestão
de riscos é composta de atividades formalizadas e coordenadas para controlar e dirigir um
conjunto de instalações e pessoas com relações e responsabilidades, entre si e com o ambiente
externo, no que se refere a riscos nos negócios sob a ótica da segurança da informação.

13

Capítulo
1
-
Introdução
à
Gestão
de
Riscos
A Figura 1.1 apresenta uma visão do processo de gestão de riscos de segurança da infor-
mação segundo a norma ABNT NBR ISO/IEC 27005.
IDENTIFICAÇÃO DE RISCOS
ANÁLISE DE RISCOS
ACEITAÇÃO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES
COMUNICAÇÃO
E
CONSULTA
DO
RISCO
MONITORAMENTO
E
ANÁLISE
CRÍTICA
DE
RISCOS
PONTO DE DECISÃO 2
Tratamento satisfatório
PONTO DE DECISÃO 1
Avaliação satisfatória
Não
Sim
Não
Sim
PROCESSO DE AVALIAÇÃO DE RISCOS
TRATAMENTO DO RISCO
AVALIAÇÃO DE RISCOS
DEFINIÇÃO DO CONTEXTO
O processo tem seis grandes grupos de atividades:
1
1 Definição do contexto;
1
1 Análise/Avaliação de riscos;
1
1 Tratamento do risco;
1
1 Aceitação do risco;
1
1 Comunicação do risco;
1
1 Monitoramento e análise crítica.
Como pode ser visto na Figura 1.1, o ciclo de vida da gestão de riscos de segurança da infor-
mação é iterativo, onde a gestão se desenvolve de maneira incremental, através de uma
sucessão de iterações, e cada iteração libera uma entrega (saída) para a seguinte, minimi-
zando tempo e esforço.
Definição do contexto
Dentro do processo, a definição do contexto é responsável pela definição do ambiente,
escopo, critérios de avaliação, entre outras definições.
Figura 1.1
Processo de
gestão de riscos
de segurança da
informação.

14

Gestão
de
Riscos
de
TI
NBR
27005
Esta etapa é essencial para a equipe que realiza a gestão de risco conhecer todas as infor-
mações sobre a organização.
Análise/Avaliação de riscos
A próxima iteração é de análise e avaliação de risco, que permitirá a identificação dos riscos
e a determinação das ações necessárias para reduzir o risco a um nível aceitável.
Tratamento do risco
A partir dos resultados obtidos na análise e avaliação do risco são definidos os controles
necessários para o tratamento do risco. A norma ABNT NBR ISO/IEC 27001 especifica os
controles que deverão ser implementados.
Aceitação do risco
Assegura os riscos aceitos pela organização, ou seja, os riscos que por algum motivo não
serão tratados ou serão tratados parcialmente. São os chamados riscos residuais, cujo
enquadramento nesta categoria deverá ser justificado.
Comunicação do risco
Nesta etapa é feita a comunicação do risco e da forma como será tratado, para todas as
áreas operacionais e seus gestores.
Monitoramento e análise crítica
São as atividades de acompanhamento dos resultados, implementação dos controles e de
análise crítica para a melhoria contínua do processo de gestão de riscos.
Todas estas etapas serão detalhadas nas próximas sessões.
A norma ABNT NBR ISO/IEC 27001 especifica que os controles implementados no escopo,
limites e contexto do Sistema de Gestão de Segurança da Informação (SGSI) devem estar
baseados no risco. Este requisito deve ser atendido através da aplicação do processo de
gestão de riscos de segurança da informação.
No ambiente de um SGSI, a definição do contexto, a análise e avaliação de riscos, o desen-
volvimento do plano de tratamento do risco e a aceitação do risco fazem parte da fase “Pla-
nejar” do ciclo de melhoria contínua PDCA. Já a fase “Executar” do SGSI é a implementação
de controles para conduzir os riscos ao nível aceitável pela organização. A fase “Verificar”
do SGSI, por sua vez, inclui as ações de revisão. Finalmente, a fase “Agir” compreende as
ações necessárias para execução, incluindo a reaplicação do processo de gestão de riscos de
segurança da informação.
Podemos resumir da seguinte forma as principais atividades de Gestão de riscos de segu-
rança da informação:
PLANEJAR
Definição do contexto
Análise/Avaliação de riscos
Definição do plano de tratamento do risco
EXECUTAR Implementação do plano de tratamento do risco

15

Capítulo
1
-
Introdução
à
Gestão
de
Riscos
VERIFICAR Monitoramento contínuo e análise crítica de riscos
AGIR
Manutenção e melhoria o processo de Gestão de Riscos de Segu-
rança da Informação
Manutenção
e melhoria
do processo
Monitoramento
e análise
crítica
Implementar
o plano de
tratamento
Aceitação
do risco
Deﬁnição
do plano de
tratamento
Análise/Avaliação
de riscos
Deﬁnição
do contexto
AGIR
PLANEJAR
P
L
A
N
E
J
A
R
P
L
A
N
E
J
A
R
P
L
A
N
E
J
A
R
E
X
E
C
U
T
A
R
V
E
R
I
F
I
C
A
R
PDCA
Explique como a fase planejar (PDCA) do processo do SGSI é executado no processo de
gestão de riscos de segurança da informação.
Fatores críticos para o sucesso
q
1
1 Redução das surpresas operacionais e prejuízos.
1
1 Identificação de oportunidades de crescimento e melhorias.
1
1 Racionalização do capital estabelecendo uma ordem de prioridades de investimento.
1
1 Prá-atividade com o uso dos recursos computacionais nos negócios.
1
1 Envolvimento e participação da alta direção no processo.
1
1 Comunicação e treinamento.
1
1 Definição de objetivos.
1
1 Papéis e responsabilidades definidos.
1
1 Integração com as atividades de gestão de segurança da informação.
Figura 1.2
Processo de gestão
de riscos e o
modelo PDCA.

