BANCO CENTRAL DO BRASIL BANCO CENTRAL DO BRASIL BANCO CENTRAL DO BRASIL BANCO CENTRAL DO BRASIL
2009/2010 2009/2010 2009/2010 2009/2010
ANÁLISE E GER
ANÁLISE E GERENCIAMENTO
ENCIAMENTO
ANÁLISE E GEREN
ANÁLISE E GEREN
CIAMENTO
CIAMENTO
DE RISCOS
DE RISCOS
DE RISCOS
DE RISCOS
- Identificação e classificação de ativos; - Identificação e classificação de ativos; - Identificação e classificação de ativos;
- Identificação e classificação de ativos;
- Vulnerabilidades; - Vulnerabilidades; -
- VVuulnerabilidlnerabilidades;ades;
- Ameaças; - Ameaças; - Ameaças; - Ameaças; - Probabilidades; - Probabilidades; - Probabilidades; - Probabilidades; - Impactos; e - Impactos; e - Impactos; e - Impactos; e - Alternativas de mitigação. - Alternativas de mitigação. - Alternativas de mitigação. - Alternativas de mitigação.
Em um mundo onde a competição, a Em um mundo onde a competição, a Em um mundo onde a competição, a
Em um mundo onde a competição, a
evolução e a mudança desempenham papel evolução e a mudança desempenham papel evolução e a mudança desempenham papel
evolução e a mudança desempenham papel
importante para a inovação e o desenvolvimento importante para a inovação e o desenvolvimento importante para a inovação e o desenvolvimento
importante para a inovação e o desenvolvimento
de organizações, a de organizações, a de organizações, a
de organizações, a gestão de segurança dagestão de segurança dagestão de segurança dagestão de segurança da
informação informação informação
informação é elemento fundamental para o é elemento fundamental para oé elemento fundamental para oé elemento fundamental para o
sucesso das instituições e empresas. sucesso das instituições e empresas. sucesso das instituições e empresas.
sucesso das instituições e empresas.
Dentre os diversos assuntos tratados pela Dentre os diversos assuntos tratados pela Dentre os diversos assuntos tratados pela
Dentre os diversos assuntos tratados pela
gestão de segurança da informação, um dos gestão de segurança da informação, um dos gestão de segurança da informação, um dos
gestão de segurança da informação, um dos
principais
principais elementos elementos que que direcionam direcionam as as ações ações é é oo principais
principais elementos elementos que que direcionam direcionam as as ações ações é é oo
gerenciamento de risco gerenciamento de risco gerenciamento de risco
gerenciamento de risco, iniciado com a, iniciado com a, iniciado com a, iniciado com a implementação de um processo de
implementação de um processo de implementação de um processo de
Em um mundo onde a competição, a Em um mundo onde a competição, a Em um mundo onde a competição, a
Em um mundo onde a competição, a
evolução e a mudança desempenham papel evolução e a mudança desempenham papel evolução e a mudança desempenham papel
evolução e a mudança desempenham papel
importante para a inovação e o desenvolvimento importante para a inovação e o desenvolvimento importante para a inovação e o desenvolvimento
importante para a inovação e o desenvolvimento
de organizações, a de organizações, a de organizações, a
de organizações, a gestão de segurança dagestão de segurança dagestão de segurança dagestão de segurança da
informação informação informação
informação é elemento fundamental para o é elemento fundamental para oé elemento fundamental para oé elemento fundamental para o
sucesso das instituições e empresas. sucesso das instituições e empresas. sucesso das instituições e empresas.
sucesso das instituições e empresas.
Dentre os diversos assuntos tratados pela Dentre os diversos assuntos tratados pela Dentre os diversos assuntos tratados pela
Dentre os diversos assuntos tratados pela
gestão de segurança da informação, um dos gestão de segurança da informação, um dos gestão de segurança da informação, um dos
gestão de segurança da informação, um dos
principais
principais elementos elementos que que direcionam direcionam as as ações ações é é oo principais
principais elementos elementos que que direcionam direcionam as as ações ações é é oo
gerenciamento de risco gerenciamento de risco gerenciamento de risco
gerenciamento de risco, iniciado com a, iniciado com a, iniciado com a, iniciado com a implementação de um processo de
implementação de um processo de implementação de um processo de
Cada vez mais as organizações, seus Cada vez mais as organizações, seus Cada vez mais as organizações, seus
Cada vez mais as organizações, seus
sistemas de informação sistemas de informação sistemas de informação
sistemas de informação eeee redes de computadores redes de computadoresredes de computadoresredes de computadores
são colocados prova por diversos tipos de são colocados prova por diversos tipos de são colocados prova por diversos tipos de
são colocados prova por diversos tipos de
ameaças ameaças ameaças
ameaças, incluindo vazamento de informações,, incluindo vazamento de informações,, incluindo vazamento de informações,, incluindo vazamento de informações,
fraudes, rou!os e invasões "f#sicas e l$gicas%. fraudes, rou!os e invasões "f#sicas e l$gicas%. fraudes, rou!os e invasões "f#sicas e l$gicas%.
fraudes, rou!os e invasões "f#sicas e l$gicas%.
&ro!lemas causados por v#rus e hac'ers são &ro!lemas causados por v#rus e hac'ers são &ro!lemas causados por v#rus e hac'ers são
&ro!lemas causados por v#rus e hac'ers são
freq(entes e se proliferam rapidamente. freq(entes e se proliferam rapidamente. freq(entes e se proliferam rapidamente.
)
) Análise de RiscosAnálise de Riscos tem por o!*etivo+tem por o!*etivo+
-apear e tratar adequadamente as
-apear e tratar adequadamente as ameaçasameaças ee vulnera!ilidadesvulnera!ilidades do am!ientedo am!iente
/dentificar
/dentificar riscosriscos
0uantificar o impacto das
0uantificar o impacto das ameaçasameaças e e
Conseguir um equil#!rio financeiro entre o Conseguir um equil#!rio financeiro entre o impacto
)
) identificação dos riscosidentificação dos riscos e seu corretoe seu correto entendimento irá
entendimento irá direcionar os investimentosdirecionar os investimentos dede forma consciente, o!tendo melhores resultados.
forma consciente, o!tendo melhores resultados.
1esse processo é necessário se quantificar o 1esse processo é necessário se quantificar o impacto dos riscos
impacto dos riscos e2istentes no am!iente so!re ose2istentes no am!iente so!re os resultados da empresa ou instituição.
resultados da empresa ou instituição.
Com a análise de risco é poss#vel verificar Com a análise de risco é poss#vel verificar qual o
qual o investimentoinvestimento necessárionecessário infraestrutura de infraestrutura de segurança de modo que os
segurança de modo que os riscos inaceitáveisriscos inaceitáveis se*amse*am gerenciados.
3iscos 3iscos
&ro!a!ilidade de ocorr4ncia de um acidente &ro!a!ilidade de ocorr4ncia de um acidente ou evento adverso
ou evento adverso
&ro!a!ilidade de danos potenciais &ro!a!ilidade de danos potenciais
5ator, evento ou condição incerta, com efeito 5ator, evento ou condição incerta, com efeito positivo ou negativo so!re os o!*etivos da positivo ou negativo so!re os o!*etivos da
instituição ou empresa instituição ou empresa
6
6 3isco3isco é a relação e2istente entre aé a relação e2istente entre a pro!a!ilidade de que uma ameaça de evento pro!a!ilidade de que uma ameaça de evento adverso ou acidente determinado se concretize e o adverso ou acidente determinado se concretize e o grau de vulnera!ilidade do sistema receptor e seus grau de vulnera!ilidade do sistema receptor e seus
efeitos. efeitos.
