Gestão de Riscos de TI - NBR 27005

Gestão de Riscos de TI –

NBR 27005

ISBN 978-85-63630-06-3

O livro de apoio ao curso apresenta os conceitos de

gestão de riscos a partir da norma NBR ISO 27005.

Define conceitos e trabalha a contextualização do

am-biente, identificação e levantamento dos riscos através

do conhecimento das ameaças, ativos, vulnerabilidades,

probabilidade de ocorrência e impactos. São realizados

a estimativa e o cálculo de risco e definido o tratamento

mais adequado. Todo o trabalho é baseado em um

es-tudo de caso, visando consolidar o conhecimento teórico.

Este livro inclui os roteiros das atividades práticas e o

con-teúdo dos slides apresentados em sala de aula, apoiando

profissionais na disseminação deste conhecimento em

suas organizações ou localidades de origem.

Gestão de

Riscos de TI

NBR 27005

LIVRO DE APOIO AO CURSO

Edson Kowask Bezerra

A RNP – Rede Nacional de Ensino

e Pesquisa – é qualificada como

uma Organização Social (OS),

sendo ligada ao Ministério da

Ciência, Tecnologia e Inovação

(MCTI) e responsável pelo

Programa Interministerial RNP,

que conta com a participação dos

ministérios da Educação (MEC), da

Saúde (MS) e da Cultura (MinC).

Pioneira no acesso à Internet no

Brasil, a RNP planeja e mantém a

rede Ipê, a rede óptica nacional

acadêmica de alto desempenho.

Com Pontos de Presença nas

27 unidades da federação, a rede

tem mais de 800 instituições

conectadas. São aproximadamente

3,5 milhões de usuários usufruindo

de uma infraestrutura de redes

avançadas para comunicação,

computação e experimentação,

que contribui para a integração

entre o sistema de Ciência e

Tecnologia, Educação Superior,

Saúde e Cultura.

Ciência, TecnologiaMinistério da Educação Ministério da Saúde Ministério da Cultura Ministério da

Edson Kowask Bezerra é profissional da área de segurança da informação e governança há mais de quinze anos, atuando como auditor líder, pesquisa-dor, gerente de projeto e gerente téc-nico, em inúmeros projetos de gestão de riscos, gestão de segurança da informação, continuidade de negócios, PCI, auditoria e recu-peração de desastres em empresas de grande porte do setor de telecomunicações, financeiro, energia, indústria e governo. Com vasta experiência nos temas de segurança e governança, tem atuado também como palestrante nos principais eventos do Brasil e ainda como instrutor de trei-namentos focados em segurança e governança. É professor e coordenador de cursos de pós-graduação na área de segurança da informação, gestão integrada, inovação e tec-nologias web. Hoje atua como Coordenador Acadêmico de Segurança e Governança de TI da Escola Superior de Redes. Possui a certificação CRISC da ISACA, além de diversas outras em segurança e governança.

A RNP – Rede Nacional de Ensino

e Pesquisa – é qualificada como

uma Organização Social (OS),

sendo ligada ao Ministério da

Ciência, Tecnologia e Inovação

(MCTI) e responsável pelo

Programa Interministerial RNP,

que conta com a participação dos

ministérios da Educação (MEC), da

Saúde (MS) e da Cultura (MinC).

Pioneira no acesso à Internet no

Brasil, a RNP planeja e mantém a

rede Ipê, a rede óptica nacional

acadêmica de alto desempenho.

Com Pontos de Presença nas

27 unidades da federação, a rede

tem mais de 800 instituições

conectadas. São aproximadamente

3,5 milhões de usuários usufruindo

de uma infraestrutura de redes

avançadas para comunicação,

computação e experimentação,

que contribui para a integração

entre o sistema de Ciência e

Tecnologia, Educação Superior,

Saúde e Cultura.