16

Gestão
de
Riscos
de
TI
NBR
27005
A gestão de riscos de segurança da informação é implementada pelas organizações na
busca por vantagens competitivas para os negócios. É fundamental demonstrar, para as
partes interessadas, uma postura de segurança na gestão dos riscos relacionados à pro-
teção dos ativos e informações.
Os fatores críticos para o sucesso estão relacionados aos benefícios que devem ser alcan-
çados pelas organizações, a depender da natureza de cada organização. Para atingir tais
benefícios é preciso realizar as etapas que envolvem os fatores críticos para o sucesso.
Como exemplos destes fatores podemos mencionar os listados a seguir.
Envolvimento e participação da alta direção no processo
É essencial para o sucesso de qualquer projeto que a direção esteja envolvida e comprometida
com o seu desenvolvimento e sucesso de acordo com os objetivos estratégicos definidos.
Comunicação e treinamento
Todo o processo precisa ser comunicado a todas as partes envolvidas antes do seu início,
durante o seu desenvolvimento e após sua conclusão, com a apresentação dos resultados
alcançados e metas atingidas. Em um processo de gestão de riscos todos os participantes
devem ser envolvidos, e para isso é necessária a realização de campanhas de conscienti-
zação e treinamentos.
Definição de objetivos
O estabelecimento de objetivos contribui decisivamente com o alcance das metas da gestão
de riscos.
Papéis e responsabilidades definidas
Todos os integrantes das partes envolvidas devem conhecer as suas atribuições e responsa-
bilidades durante todo o processo de gestão de riscos de segurança da informação.
Integração com a gestão de segurança da informação
As atividades de gestão de riscos devem estar totalmente integradas às atividades do SGSI.
No desenvolvimento deste curso serão explorados os fatores críticos de sucesso perten-
centes a cada etapa da gestão de riscos de segurança da informação.
Áreas de conhecimento necessárias
q
Os profissionais envolvidos nas atividades de análise de risco possuem um perfil com
conhecimento em diversas áreas:
1
1 Técnico.
1
1 Negócios.
1
1 Legislação.
1
1 Processos.
Para a melhor aplicação do processo de gestão de riscos, é importante que os profissionais
envolvidos possuam um perfil com conhecimento de áreas diversas, permitindo a identifi-
cação das ameaças e vulnerabilidades em qualquer ambiente organizacional.
Na equipe encarregada da realização da análise de risco preferencialmente devem ser
encontrados os seguintes perfis:

17

Capítulo
1
-
Introdução
à
Gestão
de
Riscos
1
1 Técnico: contribui no atendimento das demandas das diversas áreas técnicas da organi-
zação, incluindo as áreas de hardware, software, sistemas operacionais, infraestrutura e
aplicações web, entre outras.
1
1 Negócios: auxilia a equipe no entendimento preciso dos negócios da organização e seus
múltiplos processos, além de ter importância no cálculo dos impactos.
1
1 Legislação: perfil voltado ao entendimento dos aspectos legais e normativos com os
quais a organização analisada necessita se alinhar.
1
1 Processos: permite a compreensão dos processos e através de sua análise identifica pos-
síveis ameaças e vulnerabilidades, contribuindo com a elaboração de planos de gestão e
tratamento de riscos.
Estes são alguns exemplos de perfis ou conhecimentos necessários para a análise de risco.
O tipo da organização e seus objetivos de negócios indicarão os perfis realmente importantes
para compor a equipe de trabalho. Não existe a necessidade de um profissional para cada
perfil citado, pois os conhecimentos podem ser encontrados em um mesmo profissional.
A quantidade de profissionais alocados será determinada pelo escopo da análise e prazo.
Leitura complementar
1
1 Sessões 4, 5 e 6 da norma ABNT NBR ISO/IEC 27005.
1
1 Item 4 da Norma Complementar Gestão de Riscos de Segurança da Informação e Comuni-
cações – GRSIC, do DSIC/GSI/PR: http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf
1
1 Enterprise Risk Management: Past, Present and Future:
http://www.casact.org/education/erm/2004/handouts/kloman.pdf
1
1 Interdisciplinary Risk Management:
http://www.riskinfo.com/rmr/rmrjun05.htm
1
1 Quatro dicas para uma gestão de riscos eficiente:
http://cio.uol.com.br/gestao/2009/07/03/quatro-dicas-para-a-boa-gestao-de-riscos/
1
1 AS/NZS 4360:
http://www.standards.org.au/
1
1 História da AS/NZS 4360:
http://www.riskinfo.com/rmr/rmrsept00.htm

18

Gestão
de
Riscos
de
TI
NBR
27005

19

Capítulo
1
-
Roteiro
de
Atividades
Roteiro de Atividades 1
Atividade 1.1 – Conhecendo os conceitos
Para cada conceito a seguir, explique e apresente um exemplo baseado na organização em
que você trabalha. Justifique sua resposta:
Conceito Definição Exemplo Justificativa
Riscos de segurança
da informação
Identificação de riscos
Impacto
Compartilhamento do
risco
Evitar o risco
Comunicação do risco
Estimativa do risco
Tratamento do risco
Atividade 1.2 – Conhecendo a norma
Descreva como está organizada a norma ABNT NBR ISO/IEC 27005, citando suas sessões.
Explique como estão estruturadas as atividades das sessões 7 a 12 da norma
ABNT NBR ISO/IEC 27005.

20

Gestão
de
Riscos
de
TI
NBR
27005
Atividade 1.3 – Identificando o processo
Descreva a sequência das etapas do processo de gestão de riscos.
Atividade 1.4 – Fatores críticos
O que é a gestão de riscos de segurança da informação e como ela se aplica na sua organização?
Quais são os fatores críticos de sucesso? Dê exemplos baseados na sua organização.
Em sua opinião qual a importância de entendermos a gestão de risco para o exercício das
nossas atividades cotidianas?
O que foi aprendido
q
1
1 Conceito de gestão de risco.
1
1 Visão geral da gestão de risco.
1
1 Fatores críticos de sucesso.