3isco
3isco é a pro!a!ilidade de um agente deé a pro!a!ilidade de um agente de ameaça efetivar uma ameaça, via e2ploração de ameaça efetivar uma ameaça, via e2ploração de uma vulnera!ilidade de um ativo, causando uma vulnera!ilidade de um ativo, causando impactos que comprometem o cumprimento da impactos que comprometem o cumprimento da
missão. missão.
3isco )m!iental 3isco )m!iental
&ossi!ilidade de dano, enfermidade ou morte &ossi!ilidade de dano, enfermidade ou morte resultante da e2posição de seres humanos, animais resultante da e2posição de seres humanos, animais ou vegetais a agentes ou condições am!ientais ou vegetais a agentes ou condições am!ientais potencialmente perigosas.
)meaças )meaças
)ção ou evento que potencialmente pode )ção ou evento que potencialmente pode romper a segurança e causar danos.
romper a segurança e causar danos.
)gentes ou condições dispostos a e2plorar )gentes ou condições dispostos a e2plorar vulnera!ilidades para geração de incidentes.
vulnera!ilidades para geração de incidentes.
E2.+ funcionários insatisfeitos, enchentes, E2.+ funcionários insatisfeitos, enchentes, temperatura, e2funcionários, concorrentes.
7 necessário identificar as falhas de7 necessário identificar as falhas de segurança e as ameaças ativas, reagindo de acordo segurança e as ameaças ativas, reagindo de acordo com o n#vel de gravidade do risco e as potenciais com o n#vel de gravidade do risco e as potenciais perdas.
/dentificação da )meaça /dentificação da )meaça
/dentificação do agente ou evento adverso, /dentificação do agente ou evento adverso, efeitos favoráveis e desfavoráveis, população efeitos favoráveis e desfavoráveis, população
vulnerável e condições de e2posição. vulnerável e condições de e2posição.
Caracterização do 3isco Caracterização do 3isco
Descrição dos diferentes efeitos potenciais Descrição dos diferentes efeitos potenciais relacionados com a ameaça.
relacionados com a ameaça.
7 a etapa final da avaliação de risco, ou se*a, 7 a etapa final da avaliação de risco, ou se*a, descrição da natureza, incluindo a sua intensidade descrição da natureza, incluindo a sua intensidade para os seres humanos e o grau de incerteza para os seres humanos e o grau de incerteza
concomitante "pro!a!ilidade de ocorr4ncia%. concomitante "pro!a!ilidade de ocorr4ncia%.
Descrição dos diferentes efeitos potenciais Descrição dos diferentes efeitos potenciais "danos poss#veis% e a quantificação da relação entre "danos poss#veis% e a quantificação da relação entre a magnitude do evento e a intensidade do dano a magnitude do evento e a intensidade do dano
esperado, mediante metodologia cient#fica. esperado, mediante metodologia cient#fica.
Enumeração dos dados esperados a sa8de, ao Enumeração dos dados esperados a sa8de, ao patrim9nio, instalações, meio am!iente, etc.
patrim9nio, instalações, meio am!iente, etc.
0uantificação e definição da proporção, por 0uantificação e definição da proporção, por meio de estudos epidemiol$gicos e de modelos meio de estudos epidemiol$gicos e de modelos matemáticos, entre a magnitude do evento e a matemáticos, entre a magnitude do evento e a
intensidade dos danos esperados "causa e efeito%. intensidade dos danos esperados "causa e efeito%. Definição da área e da população em risco. Definição da área e da população em risco.
)valiação da E2posição )valiação da E2posição
Estudo da evolução do fen9meno,
Estudo da evolução do fen9meno,
considerandose a variável tempo. considerandose a variável tempo.
Definição dos n#veis de alerta e alarme. Definição dos n#veis de alerta e alarme.
Estimativa de 3isco Estimativa de 3isco
Conclusão so!re o grau de risco, o!tida ap$s Conclusão so!re o grau de risco, o!tida ap$s a comparação entre a caracterização do risco e a a comparação entre a caracterização do risco e a
avaliação da e2posição. avaliação da e2posição.
Definição de )lternativas de :estão Definição de )lternativas de :estão
&rocesso de desenvolvimento e análise de &rocesso de desenvolvimento e análise de alternativas, com o o!*etivo de controlar e alternativas, com o o!*etivo de controlar e
minimizar os riscos e as vulnera!ilidades. minimizar os riscos e as vulnera!ilidades.
Danos Danos
6s desastres não produzem apenas efeitos 6s desastres não produzem apenas efeitos facilmente percept#veis, pois t4m conseq(4ncias facilmente percept#veis, pois t4m conseq(4ncias que se desenvolvem lentamente e se manifestam que se desenvolvem lentamente e se manifestam
muito tempo depois de ocorrido o desastre. muito tempo depois de ocorrido o desastre.
Danos /ndiretos Danos /ndiretos
3eferemse !asicamente aos !ens e serviços 3eferemse !asicamente aos !ens e serviços que dei2am de ser produzidos ou prestados durante que dei2am de ser produzidos ou prestados durante um lapso de tempo que se inicia logo depois de um lapso de tempo que se inicia logo depois de ocorrido o desastre e pode se prolongar durante a ocorrido o desastre e pode se prolongar durante a
fase de rea!ilitação e reconstrução. fase de rea!ilitação e reconstrução.
Danos Diretos Danos Diretos
;ão aqueles sofridos pelos ativos
;ão aqueles sofridos pelos ativos
imo!ilizados, destru#dos ou danificados. imo!ilizados, destru#dos ou danificados.
<ratase, essencialmente, dos pre*u#zos que o <ratase, essencialmente, dos pre*u#zos que o patrim9nio sofreu durante o sinistro.
6s desastres podem provocar ainda alguns 6s desastres podem provocar ainda alguns efeitos indiretos dif#ceis de se quantificar.
efeitos indiretos dif#ceis de se quantificar.
;ão os efeitos =intang#veis>, como os ;ão os efeitos =intang#veis>, como os sofrimento humano, a insegurança, re*eição pela sofrimento humano, a insegurança, re*eição pela forma com que a autoridade enfrentaram as forma com que a autoridade enfrentaram as
conseq(4ncias do desastre. conseq(4ncias do desastre.
1a análise de risco é realizado um 1a análise de risco é realizado um levantamento das ameaças e vulnera!ilidades do levantamento das ameaças e vulnera!ilidades do
am!iente. am!iente.
)s informações resultantes deste
)s informações resultantes deste
levantamento são correlacionadas com os
levantamento são correlacionadas com os ativosativos dada empresa ou instituição, onde são analisados os empresa ou instituição, onde são analisados os riscos poss#veis a cada ativo e o valor financeiro riscos poss#veis a cada ativo e o valor financeiro
que este risco representa. que este risco representa.
6 resultado na análise de risco fornece 6 resultado na análise de risco fornece informações estratégicas que possi!ilitam a informações estratégicas que possi!ilitam a definição de um limite entre os investimentos em definição de um limite entre os investimentos em
segurança e os riscos aceitáveis. segurança e os riscos aceitáveis.
Vulnerabilidades Vulnerabilidades
;ão falhas e2istentes em tecnologias, ;ão falhas e2istentes em tecnologias, am!ientes, processos ou pessoas.
am!ientes, processos ou pessoas.