Edson Kowask Bezerra

Gestão de

Riscos de TI

Edson Kowask Bezerra

Rio de Janeiro

Escola Superior de Redes

2013

Gestão de

Riscos de TI

Copyright © 2013 – Rede Nacional de Ensino e Pesquisa – RNP Rua Lauro Müller, 116 sala 1103

22290-906 Rio de Janeiro, RJ

Diretor Geral Nelson Simões

Diretor de Serviços e Soluções José Luiz Ribeiro Filho Escola Superior de Redes

Coordenação Luiz Coelho Edição

Pedro Sangirardi

Coordenação Acadêmica de Segurança e Governança de TI Edson Kowask Bezerra

Equipe ESR (em ordem alfabética)

Celia Maciel, Cristiane Oliveira, Derlinéa Miranda, Elimária Barbosa, Evellyn Feitosa, Felipe Nascimento, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, Renato Duarte e Yve Abel Marcial.

Capa, projeto visual e diagramação Tecnodesign

Versão 2.0.1

Este material didático foi elaborado com fins educacionais. Solicitamos que qualquer erro encon-trado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de conteúdo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas, a pessoas ou bens, originados do uso deste material.

As marcas registradas mencionadas neste material pertencem aos respectivos titulares. Distribuição

Escola Superior de Redes

Rua Lauro Müller, 116 – sala 1103 22290-906 Rio de Janeiro, RJ http://esr.rnp.br

info@esr.rnp.br

Dados Internacionais de Catalogação na Publicação (CIP) B574g Bezerra, Edson Kowask

Gestão de riscos de TI: NBR 27005 / Edson Kowask Bezerra. – Rio de Janeiro: RNP/ESR, 2013. 138 p. : il. ; 28 cm.

Bibliografia: p.137. ISBN 978-85-63630-32-2

1. Tecnologia da informação - Técnicas de segurança. 2. Redes de computadores – Medidas de segurança. 3. Gestão de riscos de segurança da informação. I. Título.

Sumário

Escola Superior de Redes A metodologia da ESR ix Sobre o curso  x A quem se destina x

Convenções utilizadas neste livro x Permissões de uso xi

Sobre o autor xii

1.

Introdução 1

Exercício de nivelamento 1 – Introdução à gestão de riscos 2 Conceitos fundamentais 2

Exercício de fixação 1 – Conceitos fundamentais 5 Princípios da Gestão de Riscos 5

Normas de gestão de segurança e de riscos 7 Norma ABNT NBR ISO/IEC 27005:2008 9 Visão geral da gestão de riscos 10

Exercício de fixação 2 – Visão geral 12 Exercício de fixação 3 – PDCA 15 Fatores críticos para o sucesso 15 Áreas de conhecimento necessárias 16

Roteiro de Atividades 1 19

Atividade 1.1 – Conhecendo os conceitos 19 Atividade 1.2 – Conhecendo a norma 19 Atividade 1.3 – Identificando o processo 20 Atividade 1.4 – Fatores críticos 20

2.

Introdução 21

Exercício de nivelamento 1 – Contexto 21

Processo de gestão de riscos de segurança da informação 21 Contexto  22

Estabelecimento do contexto 23

Contexto da norma ABNT NBR ISO/IEC 27005 23 Definindo o contexto 24

Itens para identificação 24

Exercício de fixação 1 – Definindo o contexto 25 Definindo escopo e limites 26

Exercício de fixação 2 – Definindo o escopo e limites 27 Critérios para avaliação de riscos 28

Critérios de impacto 28

Critérios para aceitação do risco  29

Exercício de fixação 3 – Definindo os critérios 31 Organização para a gestão de riscos 32 Roteiro de Atividades 2 33

Anexo A – Descrição da empresa 36

3.

Introdução 41

Exercício de nivelamento 1 – Identificação dos riscos 41 Processo de análise de riscos de segurança da informação 41 Identificação de riscos 42

Identificando os ativos 43

Identificando os ativos de suporte e infraestrutura 46 Exercício de fixação 1 – Identificando os ativos 46 Identificando as ameaças 47

Exercício de fixação 2 – Identificando as ameaças 49 Identificando os controles existentes 49

Roteiro de Atividades 3 53 Anexo B – Infraestrutura 55

4.