21

Capítulo
2
-
Contexto
da
gestão
de
riscos
objetivos
conceitos
2
Contexto da gestão de riscos
Conceituar e definir o contexto do ambiente da gestão de riscos; identificar o escopo
e as atividades de definição de critérios no processo de gestão de riscos.
Contexto, escopo, limites e critérios.
Introdução
Ao iniciar qualquer tipo de trabalho, a primeira atividade a ser feita é conhecer o ambiente em
que o trabalho será desenvolvido, as pessoas que de alguma forma irão interagir, o que será
desenvolvido; em resumo, “conhecer o terreno” para saber conduzir o andamento dos trabalhos.
Nas atividades que envolvem gestão de riscos de segurança da informação a definição do con-
texto é a parte inicial e tem como objetivo permitir o conhecimento do ambiente da organização.
Exercício de nivelamento 1 e
Contexto
No seu entendimento qual o contexto atual da sua organização?
Processo de gestão de riscos de segurança da informação
q
1
1 Conhecer a sequência das fases da gestão de riscos.
1
1 Ter acesso a toda a documentação da organização.
Na sessão anterior foi apresentada a visão geral do processo de gestão de riscos. É neces-
sário que o conhecimento da sequência das fases do processo faça parte do dia a dia dos
profissionais envolvidos com a gestão de riscos.

22

Gestão
de
Riscos
de
TI
NBR
27005
ANÁLISE DE RISCOS
COMUNICAÇÃO
E
CONSULTA
DO
RISCO
MONITORAMENTO
E
ANÁLISE
CRÍTICA
DE
RISCOS
PONTO DE DECISÃO 2
PONTO DE DECISÃO 1
Não
Sim
Não
Sim
TRATAMENTO DO RISCO
Para realizar esta atividade, os profissionais deverão ter acesso a toda documentação sobre a
organização, permitindo assim o amplo conhecimento sobre as especificidades da organização.
Contexto
É necessário entender o significado conceitual de “contexto” e sua aplicação na gestão de
riscos. Ao buscar o seu significado nos dicionários, encontra-se, entre outras definições,
que contexto é um substantivo masculino que significa “inter-relação de circunstâncias que
acompanham um fato ou uma situação”.
Assim, ao nos referirmos a “contexto” queremos na verdade tratar da totalidade de circunstân-
cias que possibilitam, condicionam ou determinam a realização de um texto, projeto, ativi-
dade ou mesmo de um evento de segurança da informação. Em outras palavras, contexto é o
conjunto de circunstâncias que se relacionam de alguma forma com um determinado aconteci-
mento. É a situação geral ou o ambiente a que está sendo referido um determinado assunto.
Chamamos de contextualização a atividade de mapear todo o ambiente que envolve
o evento em análise. No processo de gestão de riscos esta é a primeira atividade a
ser desempenhada.
Figura 2.1
Definição do
contexto.

23

Capítulo
2
-
Contexto
da
gestão
de
riscos
Segundo a norma ABNT NBR ISO 31000:2009 o contexto pode ser analisado sob dois aspectos:
q
1
1 Contexto Externo: é o ambiente externo no qual a organização se situa e busca atingir
seus objetivos (ambiente cultural, financeiro, regulatórios, tecnológico, econômico,
competitivo, entre outros).
1
1 Contexto Interno: é o ambiente interno no qual a organização busca atingir seus
objetivos (governança, estrutura organizacional, políticas, objetivos, capacidades,
sistemas de informação, cultura organizacional, normas, diretrizes, entre outras).
Estabelecimento do contexto
q
De acordo com a norma ABNT NBR ISO/IEC 31000, no momento em que a organização
estabelece seu contexto ela:
1
1 Articula seus objetivos.
1
1 Define parâmetros internos e externos.
1
1 Define o escopo e os critérios de risco para todo o processo de gestão de riscos.
De acordo com a norma ABNT NBR ISO/IEC 31000, no momento que a organização estabe-
lece seu contexto ela articula seus objetivos, definindo parâmetros internos e externos que
devem ser levados em consideração para gerenciar o risco, e define o escopo e os critérios
de risco para todo o processo de gestão de riscos.
Contexto da norma ABNT NBR ISO/IEC 27005
q
Seção 7 da ABNT NBR ISO/IEC 27005: trata as atividades desenvolvidas durante a fase
de contexto da gestão de riscos.
1
1 Apresentações da organização.
1
1 Entrevistas.
1
1 Questionários:
2
2 Seção 7.1 – Considerações iniciais.
2
2 Seção 7.2 – Critérios básicos.
2
2 Seção 7.3 – Escopo e limites.
2
2 Seção 7.4 – Organização para gestão de riscos de segurança da informação.
1
1 Anexo A – Informativo.
A seção 7 da norma ABNT NBR ISO/IEC 27005 trata das atividades que devem ser desen-
volvidas durante a fase de contexto da gestão de riscos. Essas atividades devem ser
desenvolvidas pela equipe responsável pela gestão de riscos, sendo realizadas por meio de
interações com os profissionais da organização avaliada através de:
1
1 Apresentações da organização;
1
1 Entrevistas com diretores, gerentes, técnicos e usuários;
1
1 Questionários.
A seção 7 desta norma está organizada da seguinte forma:
1
1 Seção 7.1 – Considerações iniciais: finalidade de realizar a contextualização;
1
1 Seção 7.2 – Critérios básicos: critérios de avaliação;

