Este documento discute um método de gestão de riscos para sistemas de gerenciamento da segurança da informação baseado na norma AS/NZS 4360:2004. Ele propõe usar essa norma como metodologia para análise e avaliação de riscos em projetos de segurança da informação conduzidos pela norma NBR ISO/IEC 27001:2006.
Um método de gestão de riscos empregando a norma AS-NZS4360
1. UM MÉTODO DE GESTÃO DE RISCOS PARA
SISTEMAS DE GERENCIAMENTO DA SEGURANÇA
DA INFORMAÇÃO - SGSI
TADEU MARCOS FORTES LEITE
(leite.tadeu@gmail.com)
2. INTRODUÇÃO
Políticas e controles concebidos em projetos de segurança da informação
sem gerenciamento de riscos incidentes sobre ativos relacionados a processos de
trabalho podem ocasionar inflexibilidade, inadequação no emprego de recursos e
perdas de produtividade e/ou competitividade. Na maioria das vezes esta
estratégia embora imprima maior celeridade ao projeto, traz como conseqüência,
queda nas receitas e realização de investimentos de custo/benefício duvidoso.
Empresas são sistemas abertos e utilizam diferentes canais de interação mediante
emprego de tecnologias da informação com o objetivo de obter maior participação
3. e competitividade junto ao mercado de clientes. Assim sendo, submetem seus
ativos físicos, lógicos, organizacionais e humanos a fatores de risco internos e
externos com o objetivo de tirar proveito de novas oportunidades com baixo nível
de prejuízos e perdas operacionais. A implantação de Sistemas de Gerenciamento
da Segurança da Informação – SGSI baseados em gerenciamento de riscos
constitui importante estratégia para condução de projetos de segurança,
possibilitando o emprego de recursos onde de fato possam reverter em benefícios.
Operações de análise e avaliação de riscos vêm sendo empregadas em
segmentos financeiros tradicionais como bancos, corretoras de valores,
seguradoras, casas de câmbio, empresas de factoring dentre outras. Sua adoção
4. na Segurança da Informação é muito recente e passou a ser exigida pela norma
ISO IEC 27001 como forma de maximizar a eficácia do mapeamento de controles
aplicados a ativos essenciais de informação.
A norma de gestão de riscos AS/NZS 4360:2004 atende às exigências da
norma ISO IEC 27001 na implantação de Sistemas de Segurança da Informação
de forma a atingir os objetivos preconizados por organizações na proteção de
ativos de informação?
O presente trabalho propõe demonstrar a viabilidade de uso da norma
internacional AS/NZS 4360:2004, empregada como metodologia para análise e
5. avaliação de riscos, em projetos de Segurança da Informação conduzidos pela
norma NBR ISO/IEC 27001:2006
Organizações que se conscientizaram dos benefícios de implantar
programas de segurança da informação, têm se defrontado com o desafio de
identificar os elementos e fatores críticos essenciais à plena realização dos
objetivos pretendidos. Várias questões se interpõem a estas iniciativas. Haverá
recursos suficientes para empregar todas as melhores práticas e controles
recomendados? Estas práticas e controles deverão ser implantados de forma
linear sobre todos os ativos de informação, ou poderão ser estabelecidos critérios
6. de forma a priorizar sua aplicação em função do valor dos ativos a proteger? Até
que ponto a adoção de controles poderá comprometer a competitividade
organizacional fragilizando a flexibilidade e a celeridade na execução dos fluxos de
trabalho? O programa implantado estará apto a se adaptar aos freqüentes
processos de mudança a que as empresas modernas estão obrigadas a cumprir
para se tornarem competitivas no mercado de oportunidades? Mudança no
ambiente de trabalho ou na estrutura organizacional da empresa conduzirá
necessariamente a alterações no programa de segurança da informação ao longo
de sua vida útil?
7. Uma análise em alguns modelos de gestão consolidados1 empregados pela
tecnologia da informação como melhores práticas e que contemplam aspectos de
segurança, evidenciam questões centrais tais como:
1. Atribuição de responsabilidades a indivíduos ou unidades
organizacionais com autoridade, visibilidade e capacitação para execução de
tarefas de forma adequada;
1 General Accepted Information Security Practices (GAISP); Common Objetives for IT (COBIT); Information Tecnology –
Code of Practice for Information Security Management (ISO 17799); NIST National Institute of Standasds and Technology -
Recommended Controls for Federal Information Systems (800-53) e Computer Security Handbook (800-12); DCID -
Protecting Sensitive Compartimented Information within Information Systems (6/3 Manual).
8. 2. Uma abordagem voltada ao gerenciamento de riscos para uma clara
compreensão e tratamento dos riscos organizacionais envolvidos com os ativos de
informação;
3. Segurança da informação como forma de garantir aspectos de
confidencialidade, disponibilidade e integridade de recursos e ativos de
informação;
4. Programa de treinamento e conscientização para aspectos de segurança
da informação;
9. 5. Processo de gerenciamento de incidentes que contemple a identificação,
a investigação, a comunicação e o registro de incidentes para o aperfeiçoamento
do programa de segurança da informação.
Fica assim evidenciado pelo item dois que o emprego da gestão de riscos é
um dos fatores a ser considerado como uma questão central e elemento de
significativa contribuição para o sucesso de programas de segurança da
informação.
A norma de segurança NBR ISO IEC 27001 não define especificamente
uma determinada metodologia para avaliação de riscos o que nos flexibiliza a
10. escolha de método que melhor se adapte aos objetivos pretendidos e à cultura
organizacional estabelecida. A escolha do método deverá também levar em
consideração o desafio de integração com os processos organizacionais já
estabelecidos de forma a produzir os resultados esperados.
A gestão de riscos em segurança da informação
O guia de referência para gestão de riscos ISO IEC GUIDE 73:2002, define
risco como “a combinação da probabilidade de ocorrência de um conjunto
específico de circunstâncias e de suas conseqüências”. Conceitua a análise de
riscos como o “uso sistemático de informações para identificar fontes e estimar
11. riscos” sendo a fonte o “elemento ou atividade que possui potencial de causar uma
conseqüência”. Define também a avaliação de riscos como o “processo de
comparar o risco estimado com critérios de risco pré-definidos para determinar a
relevância do risco”. Ainda segundo o guia o processo de gestão de riscos é
composto por “atividades coordenadas para direcionar e controlar uma
organização no que se refere a riscos”.
Dentre os objetivos pretendidos com a gestão de riscos, destaca-se a
possibilidade de realizar investimentos em segurança, resultantes ou não de
desdobramentos do planejamento estratégico institucional, priorizando o emprego
12. de recursos de forma alinhada aos segmentos de negócio. Este objetivo maximiza
a relação custo/benefício, pois permite o emprego de recursos onde de fato são
necessários e o retorno de investimentos realizados incidentes sobre os ativos de
informação alinhados a processos de negócio. São vários os benefícios
resultantes da implantação da gestão de riscos: melhor entendimento dos
processos de trabalho componentes dos segmentos de negócio; conhecimento
sobre os riscos institucionais, sua caracterização e impactos associados;
entendimento das razões e justificativas vinculadas a necessidades de
investimento e o acompanhamento de resultados por intermédio do
estabelecimento de indicadores e métricas. Para o sucesso de um programa de
13. gestão de riscos precisamos entender o que agrega valor a processos de negócio
e como podemos maximizar esses valores de forma a maximizar resultados. Esse
entendimento pode ser obtido através do emprego de técnicas de modelagem de
processos, que também contribuirá muito para a correta identificação dos ativos de
informação relacionados.
Segundo o Guia de Gerenciamento de Riscos para a Tecnologia da
Informação2, os fatores críticos de sucesso para a gestão de riscos são:
2
Publicação especial nº 800-30 do National Institute of Standards and Technology – NIST, 2002, p.41.
14. (1) comprometimento dos gerentes mais experientes; (2) pleno suporte e
participação do pessoal de tecnologia da informação - TI; (3) competência do time
de avaliação de riscos, que deve possuir experiência e conhecimento para
aplicação da metodologia de avaliação nos sistemas do escopo definido,
identificando riscos e provendo medidas e controles de custo-benefício adequado
que possam ir de encontro às necessidades organizacionais; (4) envolvimento e
cooperação da comunidade de usuários, que deverá seguir os procedimentos
estabelecidos e cumprir com a implementação dos controles para a preservação
da missão organizacional; (5) uma progressiva estimativa e avaliação dos riscos
relativos à tecnologia da informação – TI.