E2.+ falta de treinamento de funcionários, !ug E2.+ falta de treinamento de funcionários, !ug em soft?are, falta de manutenção de hard?are, em soft?are, falta de manutenção de hard?are, falta de e2tintores de inc4ndio, ine2ist4ncia ou falta de e2tintores de inc4ndio, ine2ist4ncia ou
inadequado controle de acesso a instituição, etc. inadequado controle de acesso a instituição, etc.
)nálise de @ulnera!ilidades)nálise de @ulnera!ilidades
<em por o!*etivo verificar a e2ist4ncia de <em por o!*etivo verificar a e2ist4ncia de falhas de segurança no am!iente.
falhas de segurança no am!iente.
Esta análise é uma ferramenta importante Esta análise é uma ferramenta importante para a implementação de controles de segurança para a implementação de controles de segurança
eficientes so!re os ativos da instituição. eficientes so!re os ativos da instituição.
1a análise de vulnera!ilidades é realizada 1a análise de vulnera!ilidades é realizada uma verificação detalhada do am!iente da uma verificação detalhada do am!iente da instituição, verificando se o am!iente atual fornece instituição, verificando se o am!iente atual fornece condições de segurança compat#veis com a condições de segurança compat#veis com a
importAncia estratégica dos serviços realizados. importAncia estratégica dos serviços realizados.
) análise de vulnera!ilidade so!re ativos da ) análise de vulnera!ilidade so!re ativos da informação compreende <ecnologias, &rocessos, informação compreende <ecnologias, &rocessos,
&essoas e )m!ientes. &essoas e )m!ientes.
Tecnologias Tecnologias++
;oft?are
;oft?are ee hard?arehard?are usados em servidores,usados em servidores, estações de tra!alho e outros equipamentos estações de tra!alho e outros equipamentos pertinentes, como sistemas de telefonia, rádio e pertinentes, como sistemas de telefonia, rádio e
gravadores. gravadores.
E2.+ estações sem antiv#rus, servidores sem E2.+ estações sem antiv#rus, servidores sem detecção de intrusão, sistemas sem identificação ou detecção de intrusão, sistemas sem identificação ou
autenticação. autenticação.
)
) vulnera!ilidade na computaçãovulnera!ilidade na computação significa asignifica a e2ist4ncia de !recha em um sistema computacional, e2ist4ncia de !recha em um sistema computacional,
tam!ém conhecida como
Processos Processos
)nálise do flu2o de informação, da geração )nálise do flu2o de informação, da geração da informação e de seu consumo. )nalisa tam!ém da informação e de seu consumo. )nalisa tam!ém como a informação é compartilhada entre os como a informação é compartilhada entre os
setores da organização. setores da organização.
Pessoas Pessoas
)s pessoas são ativos da informação e )s pessoas são ativos da informação e e2ecutam processos, logo, precisam ser analisadas. e2ecutam processos, logo, precisam ser analisadas.
&essoas podem possuir grandes e importantes &essoas podem possuir grandes e importantes vulnera!ilidades.
vulnera!ilidades.
E2.+ Desconhecer a importAncia da segurança, E2.+ Desconhecer a importAncia da segurança, desconhecer suas o!rigações e responsa!ilidades, desconhecer suas o!rigações e responsa!ilidades, dei2ando processos com =dois pais> e outros dei2ando processos com =dois pais> e outros
=$rfãos>. =$rfãos>.
Ambientes Ambientes
7 o espaço f#sico onde acontecem os 7 o espaço f#sico onde acontecem os processos, onde as pessoas tra!alham e onde estão processos, onde as pessoas tra!alham e onde estão
instalados os componentes de tecnologia. instalados os componentes de tecnologia.
Este item é responsável pela análise de áreas Este item é responsável pela análise de áreas f#sicas.
f#sicas.
E2.+ )cesso não autorizado a servidores, E2.+ )cesso não autorizado a servidores, arquivos, agendas, cofres e fichários.
Impacto Impacto
)inda nesse processo é necessário se )inda nesse processo é necessário se determinar qual o
determinar qual o grau de pre*u#zograu de pre*u#zo da empresa ouda empresa ou instituição se determinado ativo tornarse instituição se determinado ativo tornarse indispon#vel, p8!lico ou não confiável "sem indispon#vel, p8!lico ou não confiável "sem
integridade%. integridade%.
enef!cios da Análise e "erenciamento de enef!cios da Análise e "erenciamento de Riscos
Riscos
-aior conhecimento do am!iente, seus -aior conhecimento do am!iente, seus pro!lemas e riscos
pro!lemas e riscos
&ossi!ilidade de tratamento das
&ossi!ilidade de tratamento das
vulnera!ilidades, com !ase nas informações vulnera!ilidades, com !ase nas informações
geradas geradas
/nformações estratégicas so!re
/nformações estratégicas so!re
investimentos investimentos
-aior organização e ader4ncia a padrões de -aior organização e ader4ncia a padrões de segurança
segurança
-aior confia!ilidade do am!iente ap$s a -aior confia!ilidade do am!iente ap$s a análise
análise
/nformações para o desenvolvimento da /nformações para o desenvolvimento da &ol#tica de ;egurança da instituição.
&ol#tica de ;egurança da instituição.
-elhoria na identificação de ameaças e -elhoria na identificação de ameaças e oportunidades
oportunidades
@aloração da incerteza e da varia!ilidade @aloração da incerteza e da varia!ilidade
:erenciamento pr$ativo ao invés de :erenciamento pr$ativo ao invés de reativo
reativo
)locação e uso mais efetivo de recursos )locação e uso mais efetivo de recursos
-elhoria no gerenciamento de incidentes e -elhoria no gerenciamento de incidentes e redução nas perdas e no custo do risco
redução nas perdas e no custo do risco
-elhoria na confiança do -elhoria na confiança do stakeholder stakeholder e noe no
relacionamento relacionamento
-enos surpresas -enos surpresas
E2ploração de oportunidades E2ploração de oportunidades
-elhoria no plane*amento e no -elhoria no plane*amento e no desempenho da instituição
desempenho da instituição
Economia e efici4ncia Economia e efici4ncia -elhoria na reputação -elhoria na reputação
&roteção da alta administração &roteção da alta administração -elhoria pessoal. -elhoria pessoal.
Produtos #inais$ Produtos #inais$
3eunião de conclusão da análise3eunião de conclusão da análise 3elat$rio de )nálise de 3isco3elat$rio de )nálise de 3isco
&lano de )ção para curto e médio prazo. &lano de )ção para curto e médio prazo.
Diagn$stico Diagn$stico
&ara que isso ocorra é necessário &ara que isso ocorra é necessário diagnosticar a situação da segurança na diagnosticar a situação da segurança na organização e recomendar ações e contramedidas organização e recomendar ações e contramedidas para cada vulnera!ilidade mapeada.
6
6 Diagn$sticoDiagn$stico consiste em umconsiste em um processo de processo de identificação dos riscos
identificação dos riscos de segurança a que ade segurança a que a organização está e2posta.
organização está e2posta.
Ele será realizado através de uma avaliação Ele será realizado através de uma avaliação sistemática que visa o mapeamento das ameaças e sistemática que visa o mapeamento das ameaças e
vulnera!ilidades. vulnera!ilidades.