24

Gestão
de
Riscos
de
TI
NBR
27005
1
1 Seção 7.3 – Escopo e limites: importância da definição do escopo e os limites da gestão
de riscos;
1
1 Seção 7.4 – Organização para gestão de riscos de segurança da informação: organização
e responsabilidades do processo de gestão de riscos;
1
1 Anexo A – Informativo: detalhes para a definição do escopo e restrições que podem
impactar nos trabalhos.
Definindo o contexto
q
1
1 Suporte a SGSI.
1
1 Conformidade legal.
1
1 Plano de continuidade de negócios.
1
1 Plano de resposta a incidentes.
Ao iniciar o trabalho de gestão de riscos deve-se primeiramente fazer um levantamento de
todas as informações relevantes sobre o ambiente onde será executada a análise de riscos.
Deve estar claro ainda o entendimento sobre as atividades da organização e os propósitos
que a levaram à gestão de riscos de segurança da informação.
São exemplos destes propósitos:
1
1 Suporte a SGSI: a organização optou por implementar um SGSI e para isso deve realizar
a gestão de risco de segurança da informação como requisito obrigatório.
1
1 Conformidade legal: atendimento a uma determinação legal ou normatizadora.
Ex: bancos, operadoras de cartão de crédito.
1
1 Plano de Continuidade de Negócios: necessário para a preparação do plano que visa
estruturar o modo como a organização enfrentará um evento catastrófico. Para que não
ocorra um impacto significativo ao negócio é necessária a realização do processo de
gestão de riscos.
1
1 Plano de resposta a incidentes: para que a organização possa ter seu plano de res-
postas a incidentes é necessário o conhecimento de seus riscos e vulnerabilidades.
De modo geral, o entendimento dos propósitos da implantação da gestão de riscos possibi-
lita uma visão da importância desta atividade para os negócios da organização. Na norma
ABNT NBR ISO/IEC 27005 o propósito faz parte das diretrizes para implementação da ativi-
dade de definição do contexto: vide 7.1 – Considerações gerais.
Itens para identificação
Ao analisar o ambiente da organização, a equipe de analistas deve identificar os elementos
que caracterizam a organização e contribuem para o seu desenvolvimento. Na análise da
organização devem constar pelo menos os seguintes itens:
Itens para identificação Exemplo de questionamentos
Propósito principal da
organização
Qual a finalidade da empresa? Quais seus objetivos?
O negócio Qual o seu negócio? Qual a finalidade do que é produzido / desenvolvido?
A missão Qual a sua missão? Para que ela existe? O que ela se propõe a fazer? Para quem?
Tabela 2.1
Itens para análise
da organização.

25

Capítulo
2
-
Contexto
da
gestão
de
riscos
Itens para identificação Exemplo de questionamentos
A visão de futuro Qual sua visão de futuro? O que se espera dela no tempo?
Os valores Quais os seus valores? Como eles são evidenciados?
A estrutura organizacional
Como ela está organizada e estruturada? E a segurança das informações?
E as responsabilidades pela segurança?
O organograma
Qual o seu organograma? “Quem é quem e em que setor trabalha”?
Há área de segurança da informação?
As estratégias Quais são as suas principais estratégias de negócios? E de segurança da informação?
Os produtos Quais são os seus produtos? Qual o principal produto de alavancagem dos negócios?
Os parceiros
Quem são seus parceiros? Como são escolhidos? Como contribuem? Como é o
relacionamento da segurança da informação com eles? Quais as obrigações da
segurança da informação?
Os terceiros
Quem são os terceiros? Como são escolhidos? Como contribuem? Como é o rela-
cionamento da segurança da informação com eles? Como é o contrato? Quais as
obrigações da segurança da informação?
As instalações
Como está dividida a organização? Onde estão os servidores? Há algum mecanismo
de prevenção de incêndio? Como é feita a proteção física? Como são os acessos?
Os funcionários
Como são contratados? Há treinamento de segurança da informação?
Como são contratados?
Definindo o contexto
Qual a finalidade da sua organização? Explique.
Qual deve ser um dos propósitos que devem levar a gestão de riscos de segurança da infor-
mação na sua organização? Justifique.

26

Gestão
de
Riscos
de
TI
NBR
27005
Definindo escopo e limites
q
1
1 Escopo é descrição dos limites do projeto, sua abrangência, seus resultados e
entregas. É a finalidade da gestão de riscos.
1
1 Devem ser considerados:
2
2 Os objetivos e políticas da organização.
2
2 Estrutura e funções da organização.
2
2 Processos de negócios.
2
2 Ativos.
2
2 Expectativas.
2
2 Restrições.
1
1 As restrições afetam a organização e determinam o direcionamento da segurança
da informação.
1
1 Algumas destas restrições podem causar impactos no escopo e a equipe tem que
estar preparada para identificá-las e determinar a influência que terão no escopo.
Exemplos de restrições:
2
2 Restrições técnicas.
2
2 Restrições financeiras.
2
2 Restrições ambientais.
2
2 Restrições temporais (tempo é um fator determinante).
2
2 Restrições organizacionais.
1
1 O anexo A da norma ABNT NBR ISO/IEC 27005 apresenta e detalha estas restrições.
1
1 Exemplos de escopo e limites:
2
2 Uma aplicação de TI.
2
2 A infraestrutura de TI.
2
2 Um processo de negócio.
2
2 O departamento de TI.
2
2 Uma filial.
2
2 O sistema de internet banking de uma instituição financeira.
2
2 O serviço de e-mail da organização.
2
2 O processo de controle de acesso físico da organização.
2
2 O datacenter da organização.
2
2 A infraestrutura que atende aos serviços ADSL de uma operadora.
2
2 O serviço de callcenter.
2
2 O sistema logístico de distribuição de provas de concurso público nacional.
2
2 A intranet da organização.
Para lidar com a complexidade da definição do escopo, é recomendável escrevê-la
por tópicos, tendo a certeza de que todos os pontos foram incluídos e que não
existem dúvidas, principalmente entre o entendimento da equipe de gestão de
riscos e a organização.

27

Capítulo
2
-
Contexto
da
gestão
de
riscos
É importante que a organização defina o escopo e os limites da gestão de riscos de segurança
da informação. Mas o que é escopo?
Escopo é a maneira como são descritos os limites do projeto, sua abrangência, seus resul-
tados e suas entregas. É a finalidade, o alvo, o intento ou propósito da gestão de riscos. Se
o escopo for nebuloso, ou deixar margem para interpretação, será difícil para a equipe de
gestão de riscos identificar os limites do seu trabalho. Portanto, o escopo deve ser claro,
bem definido e entendido pela equipe de trabalho e pela organização. Desta forma, com
o escopo e os limites identificados, a equipe de análise e a organização estarão aptos a
levantar os ativos, pessoas, processos e instalações que serão envolvidas na atividade de
análise e avaliação dos riscos.
Ao definir o escopo, a organização deverá levar em conta os objetivos que devem ser alcançados
com a análise/avaliação (propósitos). Para isso devem ser considerados:
1
1 Os objetivos e políticas da organização;
1
1 Estrutura e funções da organização;
1
1 Processos de negócios;
1
1 Ativos;
1
1 Expectativas;
1
1 Restrições.
É importante considerar as restrições que afetam a organização e determinam o direciona-
mento da segurança da informação. Algumas destas restrições podem causar impactos no
escopo, de modo que a equipe precisa estar preparada para identificá-las e determinar a
influência que terão no escopo. Alguns exemplos de restrições:
1
1 Restrições técnicas;
1
1 Restrições financeiras;
1
1 Restrições ambientais;
1
1 Restrições temporais (tempo é um fator determinante);
1
1 Restrições organizacionais.
Existem muitas outras restrições, que irão variar em função do tipo ou do negócio da orga-
nização, assim como também irá variar a influência destas restrições na gestão de riscos.
O anexo A da norma ABNT NBR ISO/IEC 27005 apresenta e detalha estas restrições, sendo
uma leitura obrigatória para um melhor entendimento. Estes são apenas alguns exemplos
bem objetivos. É preciso avaliar a complexidade do escopo e fazer um detalhamento dos
seus objetivos, para que não haja dúvida a respeito da sua amplitude.
Definindo o escopo e limites
Quais propósitos devem ser considerados na sua organização para definição do escopo?
Justifique.