15. Um processo de gestão de riscos possui três componentes basilares: a
identificação de causas (como conseqüência da exploração de uma
vulnerabilidade por uma ameaça) que se eliminadas ou corrigidas irão prevenir a
ocorrência de potenciais conseqüências; a probabilidade ou possibilidade avaliada
no tempo presente da ocorrência de uma causa futura; e a conseqüência ou efeito
a ser provocado pela ocorrência futura. A ilustração 2.1.1 ilustra o ciclo de gestão
de riscos composto de atividades agrupadas em cinco etapas complementares: a
análise; a avaliação; o tratamento; a aceitação e a comunicação do risco.
17. Na análise do risco são identificadas ameaças e vulnerabilidades
associadas ao conjunto de ativos inseridos no escopo de trabalho definido no
projeto de segurança da informação e realizada estimativa dos riscos incidentes
sobre os mesmos. A execução desta etapa requer atenção em manter o foco das
atenções sobre os processos de trabalho considerados críticos e essenciais ao
cumprimento dos objetivos organizacionais. Os ativos de informação constituem
uma categoria específica, um subconjunto dos recursos empregados para se obter
os resultados esperados e podem ser mais facilmente enquadrados como tal, se
atenderem positivamente a uma ou mais das seguintes questões: Processa?
Armazena? e/ou Comunica Informação? A título de melhor compreensão o quadro
18. QUADRO 2.1.1
abaixo exemplifica alguns ativos organizacionais e o método empregado para sua
classificação como ativos de informação.
ATIVO PROCESSA ? ARMAZENA ? COMUNICA ? ATIVO DE
INFORMAÇÃO
NOTEBOOK Sim Sim Sim Sim
MESA DE TRABALHO Não Não Não Não
FRAGMENTADOR DE PAPEL Não Não Não Não
METODOLOGIA Não Não Sim Sim
FUNCIONÁRIO Sim Sim Sim Sim
SERVIÇO DE PROVEDOR PARA ACESSO À INTERNET Não Não Sim Sim
UNIDADE ROBÔ PARA BACKUP DE DADOS Não Sim Não Sim
19. Uma ameaça pode ser definida como um evento que venha a provocar um
impacto indesejado sobre um ou mais ativos. Segundo o guia de referência para
gestão de riscos ISO IEC GUIDE 51:1999, uma ameaça é “uma fonte potencial de
dano” e uma vulnerabilidade “circunstância na qual ativos, pessoas, propriedade
ou ambiente ficam expostos a uma ou mais ameaças”. A análise de riscos estuda
a associação de ameaças a vulnerabilidades presentes em ativos de informação
segundo probabilidade ou possibilidade de ocorrência que provoque impactos
organizacionais estimados de forma quantitativa ou qualitativa. Para Layton,
20. Timothy3 o alinhamento de ameaças com vulnerabilidades em um sistema,
ambiente, ou aplicação específica, é considerado altamente subjetivo e
dependente do profissional ou do grupo responsável pela tarefa. Observa também
que, uma ameaça sem uma vulnerabilidade relevante não coloca organizações em
risco, e que uma ameaça que possui uma vulnerabilidade conhecida não
identificada pela organização constitui um risco não identificado. Conclui-se,
portanto, que o esforço para a maximização de resultados na identificação de
ameaças relevantes junto aos ativos de informação inseridos no escopo de
3
Information Security, Design, Implementation, Measurement and Compliance, 2007. p.13.
21. trabalho que possam se concretizar em eventos ou incidentes constitui fator chave
da análise de riscos. Um incidente4 pode ser definido como uma ocorrência na
qual uma situação de perigo resulta em dano. Uma forma de obter expressiva
base de conhecimento a respeito de ameaças é consultar institutos, organizações,
fóruns de discussão focados em segurança da informação; normas e práticas de
segurança como a norma NBR ISO IEC 27002:2005 – Código de prática para
gestão da segurança da informação ou ainda obter estas informações a partir de
4
Aspectos de Segurança ISO IEC GUIDE 51:1999
22. software especializado em gestão de riscos. Esses softwares mantêm uma base
de dados atualizada contendo ameaças de diversas naturezas.
Uma estratégia alternativa para identificação de ameaças pode ser
construída a partir do desmembramento de uma ameaça em seus componentes
básicos: o agente da ameaça e os eventos não desejados. O agente é a entidade
que pode provocar as ameaças e podem ser classificados segundo sua natureza
em humanos, naturais e tecnológicos. Estas classes podem ser subdivididas em
categorias de agentes de ameaça e associados a eventos indesejáveis incidentes
sobre ativos como sugerido no quadro 2.1.2. Este quadro demonstra associações
23. possíveis entre agentes de ameaça e eventos indesejáveis mediante emprego do
símbolo “ ”. Os componentes de ameaça podem ser associados a ativos
produzindo declarações de ameaça. O quadro 2.1.3 exemplifica
diagramaticamente uma forma de produzir declarações de ameaça para ativos de
diferentes categorias.
Existem basicamente duas abordagens para a análise de risco, a qualitativa
e a quantitativa, podendo ainda haver uma variante que resulte em uma
24. abordagem semi-quantitativa. Segundo Layton, Timothy5, a abordagem
quantitativa sugere correlação entre o valor de um ativo de informação que
necessita de proteção e o custo para adoção dos controles requeridos para
efetivamente mitigar os riscos associados a níveis aceitáveis segundo o critério de
riscos estabelecido, enquanto que a abordagem qualitativa emprega termos e
frases para expressar o risco. As abordagens possuem vantagens e desvantagens
que deverão estar em perfeita sintonia com os objetivos do projeto de segurança
da informação e com os aspectos da cultura organizacional.
5
Information Security, Design, Implementation, Measurement and Compliance, 2007. p.22.
25. QUADRO 2.1.2
AGENTE DE AMEAÇA
EVENTO INDESEJÁVEL
INTEGRIDADE FÍSICA EXPOSIÇÃO FÍSICA ESPOSIÇÃO LÓGICA NEGAÇÃO DE SERVIÇO
DOENÇA
ACIDENTE
DE
TRABALHO
DANO ROUBO PUBLICAÇÃO DISPONIBILIZAÇÃO INDISPONIBILIZAÇÃO
HUMAN
O
(INTENC
IONAL E
ACIDEN
TAL)
INTERNO
EMPREGADO
EXECUTIVO
CONTRATADO
EXTERNO
CONCORRENTE
HACKER
EX EMPREGADO
PARCEIRO
TECNOL
ÓGICO
INTERNO
INFRA-ESTRUTURA DE
REDE
EQUIPAMENTOS
SOFTWARES
APLICATIVOS
EXTERNO SERVIÇOS
26. O objetivo de ambas as abordagens é obter valores a respeito de riscos que
possam ser comparados entre si e constituam critério para prover seu tratamento
de forma diferenciada em função de prioridades e políticas estabelecidas.