6
6 3isco3isco deve ser visto e entendido para quedeve ser visto e entendido para que as
as oportunidadesoportunidades se*amse*am ma2imizadasma2imizadas e ase as potenciais
potenciais perdas perdas se*amse*am minimizadasminimizadas.. 6
6 3isco3isco representa a capacidade derepresenta a capacidade de en2ergar o futuro e suas conseq(4ncias, podendo en2ergar o futuro e suas conseq(4ncias, podendo
ele ser tanto positivo quanto negativo. ele ser tanto positivo quanto negativo.
De fato, e2iste o risco de se perder algo, De fato, e2iste o risco de se perder algo, mas tam!ém e2iste o risco de se ganhar algo.
6s
6s gerenciamento de risco deve sergerenciamento de risco deve ser modelado, discutido e seguido pelos pro*etos e modelado, discutido e seguido pelos pro*etos e pelas organizações como um instrumento de pelas organizações como um instrumento de
tomada de decisões tomada de decisões..
)
) Análise de RiscosAnálise de Riscos é, portanto, fundamentalé, portanto, fundamental
para ma2imizar oportunidades e minimizar para ma2imizar oportunidades e minimizar potenciais perdas, e deve ser aplicada em todos os potenciais perdas, e deve ser aplicada em todos os
conte2tos. conte2tos.
“
“Você deseja uma válvula que não vaze e fazVocê deseja uma válvula que não vaze e faz todo o oss!vel ara desenvolvê"la# $as no mundo todo o oss!vel ara desenvolvê"la# $as no mundo real s% e&'stem válvulas que vazam# Você tem de real s% e&'stem válvulas que vazam# Você tem de determ'nar o grau de vazamento que ode tolerar#” determ'nar o grau de vazamento que ode tolerar#”
5oi com esta frase que o <he 1e? Bor' <imes 5oi com esta frase que o <he 1e? Bor' <imes apresentou, em de *aneiro de F, o o!ituário de apresentou, em de *aneiro de F, o o!ituário de )rthur 3udolph, o cientista responsável pelo )rthur 3udolph, o cientista responsável pelo desenvolvimento do foguete ;aturno G, que lançou desenvolvimento do foguete ;aturno G, que lançou
a primeira missão )polo Hua. a primeira missão )polo Hua.
) frase representa, de forma peculiar, a ) frase representa, de forma peculiar, a inquietação dos cientistas quanto ao uso seguro da inquietação dos cientistas quanto ao uso seguro da
tecnologia. tecnologia.
1um mundo de equipamentos comple2os, 1um mundo de equipamentos comple2os, onde
onde panes panes podem ter conseq(4ncias desastrosas, é podem ter conseq(4ncias desastrosas, é necessário se estar sempre alerta para poss#veis necessário se estar sempre alerta para poss#veis
erros
erros ee falhasfalhas..
Este fato tem ganhado cada vez mais Este fato tem ganhado cada vez mais importAncia, uma vez que o uso de
importAncia, uma vez que o uso de diferentesdiferentes tecnologias
tecnologias de uma forma interligada aumenta ade uma forma interligada aumenta a comple2idade dos sistemas
comple2idade dos sistemas, que ainda sofrem, que ainda sofrem influ4ncia dos processos das organizações.
)
) ;egurança da /nformação;egurança da /nformação se inserese insere
fortemente ao am!iente de neg$cios,
fortemente ao am!iente de neg$cios,
principalmente porque a
principalmente porque a )nálise de 3iscos)nálise de 3iscos é umaé uma premissas cada vez mais adotada pelas premissas cada vez mais adotada pelas
organizações. organizações.
)
) Análise de RiscosAnálise de Riscos tem como um dostem como um dos
pilares a
pilares a segurança da informaçãosegurança da informação, e2istindo uma, e2istindo uma interrelação entre a gestão da segurança da interrelação entre a gestão da segurança da
informação e o gerenciamento de risco. informação e o gerenciamento de risco.
Ima das visões do risco é que ele está Ima das visões do risco é que ele está relacionado com a
relacionado com a capacidade de se en2ergar ocapacidade de se en2ergar o futuro
futuro, de modo a se tomar as ações mais indicadas, de modo a se tomar as ações mais indicadas e necessárias para minimizar poss#veis danos e e necessárias para minimizar poss#veis danos e
tam!ém para ma2imizar as oportunidades. tam!ém para ma2imizar as oportunidades.
"estão de %egurança da Informação e "erenciamento de Risco
) gestão de segurança da informação ) gestão de segurança da informação influencia cada vez mais os processos das influencia cada vez mais os processos das
organizações. organizações.
Ima !oa gestão de segurança começa com Ima !oa gestão de segurança começa com uma análise de risco, que identifica e analisa os uma análise de risco, que identifica e analisa os principais riscos capazes de afetar a organização.
Com !ase nas informações de conte2toCom !ase nas informações de conte2to o!tidas pela análise de risco, as ações mais o!tidas pela análise de risco, as ações mais
indicadas são definidas. indicadas são definidas.
)
) )nálise de 3isco)nálise de 3isco é parte doé parte do :erenciamento:erenciamento de 3isco
de 3isco, que é uma a!ordagem importante para, que é uma a!ordagem importante para que as organizações minimizem os riscos negativos que as organizações minimizem os riscos negativos
e ma2imizem as oportunidades. e ma2imizem as oportunidades.
7 crescente o interesse das organizações7 crescente o interesse das organizações !rasileiras por sa!er qual seu grau de e2posição !rasileiras por sa!er qual seu grau de e2posição frente s ameaças capazes de comprometer a frente s ameaças capazes de comprometer a
esta!ilidade da suas operações. esta!ilidade da suas operações.
;ão
;ão ameaçasameaças como+ concorrentes, hac'ers,como+ concorrentes, hac'ers, funcionários insatisfeitos, que somadas ao grande funcionários insatisfeitos, que somadas ao grande n8mero de vulnera!ilidades nos sistemas n8mero de vulnera!ilidades nos sistemas tecnol$gicos, materializam o n#vel de risco de uma tecnol$gicos, materializam o n#vel de risco de uma
organização. organização.
)rriscar )rriscar faz parte da estratégia, conhecer efaz parte da estratégia, conhecer e gerenciar os riscos é administrar o futuro.
gerenciar os riscos é administrar o futuro.
:arantir que as suas estratégias alcançarão o :arantir que as suas estratégias alcançarão o n#vel dese*ado significa identificar e entender os n#vel dese*ado significa identificar e entender os
riscos, para então administrálos. riscos, para então administrálos.
Estar vivo, por e2emplo, significa =arriscarEstar vivo, por e2emplo, significa =arriscar se diariamente>. )travessar a rua, ir ao *ogo de se diariamente>. )travessar a rua, ir ao *ogo de fute!ol ou dirigir são e2emplos de situações que fute!ol ou dirigir são e2emplos de situações que
envolvem fatores de risco. envolvem fatores de risco.
&orém, como *á estamos acostumados a &orém, como *á estamos acostumados a enfrentálos, formamos um instinto natural para o enfrentálos, formamos um instinto natural para o cálculo de energia utilizada para minimizar e cálculo de energia utilizada para minimizar e
controlar os riscos. controlar os riscos.
&odemos utilizar a mesma analogia para o &odemos utilizar a mesma analogia para o mundo corporativo onde o =estilo de vida> é a mundo corporativo onde o =estilo de vida> é a operação da empresa ou instituição, a e2posição é o operação da empresa ou instituição, a e2posição é o alcance da sua operação, e a energia investida para alcance da sua operação, e a energia investida para minimizar os riscos é o investimento despendido minimizar os riscos é o investimento despendido para conhecer e controlar a situação.