28

Gestão
de
Riscos
de
TI
NBR
27005
Cite uma restrição técnica e uma restrição organizacional possível de existir na sua
organização? Justifique.
Critérios para avaliação de riscos
q
1
1 Os critérios fazem parte do método da gestão de riscos.
1
1 Os critérios são a forma e o valor (pesos) com que os riscos e impactos serão valorados.
A palavra critério, do grego kritérion pelo latim critério, significa estabelecer um padrão que
serve de base para que coisas e pessoas possam ser comparadas e julgadas.
Os critérios para avaliação de riscos servem para avaliar os riscos de segurança e
devem considerar:
1
1 O valor estratégico do processo;
1
1 A criticidade dos ativos;
1
1 O histórico de ocorrências de eventos de segurança;
1
1 O valor do ativo para o processo;
1
1 A probabilidade de ocorrências e outros, de acordo com a organização e escopo.
Os critérios também serão utilizados para definir as prioridades para o tratamento dos riscos.
Exemplo:
Em um ambiente que possui uma sala usada como depósito de papel e com um precário
sistema de prevenção e combate a incêndios, o risco de um incêndio pode ser ALTO.
No desenvolvimento dos critérios é importante que:
1. Definir a quantidade de níveis necessários para o critério;
2. Definir o nome do nível;
3. Definir os valores de cada nível;
4. Fazer uma descrição detalhada de cada nível. Colocar o máximo de informações do que
abrange aquele nível a fim de permitir que qualquer outra pessoa possa entender cada
nível do critério e aplica-lo de forma igualitária e uniforme.
Critérios de impacto
Impacto é a mudança adversa no nível obtido nos objetivos de negócios. Os critérios de
impacto servem para mensurar o montante dos danos ou custos à organização causados
pela ocorrência de um evento de segurança da informação. Geralmente estão relacionados
a perdas financeiras. Devem considerar, entre outros:
1
1 O comprometimento das operações;
1
1 O descumprimento de prazos;
1
1 Os danos de reputação e imagem;

29

Capítulo
2
-
Contexto
da
gestão
de
riscos
1
1 Violações de requisitos legais e regulatórios;
1
1 Severidade e criticidade;
1
1 O comprometimento da confidencialidade, integridade e disponibilidade;
1
1 Outros, de acordo com a organização e escopo.
Exemplo
Se na ocorrência de um incêndio os prejuízos foram apenas locais, restritos a uma sala, o
impacto pode ser classificado como BAIXO. Na situação do incêndio ter se alastrado, e não
ter sido possível controlá-lo, de modo a ter destruído diversas salas, equipamentos e docu-
mentos importantes, o impacto pode ser classificado como ELEVADO.
Critérios para aceitação do risco
Servem para a organização definir o seu nível ou a sua escala de aceitação dos riscos.
Dependem das políticas, metas e objetivos da organização, sendo definidos com a partici-
pação da alta direção da organização. Devem considerar:
1
1 Aspectos legais e regulatórios;
1
1 Finanças;
1
1 Aspectos sociais;
1
1 Repercussão na imagem;
1
1 Aspectos operacionais;
1
1 Negócios;
1
1 Tecnologias.
1
1 Outros, de acordo com a organização e planejamento futuro dos negócios.
Exemplo:
A empresa definiu que todo risco MUITO BAIXO que possuir IMPACTO BAIXÍSSIMO ou que
possa causar perdas financeiras abaixo de R$ 10 mil será classificado como RISCO ACEITÁVEL
e não será tratado com prioridade.
Exemplos de critérios:
Nível Definição
Frequente > 0,92
Provável > 0,65 e < = 0,92
Ocasional > 0,39 e < = 0,65
Remoto > 0,15 e < = 0,39
Improvável > = 0 e < =0,15
Valor Definição
1 Apenas na rede local.
2 Restringe-se ao setor, departamento ou gerência.
3 Atinge parte do site onde está o ativo.
Tabela 2.2
Exemplo de critério
de probabilidade.
Tabela 2.3
de abrangência.