Na abordagem quantitativa os riscos são mesurados em função dos
resultados obtidos com a expectativa de perdas para o período analisado,
considerando prejuízos causados por diferentes ameaças dentro de estimativas de
ocorrências imaginadas para cada ativo de informação. Inicialmente calculamos a
expectativa de perda individualizada (EPI) a partir do produto do valor monetário
atribuído ao ativo (VA) pelo fator de exposição (FE), que representa o percentual
27. do ativo em relação a seu valor total que será afetado por uma dada ameaça. A
fórmula abaixo explicita o enunciado:
EPI = VA x FE
Em seguida projetamos a expectativa de perda individualizada do ativo para
um período maior em função da freqüência de ocorrência (FO) estimada para o
mesmo (normalmente alinhada com o exercício fiscal da empresa). Realizamos o
produto da EPI pela FO para obtermos a expectativa de perda no período (EPP),
segundo fórmula abaixo:
28. EPP = EPI x FO
Exemplificando, uma dada empresa está prestes a concluir um novo projeto
de produto ainda não disponível no mercado estimado em R$ 1.000.000,00
(contabilizados custos de pesquisa, concepção, prototipação, ensaios e demais
outros indiretos). Em caso de vazamento de informações à concorrência, a
possibilidade de assimilação de dados do projeto poderia chegar a 80% (fator de
exposição para a ameaça). Assim teremos o valor da EPI calculado como o
produto do valor total do projeto pelo fator de exposição, ou seja, EPI = R$
800.000,00 (R$ 1.000.000,00 x 0,8). Se projetarmos uma ocorrência deste tipo a
29. cada quatro anos, em função de registros e constatações anteriores, teremos
então uma expectativa para o período de um ano fiscal de 0,25 para a freqüência
de ocorrência. O resultado obtido para a expectativa de perda no período de um
ano será então obtido como a seguir, EPP = R$ 800.000,00 x 0,25, resultando
então em um EPP = R$ 200.000,00. Estes cálculos contemplam apenas uma
ameaça associada ao ativo. Devemos identificar e analisar o conjunto de possíveis
ameaças pertinentes aos ativos sensíveis aos processos de trabalho. Os
resultados encontrados nesta etapa serão utilizados na etapa de avaliação de
riscos para ponderarmos a respeito da relação custo/benefício de se empregar um
conjunto de controles que possam proteger os ativos de informação.
30. A abordagem qualitativa adota método baseado em avaliação subjetiva
graduado em menções para uma faixa de trabalho que pode estar normalmente
compreendida entre três e cinco valores de avaliação diferentes. Estes valores de
avaliação podem estar representados de forma numérica.
Segundo a norma ISO IEC GUIDE 51:1999, o risco pode ser traduzido
como a “combinação da probabilidade de ocorrência de dano e da severidade
deste dano” sendo ainda que, dano foi definido como “prejuízo físico ou dano à
saúde de pessoas, dano à propriedade ou ao ambiente”. O que nos remete a
dedução da fórmula abaixo onde, (R) representa o Risco, (P) a probabilidade ou
31. possibilidade de ocorrência de um evento e (C) as conseqüências resultantes de
perda ou contingenciamento de ativos. Como o impacto final resultante será
proporcional ao grau de importância (I) de um ativo para a organização que o
possui, deveremos também considerar esta variável de avaliação na fórmula do
risco, resultando em:
R = P x C x I
Desta forma as menções da abordagem qualitativa deverão avaliar a
freqüência ou possibilidade de ocorrência de uma ameaça; o grau de importância
do ativo alvo para a empresa e a conseqüência esperada com as perdas
32. decorrentes ou com o comprometimento dos processos de trabalho envolvidos
com o ativo em questão. O nível de vulnerabilidade relacionado ao ativo será
objeto de avaliação quando estivermos avaliando os controles e proteções
operantes sobre o mesmo com o objetivo de reduzir o nível de risco. Numa
graduação de quatro níveis estaremos atribuindo valores de avaliação de um a
quatro respectivamente para avaliações relativas aos conceitos: negligenciável,
baixo, médio e alto. Rebatendo o exemplo anteriormente empregado na
abordagem quantitativa, atribuiremos para o mesmo ativo, freqüência de
ocorrência, baixa (valor 2); grau de importância do ativo, médio (valor 3), e impacto
das conseqüências, médio (valor 3).
33. ILUSTRAÇÃO 2.1.2
UMA PODE SOBRE
CAUSAR
UM PODE SOBRE
CAUSAR
UM PODE SOBRE
CAUSAR
Diagrama para Declarações de Ameaça
AMEAÇA EVENTOS
INDEJESÁVEIS
ATIVOS DE
INFORMAÇÃO
EX-FUCNIONÁRIO PUBLICAÇÃO DOCUMENTOS
SIGILOSOS
HACKER PERDA DE
DESEMPENHO
WEB SITES
34. QUADRO 2.1.3
ABORDAGEM
FACILITA
ANÁLISES
DE ROI
(return of
investment)
REQUER
CÁLCULOS
COMPLEXOS
POSSIBILITA
MELHOR
COMPREENSÃO
DO RISCO
EMPREGA MAIOR
SUBJETIVIDADE
DE ANÁLISE
FACILITA A
ELABORAÇÃO
DE ESTIMATIVAS
DE
INVESTIMENTO
REQUER
MAIS TEMPO
PARA
CONCLUSÃO
QUANTITATIVA Sim Sim Sim Não Sim Sim
QUALITATIVA Não Não Não Sim Não Não
Comparação dos Métodos de Abordagem da Análise de Risco
35. QUADRO 2.1.4
ATIVO NOVO PRODUTO PARA PORTFÓLIO DE PROJETO
Freqüência da Ameaça 1 2 3 4
Grau de Importância do Ativo 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
Grau de Impacto Esperado para
com as Conseqüências
1
2
3 18
4
Valores de Avaliação
1 - Negligenciável 2 – Baixo
3 - Médio 4 – Alto
Avaliação do Risco
Negligenciável
(1 a 10)
Baixo
(11 a 20)
Médio
(21 a 49)
Alto
(50 a 64)
Exemplo para Abordagem Qualitativa
36. Na avaliação do risco são comparados os riscos caracterizados na etapa
anterior com os critérios de risco a serem empregados no âmbito do escopo
definido para a organização. O objetivo desta etapa é selecionar os riscos a serem
tratados na etapa posterior. É importante observar que só será possível selecionar
riscos se o critério de risco definido, permitir comparação com os resultados
auferidos na análise. Os critérios poderão ser definidos empregando conceitos de
faixa de valores no caso da abordagem quantitativa e classes de avaliação para a
qualitativa. Também poderão ser empregados diferenciais para os critérios em
função da natureza dos ativos de informação (dados e informações negociais,
recursos humanos, etc.); de seu emprego em segmentos de negócio considerados
37. críticos para a organização (produção de software, prestação de serviços, etc.);
dos processos de trabalho envolvidos (avaliação de riscos de negócio, gestão de
portfólio para clientes, etc.) ou ainda dos departamentos usuários dos ativos
(departamento de projetos, departamento financeiro, etc.). No exemplo do quadro
2.1.4 mediante o emprego da abordagem qualitativa estabeleceu-se quatro faixas
de avaliação riscos: desprezível, baixo, médio e alto respectivamente para valores
de cálculo de risco correspondentes às faixas de 1 a 10; 11 a 20; 21 a 49; e 50 a
64. Estas faixas podem ser alinhadas e ponderadas a fim de incorporar outros
critérios subjacentes e de interesse da organização.
38. No tratamento do risco são empregadas as medidas e controles
necessários, visando à redução dos riscos relacionados aos ativos selecionados
pelos critérios estabelecidos na política de riscos definida. Essas medidas e
controles a serem aplicadas sobre os ativos de informação visam minimizar os
riscos inerentes aos mesmos de forma a conformá-los a níveis residuais
aceitáveis. De forma sistemática, deverão ser empregadas segundo categorias ou
classes de ativos agrupados por sua natureza para pessoas, processos e
tecnologias.
39. O tratamento de risco envolve considerações de âmbito financeiro, pois
devemos comparar o custo dos controles e medidas a serem empregadas versus
o benefício decorrente da proteção dos ativos para com os prejuízos a serem
evitados, considerando o valor dos mesmos e depreciações pertinentes. Controles
e medidas oneram as empresas com custos que deverão ser analisados em seus
componentes básicos: custos iniciais com aquisição, operacionalização e
capacitação de uso; custos de sustentação para manutenção, licenciamento de
uso de hardware e software, e atualizações tecnológicas adaptativo-evolutivas;
além de outros custos não previsíveis com reparo de acidentes e rupturas
tecnológicas. Uma forma de obter boa relação custo-benefício na adoção de
40. controles é garantir que o prazo de retorno dos investimentos realizados, seja
necessariamente menor que o prazo de depreciação para se obter o mesmo valor
de investimento sobre o ativo de informação. Em resumo, não é economicamente
viável proteger ativos de informação com controles cujos investimentos
decorrentes, serão superiores ao valor do bem considerando o período necessário
ao retorno desses mesmos investimentos.
