Este documento discute a importância da análise de riscos e vulnerabilidades para demonstrar à alta administração a necessidade de investimentos em segurança da informação. A análise de riscos permite identificar as falhas nos controles de segurança e priorizar os investimentos onde há maior risco. A gestão de riscos é essencial para equilibrar a proteção dos ativos de informação com os custos financeiros envolvidos.

1. Gestão de Risco – Segurança da Informação.
1 José Fernando Marques Weege.
Mesmo sendo eminente a necessidade da segurança da informação nas
organizações, tal necessidade nem sempre é observada da forma adequada
pela alta administração. A segurança é clara do ponto de vista tecnológico
quando a área de tecnologia da informação tem uma visão ampla do que
significa segurança – gestores da área geralmente possuem noção de quais
são as necessidades da organização nesse contexto.
A questão é como mostrar à alta administração a verdadeira
necessidade de investimentos em Segurança da Informação e quais benefícios
este investimento pode trazer. A resposta é simples e objetiva: Análise de
Riscos e Vulnerabilidades. Uma análise nesse sentido é particularmente útil
nos casos onde a área de tecnologia da informação não recebe investimentos
de segurança da informação de forma adequada.
Um risco existe quando uma ameaça, com potencial para causar algum
dano, possui uma vulnerabilidade correspondente com alto nível de
probabilidade de ocorrência no ambiente computacional e um baixo nível de
proteção. É, portanto, muito importante que a empresa tenha claramente o seu
nível de risco desejado, para que possa ter uma visão da priorização dos
investimentos de segurança.
Os riscos surgem em decorrência da presença de fraquezas, e, por
conseguinte, vulnerabilidades. Isto ocorre pelo fato de que todos os ativos da
empresa estão sujeitos a vulnerabilidades em maior ou menor escala e, neste
caso, estas vulnerabilidades proporcionam riscos para a empresa, e são
causadas muitas vezes por falhas nos seus controles.
Neste contexto Beal (2005), acredita que a gestão de risco é o conjunto
de processos que permite às organizações identificar e implementar as
medidas de proteção necessárias para diminuir os riscos a que estão sujeitos
os seus ativos de informação, e equilibrá-los com os custos operacionais e
financeiros envolvidos.
Através de relatórios concisos, organizados e objetivos, os gestores de
tecnologia da informação têm a possibilidade de apresentar as necessidades
de segurança da informação para a alta administração de forma clara. Estas

2. apresentações devem conter não apenas riscos relacionados aos aspectos
tecnológicos, mas também riscos relacionados aos aspectos físicos e
administrativos – aspectos estes nem sempre considerados.
Ainda para Fontes (2000), risco é a chance (probabilidade) de uma
ameaça se transformar em realidade, causando problema à organização.
Para outro autor, Dawel (2005), o risco é apenas uma forma de
representar a probabilidade de algo acontecer. Trata-se de uma possibilidade.
Portanto, pode ocorrer ou não.
Com a dependência do negócio aos sistemas de informação e o
surgimento de novas tecnologias e formas de trabalho, como o
comércio eletrônico, as redes virtuais privadas e os funcionários
móveis, as empresas começaram a despertar para a
necessidade de segurança, uma vez que se tornaram
vulneráveis a um número maior de ameaças. (PRADO-2002-
www.securenet.com.br).
Uma análise de riscos e vulnerabilidades possibilita a detecção de falhas
e o mais importante, a possibilidade da aplicação de controles objetivos nos
pontos mais críticos e com real necessidade de investimento. Assim há
possibilidade de verificar perdas e conseqüências da falta de controles
adequados.
O desejo da alta administração é ter confiança na área de tecnologia da
informação, em muitos casos desacreditada e pouco valorizada. Essa
confiança deve ser transmitida naturalmente, com controles adequados e bem
estruturados. Com isso, a alta administração pode valorizar o trabalho de
profissionais que aplicam a segurança da informação nas suas áreas.
O inicio desta jornada começa com uma análise de riscos e
vulnerabilidades, com baixo custo, na caminhada em busca da implantação de
controles específicos. Uma análise de riscos e vulnerabilidades deve atingir a
organização como um todo, além de ser uma etapa fundamental para
certificação da ISO 27001.
Entretanto, o ser humano, por natureza, não se sente confortável perante
o risco. Ao se deparar com ele, a primeira atitude é querer eliminá-lo a qualquer
custo. E é ai que pode sair caro demais. Portanto, saber identificar os riscos e
gerenciá-lo é uma arte que fará diferença entre os projetos técnica e
financeiramente bem-sucedidos e mal-sucedidos, mesmo que a diferença seja
o “quase”.

3. A visão do risco como parte do negócio obriga a uma
preocupação quanto aos principais eventos que possam colocar
em perigo o resultado, as pessoas, as informações, o ambiente
e os demais entes relacionados. (LUCAS-2005-Intranet Rio
Grande Energia).
Em seus estudos, Dawel (2005), considera que o objetivo da segurança
da informação é aprender a lidar e conviver com o risco, e não eliminá-lo
completamente, o que na maioria das vezes é impossível.
Referências
BEAL, Adriana - Segurança da Informação: princípios e melhores práticas
para a proteção dos ativos de informação das organizações. -São Paulo:
Editora Atlas, 2005.
DAWEL, George - A Segurança da Informação nas Empresas – Rio de
Janeiro: Editora Ciência Moderna, 2005.
FONTES, Edison Luiz Gonçalves - Vivendo a segurança da informação:
orientações práticas para as organizações. -São Paulo: Editora
Sicurezza,2000.
LUCAS, João Carlos Orzzi -2005-Intranet Rio Grande Energia, acessado em
18/09/2005.
PRADO, Larissa -2002- www.securenet.com.br , acessado em 19/09/2005.
1 Administrador e Professor da FTECBrasil