Introdução  59

Exercício de nivelamento 1 – Vulnerabilidades e consequências 59 Processo de análise de riscos de segurança da informação 60 Identificando as vulnerabilidades 60

Exercício de fixação 1 – Identificando vulnerabilidades 63 Identificação das consequências 63

Exercício de fixação 2 – Identificando as consequências 65 Roteiro de Atividades 4 67

Anexo C – Problemas relatados 69

5.

Introdução 83

Exercício de nivelamento 1 – Avaliação das consequências 83 Visão geral do processo de estimativa de risco 83

Metodologias 84

Metodologia de análise qualitativa 85 Metodologia de análise quantitativa 85 Exercício de fixação 1 – Metodologias 86 Estimativa de riscos 86

Avaliação das consequências 87 Roteiro de Atividades 5 89

6.

Exercício de nivelamento 1 – Avaliação da probabilidade 91 Visão geral do processo de avaliação de risco 92

Avaliação da probabilidade de ocorrência de incidentes 92 Exercício de fixação 1 – Avaliação da probabilidade 94 Determinação do nível de risco 94

Roteiro de Atividades 6 97

7.

Introdução 101

Exercício de nivelamento 1 – Avaliação de riscos 101

Processo de avaliação de riscos de segurança da informação 101 Avaliação de riscos de segurança da informação 102

Exercício de fixação 1 – Avaliação de risco 103 Roteiro de Atividades 7 105

8.

Introdução 107

Exercício de nivelamento 1 – Tratamento e aceitação dos riscos 107 Visão geral do processo de tratamento do risco 107

Tratamento do risco 109 Riscos residuais 111 Modificação do risco 111 Retenção do risco 113 Ação de evitar o risco 113 Compartilhamento do risco 113

Exercício de fixação 1 – Tratamento de risco 114 Visão geral do processo de aceitação do risco 114 Aceitando o risco 115

9.

Exercício de nivelamento 1 – Comunicação e consulta dos riscos 121 Processo de comunicação e consulta do risco de segurança

da informação 122

Comunicação e consulta do risco de segurança da informação 123 Exercício de fixação 1 – Comunicação e consulta dos riscos 124 Roteiro de Atividades 9 125

10.

Introdução 127

Exercício de nivelamento 1 – Monitoramento de riscos 127 Processo de monitoramento e análise crítica de riscos de segurança da informação 127

Monitoramento e análise crítica dos fatores de risco 129

Exercício de fixação 1 – Monitoramento e análise crítica dos riscos 130 Monitoramento, análise crítica e melhoria do processo de

gestão de riscos 130

Roteiro de Atividades 10 133 Conclusão 135

A Escola Superior de Redes (ESR) é a unidade da Rede Nacional de Ensino e Pesquisa (RNP) responsável pela disseminação do conhecimento em Tecnologias da Informação e Comunica-ção (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competências em TIC para o corpo técnico-administrativo das universidades federais, escolas técnicas e unidades federais de pesquisa. Sua missão fundamental é realizar a capacitação técnica do corpo funcional das organizações usuárias da RNP, para o exercício de competências aplicá-veis ao uso eficaz e eficiente das TIC.

A ESR oferece dezenas de cursos distribuídos nas áreas temáticas: Administração e Projeto de Redes, Administração de Sistemas, Segurança, Mídias de Suporte à Colaboração Digital e Governança de TI.

A ESR também participa de diversos projetos de interesse público, como a elaboração e execução de planos de capacitação para formação de multiplicadores para projetos edu-cacionais como: formação no uso da conferência web para a Universidade Aberta do Brasil (UAB), formação do suporte técnico de laboratórios do Proinfo e criação de um conjunto de cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).