A etapa de tratamento de risco também deverá considerar questões ligadas
à obrigatoriedade de cumprir leis e regulamentações setoriais pertinentes à
41. segurança da informação, que se interpõem aos resultados auferidos na etapa de
análise e avaliação.
Situações de risco também constituem vantagens para empresas,
considerando que investimentos em segurança poderiam ser empregados de
forma a obter mais competitividade, produtividade e condições propícias a usufruir
de vantagens de caráter sazonal e oportunista na aquisição de novas tecnologias
ou maquinário para o setor produtivo. Conclui-se, portanto que o tratamento de
risco exige pessoal preparado, capacidade de decisão e visão além de
sensibilidade para considerando a cultura organizacional e o cenário estabelecido
42. pelas oportunidades de mercado definir estratégias para condução do projeto de
segurança da informação.
Na aceitação do risco são identificados os ativos cujos riscos não serão
tratados em decorrência de vários fatores, devendo ser empregadas
alternativamente, medidas compensatórias. Nem sempre será possível identificar
controles economicamente viáveis para a proteção de ativos de informação. Para
esses casos deveremos aceitar os riscos identificados e monitorar efetivamente os
resultados esperados para validar as estimativas realizadas. Medidas
compensatórias poderão ser empregadas para minimizar impactos, caso as
43. ameaças venham a se concretizar. O guia de referência para gestão de riscos ISO
IEC GUIDE 73:2002 define aceitação do risco como “decisão de concordar com o
risco considerando-se as limitações para seu tratamento”. Define também a
transferência do risco como o “compartilhamento com outra parte do ônus da
perda ou do benefício do ganho associado a um determinado risco. Podemos
então concluir que uma das medidas compensatórias para a aceitação do risco é a
transferência do mesmo. Um bom exemplo de medida compensatória é o seguro
contra roubo qualificado ou incêndio de natureza acidental, quando ao invés de
endereçarmos controles para a proteção dos ativos de informação envolvidos com
estas ameaças, decidimos transferir o riso associado a terceiros. Os planos de
44. contingência operacional também podem ser entendidos como medidas
compensatórias à aceitação do risco. Neste caso estaremos nos preparando para
minimizar o impacto resultante da concretização de ameaças de forma a colocar
em execução estratégia alternativa que garanta a continuidade operacional das
atividades envolvidas com os ativos atingidos.
Na comunicação do risco são divulgadas informações sobre os riscos
identificados, tratados ou aceitos a todas as partes envolvidas com os ativos de
informação, possibilitando estabelecer transparência, visibilidade e
compartilhamento de responsabilidades. A efetividade e melhoria contínua do
45. SGSI dependem muito desta etapa para que os donos de ativos e eventuais
custodiantes assumam seu papel na guarda dos ativos e no aperfeiçoamento do
ciclo de vida do SGSI. Nesta etapa também serão conduzidos programas de
sensibilização e treinamentos para mudança da cultura organizacional e
estabelecimento de um cenário mais favorável à operacionalização de um
programa de segurança. A comunicação do risco possibilita dar conhecimento a
donos de ativos e pessoas envolvidas, de todas as decisões tomadas para o
tratamento segundo as possibilidades definidas na política de riscos.
46. Identificação e conceituação das etapas integrantes da norma AS/NZS
4360:2004
A norma AS/NZS 4360:2004 foi concebida na ambiência do comitê OB-007
a partir da integração coordenada de padrões procedentes da Austrália e Nova
Zelândia com o propósito de atender e assistir a demandas de organizações
inseridas no contexto dos setores público e privado. Tornou-se padrão obrigatório
para análise de riscos em processos de compra efetuados pelos governos dos
referidos países que demandem pagamentos superiores a $5 milhões de dólares.
Vem sendo adotada também pelo serviço nacional de saúde do Reino Unido e em
várias iniciativas isoladas em diferentes países.
47. Convivemos com riscos diariamente em tudo o que fazemos, ou que de
forma voluntária, deixamos de fazer. Assim é ao decidirmos pela aquisição de um
determinado produto ou serviço; ao optamos por trabalhar em uma empresa,
preterindo outras; ao tomarmos um empréstimo em que achamos ter a capacidade
para assumir prestações ou mesmo ao decidimos nos casar com alguém. De
forma inversa também corremos riscos quando decidimos não fazer algo. Neste
sentido, poderemos perder oportunidades pelo medo de nos envolver com seus
riscos e assim deixamos de auferir alguma coisa.
48. Diferenciadamente da definição de risco proferida pela ISO em seu guia
número 51, como sendo o produto da probabilidade de ocorrência de um dano
pelo grau de severidade ou impacto provocado pelo mesmo, a norma AS/NZS
4360:2004 propõe uma abordagem mais holística do risco. Na visão proposta, a
gestão de riscos envolve tanto ameaças quanto oportunidades. Gerenciar riscos
envolve a identificação de desvios em potencial de cenários planejados ou
desejados e o correspondente gerenciamento desses desvios de forma a
maximizar oportunidades, minimizar perdas e garantir o sucesso de decisões e
resultados a serem alcançados. Isso exige o emprego de processos de trabalho
lógicos e sistemáticos que não objetivem um fim em si mesmo, mas um meio para
49. que sejam atingidos resultados esperados de forma efetiva e controlada. O
conhecimento retrospectivo de fatos em muito auxilia a gestão de riscos, mas
devemos estar preparados para o que poderá ocorrer.
O diagrama da ilustração 2.2.1 mostra as etapas componentes do processo
de gestão de risco proposto pela norma AS/NZS 4360:2004. Ela está estruturada
em cinco etapas principais e duas auxiliares, sendo as etapas de identificação
do risco, análise do risco e avaliação do risco consideradas as etapas
integrantes do núcleo de todo o processo.
50. A etapa primeira denominada de “estabelecimento do contexto de
trabalho” visa garantir alinhamento aos objetivos organizacionais e é constituída
por uma parte descritiva e uma parte criativa. Na parte descritiva da análise de
contexto são conciliadas visões de diferentes colaboradores e formadores de
opinião com ações em processos de trabalho, imprimindo legitimidade a esses
objetivos. Os objetivos organizacionais devem ser alinhados ao processo de
gestão de riscos através do estabelecimento de critérios que possam mensurar o
sucesso de consecução dos mesmos - são os fatores chave. Esses critérios
posteriormente irão medir o impacto de eventuais incidentes que possam
comprometer a obtenção de seu sucesso. Para serem efetivos os critérios deverão
51. ser concisos, provendo um pequeno quantitativo de medidas de grande
significância para com os impactos a serem considerados; cobrir vários aspectos
de sucesso; definir como serão aplicados, mediante abordagens quantitativas ou
qualitativas; discernir entre impacto do risco e possibilidade de ocorrência do
mesmo. Na parte criativa da análise de contexto, deverão ser caracterizados os
componentes do risco a serem empregados de forma a facilitar as atividades da
etapa de identificação de riscos, uma vez que tentar endereçar os riscos
envolvidos com toda a organização constitui tarefa de alta complexidade.
52. Na etapa segunda denominada de “identificação de riscos” os riscos
organizacionais são endereçados de forma a conhecermos seus componentes
basilares: agentes e eventos indesejáveis associados caracterizando eventos de
risco que constituam ameaças aos ativos de informação. Esta etapa pode ser
conduzida de forma prescritiva e/ou criativa. Na estratégia de condução prescritiva
são empregadas “checklists” ou ainda formulários contextualizados com as áreas
de negócio e missão institucional com o objetivo de imprimir celeridade na
obtenção de resultados. Na estratégia criativa são constituídas equipes de
trabalho segregadas por departamentos ou áreas de negócio com o objetivo de
focar melhor a identificação dos riscos organizacionais mediante atividades de
53. “brainstorming” conduzidas por facilitadores com experiência em análise de riscos.
A identificação de riscos procura caracterizar onde, quando, por quê e como
eventos indesejáveis poderiam comprometer, degradar, retardar ou realçar a
realização dos objetivos organizacionais.