30

Gestão
de
Riscos
de
TI
NBR
27005
Valor Definição
4 As consequências incidem sobre todo o site/filial onde está o ativo.
5 O ativo tem consequências sobre toda a organização.
Nível de risco Valor Descrição
Extremo 5 De acordo com a organização
Altíssimo 4 De acordo com a organização
Alto 3 De acordo com a organização
Médio 2 De acordo com a organização
Baixo 1 De acordo com a organização
Irrelevante 0,5 De acordo com a organização
Outro ponto importante é a definição dos critérios (7.2 Critérios básicos). Os critérios fazem
parte do método com o qual será feita a gestão de riscos. Em outras palavras, os critérios são a
forma e o valor (pesos) com que serão valorados os riscos e os impactos. Para identificar o maior
ou menor risco, e o mais alto ou mais baixo impacto, é preciso definir os critérios. Critério é um
padrão que serve de base para que coisas e pessoas possam ser comparadas e julgadas.
q
A definição de critérios de risco envolve decidir sobre:
1
1 A natureza e os tipos de consequências a serem incluídos e a forma como serão
medidos.
1
1 A maneira pela qual as probabilidades serão representadas.
1
1 O modo como um nível de risco será determinado.
1
1 Os critérios que nortearão a decisão pelo tratamento do risco.
1
1 Os parâmetros para definir quando um risco é aceitável e/ou tolerável.
1
1 Se as combinações de riscos serão tomadas em consideração.
Os critérios podem ser baseados em fontes como:
1
1 Os objetivos acordados do processo;
1
1 Os critérios identificados no caderno de encargos;
1
1 As fontes de dados;
1
1 Critérios geralmente aceitos pela indústria, como níveis de integridade, segurança
(melhores práticas);
1
1 O apetite de risco da organização;
1
1 Os requisitos legais cumpridos pela organização;
1
1 Outros através de informações técnicas de equipamentos específicos ou aplicações.
Os critérios a serem adotados devem ser determinados em comum acordo entre a equipe
de gestão de riscos e a organização. Caso a organização já possua critérios para outros sis-
temas de gestão, estes poderão ser adaptados a depender da demanda, facilitando o enten-
dimento dos critérios de gestão de riscos por parte da organização, pois serão semelhantes
aos já utilizados por outros sistemas de gestão implementados.
Figura 2.4
de nível de risco.

31

Capítulo
2
-
Contexto
da
gestão
de
riscos
Nível de risco Valor Descrição
Desprezível 1
1
1 Não ocorrem lesões, mortes na força de trabalho e/ou de pessoas
externas à empresa. Podem ocorrer casos de primeiros socorros ou
tratamento médico (sem afastamento).
1
1 Sem danos ou com danos insignificantes aos equipamentos e/ou
instalações.
1
1 Os sistemas de TI ficaram fora de operação por até 5 minutos.
Levemente
prejudicial
2
1
1 Lesões leves na força de trabalho, ausência de lesão.
1
1 Danos leves aos equipamentos ou instalações, controláveis e/ou de
baixo custo de reparo.
1
1 Os sistemas de TI ficaram fora de operação por até 30 minutos.
Prejudicial 3
1
1 Lesões de gravidade moderada na força de trabalho ou em pessoas
externas à empresa.
1
1 Lesões leves em pessoas externas à empresa. Danos severos a
equipamentos e/ou instalações.
1
1 Os sistemas de TI ficaram fora de operação acima de 30 minutos.
Emissão de nota fiscal por sistema alternativo. Necessidade de recu-
perar backup.
Extremamente
prejudicial
5
1
1 Provoca morte ou lesões graves em uma ou mais pessoas (na força d
e trabalho e/ou em pessoas externas à empresa).
1
1 Danos irreparáveis a equipamentos ou instalações (reparação lenta
ou impossível).
1
1 Acionado site alternativo. Perda de dados e informações. Clientes sem
atendimento total.
Cabe ressaltar que estes exemplos provavelmente não se aplicam a qualquer tipo de
organização, mas àquelas para as quais foram desenvolvidos. Entretanto, fornecem uma
ideia sobre a criação de critérios aplicados às atividades de gestão de riscos. No decorrer
deste curso serão desenvolvidos critérios durante a realização das atividades.
Definindo os critérios
Que critérios já existem atualmente na sua organização? Justifique.
Considerando o ambiente da sua organização, faça a descrição dos níveis “baixo” e
“altíssimo” da Tabela 2.5? Justifique.
Tabela 2.5
Exemplos de
critérios de
impacto.

32

Gestão
de
Riscos
de
TI
NBR
27005
Organização para a gestão de riscos
q
1
1 A definição dos papéis e responsabilidades é importante para o sucesso do processo
de gestão de riscos.
1
1 Devem ser definidos:
2
2 O processo de gestão de risco adequado à organização.
2
2 As partes interessadas.
2
2 Os papéis e responsabilidades das partes envolvidas, internas e externas à organização.
2
2 As relações necessárias entre a organização, suas partes interessadas e
outros projetos.
2
2 A cadeia de comunicação e de decisões.
2
2 Os registros que devem ser mantidos.
2
2 Outros registros que atendam a particularidades específicas de cada tipo
de organização.
1
1 Todas estas atividades devem gerar evidências para a aplicação dos processos de
gestão de riscos.
A definição dos papéis e responsabilidades é um fator importante para o sucesso do
processo de gestão de riscos. Para tal isto deve estar formalmente definida, comunicada,
documentada e aprovada pelos gestores da alta administração.
Deve ficar claro para todos os envolvidos que o conjunto destas atividades deve gerar
evidências que auxiliem para uma aplicação adequada dos processos de gestão de riscos.
Sendo assim, é importante que todas as informações e dados sejam documentados para o
caso de uma futura auditoria.
Leitura complementar
1
1 Sessão 7 da norma ABNT NBR ISO/IEC 27005.
1
1 Sessões 5, 6 e 7 da norma ABNT NBR ISO/IEC 27002.
1
1 Capítulo 5 do livro “O risco de TI” (Desenvolvendo o processo de governança de risco), de
George Westerman e Richard Hunter: Harvard Business School Press, 2008.

33

Capítulo
2
-
Roteiro
de
Atividades
Roteiro de Atividades 2
Visão geral da atividade
Serão realizadas as atividades necessárias para a “Definição do contexto”. A figura a seguir
apresenta graficamente a localização destas atividades no processo de gestão de riscos.
ANÁLISE DE RISCOS
COMUNICAÇÃO
E
CONSULTA
DO
RISCO
MONITORAMENTO
E
ANÁLISE
CRÍTICA
DE
RISCOS
PONTO DE DECISÃO 2
PONTO DE DECISÃO 1
Não
Sim
Não
Sim
TRATAMENTO DO RISCO
A realização desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC
27005, do material de apoio fornecido e ainda pela vivência e experiência em sua organização.
Para esta atividade, o aluno deve se valer do Anexo A (Descrição da Empresa), que permitirá
a criação de uma empresa fictícia ou ainda auxiliar em algumas observações sobre sua orga-
nização. A planilha desta atividade é composta de perguntas básicas para o entendimento
do contexto organizacional.
A sequência das atividades será:
1. Leitura da Seção 7 e do Anexo A da norma ABNT NBR ISO/IEC 27005;
2. Leitura do Anexo A (Descrição da Empresa) deste caderno de atividades;
3. Explicação e demonstração pelo instrutor da planilha de análise de risco.
Figura 2.2
Atividades para
a “Definição do
contexto”.