Como analisar riscos sem estudarComo analisar riscos sem estudar minuciosamente os processos de neg$cio que minuciosamente os processos de neg$cio que
sustentam sua organizaçãoJ sustentam sua organizaçãoJ
Como classificar o risco destes processos sem Como classificar o risco destes processos sem antes avaliar as vulnera!ilidades dos componentes antes avaliar as vulnera!ilidades dos componentes
de tecnologia relacionados a cada processoJ de tecnologia relacionados a cada processoJ
0uais são os seus processos cr#ticosJ )queles 0uais são os seus processos cr#ticosJ )queles que sustentam a área comercial, a área financeira que sustentam a área comercial, a área financeira
ou a produçãoJ ou a produçãoJ
@oc4 sa!eria avaliar qual a importAncia do @oc4 sa!eria avaliar qual a importAncia do seu servidor de ?e!J
seu servidor de ?e!J
&ara cada pergunta, uma mesma resposta+ &ara cada pergunta, uma mesma resposta+
&
A Análise de Risco se divide em cinco partes de igual importncia$
/soladas, estas partes representam muito pouco ou quase nada.
)linhados e geridos de forma adequada, estes componentes da análise de risco podem apontar caminhos seguros na !usca do n#vel adequado de segurança de uma organização.
(s cinco pontos são$
KK /dentificação e Classificação dos &rocessos/dentificação e Classificação dos &rocessos de 1eg$cio
de 1eg$cio
KK /dentificação e Classificação dos )tivos/dentificação e Classificação dos )tivos "tecnol$gicos, humanos e processuais%
"tecnol$gicos, humanos e processuais% KK )nálise de )meaças e Danos)nálise de )meaças e Danos KK )nálise de @ulnera!ilidades)nálise de @ulnera!ilidades KK )nálise de 3isco.)nálise de 3isco.
Padres e )ormasPadres e )ormas
6 o!*etivo das normas é fornecer 6 o!*etivo das normas é fornecer recomendações para gestão da segurança da recomendações para gestão da segurança da informação para uso por aqueles que são informação para uso por aqueles que são responsáveis pela introdução, implementação ou responsáveis pela introdução, implementação ou
manutenção da segurança em suas empresas. manutenção da segurança em suas empresas.
Elas tam!ém se destinam a fornecer uma !ase Elas tam!ém se destinam a fornecer uma !ase comum para o desenvolvimento de normas e de comum para o desenvolvimento de normas e de
práticas efetivas voltadas segurança
práticas efetivas voltadas segurança
organizacional e tam!ém, a esta!elecer a confiança organizacional e tam!ém, a esta!elecer a confiança
nos relacionamentos entre as organizações. nos relacionamentos entre as organizações.
Itilizase como métrica as melhores práticas Itilizase como métrica as melhores práticas de segurança da informação do mercado, apontadas de segurança da informação do mercado, apontadas
na norma /;6L/EC MM. na norma /;6L/EC MM.
) partir destas informações fazse poss#vel a ) partir destas informações fazse poss#vel a ela!oração do perfil de risco, que segue a f$rmula+ ela!oração do perfil de risco, que segue a f$rmula+
")meaça% 2 "@ulnera!ilidade% 2 "@alor do ")meaça% 2 "@ulnera!ilidade% 2 "@alor do )tivo% N 3/;C6.
)tivo% N 3/;C6.
Atenção$
Atenção$ a /;6L/EC MM não ensina aa /;6L/EC MM não ensina a
analisar o risco, serve apenas como refer4ncia analisar o risco, serve apenas como refer4ncia
normativa. normativa.
Por /ue fa0er uma análise de risco1
Durante o plane*amento do futuro da empresa Durante o plane*amento do futuro da empresa ou instituição, os gestores da organização devem ou instituição, os gestores da organização devem garantir que todos os cuidados foram tomados para garantir que todos os cuidados foram tomados para
que seus planos se concretizem. que seus planos se concretizem.
) formalização de uma )nálise de 3isco ) formalização de uma )nálise de 3isco prov4 um documento indicador de que este cuidado prov4 um documento indicador de que este cuidado
foi o!servado. foi o!servado.
6 resultado da )nálise de 3isco dá 6 resultado da )nálise de 3isco dá organização o
organização o controle so!re seu pr$prio destinocontrole so!re seu pr$prio destino.. )través do relat$rio final, podese identificar )través do relat$rio final, podese identificar quais controles devem ser implementados
quais controles devem ser implementados em curto,em curto, médio e longo prazo.
médio e longo prazo. )ssim,
)ssim, os ativos serão protegidosos ativos serão protegidos comcom investimentos adequados ao seu valor e ao seu investimentos adequados ao seu valor e ao seu
risco. risco.
2uando fa0er uma análise de riscos1
Ima análise de riscos deve ser realizada O Ima análise de riscos deve ser realizada O sempre O antecedendo um investimento.
sempre O antecedendo um investimento.
2uem deve participar da análise de riscos1
6 processo de análise de riscos deve envolver 6 processo de análise de riscos deve envolver especialistas em análise de riscos e especialistas no especialistas em análise de riscos e especialistas no
neg$cio da empresa. neg$cio da empresa.
2uanto tempo o pro3eto deve levar1
) e2ecução do pro*eto deve ser realizada em ) e2ecução do pro*eto deve ser realizada em tempo m#nimo. Em am!ientes dinAmicos a tempo m#nimo. Em am!ientes dinAmicos a
tecnologia muda muito rapidamente. tecnologia muda muito rapidamente.
Im pro*eto com mais de um m4s, em Im pro*eto com mais de um m4s, em determinados am!ientes pode ao final *á estar determinados am!ientes pode ao final *á estar desatualizado e não corresponder ao estado atual da desatualizado e não corresponder ao estado atual da
organização. organização.
6 conceito de análise de risco está 6 conceito de análise de risco está 6 conceito de análise de risco está
6 conceito de análise de risco está
intimamente relacionado figura da intimamente relacionado figura da intimamente relacionado figura da
intimamente relacionado figura da /ntelig4ncia/ntelig4ncia/ntelig4ncia/ntelig4ncia Competitiva
Competitiva Competitiva
Competitiva, uma vez que agrega =solidez> , uma vez que agrega =solidez> , uma vez que agrega =solidez> , uma vez que agrega =solidez> informação corporativa.
informação corporativa. informação corporativa.
informação corporativa.
Controlando as ameaças, poderemos chegar Controlando as ameaças, poderemos chegar Controlando as ameaças, poderemos chegar
Controlando as ameaças, poderemos chegar
ao conceito de =administração de cenários>. ao conceito de =administração de cenários>. ao conceito de =administração de cenários>.