A etapa terceira denominada de “análise de risco” procura conhecer os
atuais controles empregados na proteção de ativos de informação, assim como
seu grau de efetividade; as vulnerabilidades ainda existentes; as possibilidades de
ocorrência das ameaças e o nível de impacto para com danos provocados e as
perdas totais e parciais quando de incidentes ocorridos sobre esses ativos.
56. Esses eventos poderiam retardar, distorcer, impedir ou ampliar metas e
resultados esperados a partir da execução desses objetivos. Espera-se poder
responder a questões formuladas a partir de perguntas como: “O QUÊ?”, “ONDE?”
E “QUANDO?” pode acontecer. A seguir deveremos saber “POR QUÊ?” e
“COMO?” uma vez que eventos de risco podem acontecer sob diferentes cenários
e de várias formas. Estas perguntas são formuladas com o objetivo de construir os
eventos de risco, ou seja, uma relação de causa e efeito composta de uma
ameaça e o impacto resultante. Preferencialmente os eventos de risco devem ser
formulados considerando categorias de eventos relacionadas aos ativos a
proteger. Poderemos conceber uma categoria para os “ativos de pessoas” outra
57. para os “ativos de software” outra para os “ativos físicos” e assim por diante.
Algumas categorias poderão ser subdivididas em outras mais específicas de forma
a prover melhor enquadramento dos ativos. A cada categoria de ativos deverão
ser associados um ou vários eventos de risco. A título de exemplificação um
evento de risco poderia ser a “divulgação não autorizada de informações sensíveis
de uma determinada organização, comprometendo a segurança da informação”
outro poderia ser “comprometimento da disponibilidade de informações
ocasionado por contaminação de vírus de computador” ou ainda “a descoberta de
um novo segmento de mercado que poderá aumentar o volume de vendas de
produtos para uma empresa”.
58. Ao efetuarmos a identificação de riscos devemos definir de forma clara qual
será a abordagem empregada, como se constituirá o processo de identificação
e como serão obtidas as informações necessárias à alimentação do processo.
Quanto à abordagem dependerá de fatores como tempo disponível para conclusão
do projeto de segurança, experiência dos colaboradores envolvidos em atividades
de brainstorming e disponibilidade de informações a respeito de eventos de risco
em bibliotecas de softwares de apoio e comunidades afetas a questões de
segurança como fóruns e organismos com atuação transnacional. Reuniões com
emprego de atividades brainstorming envolvendo grupos de trabalho são ricas na
troca de experiências, formação de processo de consciência em segurança e
59. estabelecimento de consensos, todavia consomem parcela excessiva do precioso
tempo de projetos dessa categoria. Atividades conduzidas por meio de estratégia
de abordagem prescritiva, conduzida a partir de levantamentos de eventos de
risco realizados junto a comunidades, fóruns, bibliotecas de software e consulta a
órgãos e instituições focadas em gestão de riscos, certamente trará valorosas
contribuições, imprimindo velocidade e ganho de tempo ao projeto. No entanto,
não contará com a riqueza de detalhes e experiências acumuladas com a vivência
organizacional de colaboradores, também de fundamental importância para o
sucesso de projetos de segurança da informação.
60. O processo de identificação do risco deverá ser formulado a partir dos
fatores chave caracterizados na etapa do estabelecimento do contexto de trabalho
e mediante emprego de processo sistemático. Para cada um desses fatores chave
constituídos por processos, projetos e ou atividades formuladas com o objetivo de
atingir objetivos e metas organizacionais, deveremos submeter a questionamentos
para identificação de riscos que poderão desviar os resultados esperados. Uma
forma prática de construir questionamentos é elaborar sentenças que provoquem
reflexão e motivação para argumentações colaborativas. Algumas destas
sentenças poderiam ser:
61. - Onde poderiam ser encontradas fontes e origens para riscos que
afetassem de alguma maneira os objetivos organizacionais a serem atingidos?
- O que poderia acontecer se o grau de efetividade ou da eficiência dos
resultados esperados com os objetivos organizacionais fosse desviado para mais
ou para menos do planejado?
- O que poderia causar influência negativa para com os resultados
esperados por parte de colaboradores e formadores de opinião?
- Quando, onde, por que e como riscos de influência positiva ou negativa
poderiam ocorrer?
62. - Que atores (empresas, instituições, organismos, pessoas, concorrentes)
ou agentes (de cenário, naturais, legais, financeiros, de conjuntura sócio, política e
econômica) poderiam estar envolvidos e constituir elementos de risco para desvio
dos objetivos organizacionais?
As respostas para estes e outros questionamentos adicionais alinhados com
a cultura regional e empresarial permitirá a identificação de riscos de forma
sistemática.
As informações trabalhadas durante o processo de gestão de risco deverão
ser averiguadas quanto a sua qualidade, veracidade, aplicabilidade e
63. relacionamentos intrínsecos para que sejam evitadas redundâncias conflitantes. É
fundamental que informações obtidas de origem externa ao ambiente delimitado
pelo escopo de trabalho, possam ser validadas a luz da influência de fatores
regionais e dos aspectos interpostos pela cultura organizacional vigente. Registros
históricos locais ou originados em ambientes de organizações similares são
expressivamente importantes na validação dos eventos de risco identificados.
Na etapa seguinte, a “análise de riscos”, deverá ser desenvolvida uma
perfeita compreensão do que constitui o risco, para que possamos decidir a
respeito do que deva ser priorizado para tratamento dentro de estratégias de custo
64. benefício corretamente empreendidas. A análise de riscos deverá estar
compromissada com a origem do risco e respectivas conseqüências positivas ou
negativas dentro de possibilidades ou freqüências estimadas.
Mesmo que de forma não sistemática ou consciente muitas vezes
constituímos controles de forma preventiva para fatores de risco imagináveis.
Assim sendo uma análise preliminar deve ser conduzida com o objetivo de se
averiguar a existência de controles já construídos e operantes que possam
maximizar riscos positivos ou minimizar riscos negativos. Controles podem ser
constituídos a partir de normas, instruções de serviço, procedimentos, manuais,
65. rotinas de trabalho, metodologias, determinações táticas e operacionais,
planejamentos estratégicos, frameworks de gestão, ferramentas e utilitários de
software, mecanismos de monitoração e aviso físico, climático e ambiental, dentre
muitos outros. Eventuais controles existentes deverão passar por processo de
teste de efetividade, atualização e eficiência para serrem incorporados como
estratégias de controle de riscos.
Os eventos de risco identificados na etapa anterior deverão ser
sistematizados de forma a agruparmos aqueles que possuam características
similares quanto às conseqüências esperadas e possibilidade de ocorrência. Um
66. evento de risco pode estar associado a diferentes conseqüências e atingir
diferentes objetivos organizacionais. Um dos objetivos da análise de risco é obter
o nível de risco e sua natureza como resultado da combinação de
conseqüências e possibilidades associadas a eventos. Para tanto devemos nos
valer de dados, informações e eventos de caráter histórico, ou em sua ausência,
realizar análises tomando como base estimativas subjetivas que possam refletir
opiniões de colaboradores envolvidos e experimentados com o processo de
trabalho correlato.
67. Segundo a cláusula 3.4.4 da norma AS/NZS 4360:2004 poderão ser
empregadas três diferentes abordagens na condução da análise de risco: a
qualitativa, a semi-quantitativa e a quantitativa. O tipo de abordagem a ser
empregado deverá estar compatível com os critérios definidos na etapa de
estabelecimento do contexto de trabalho. A complexidade e o tempo requerido
para execução de cada método crescem do qualitativo para o quantitativo.
A análise qualitativa emprega palavras relacionadas ou não a valores
numéricos para descrever a magnitude das conseqüências e a possibilidade de
ocorrência das mesmas. Poderão ser utilizadas diferentes escalas e
68. interpretações, no entanto, na prática é aconselhável o emprego de no mínimo três
e no máximo cinco valores de avaliação diferentes. Valores fora deste intervalo
freqüentemente produzem resultados ainda mais subjetivos.
Na análise semi-quatitativa faixas de avaliação qualitativas são expressas
em valores. O objetivo desta variante é possibilitar o emprego de uma escala
ampliada de valores usualmente não encontrados na abordagem qualitativa. Este
método deve ser utilizado com cautela devido ao fato de que a faixa de valores
empregada poderá não refletir de forma apropriada os resultados esperados com
69. o cálculo de riscos. Esta aberração pode ser averiguada principalmente quando as
possibilidades e conseqüências endereçam valores extremos.