A metodologia da ESR

A filosofia pedagógica e a metodologia que orientam os cursos da ESR são baseadas na aprendizagem como construção do conhecimento por meio da resolução de problemas típi-cos da realidade do profissional em formação. Os resultados obtidos nos cursos de natureza teórico-prática são otimizados, pois o instrutor, auxiliado pelo material didático, atua não apenas como expositor de conceitos e informações, mas principalmente como orientador do aluno na execução de atividades contextualizadas nas situações do cotidiano profissional. A aprendizagem é entendida como a resposta do aluno ao desafio de situações-problema semelhantes às encontradas na prática profissional, que são superadas por meio de análise, síntese, julgamento, pensamento crítico e construção de hipóteses para a resolução do pro-blema, em abordagem orientada ao desenvolvimento de competências.

Dessa forma, o instrutor tem participação ativa e dialógica como orientador do aluno para as atividades em laboratório. Até mesmo a apresentação da teoria no início da sessão de apren-dizagem não é considerada uma simples exposição de conceitos e informações. O instrutor busca incentivar a participação dos alunos continuamente.

As sessões de aprendizagem onde se dão a apresentação dos conteúdos e a realização das atividades práticas têm formato presencial e essencialmente prático, utilizando técnicas de estudo dirigido individual, trabalho em equipe e práticas orientadas para o contexto de atua-ção do futuro especialista que se pretende formar.

As sessões de aprendizagem desenvolvem-se em três etapas, com predominância de tempo para as atividades práticas, conforme descrição a seguir:

Primeira etapa: apresentação da teoria e esclarecimento de dúvidas (de 60 a 90 minutos). O instrutor apresenta, de maneira sintética, os conceitos teóricos correspondentes ao tema da sessão de aprendizagem, com auxílio de slides em formato PowerPoint. O instrutor levanta questões sobre o conteúdo dos slides em vez de apenas apresentá-los, convidando a turma à reflexão e participação. Isso evita que as apresentações sejam monótonas e que o aluno se coloque em posição de passividade, o que reduziria a aprendizagem.

Segunda etapa: atividades práticas de aprendizagem (de 120 a 150 minutos).

Esta etapa é a essência dos cursos da ESR. A maioria das atividades dos cursos é assíncrona e realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dúvidas e oferecer explicações complementares.

Terceira etapa: discussão das atividades realizadas (30 minutos).

O instrutor comenta cada atividade, apresentando uma das soluções possíveis para resolvê-la, devendo ater-se àquelas que geram maior dificuldade e polêmica. Os alunos são convidados a comentar as soluções encontradas e o instrutor retoma tópicos que tenham gerado dúvidas, estimulando a participação dos alunos. O instrutor sempre estimula os alunos a encontrarem soluções alternativas às sugeridas por ele e pelos colegas e, caso existam, a comentá-las.

Sobre o curso

O curso apresenta os conceitos de gestão de riscos a partir da norma NBR ISO 27005. Define conceitos e trabalha a contextualização do ambiente, identificação e levantamento dos riscos através do conhecimento das ameaças, ativos, vulnerabilidades, probabilidade de ocorrência e impactos. São realizados a estimativa e o cálculo de risco e definido o tratamento mais adequado. Todo o trabalho é baseado em um estudo de caso, visando consolidar o conhecimento teórico. Ao final do curso o participante estará apto a realizar uma análise de risco qualitativa no ambiente da sua organização.

A quem se destina

Curso direcionado a gestores, técnicos e profissionais de informática ou áreas afins, que estão em busca do desenvolvimento de competências na realização de gestão e análise de riscos no ambiente de tecnologias da informação e comunicação (TIC). Profissionais de outras áreas podem participar desde que possuam conhecimentos de TIC, segurança da informação e normas ISO 27001 e 27002.