) ) )
) Figura 1Figura 1Figura 1Figura 1 apresenta o modelo de apresenta o modelo deapresenta o modelo deapresenta o modelo de
gerenciamento de risco adotado pela );L1P; gerenciamento de risco adotado pela );L1P; gerenciamento de risco adotado pela );L1P;
gerenciamento de risco adotado pela );L1P;
QFR+SRRQ. 6 modelo apresenta os elementos do QFR+SRRQ. 6 modelo apresenta os elementos do QFR+SRRQ. 6 modelo apresenta os elementos do
QFR+SRRQ. 6 modelo apresenta os elementos do
gerenciamento de risco+ gerenciamento de risco+ gerenciamento de risco+
gerenciamento de risco+
KKK
K Esta!elecimento de conte2toEsta!elecimento de conte2toEsta!elecimento de conte2toEsta!elecimento de conte2to KKK
K /dentificação de risco/dentificação de risco/dentificação de risco/dentificação de risco KKK
K )nálise de risco)nálise de risco)nálise de risco)nálise de risco KKK
K )valiação de risco)valiação de risco)valiação de risco)valiação de risco KKK
K <ratamento de risco<ratamento de risco<ratamento de risco<ratamento de risco KKK
K -onitoramento e revisão-onitoramento e revisão-onitorament-onitoramento e o e revisãorevisão KKK
De acordo com aDe acordo com a Figura 1Figura 1, ap$s a análise de, ap$s a análise de risco são necessárias atividades de avaliação de risco são necessárias atividades de avaliação de risco, de tratamento de risco, de monitoramento e risco, de tratamento de risco, de monitoramento e
revisão e de comunicação e consulta. revisão e de comunicação e consulta.
) análise de risco é feita ap$s o ) análise de risco é feita ap$s o esta!elecimento de conte2to e a identificação de esta!elecimento de conte2to e a identificação de
risco. risco.
Im Im dos dos grandes grandes !enef#cios !enef#cios dada implementação de um processo de análise de risco implementação de um processo de análise de risco
é a
é a identificação de pontos que representam ameaçaidentificação de pontos que representam ameaça ao cumprimento da missão estratégica da ao cumprimento da missão estratégica da
organização. organização.
Esses pontos significam riscos que podem Esses pontos significam riscos que podem comprometer o !om desenvolvimento da comprometer o !om desenvolvimento da organização, sendo, portanto, necessário o organização, sendo, portanto, necessário o tratamento adequado ap$s a sua avaliação, que tratamento adequado ap$s a sua avaliação, que
decide pela
decide pela mitigação "intervenção com o intuito demitigação "intervenção com o intuito de reduzir ou remediar um determinado impacto%, reduzir ou remediar um determinado impacto%,
eliminação, transfer4ncia ou aceitação do risco. eliminação, transfer4ncia ou aceitação do risco.
)ssim, o $rgão pode atuar de forma mais )ssim, o $rgão pode atuar de forma mais eficaz, criando as melhores condições para que a eficaz, criando as melhores condições para que a missão se*a cumprida, com diminuição da missão se*a cumprida, com diminuição da pro!a!ilidade de impactos sociais, pol#ticos ou pro!a!ilidade de impactos sociais, pol#ticos ou
econ9micos. econ9micos.
) aus4ncia de um processo !em estruturado) aus4ncia de um processo !em estruturado de segurança da informação implica em potenciais de segurança da informação implica em potenciais perdas para a organização, em termos que vão perdas para a organização, em termos que vão desde a situação financeira até a produtividade, desde a situação financeira até a produtividade,
passando pela oportunidade, qualidade,
passando pela oportunidade, qualidade,
credi!ilidade e imagem. credi!ilidade e imagem.
)ature0a do Risco
7 importante ressaltar que o risco pode ser 7 importante ressaltar que o risco pode ser interpretado de diferentes formas.
interpretado de diferentes formas.
)s pessoas vivem em risco constante, e a )s pessoas vivem em risco constante, e a cada momento avaliam as possi!ilidades de futuro cada momento avaliam as possi!ilidades de futuro para tomar cada ação, mesmo que ela se*a do para tomar cada ação, mesmo que ela se*a do
cotidiano. cotidiano.
6 simples fato de
6 simples fato de atravessar uma ruaatravessar uma rua, por, por
e2emplo, representa o entendimento das
e2emplo, representa o entendimento das
conseq(4ncias para a decisão pelo melhor conseq(4ncias para a decisão pelo melhor
momento de atravessála. momento de atravessála.
/nvestimentos em
/nvestimentos em !olsas de valores !olsas de valores tam!émtam!ém representam !em o risco, podendo o investidor representam !em o risco, podendo o investidor
o!ter ganhos e tam!ém sair com pre*u#zos. o!ter ganhos e tam!ém sair com pre*u#zos.
Desta forma, todos gerenciam o risco Desta forma, todos gerenciam o risco continuamente+
continuamente+
KK )lgumas vezes conscientemente)lgumas vezes conscientemente KK )lgumas vezes sem que sai!amos.)lgumas vezes sem que sai!amos.
6 termo =
6 termo =riscorisco> vem do italiano =risicare>,> vem do italiano =risicare>,
que por sua vez é derivado do !ai2olatim =risicu, que por sua vez é derivado do !ai2olatim =risicu,
riscu>, que significa arriscar. riscu>, que significa arriscar.
6 termo indica que o risco significa
6 termo indica que o risco significa ousadiaousadia,, *á que permite uma
*á que permite uma opçãoopção, e não relegar os, e não relegar os acontecimentos para o destino.
acontecimentos para o destino. ;ignifica tam!ém a
;ignifica tam!ém a colocação do futuro acolocação do futuro a serviço do presente
serviço do presente. ;ignifica desafio e. ;ignifica desafio e oportunidade, sendo tam!ém pontochave da oportunidade, sendo tam!ém pontochave da
natureza da tomada de decisões. natureza da tomada de decisões.
6 risco, assim, é a chance de algum evento 6 risco, assim, é a chance de algum evento acontecer, resultando em impactos nos o!*etivos.
acontecer, resultando em impactos nos o!*etivos.
De acordo com a /;6L/EC :uide M+SRRS, o De acordo com a /;6L/EC :uide M+SRRS, o risco é a
risco é a com!inação da pro!a!ilidade de umcom!inação da pro!a!ilidade de um evento acontecer e a sua conseq(4ncia
evento acontecer e a sua conseq(4ncia.. )s
)s conseq(4nciasconseq(4ncias e o impacto podem sere o impacto podem ser tanto
Desta forma, o risco deve ser+ Desta forma, o risco deve ser+ Desta forma, o risco deve ser+
Desta forma, o risco deve ser+
KKK
K CompreendidoCompreendidoCompreendidoCompreendido KKK
K -edido-edido-edido-edido KKK
)s ações tomadas com !ase na compreensão, )s ações tomadas com !ase na compreensão, )s ações tomadas com !ase na compreensão,
)s ações tomadas com !ase na compreensão,
na medição e na avaliação do risco fazem com que na medição e na avaliação do risco fazem com que na medição e na avaliação do risco fazem com que
na medição e na avaliação do risco fazem com que
as chances de sucesso aumentem as chances de sucesso aumentem as chances de sucesso aumentem
as chances de sucesso aumentem, *á que danos são, *á que danos são, *á que danos são, *á que danos são minimizados e oportunidades são ma2imizadas.
minimizados e oportunidades são ma2imizadas. minimizados e oportunidades são ma2imizadas.
minimizados e oportunidades são ma2imizadas.