O método de análise quantitativo para cálculo do nível de risco é
empregado em situações onde as conseqüências e possibilidades de ocorrência
possam ser quantificadas de forma mais precisa. As conseqüências poderão ser
expressas em termos monetários, técnicos, humanitários, legais, sociais ou outros
critérios previamente definidos na etapa de estabelecimento do contexto de
trabalho.
70. A forma segundo a qual conseqüências e possibilidades são expressas,
assim como a estratégia de combinação das mesmas resultando no nível de risco,
poderá variar em função do tipo de risco e do propósito segundo o qual a
avaliação de risco está sendo empregada. Usualmente o processo de análise de
risco se inicia com o emprego da abordagem qualitativa para em fase posterior,
conhecendo os riscos endereçados como críticos para a organização, empregar a
abordagem quantitativa de forma seletiva.
A norma AS/NZS 4360:2004 também recomenda que a partir da conclusão
da análise de risco seja conduzida uma análise de sensibilidade uma vez que
71. estimativas podem ter introduzido erros de avaliação produzindo resultados
imprecisos. Esta análise deverá testar a efetividade de resultados obtidos focando-
se principalmente em valores extremos.
Para produzirmos os resultados esperados com a análise de riscos será
preciso considerar uma forma de medida para a escala de valores de avaliação
que possa valorar as possibilidades e conseqüências a serem definidas. A escolha
de uma escala é dependente da natureza e da faixa de valores para as
conseqüências e também do nível de conhecimento e variabilidade das
possibilidades estimadas. As análises de riscos a serem conduzidas a partir dos
72. resultados tabulados, serão condicionadas a características impostas pelo tipo de
escala empregada. Existem praticamente quatro tipos de escalas: a nominal, a
ordinal, a intervalar e a proporcional. Cada uma delas oferece flexibilidades e
limitações inerentes ilustradas no quadro 3.2.1.
O risco está relacionado a seus componentes basilares, a saber: a origem
ou a fonte do risco, algo que possui potencial para comprometer, danificar
73. parcialmente ou eliminar um ativo de informação; um evento6 ou incidente7,
algum fato, ocorrência ou constatação relevante que permita materializar a origem
do risco resultando em impacto como conseqüência; a conseqüência, resultados
ou impactos constatados ou contabilizados em ativos de informação; a causa, o
6
Um evento é definido pela constatação de que uma ocorrência possa ter comprometido, danificado ou
inutilizado um ou mais ativos de informação, indicando a possibilidade de violação de uma política ou ainda
uma falha em atingir os objetivos de um ou mais controles estabelecidos.
7
Um incidente é definido pela constatação de que um ou mais eventos indesejáveis ou inesperados
possa ter comprometido seriamente a segurança da informação, impedindo ou dificultando a efetividade de
operações e processos de negócio.
74. agente do risco ou ainda o quê e por quê causou conseqüências sobre ativos de
informação mediante a ocorrência de um evento ou incidente; controles e
indicadores, medidas de natureza normativa, administrativa ou tecnológica
estabelecidas com respectivos indicadores de efetividade, com o objetivo de
proteger os ativos de informação da ocorrência de possíveis riscos; as
possibilidades, ou a freqüência estabelecida para a possibilidade de ocorrência
de eventos de risco.
75. QUADRO 3.2.1
TIPO DE ESCALA CARACTERÍSTICA FLEXIBILIDADE E LIMITAÇÕES EXEMPLO E APLICAÇÃO
NOMINAL Dados são associados a
categorias
Não podem ser realizadas operações
matemáticas
Riscos tecnológicos, humanos, financeiros, etc..
Empregada na categorização de riscos de mesma
natureza.
ORDINAL São constituídas escalas
comparativas para valores de
avaliação
Não podem ser realizadas avaliações
absolutas, apenas relativas para
valores arbitrados. Permite operações
matemáticas básicas para valores
relativos.
Riscos negligenciáveis, baixos, médios, altos e severos
ou ainda 1,2,3,4 e 5 respectivamente. Pode ser
empregada em avaliações qualitativas.
INTERVALAR Constituídos a partir de
intervalos quantitativos
constantes entre unidades de
medida.
Permite operações matemáticas
básicas. Pode operar com um ponto
referencial que se deslocado, altera a
significância representativa dos demais
valores da escala.
Risco de valor 100 é superior a 50, todos referentes ao
valor de risco zero (negligenciável) estabelecido como
valor referencial da escala. Pode ser empregada em
avaliações quantitativas.
PROPORCIONAL Semelhante à intervalar, mas
onde não poderá ser arbitrado o
ponto referencial da escala.
Permite a manipulação de operações
matemáticas mais rigorosas
Valores atribuídos aos componentes do risco são
proporcionais. Ex. valores de freqüência para 0,1; 0,01;
0,001 e conseqüências estabelecidas em $1.000;
$10.000 e $100.000 unidades monetárias. Pode ser
empregada em análises quantitativas que exijam maior
rigor e precisão para os resultados esperados.
76. Para fins da análise de risco, são definidos na norma dois componentes
para o risco: a possibilidade ou probabilidade (na análise qualitativa e quantitativa
respectivamente) de ocorrência de um evento de risco e a conseqüência por ele
produzida sobre ativos relacionados identificados na etapa anterior. Considerando
as definições acima para os componentes do risco podemos exemplificar
afirmando que para o incidente incêndio ocorrido na sala de equipamentos dos
servidores de uma instituição bancária, teria como origem a deficiência de normas
rígidas para o condicionamento e guarda de material inflamável em locais críticos
de suas instalações. A causa ou agente teria sido uma garrafa de álcool para
limpeza esquecida impropriamente por funcionário de empresa terceirizada não
77. compromissada e instruída devidamente para com o rigoroso cumprimento das
políticas e instruções de serviço estabelecidas como controles pela instituição. Um
dos indicadores de efetividade relacionado a controles foi estabelecido mediante a
execução de constatações preventivas resultantes de fiscalização diária de
ambiente executada por fiscal do banco. A possibilidade foi estabelecida na
análise de riscos qualitativa conduzida pela empresa em “possível”, com
freqüência situada entre 20% e 50% dos casos previstos. Por fim, a conseqüência
ou impacto resultante do incidente foi a perda parcial de equipamentos servidores
sem comprometimento das informações armazenadas em face da existência de
78. outros controles para salvamento diário e hospedagem remota de todas as
informações consideradas sensíveis pela instituição.
Preliminarmente à realização dos cálculos de risco propriamente ditos será
necessário a clara definição dos valores de avaliação a serem atribuídos aos
eventos de risco integrantes de cada categoria de ativos. Os quadros 3.2.2 e 3.2.3
demonstram conceitos para valores de avaliação para possibilidades e para
valoração de conseqüências respectivamente, em abordagens qualitativas e
quantitativas.
79. QUADRO 3.2.2
VALORAÇÃO AVALIAÇÃO INTERPRETAÇÃO QUALITATIVA VALORAÇÃO QUANTITATIVA
( freqüência esperada )
5 MUITO PROVÁVEL É muito provável que o evento venha a
ocorrer.
Mais que 50% de possibilidade
4 POSSÍVEL O evento poderá ocorrer em até metade dos
casos admissíveis.
20 % < possibilidade ≤ 50 %
3 RARO Tem-se conhecimento ou registro de
ocorrência anterior para o evento de risco,
mas de forma esparsa e rara.
5 % < possibilidade ≤ 20 %
2 IMPROVÁVEL Não se espera a ocorrência do evento para as
áreas de negócio definidas no escopo do projeto
de segurança.
1 % < possibilidade ≤ 5 %
1 NEGLIGENCIÁVEL O evento é teoricamente possível, mas não se
espera sua ocorrência na prática.
Até 1 % de possibilidade
Interpretação para valores de avaliação de possibilidades.