34

Gestão
de
Riscos
de
TI
NBR
27005
4. Execução das atividades da planilha:
a. Exercícios da guia “Definir Contexto”
O objetivo desta atividade é, através de respostas a algumas perguntas, desenvolver no aluno
o entendimento do que deve ser pensado, planejado e verificado ao definirmos o contexto.
Devem ser respondidas as perguntas que permitirão que a equipe de análise de risco identi-
fique e compreenda o contexto do ambiente onde será desenvolvida a análise.
Para cada tópico deverão ser colocadas à direita as observações ou justificativas correspondentes.
Só passe para a guia seguinte após concluir.
b. Exercícios da guia “Restrições”
Esta atividade conduz ao entendimento da importância da identificação das restrições existentes.
Nesta guia serão inseridas as restrições aplicáveis à organização, de acordo com o Anexo A
da ABNT NBR ISO/IEC 27005.
A coluna “Restrições” apresenta uma lista baseada na norma, cabendo ao aluno escolher as
que se aplicam e escrever a justificativa.
Existem restrições que afetam a organização e restrições que afetam o escopo da gestão de riscos.
a. Exercícios da guia “Escopo”
O objetivo desta atividade é, através de respostas a algumas perguntas, desenvolver no
aluno o entendimento do que deve ser pensado, planejado e verificado ao definirmos o
escopo e seus limites.
Esta guia apresenta exercícios para que a equipe de análise tenha um perfeito entendi-
mento do escopo e seus limites. Para cada tópico deverão ser colocadas à direita as observa-
ções correspondentes.
b. Exercícios da guia “Critérios”
Esta guia apresenta um exercício para permitir a definição dos critérios que serão traba-
lhados durante toda a análise de risco.
Aqui a equipe de análise de risco da organização onde é realizado o trabalho, definirá os cri-
térios que conduzirão os trabalhos durante todo o processo. É importante que estes critérios
sejam factíveis e válidos para o ambiente do escopo da gestão de riscos e para a organização.
Figura 2.3
Análise das
restrições.

35

Capítulo
2
-
Roteiro
de
Atividades
Critérios a serem definidos:
1
1 Probabilidade – representa o percentual de chance de um evento ocorrer;
1
1 Relevância do ativo – importância do ativo para os negócios/serviços da organização;
1
1 Severidade das consequências – grau das consequências sofridas por um ativo em
relação aos serviços/negócios (disponibilizados pelo ativo ou que passam por ele) ao ser
atacado ou parar de funcionar;
1
1 Impacto – índice para mensurar o montante dos danos ou custos à organização causados
pela ocorrência de um evento de segurança da informação;
1
1 Critério de risco – define o nível ou sua escala de aceitação dos riscos e depende das
políticas, metas e objetivos da organização.
IMPACTO
Nível Descrição
Desprezível De acordo com a organização - DEFINA
Baixo De acordo com a organização - DEFINA
Significativo De acordo com a organização - DEFINA
Importante
Afetam a imagem da organização e causam interrupção de 12 horas nos
negócios. A empresa deixa de funcionar/produzir por 12 horas.
Desastre De acordo com a organização - DEFINA
Cada critério é composto por nível e descrição. Para cada um deles a equipe de análise
deverá definir seus critérios.
Para a atividade, as descrições que possuem a palavra DEFINA deverão ser comple-
tadas pela equipe e alguns níveis poderão ser alterados. Os critérios definirão as
demais atividades no decorrer do curso.
5. Verificação e correção pelo instrutor.
Ao concluir o Roteiro de Atividades 2, a equipe de análise conhecerá o ambiente da organi-
zação. O escopo da análise estará definido, assim como os critérios de análise que nortearão
todos os trabalhos da gestão de risco.
Tabela 2.6
Definição de
critérios.

36

Gestão
de
Riscos
de
TI
NBR
27005
Anexo A – Descrição da empresa
A empresa
Com sede na cidade de Brasília, um escritório comercial situado em Campinas e outro
escritório no Rio de Janeiro, a KWX Indústria Gráfica e Serviços LTDA atua no mercado desde
1998. Atualmente conta com aproximadamente 230 funcionários. Possui equipamentos de
alta tecnologia e o objetivo de produzir e distribuir produtos e serviços com padrão de quali-
dade internacional, atendendo ao mercado de empresas do setor educacional.
A empresa detém uma pequena fatia do mercado nacional, com um faturamento médio de R$
45 milhões anuais. Tendo como meta dobrar sua participação de mercado em três anos,
a KWX planeja a reestruturação de seus processos internos e também a reformulação de sua
cultura, visando a Segurança da Informação e a preparação para a certificação ISO 27001.
Atualmente possui a certificação ISO 9001, obtida há dois anos.
Visão
A alta administração visa aperfeiçoar a maneira de trabalhar, reduzindo custos e procu-
rando preservar e investir em seu ativo intelectual e parque tecnológico, trabalhando em
busca da melhoria contínua e da excelência operacional, para se firmar cada vez mais como
uma marca de sucesso.
A KWX tem como visão ser uma marca de expressão nacional, conquistando o público
através de produtos inovadores, relações éticas com parceiros e a comunidade, e a prática
constante de responsabilidade social, tendo como prioridade a preservação ecológica.
Apesar de tudo isso, a KWX também aposta no fator humano e na satisfação dos seus funcio-
nários e colaboradores. “A satisfação pessoal é algo que buscamos oferecer aos nossos funcio-
nários. Queremos que eles sejam mais que simples trabalhadores, mas que venham para a
KWX com satisfação e orgulho de serem parte desta empresa”, afirma o diretor presidente.
Estrutura organizacional
Diretor Presidente
Diretor Operacional
Gerente de Pesquisa
& Desenvolvimento
Gerente de Produção
Gerente de Logística
Gerente de Manutenção
Gerente de Segurança,
Saúde e Meio Ambiente
Gerente de
Infraestrutura
Corporativa
Gerente de
Recursos Humanos
Gerente Financeiro
Gerente Compras/
Materiais
Gerente de Manutenção
Gerente de Tecnologia
de Informação
Coordenação
Segurança de
Informação
Coordenação
Atendimento
ao Cliente
Coordenação de
Plaejamento
de Produção
Gerente de Vendas
Gerente de Marketing
Diretor Administrativo/
Financeiro
Diretor Comercial
Figura 2.4
Organograma
da KWX.