Convenções utilizadas neste livro

As seguintes convenções tipográficas são usadas neste livro:

Itálico

Largura constante

Indica comandos e suas opções, variáveis e atributos, conteúdo de arquivos e resultado da saída de comandos. Comandos que serão digitados pelo usuário são grifados em negrito e possuem o prefixo do ambiente em uso (no Linux é normalmente # ou $, enquanto no Windows é C:\). Conteúdo de slide

Indica o conteúdo dos slides referentes ao curso apresentados em sala de aula. Símbolo

Indica referência complementar disponível em site ou página na internet. Símbolo

Indica um documento como referência complementar. Símbolo

Indica um vídeo como referência complementar. Símbolo

Indica um arquivo de aúdio como referência complementar. Símbolo

Indica um aviso ou precaução a ser considerada. Símbolo

Indica questionamentos que estimulam a reflexão ou apresenta conteúdo de apoio ao entendimento do tema em questão.

Símbolo

Indica notas e informações complementares como dicas, sugestões de leitura adicional ou mesmo uma observação.

Permissões de uso

Todos os direitos reservados à RNP.

Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. Exemplo de citação: BEZERRA, E. K. Gestão de Riscos de TI – NBR 27005. Rio de Janeiro: Escola Superior de Redes, RNP, 2013.

Comentários e perguntas

Para enviar comentários e perguntas sobre esta publicação: Escola Superior de Redes RNP

Endereço: Av. Lauro Müller 116 sala 1103 – Botafogo Rio de Janeiro – RJ – 22290-906

Sobre o autor

Edson Kowask Bezerra é profissional da área de segurança da informação e governança há mais de quinze anos, atuando como auditor líder, pesquisador, gerente de projeto e gerente técnico, em inúmeros projetos de gestão de riscos, gestão de segurança da infor-mação, continuidade de negócios, PCI, auditoria e recuperação de desastres em empresas de grande porte do setor de telecomunicações, financeiro, energia, indústria e governo. Com vasta experiência nos temas de segurança e governança, tem atuado também como palestrante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em segurança e governança. É professor e coordenador de cursos de pós-graduação na área de segurança da informação, gestão integrada, inovação e tecnologias web. Hoje atua como Coordenador Acadêmico de Segurança e Governança de TI da Escola Superior de Redes. Pos-sui a certificação CRISC da ISACA, além de diversas outras em segurança e governança.

Ca pí tu lo 1 - I nt ro du çã o à G es tã o d e R is co s

obj

et

ivo

s

co

nc

ei

to

s

1

Introdução à Gestão de Riscos

Conceituar e compreender ameaças, vulnerabilidades, probabilidade e riscos; conhecer e utilizar a norma de gestão de riscos; identificar as atividades do processo de gestão de riscos e os fatores críticos para o sucesso; identificar e definir as áreas necessárias para a gestão de riscos.

Ameaças, vulnerabilidades, probabilidade, riscos, segurança da informação e gestão de riscos.

Introdução

q

1 A ação e interação dos objetivos com as incertezas originam o risco, que se apresenta no dia a dia de toda e qualquer atividade.

1 Muitas vezes, o risco não se apresenta visível, sendo necessárias ações para identificá-lo. 1 Outras vezes, o risco é fruto de ações repentinas que fogem ao controle humano,

como em eventos de causas naturais.

Nas fases do ciclo de vida de qualquer atividade humana planejada, convivemos com duas cer-tezas básicas: daquilo que deve acontecer (os objetivos) e o que pode acontecer (as incercer-tezas). A ação e interação dos objetivos com as incertezas dão origem ao risco, que se apresenta no dia a dia de toda e qualquer atividade desenvolvida. Muitas vezes, o risco não se apresenta visível, sendo necessárias ações para identificá-lo; em outras situações o risco é proveniente de ações repentinas que fogem ao controle do ser humano, como no caso de eventos de causas naturais.