1o
1o entendimento entendimento do do risco risco deve deve se se considerarconsiderar 1o
1o entendimento entendimento do do risco risco deve deve se se considerarconsiderar
suas suas suas
suas diferentes naturezasdiferentes naturezasdiferentes naturezasdiferentes naturezas. )pesar de haver um. )pesar de haver um. )pesar de haver um. )pesar de haver um interrelacionamento entre os diferentes tipos de interrelacionamento entre os diferentes tipos de interrelacionamento entre os diferentes tipos de
interrelacionamento entre os diferentes tipos de
risco, eles são normalmente a!ordados de uma risco, eles são normalmente a!ordados de uma risco, eles são normalmente a!ordados de uma
risco, eles são normalmente a!ordados de uma
forma particular para cada área de conhecimento forma particular para cada área de conhecimento forma particular para cada área de conhecimento
forma particular para cada área de conhecimento
"""
)
) Figura 2Figura 2 apresenta as diferentes naturezas apresenta as diferentes naturezas
do risco+
6 gerenciamento de risco deve tratar de uma6 gerenciamento de risco deve tratar de uma forma cada vez mais integrada as diferentes visões forma cada vez mais integrada as diferentes visões
do risco. do risco.
&ara tanto, o grande desafio está na &ara tanto, o grande desafio está na sistematização de um gerenciamento de risco sistematização de um gerenciamento de risco,,
capaz de realizar essa integração através de uma capaz de realizar essa integração através de uma comunicação eficaz no qual todos os envolvidos comunicação eficaz no qual todos os envolvidos entendam e este*am comprometidos com os entendam e este*am comprometidos com os
o!*etivos do gerenciamento de risco. o!*etivos do gerenciamento de risco.
"erenciamento do Risco
6 gerenciamento de risco segue um modelo 6 gerenciamento de risco segue um modelo clássico que é !aseado em normas como a );L1P; clássico que é !aseado em normas como a );L1P;
QFR+SRRQ. QFR+SRRQ.
6 grande desafio é a sistematização da forma 6 grande desafio é a sistematização da forma como o gerenciamento deve ser realizado, o que como o gerenciamento deve ser realizado, o que envolve o uso de diferentes metodologias para cada envolve o uso de diferentes metodologias para cada
elemento do gerenciamento de risco. elemento do gerenciamento de risco.
7 interessante notar que o design e 7 interessante notar que o design e implementação de um sistema de gerenciamento de implementação de um sistema de gerenciamento de
risco são influenciados por aspectos que incluem+ risco são influenciados por aspectos que incluem+ KK @ariedade de necessidades da organização@ariedade de necessidades da organização KK 6!*etivos particulares6!*etivos particulares
KK &rodutos e serviços&rodutos e serviços
)ssim, a forma como o risco deve ser tratado )ssim, a forma como o risco deve ser tratado é definido levandose em consideração os aspectos é definido levandose em consideração os aspectos do pro*eto e o modelo de gerenciamento de risco do pro*eto e o modelo de gerenciamento de risco
como o da
'iclo P4'A 'iclo P4'A
6 Ciclo &DC) nasceu no escopo da 6 Ciclo &DC) nasceu no escopo da tecnologia <0C "<otal 0ualitT Control% como uma tecnologia <0C "<otal 0ualitT Control% como uma ferramenta que melhor representava o ciclo de ferramenta que melhor representava o ciclo de
gerenciamento de uma atividade. gerenciamento de uma atividade.
6 conceito do Ciclo evoluiu ao longo dos 6 conceito do Ciclo evoluiu ao longo dos anos vinculandose tam!ém com a idéia de que, anos vinculandose tam!ém com a idéia de que, uma organização qualquer, encarregada de atingir uma organização qualquer, encarregada de atingir um determinado o!*etivo, necessita plane*ar e um determinado o!*etivo, necessita plane*ar e
controlar as atividades a ela relacionadas. controlar as atividades a ela relacionadas.
6 Ciclo &DC) compõe o con*unto de ações 6 Ciclo &DC) compõe o con*unto de ações em seq(4ncia dada pela ordem esta!elecida pelas em seq(4ncia dada pela ordem esta!elecida pelas
letras que compõem a sigla+ letras que compõem a sigla+
& "plan+ plane*ar% & "plan+ plane*ar%
D "do+ fazer, e2ecutar% D "do+ fazer, e2ecutar%
C "chec'+ verificar, controlar% e C "chec'+ verificar, controlar% e
Como pode ser visto na
Como pode ser visto na Figura 4Figura 4, vários, vários
processos definidos no &-U6V tratam
processos definidos no &-U6V tratam
especificamente do risco+ especificamente do risco+
KK &lane*amento do gerenciamento de risco&lane*amento do gerenciamento de risco KK /dentificação de risco/dentificação de risco
KK )nálise de risco qualitativa)nálise de risco qualitativa KK )nálise de risco quantitativa)nálise de risco quantitativa
KK &lane*amento de resposta ao risco&lane*amento de resposta ao risco KK -onitoramento e controle de risco.-onitoramento e controle de risco.
5igura Q+ 3isco
6 processo de plane*amento do
6 processo de plane*amento do
gerenciamento de risco do &-U6V, por e2emplo, gerenciamento de risco do &-U6V, por e2emplo,
é definido da seguinte forma+ é definido da seguinte forma+
KK /nputs/nputs
KK 5atores organizacionais5atores organizacionais
KK )titude e tolerAncia com relação ao risco)titude e tolerAncia com relação ao risco KK &rocessos organizacionais&rocessos organizacionais
KK Categorias de riscoCategorias de risco
KK Definição de conceitos e termosDefinição de conceitos e termos KK &apéis e responsa!ilidades&apéis e responsa!ilidades
KK 1#veis de autoridade para tomada de 1#veis de autoridade para tomada de decisão
KK Escopo do pro*etoEscopo do pro*eto
KK &lano de gerenciamento do pro*eto&lano de gerenciamento do pro*eto KK 5erramentas e técnicas5erramentas e técnicas
KK 3euniões e análises3euniões e análises KK 6utput6utput
) estrutura do plano do gerenciamento de) estrutura do plano do gerenciamento de risco segue o seguinte formato+
risco segue o seguinte formato+ KK -etodologia-etodologia
KK &apéis e responsa!ilidades&apéis e responsa!ilidades KK /nvestimento/nvestimento
KK CronogramaCronograma
KK Categorias de risco "3U;%Categorias de risco "3U;%
KK Definição da pro!a!ilidade e impacto doDefinição da pro!a!ilidade e impacto do risco
risco
KK -atriz de pro!a!ilidade e impacto-atriz de pro!a!ilidade e impacto KK <olerAncia dos<olerAncia dos stakeholders stakeholders
KK 5ormato dos relat$rios5ormato dos relat$rios )uditoria.
6 3U; pode ser visto na6 3U; pode ser visto na Figura 5Figura 5, e divide, e divide os riscos identificados como sendo de natureza os riscos identificados como sendo de natureza técnica, e2terna, organizacional e do pr$prio técnica, e2terna, organizacional e do pr$prio
gerenciamento de pro*eto. gerenciamento de pro*eto.
1o e2emplo do processo de plane*amento de 1o e2emplo do processo de plane*amento de resposta ao risco do &-U6V, ele possui a seguinte resposta ao risco do &-U6V, ele possui a seguinte
estrutura+ estrutura+
KK /nputs/nputs
KK &lano de gerenciamento de risco&lano de gerenciamento de risco KK 3egistro de risco3egistro de risco
KK Estratégias para riscos negativas ouEstratégias para riscos negativas ou ameaças
ameaças
KK Evitar, transferir, mitigarEvitar, transferir, mitigar
KK Estratégias para riscos positivos ouEstratégias para riscos positivos ou oportunidades
oportunidades
KK E2plorar, compartilhar, ma2imizarE2plorar, compartilhar, ma2imizar
KK Estratégia para ameaça e oportunidadeEstratégia para ameaça e oportunidade KK Estratégia de conting4nciaEstratégia de conting4ncia
KK 6utputs6utputs
KK 3egistro de risco atualizado3egistro de risco atualizado
KK &lano de gerenciamento de risco atualizado&lano de gerenciamento de risco atualizado KK Contrato de acordo so!re os riscos.Contrato de acordo so!re os riscos.