80. O cálculo do risco é notadamente influenciado pela natureza dos ativos e
pela forma com que são identificados ou percebidos. Na tecnologia da informação
o ativo “pessoas” exerce forte influência sobre eventos de risco uma vez que
ameaças múltiplas poderão se concretizar de forma acidental e intencional. Esses
fatores por vezes ocasionam comportamento não linear e descontínuo dos
componentes do risco.
Segundo a norma AS/NZS 4360:2004 e formalmente, o risco é interpretado
como uma função de seus dois componentes basilares: possibilidades e
conseqüências, conforme fórmula abaixo representada.
81. QUADRO 3.2.3
Risco = Função ( conseqüência e da possibilidade ) ou seja,
R = f ( C, P )
VALORAÇÃO VALORAÇÃO
QUALITATIVA
VALORAÇÃO
QUANTITATIVA
INTERPRETAÇÃO
5 SEVERO Mais que 50 % do valor do
ativo
A maioria dos objetivos organizacionais envolvidos com os processos de trabalho
relacionados ao ativo não poderá ser atingida.
4 ALTO 20 % < valor do ativo ≤ 50
%
Alguns importantes objetivos organizacionais envolvidos com os processos de
trabalho relacionados ao ativo, não poderão ser atingidos.
3 MÉDIO 5 % < valor do ativo ≤ 20 % Alguns objetivos relacionados ao ativo serão afetados ou contingenciados em
seus resultados.
2 BAIXO 1 % < valor do ativo ≤ 5 % Alguns poucos efeitos de fácil reparo poderão ser evidenciados sobre os objetivos
organizacionais envolvidos com os processos de trabalho relacionados ao ativo.
1 NEGLIGENCIÁVEL Até 1 % do valor do ativo O impacto sobre os objetivos organizacionais envolvidos com os processos de
trabalho relacionados ao ativo será perfeitamente assimilável.
Interpretação para valores de avaliação de conseqüências.
82. Podemos conceber diferentes fórmulas para o cálculo do risco, o importante
é adequá-las às exigências dos segmentos de negócio envolvidos, considerando a
necessidade de ponderar aquilo que de fato é prioritário. Nem sempre a relação
estabelecida pela fórmula de risco empregada é linear tal que resulte tão somente
no produto da conseqüência pela possibilidade.
A tabela do quadro 3.2.4 demonstra exemplos de fórmulas de cálculo de
risco. A fórmula nº 1 é normalmente empregada quando constatada similaridade
dos valores atribuídos aos ativos quanto ao nível de importância junto à
83. organização, não se justificando assim o emprego desta variável na fórmula de
cálculo do risco. A fórmula nº 2 considera a diferenciação do nível de importância
dos ativos. Estas duas fórmulas também são normalmente empregadas para
ambientes mais simples onde a tarefa de análise seja conduzida por um único
profissional da segurança da informação e portanto menos sujeita a interpretações
subjetivas diferenciadas. A fórmula nº 3 pondera de forma diferenciada o valor do
ativo e a conseqüência com a perda parcial ou total do mesmo para a organização
segundo expoentes aplicáveis, permitindo assim abordagens diferenciadas para
categorias de ativos mais sensíveis. A fórmula nº 4 se diferencia das demais, por
incorporar três parâmetros do risco para critérios de confidencialidade, integridade
84. e disponibilidade. Desta forma os componentes do risco serão avaliados em
função de seus parâmetros. O emprego de parâmetros para avaliação dos
componentes do risco permite minimizar o nível de subjetividade resultante de
avaliações qualitativas para a análise de risco. É também recomendada para
tarefas de análise de risco conduzidas em equipe por colaboradores responsáveis
pelos ativos, supervisionados por profissional da segurança da informação.
Possibilita suavizar interpretações diferenciadas nas avaliações qualitativas,
priorizando a importância das possibilidades.
85. QUADRO 3.2.4
Abaixo os resultados obtidos com emprego de duas fórmulas diferentes
para o cálculo do risco com resultados de avaliação diferenciados.
CÁLCULO COMPORTAMENTO ESPERADO APLICAÇÃO
R = (C) x (P) Linear considerando apenas as conseqüências
e as possibilidades do risco.
Situações onde o valor dos ativos relacionados
aos eventos de risco é muito semelhante.
R = (A) xa + (C) xc x P Ponderada considerando importância do ativo,
conseqüências e possibilidades do risco.
Situações onde há necessidade de diferenciar
os ativos por natureza e conseqüências .
R = ( (Ac + Cc)/2 + (Ai + Ci)/2
+ (Ad + Cd)/2 ) / 3 x (P)
Média da importância do ativo e da
conseqüência para cada parâmetro do risco,
ponderado pela possibilidade do risco.
Em ambientes mais complexos com grande
diversidade de ativos onde a análise de riscos
seja conduzida por diferentes colaboradores.
R – Cálculo resultante do risco; C – Conseqüências; P – Freqüência da possibilidade de ocorrência; A – Grau de importância do ativo;
xc – operador exponencial para conseqüências; xa - operador exponencial para importância do ativo;
Ac – Importância do ativo para com a confidencialidade; Cc – Conseqüência com a perda de confidencialidade do ativo;
Ai – Importância do ativo para com a integridade; Ci – Conseqüência com a perda de integridade do ativo;
Ad – Importância do ativo para com a disponibilidade; Cd – Conseqüência com a perda de disponibilidade do ativo;
Fórmulas para o cálculo do risco.
86. As ponderações são empregadas nas fórmulas de risco com o objetivo de
suavizar ou enfatizar a influência dos valores atribuídos aos componentes de risco
durante a execução da análise. Como exemplo, podemos conceber
imaginariamente um ambiente onde os resultados obtidos com a análise de risco
evidenciaram fortes conseqüências com a perda parcial ou total dos ativos de
informação e baixas possibilidades em face dos eventos de risco imaginados. No
entanto por tratar-se de escopo envolvendo ambiente de pesquisa, as perdas
seriam catastróficas para os investimentos realizados e para o resgate e
normalização dos processos de trabalho em curso. Para este caso é prudente
87. ponderarmos as conseqüências empregando expoente com o objetivo de enfatizar
este componente na fórmula de risco empregada.
As figuras das ilustrações 3.2.2 a 3.2.4 visualizam o comportamento da
distribuição do risco considerando o emprego de diferentes ponderações em seus
componentes.
93. É importante observar que no domínio das possibilidades e considerando o
registro histórico de eventos e incidentes anteriores cruzados com os resultados
da análise de riscos, possibilita a projeção de resultados esperados. A ilustração
da figura 3.2.5 demonstra graficamente que a ocorrência de eventos ou incidentes
de baixa possibilidade e alto impacto constitui catástrofes; alta possibilidade e
baixo impacto certamente demonstram eventos de risco não identificados; alta
possibilidade e alto impacto apontam para ausência de controles8 ou falhas
8
Controles ou controles do risco são ações que implementam as decisões de gestão do risco (ISO/IEC
Guide 73:2002). Podem ser de cunho tecnológico, normativo ou gerencial.
94. FIGURA 3.2.5
graves naqueles implantados. Os demais resultados deverão estar dentro da faixa
de valores comportamentais previstos na gestão de riscos.
VALORES
COMPORTAMENTAIS
PREVISÍVEIS
AUSÊNCIA OU
FALHA DE
CONTROLES
OCORRÊNCIA DE
CATÁTROFE
RISCOS NÃO
IDENTIFICADOS
ALTA
POSSIBILIDADE
ALTO IMPACTO
Domínio das possibilidades
para eventos de risco
95. A etapa conclusiva da gestão de riscos é a “avaliação de riscos”, que tem
para objetivo a tomada de decisões com base nos resultados obtidos com a
análise de riscos, em outras palavras esta etapa estabelece comparações entre o
nível de risco calculado e os critérios de tolerância estabelecidos na etapa do
contexto de trabalho. A avaliação de riscos também trata de avaliação de custo
benefício para decisões oriundas do dilema dos investimentos demandados na
implementação de controles versus as economias auferidas resultantes do
tratamento ou da aceitação dos riscos respectivamente. Determinantes
estabelecidas por regulamentações de cunho legais e exigências contratuais
acordadas devem ser consideradas.