37

Capítulo
2
-
Roteiro
de
Atividades
Diretoria Operacional
Pesquisa e Desenvolvimento
A KWX está sempre em busca de novas tendências e tecnologias para ser uma referência no
mercado nacional de cursos apostilados. A elaboração de novos cursos e produtos, alinhada
às tendências de mercado e a concorrência, são de vital importância para o sucesso da
empresa. É neste departamento que novas ideias, materiais e produtos são concebidos,
além de melhorias no processo de fabricação de produtos existentes. Todas as análises de
novos cursos e apostilas são feitas neste departamento, que é o principal capital intelectual
da empresa, por isso devendo ser protegido de todas as formas.
Produção
O planejamento de produção é realizado com base nas informações recebidas pela área de
atendimento ao cliente, e também no histórico de produção dos últimos dois anos. Para o bom
funcionamento do planejamento, é necessária uma grande interação com as áreas de atendi-
mento ao cliente, compras, vendas, controle de materiais (almoxarifado) e principalmente com
as áreas de chão de fábrica. A área de planejamento gera uma programação de produção para
os próximos 5 dias, embora essa programação seja revisada e atualizada diariamente.
Almoxarifado
Responsável pelo recebimento dos materiais, além do estoque de produtos considerados
essenciais para o funcionamento do processo fabril. Materiais de escritório também ficam
no almoxarifado.
Logística
Área responsável por toda a movimentação de produtos dentro e fora da companhia,
definindo a estratégia de distribuição dos produtos para os clientes. Garante que o produto
seja entregue no destino final, dentro dos prazos e especificações corretos. Controla ainda a
movimentação dos produtos e materiais no chão de fábrica.
Manutenção
Engloba a manutenção elétrica e mecânica. O time da manutenção trabalha durante o
horário administrativo, com um funcionário alocado em cada turno para acompanhar e
resolver eventuais problemas no processo de produção. A manutenção tem a responsabili-
dade de manter todas as máquinas em funcionamento, além da parte elétrica, ar-condicio-
nado, alarmes e catracas da fábrica, cuidando ainda de manutenções preventivas.
Segurança, Saúde e Meio Ambiente
A área de segurança ambiental engloba os seguintes elementos: Saúde Ocupacional,
Segurança Patrimonial e Meio Ambiente, além da integridade dos funcionários. É respon-
sável pelas normas de meio ambiente, pelo relacionamento com órgãos ambientais, pela
aplicação de ferramentas e procedimentos de segurança, realização de mapa de riscos das
áreas da empresa, e ainda pela definição e aprovação dos EPIs utilizados pelos funcionários.

38

Gestão
de
Riscos
de
TI
NBR
27005
Esta área também é responsável pela definição dos treinamentos e da conscientização dos
funcionários sobre a importância de se trabalhar com segurança. É, ainda, de responsabili-
dade desta área a investigação de acidentes e incidentes ocorridos na empresa, e também
por tomar ações corretivas para evitar uma nova ocorrência. Esta é uma área de vital
importância para a KWX, uma vez que a conformidade com as leis e a proteção ambiental
são prioridades para a organização. Fortes investimentos foram feitos nesta área, ajudando
a tornar a KWX uma referência no aspecto socioambiental.
Diretoria Administrativo-Financeira
Recursos Humanos
Tem a responsabilidade da contratação e demissão de pessoal, organização de treinamentos
internos e externos, gerenciamento da folha de pagamento, controle de ponto, refeições e
benefícios. Também é de responsabilidade do RH a pesquisa por médias salariais de mercado,
programas de promoção de funcionários e controle do programa de participação nos lucros.
Finanças
Departamento que engloba a parte financeira: tesouraria, área fiscal, custos, contas a pagar
e a receber, controladoria e ativo fixo. Por se tratar de uma área de grande sensibilidade
e importância, a área financeira é suportada por uma série de sistemas e aplicações que
garantem o bom funcionamento da empresa e a confiabilidade nos números e planos de
conta apresentados.
Compras e Materiais
Este setor tem a responsabilidade por todo o processo de compras, desde a negociação com
os fornecedores até a compra final dos produtos. Informam preços médios de mercado a
funcionários específicos, para que possam fazer uma requisição de compras. Funcionários
que não sejam da área de compras não podem ter contato com fornecedores. Os contratos
também são negociados pela área de compras.
Diretoria Comercial
Vendas
Área responsável por planejar o volume de vendas a realizar no mês, através de dados
recebidos do pessoal de planejamento de produção, e também encarregada de estimar os
pedidos dos clientes. A área de vendas é responsável por todo o processo de vendas dos
produtos da empresa, e também pelo relacionamento com os clientes, que são as institui-
ções de ensino que comercializam a linha KWX. Esta área também fornece o suporte técnico
aos consumidores finais, além de informações para a manutenção do website da empresa.
Marketing
Área responsável por desenvolver toda a estratégia de comercialização e divulgação dos
produtos da linha KWX. Coordena campanhas publicitárias em diferentes mídias, além de
desenvolver e manter atualizado o website da companhia.

39

Capítulo
2
-
Roteiro
de
Atividades
Infraestrutura
Figura 2.5
Planta atual da KWX
– fábrica.

40

Gestão
de
Riscos
de
TI
NBR
27005
O que foi aprendido
q
1
1 Descrição do contexto.
1
1 Definição do escopo.
1
1 Identificação das restrições.
1
1 Definição dos critérios.
Figura 2.6
Planta atual da
KWX – escritório
comercial.

Gestão de Risco de TI - RNP

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a Gestão de Risco de TI - RNP

Semelhante a Gestão de Risco de TI - RNP (20)

Gestão de Risco de TI - RNP