Im ponto importante a ser considerado é Im ponto importante a ser considerado é quanto aos riscos relacionados segurança da quanto aos riscos relacionados segurança da
informação. informação.
Ima das metodologias de análise de risco que Ima das metodologias de análise de risco que foca na segurança da informação é a 6C<)@E, foca na segurança da informação é a 6C<)@E, desenvolvida pela Iniversidade de Carnegie desenvolvida pela Iniversidade de Carnegie
-ellon. -ellon.
)s fases da 6C<)@E podem ser vistas na )s fases da 6C<)@E podem ser vistas na Figura 6
Figura (: !)*A+, e suas Figura (: !)*A+, e suas fases.
6s elementos do risco tratados, quando6s elementos do risco tratados, quando aspectos de segurança da informação são aspectos de segurança da informação são
considerados, podem ser visto na
considerados, podem ser visto na Figura 7 Figura 7 , que, que teve como foco $rgãos e instituições da teve como foco $rgãos e instituições da
)dministração &8!lica 5ederal. )dministração &8!lica 5ederal.
7 poss#vel verificar que, partindo do conceito 7 poss#vel verificar que, partindo do conceito definido no /;6 :uide M, de que risco é a definido no /;6 :uide M, de que risco é a com!inação da pro!a!ilidade de um evento e de com!inação da pro!a!ilidade de um evento e de suas conseq(4ncias, o conceito mais detalhado suas conseq(4ncias, o conceito mais detalhado
seria+ seria+
Risco
Risco é a pro!a!ilidade de um agente deé a pro!a!ilidade de um agente de
ameaça efetivar uma ameaça, via e2ploração de ameaça efetivar uma ameaça, via e2ploração de uma vulnera!ilidade de um ativo, causando uma vulnera!ilidade de um ativo, causando impactos que comprometem o cumprimento da impactos que comprometem o cumprimento da
missão. missão.
6s elementos da
6s elementos da Figura 7Figura 7 foram utilizados naforam utilizados na
metodologia 3iscoW:ov, voltada para a
metodologia 3iscoW:ov, voltada para a
)dministração &8!lica 5ederal. )dministração &8!lica 5ederal.
) metodologia 3iscoW:ov conta com G ) metodologia 3iscoW:ov conta com G fases+
fases+
KK 5ase X Conte2tualização5ase X Conte2tualização
KK 5ase S X Hevantamento de informações5ase S X Hevantamento de informações KK 5ase X )nálises5ase X )nálises
KK 5ase Q X 3ecomendações5ase Q X 3ecomendações
6 in#cio da metodologia prepara todo o6 in#cio da metodologia prepara todo o processo de análise de risco a ser conduzido, de processo de análise de risco a ser conduzido, de
acordo com o conte2to e2istente. acordo com o conte2to e2istente.
6 levantamento de informações é realizado 6 levantamento de informações é realizado usando diferentes técnicas e, ap$s a análise de usando diferentes técnicas e, ap$s a análise de
risco, que envolve ainda análises de
risco, que envolve ainda análises de
vulnera!ilidades e testes de penetração, as vulnera!ilidades e testes de penetração, as recomendações são geradas, documentadas e recomendações são geradas, documentadas e
apresentadas. apresentadas.
6s processos definidos na metodologia de 6s processos definidos na metodologia de 6s processos definidos na metodologia de
6s processos definidos na metodologia de
análise de risco 3iscoW:ov geram resultados análise de risco 3iscoW:ov geram resultados análise de risco 3iscoW:ov geram resultados
análise de risco 3iscoW:ov geram resultados
como o da como o da como o da
como o da Figura 8Figura 8Figura 8Figura 8, que apresenta o n#vel de risco, que apresenta o n#vel de risco, que apresenta o n#vel de risco, que apresenta o n#vel de risco e2istente em um ativo, que pode comprometer o e2istente em um ativo, que pode comprometer o e2istente em um ativo, que pode comprometer o
e2istente em um ativo, que pode comprometer o
cumprimento da missão da organização. cumprimento da missão da organização. cumprimento da missão da
cumprimento da missão da orgorganização.anização.
6 e2emplo mostra uma !ase de informações 6 e2emplo mostra uma !ase de informações 6 e2emplo mostra uma !ase de informações
6 e2emplo mostra uma !ase de informações
consolidadas e que analisa os componentes do risco consolidadas e que analisa os componentes do risco consolidadas e que analisa os componentes do risco
consolidadas e que analisa os componentes do risco
relacionados com a
relacionados com a organiorganização.zação. relacionados com a
Figura 8: Um dos resultados do
Figura 8: Um dos resultados do
Figura 8: Um dos resultados do Figura 8: Um dos resultados do o@Gov.
o@Gov.
o@Gov. o@Gov.
)s informações contidas nesse relat$rio são+ )s informações contidas nesse relat$rio são+)s informações contidas nesse relat$rio são+)s informações contidas nesse relat$rio são+
os agentes de ameaça, as ameaças, vulnera!ilidades os agentes de ameaça, as ameaças, vulnera!ilidades os agentes de ameaça, as ameaças, vulnera!ilidades
os agentes de ameaça, as ameaças, vulnera!ilidades
e os controles utilizados por cada ativo cr#tico, com e os controles utilizados por cada ativo cr#tico, com e os controles utilizados por cada ativo cr#tico, com
e os controles utilizados por cada ativo cr#tico, com
a determinação do n#vel de risco, que leva em a determinação do n#vel de risco, que leva em a determinação do n#vel de risco, que leva em
a determinação do n#vel de risco, que leva em
consideração a pro!a!ilidade e o impacto consideração a pro!a!ilidade e o impacto consideração a pro!a!ilidade e o impacto
consideração a pro!a!ilidade e o impacto
relacionados. relacionados. relacionados.
1essa etapa é estimado o impacto que um 1essa etapa é estimado o impacto que um determinado risco pode causar ao neg$cio.
determinado risco pode causar ao neg$cio.
Como é praticamente imposs#vel oferecer Como é praticamente imposs#vel oferecer proteção total contra todas as ameaças e2istentes, é proteção total contra todas as ameaças e2istentes, é preciso identificar os ativos e as vulnera!ilidades preciso identificar os ativos e as vulnera!ilidades mais cr#ticas, possi!ilitando a priorização dos mais cr#ticas, possi!ilitando a priorização dos
esforços e os gastos com segurança. esforços e os gastos com segurança.
Ima vez que os riscos tenham sido Ima vez que os riscos tenham sido identificados e a organização definiu quais serão identificados e a organização definiu quais serão tratados, as medidas de segurança devem ser de tratados, as medidas de segurança devem ser de
fato implementadas. fato implementadas.
6
6 :erenciamento de 3iscos:erenciamento de 3iscos é um processoé um processo cont#nuo, que não termina com a implementação de cont#nuo, que não termina com a implementação de
uma medida de segurança. uma medida de segurança.
)través de um monitoramento constante, é )través de um monitoramento constante, é poss#vel identificar quais áreas foram !em poss#vel identificar quais áreas foram !em
sucedidas e quais precisam de revisões e a*ustes. sucedidas e quais precisam de revisões e a*ustes.