96. Organizações de âmbito público e privado estão sujeitas a planejamentos
orçamentários fundamentados em cenários políticos, econômicos e legislações
pertinentes condutoras do cumprimento de sua missão institucional. Esses fatores
por vezes constituem limitantes à disponibilização de recursos empregados no
tratamento de riscos. A etapa de avaliação de riscos deve prover decisões claras e
fundamentadas que conduzam a ações possíveis e eficazes para o bom emprego
dos recursos disponíveis. Para que isso seja materializado é preciso antes
conceituar o que se entende por risco tolerável.
97. A norma ISO IEC GUIDE 51:1999 – Aspectos de Segurança, define o risco
tolerável como “... determinado pela busca de um equilíbrio entre o ideal da
segurança absoluta e o atendimento das demandas do produto, processo ou
serviço, em fatores tais como a utilidade para os usuários, a adequação ao
propósito, a economia, e os requisitos da sociedade interessada”. Define também
que “ ... O risco tolerável é alcançado por meio de um processo interativo de
análise e avaliação e redução do risco.” Uma prática comum é apropriar os riscos
segundo sua valoração resultante da etapa de análise de riscos em três faixas ou
intervalos de valores: Uma faixa crítica ou intolerável onde teremos que decidir
entre tratar, repassar ou evitar os riscos pertinentes; uma faixa intermediária para
98. os riscos toleráveis e que serão objeto de avaliação de custo benefício para seu
tratamento e uma faixa aceitável onde estarão os riscos considerados
negligenciáveis.
A figura da ilustração 3.2.6 demonstra esta abordagem por meio de
comparação com as três camadas da crosta terrestre, onde a camada mais
exterior e mais volumosa representa o domínio dos riscos aceitos, a camada
intermediária representa os riscos toleráveis e a camada mais interna ou do núcleo
representa o domínio dos riscos intoleráveis. Essa representação é conveniente,
pois na prática, o número de riscos valorados pelos cálculos realizados na etapa
99. de análise cresce dos riscos intoleráveis em direção aos aceitáveis. A camada
núcleo representa o total de eventos de risco considerados intoleráveis e
obrigatoriamente objeto de tratamento, repasse ou eliminação (evitar o risco).
Referente a tabela do quadro 3.2.6, comporão a camada de risco intolerável todos
os eventos de risco cujos valores de cálculo obtidos na etapa de análise do risco
estejam compreendidos entre 65 e 125. A faixa de riscos toleráveis comporá os
eventos de risco com valores compreendidos entre 13 e 64. E a camada de riscos
aceitos será composta por todos os eventos de risco compreendidos entre 1 e 12.
A parametrização das faixas de valores para composição das camadas dependerá
de critérios de julgamento estabelecidos por colaboradores responsáveis pelos
100. ativos relacionados e com os quais estejam familiarizados. Na prática pode ser
considerado o histórico de eventos e incidentes anteriores ocorrido na organização
ou vivenciados por seus colaboradores. No entanto algumas preocupações
deverão ser tomadas para que incidentes ocorridos no passado não venham a
obliterar a importância de possíveis eventos de risco no futuro. Nesse sentido
ocorrências do passado podem ter sido motivadas por cenários políticos,
econômicos, pela cultura organizacional, por limitações tecnológicas e por nível de
sensibilização para a segurança da informação muito diferentes da situação
presente.
101. A ilustração da figura 3.2.7, ressalta duas faixas uma na camada de riscos
aceitos e outra na camada de riscos toleráveis representadas respectivamente na
cor amarela e rosa. Nessas faixas os valores calculados para os eventos de risco
se aproximam do limite estabelecido para as respectivas camadas de maior nível
de intolerância ao risco. Os riscos contidos nestas faixas deverão ser objeto de
avaliação de custo/benefício para que seja decidido se os mesmos permanecerão
na camada para a qual os valores calculados se enquadram ou se serão
promovidos à camada de riscos vizinha com menor nível de tolerância ao risco.
Nessa avaliação deveremos obter respostas para a seguinte questão: os
benefícios auferidos com a maior proteção do ativo de informação obtidos
102. mediante aplicação de controles com vistas a minimizar o nível de risco, superam
os custos inerentes aos investimentos necessários à sua implantação? Se a
resposta for positiva deveremos promover os eventos de risco relacionados ao
ativo à camada vizinha com menor nível de tolerância ao risco e
conseqüentemente oferecendo maior proteção ao mesmo. Esse exercício deverá
ser realizado para todos os eventos de risco associados a ativos cujos valores
estejam contidos nas faixas de vizinhança das camadas de tolerância ao risco.
104. ILUSTRAÇÃO 3.2.7
MAIOR
TOLERÂNCIA
AO RISCO
TOTAL DE EVENTOS
DE RISCO POR
CAMADA
FAIXAS DE VIZINHANÇA
PARA MIGRAÇÃO DE
EVENTOS DE RISCO
RISCOS
INTOLERÁVEIS
RISCOS
TOLERÁVEIS
RISCOS
ACEITOS
EVENTOS DE RISCO
MIGRANTES PARA MENOR
NÍVEL DE TOLERÂNCIA
Faixas de vizinhança da
análise de risco
105. CONCLUSÃO
A relevância do processo de escolha de um método de gestão de riscos
para Sistemas de Gerenciamento da Segurança da Informação é fundamental
para sua efetividade e aperfeiçoamento.
A norma AS/NZS 4360:2004 para gestão de riscos emprega estratégias
e elementos que a diferenciam de forma marcante, por sua ampla aplicabilidade
em diferentes segmentos de atuação junto a instituições de âmbito público e
privado; adoção de estratégias de fomento e incentivo ao trabalho colaborativo;
abordagem do risco segundo ótica positiva ou negativa e por empregar etapas
106. auxiliares para comunicação/consulta e monitoração/revisão em sua arquitetura
operativa. Mostrando-se plenamente compatível com as exigências da norma
NBR ISO IEC 27001:2006.
Este trabalho demonstrou que apesar dos objetivos veiculados pelas
diferentes metodologias publicadas e disponíveis para a gestão do risco serem
semelhantes, diferenças quanto a abordagens para envolvimento e participação
de colaboradores, precedência de etapas de trabalho e estratégias para
validação de resultados obtidos, são fundamentais na adequação à cultura
107. organizacional vigente e à sensibilidade para com aspectos da segurança da
informação em organizações.
A gestão do risco em segurança da informação no que se refere à gestão
corporativa vivencia hoje o dilema da segurança versus a produtividade e no
tocante a aspectos metodológicos, a adoção da análise qualitativa versus a
quantitativa. Dilemas a parte certamente tudo isso será superado com o
aperfeiçoamento metodológico e o aumento da sensibilidade das pessoas para
com as questões da segurança aplicada a ativos de informação. E certamente a
inserção de práticas e processos voltados a aspectos da segurança da
108. informação já internalizados junto aos “frameworks” de certificação aceitos por
diferentes corporações, agirá como um mecanismo catalisador da maturidade
organizacional de instituições e empresas compromissadas com seu
crescimento.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT NBR ISO IEC
27001:2006. Sistemas de Gestão de Segurança da Informação - Requisitos. Rio de
Janeiro, 2006.
109. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT NBR
ISO/IEC 27002:2005. Código de Prática para a Gestão da Segurança da Informação. Rio
de Janeiro, 2005.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION - ISO GUIDE 51.
Safety Aspects - Guidelines for Their Inclusion in Standards. EEUA, 1999.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION - ISO GUIDE 73. Risk
Management - Vocabulary - Guidelines for Use in Standards. EEUA, 2002.
AUSTRALIAN / NEW ZEOLAND STANDARD – AS/NZS 4360:2004. Risk Management.
Australian, 2004.
BROADLEAF CAPITAL INTERNATIONAL PTY LTD – Tutorial notes: The Australian
and New Zeoland Standard on Risk Management. Australian, 2007.
LAYTON, TIMOTHY P. - Design, Implementation, Measurement and Compliance.
EEUA: Auerbach Publications, 2007.
LANDOLL, DOUGLAS J. - The Security Risk Assessment Handbook – A Complete
Guide for Performing Security Risk Assessments. EEUA: Auerbach Publications, 2007.