Diariamente vemos manchetes em publicações das mais diversas áreas que destacam, com ênfase, os problemas relacionados aos riscos tecnológicos de segurança da informação: roubos de mídias de backup e de notebooks, vazamento de números de cartões de crédito, manuseio impróprio de registros eletrônicos, roubo de identidade e quebra de propriedade intelectual. Este capítulo abordará os conceitos fundamentais para a Gestão de Riscos e apresentará a norma ABNT NBR ISO/IEC 27005:2008 - Tecnologia da Informação – Técnicas de segurança – Gestão de riscos de segurança da informação.

G es tã o d e R is co s d e T I N BR 2 70 05

Exercício de nivelamento 1

e

Introdução à gestão de riscos

Como você avalia na sua organização o processo de gestão de riscos?

Existem riscos para os trabalhos e atividades da sua organização?

Conceitos fundamentais

q

1 Norma ISO Guide 73:2009 Gestão de riscos – Vocabulário 2 Recomendações para uso em normas.

2 Apresenta as principais terminologias para uso nas atividades de gestão de riscos. 1 Esta terminologia deve ser combinada com os termos apresentados nas normas:

2 ABNT NBR ISO/IEC 27001. 2 ABNT ISO/IEC 27002.

1 Termos apresentados nas normas: 2 Segurança da Informação. 2 Ameaça.

2 Vulnerabilidade. 2 Risco.

2 Riscos de segurança da informação. 2 Identificação de riscos.

2 Impacto.

2 Estimativa de riscos. 2 Modificação do risco. 2 Comunicação do risco. 2 Ação de evitar o risco. 2 Retenção do risco.

2 Compartilhamento do risco.

É importante ter sempre em mente os seguintes conceitos:

Segurança da Informação é a proteção da informação de vários tipos de ameaças, visando garantir a continuidade do negócio, minimizar os riscos que possam comprometê-lo, maximizar o retorno sobre os investimentos e as oportunidades de negócio. A segurança da informação é obtida como resultado da implementação de um conjunto de controles, compreendendo políticas, processos, procedimentos, estruturas organizacionais e funções de hardware e software.

A segurança da informação é obtida com a implementação de controles que deverão ser monitorados, analisados e continuamente melhorados, com o intuito de atender aos

Ca pí tu lo 1 - I nt ro du çã o à G es tã o d e R is co s

objetivos do negócio, mitigando os riscos e garantindo os preceitos de segurança da organi-zação: Confidencialidade, Integridade, Disponibilidade e Autenticidade (CIDA).

q

1 Ameaça é todo e qualquer evento que possa explorar vulnerabilidades. 1 Causa potencial de um incidente indesejado, que pode resultar em dano para os

sistemas, pessoas ou a própria organização. 1 As ameaças podem ser classificadas em:

2 Ameaças intencionais. 2 Ameaças da ação da natureza. 2 Ameaças não intencionais. São exemplos de ameaças: 1 Erros humanos; 1 Falhas de hardware; 1 Falhas de software; 1 Ações da natureza; 1 Terrorismo;

1 Vandalismo, entre outras.

Vulnerabilidade é qualquer fraqueza que possa ser explorada para comprometer a segu-rança de sistemas ou informações. Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

Para pensar

Ameaça versus Vulnerabilidade

Entende-se que a ameaça é o evento ou incidente, enquanto a vulnerabilidade é a fragilidade que será explorada para que a ameaça se torne concreta. Ameaças podem assumir diversas formas, como furto de equipamentos, mídia e docu-mentos, escuta não autorizada, incêndio, inundação e radiação eletromagnética, até fenômenos climáticos e sísmicos. Por exemplo, um computador cuja senha seja do conhecimento de todos, sofre ameaças como roubo, destruição ou alteração de informações; a vulnerabilidade que permite que estas ameaças se concretizem é justamente a senha ser conhecida e compartilhada por todos.

Vulnerabilidade Ameaça

Falta de treinamento de funcionários Erros humanos

Interrupção no servidor por queima da fonte Falha de hardware

Sistema aplicativo aceita qualquer valor nos seus campos Falha de software

Inundação da sala em virtude das fortes chuvas Ações da natureza

Explosão provocada intencionalmente no terminal de ônibus Terrorismo

Máquina ATM virada e pichada Vandalismo

Tabela 1.1 Exemplos de vulnerabilidades e ameaças.

G es tã o d e R is co s d e T I N BR 2 70 05

Os conceitos a seguir dizem respeito às atividades após a identificação dos riscos e relacio-nadas ao seu tratamento.

1 Risco: combinação da probabilidade (chance da ameaça se concretizar) de um evento indesejado ocorrer e de suas consequências para a organização. É a incerteza resultante da combinação da probabilidade de ocorrência de um evento e suas consequências. A pergunta “Qual o risco?” levanta dúvidas a respeito da ocorrência de algo incerto ou inesperado. Em segurança da informação, esta incerteza reside nos aspectos tecno-lógicos envolvidos, nos processos executados e, principalmente, nas pessoas que em algum momento interagem com a tecnologia e se envolvem com os processos.

1 Riscos de segurança da informação: possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, assim prejudicando a organização. 1 Identificação de riscos: processo para localizar, listar e caracterizar elementos de risco.

Por menor que seja a probabilidade de ocorrência de um risco, pode ser que determinada incerteza ocorra e explore uma vulnerabilidade, concretizando uma ameaça. Para se pre-parar para isso é necessário conhecer os riscos de todo o ambiente, através da realização de um processo formalizado de identificação de riscos.

1 Impacto: mudança adversa no nível obtido dos objetivos de negócios. Consequência ava-liada dos resultados com a ocorrência de um evento em particular, em que determinada vulnerabilidade foi explorada, uma ameaça ocorreu e o risco se concretizou. Qual foi o impacto deste evento nos negócios? Quanto se perdeu? A organização será responsabili-zada? Haverá multas? Ações legais serão impetradas? Haverá danos de imagem? Imagine as seguintes situações hipotéticas:

1. Em uma faculdade, um usuário com acesso às informações dos alunos deixou sua senha escrita num papel após renová-la. O que pode ocorrer? Qual o impacto?

2. Em plena preparação para o vestibular de uma determinada instituição, as provas vazaram. Qual o impacto se este vazamento ocorreu seis meses antes da realização do vestibular? E se ocorreu nas 48 horas que antecedem a realização do vestibular? Exemplos de impactos: perdas financeiras, paralisação de serviços essenciais, perda de confiança dos clientes, pane no fornecimento de energia e falhas de telecomunicações, entre tantos outros.

1 Estimativa de riscos: processo utilizado para atribuir valores à probabilidade e conse-quências de um risco. A estimativa de riscos permite quantificar ou descrever de forma qualitativa um risco, permitindo às organizações priorizar os riscos de acordo com os critérios estabelecidos.

1 Ações de modificação do risco: ações tomadas para reduzir a probabilidade, as conse-quências negativas, ou ambas, associadas a um risco.

1 Comunicação do risco: troca ou compartilhamento de informações sobre o risco entre o tomador de decisão e outras partes interessadas.

1 Ação de evitar o risco: decisão de não se envolver ou agir de forma a mitigar uma situação de risco.

1 Retenção do risco: aceitação do ônus da perda ou do benefício do ganho associado a um determinado risco.

1 Compartilhamento do risco: compartilhamento com outra entidade do ônus da perda ou do benefício do ganho associado a um risco.

Ca pí tu lo 1 - I nt ro du çã o à G es tã o d e R is co s

Exercício de fixação 1

e

Conceitos fundamentais

Durante uma apresentação sobre os conceitos de gestão de riscos para a alta direção da sua organização, você foi questionado sobre duas possíveis ameaças existentes e seus riscos. Como você responderia?

Em função da sua resposta para a alta direção, lhe pediram para explicar os possíveis impactos relacionados a estes riscos. Como você responderia?

Princípios da Gestão de Riscos

q

Princípios da gestão de riscos:

1 A gestão de riscos cria e protege valor.

1 A gestão de riscos é parte integrante de todos os processos organizacionais. 1 A gestão de riscos é parte da tomada de decisões.

1 A gestão de riscos aborda explicitamente a incerteza. 1 A gestão de riscos é sistemática, estruturada e oportuna.

1 A gestão de riscos baseia-se nas melhores informações disponíveis. 1 A gestão de riscos é feita sob medida.

1 A gestão de riscos considera fatores humanos e culturais. 1 A gestão de riscos é transparente e inclusiva.

1 A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças. 1 A gestão de riscos facilita a melhoria contínua da organização.

Para a gestão de riscos ser eficaz, convém que uma organização, em todos os níveis, atenda aos princípios descritos a seguir.

a. A gestão de riscos cria e protege valor.

A gestão de riscos contribui para a realização demonstrável dos objetivos e para a melhoria do desempenho, referente à segurança e saúde das pessoas, à conformidade legal e regula-tória, à aceitação pública, à proteção do meio ambiente, à qualidade do produto, ao geren-ciamento de projetos, à eficiência nas operações, à governança e à reputação.

G es tã o d e R is co s d e T I N BR 2 70 05

b. A gestão de riscos é parte integrante de todos os processos organizacionais.

A gestão de riscos não é uma atividade autônoma separada das principais atividades e processos da organização. A gestão de riscos faz parte das responsabilidades da adminis-tração e é parte integrante de todos os processos organizacionais, incluindo o planejamento estratégico e todos os processos de gestão de projetos e gestão de mudanças.

c. A gestão de riscos é parte da tomada de decisões.

A gestão de riscos auxilia os tomadores de decisão a fazer escolhas conscientes, priorizar ações e distinguir entre formas alternativas de ação.

d. A gestão de riscos aborda explicitamente a incerteza.

A gestão de riscos explicitamente leva em consideração a incerteza, a natureza dessa incer-teza, e como ela pode ser tratada.

e. A gestão de riscos é sistemática, estruturada e oportuna.

Uma abordagem sistemática, oportuna e estruturada para a gestão de riscos contribui para a eficiência e para os resultados consistentes, comparáveis e confiáveis.

f. A gestão de riscos baseia-se nas melhores informações disponíveis.

As entradas para o processo de gerenciar riscos são baseadas em fontes de informação, tais como dados históricos, experiências, retroalimentação das partes interessadas, obser-vações, previsões e opiniões de especialistas. Entretanto, convém que os tomadores de decisão se informem e levem em consideração quaisquer limitações dos dados ou mode-lagem utilizados, ou a possibilidade de divergências entre especialistas.

g. A gestão de riscos é feita sob medida.

A gestão de riscos está alinhada com o contexto interno e externo da organização e com o perfil do risco.

h. A gestão de riscos considera fatores humanos e culturais.

A gestão de riscos reconhece as capacidades, percepções e intenções do pessoal interno e externo, que podem facilitar ou dificultar a realização dos objetivos da organização.

i. A gestão de riscos é transparente e inclusiva.

O envolvimento apropriado e oportuno de partes interessadas e, em particular, dos toma-dores de decisão em todos os níveis da organização assegura que a gestão de riscos perma-neça pertinente e atualizada. O envolvimento também permite que as partes interessadas sejam devidamente representadas e tenham suas opiniões levadas em consideração na determinação dos critérios de risco.

j. A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças.

A gestão de riscos continuamente percebe e reage às mudanças. À medida que acontecem eventos externos e internos, o contexto e o conhecimento modificam-se, o monitoramento e a análise crítica de riscos são realizados, novos riscos surgem, alguns se modificam e outros desaparecem.

Ca pí tu lo 1 - I nt ro du çã o à G es tã o d e R is co s

k. A gestão de riscos facilita a melhoria contínua da organização.

Convém que as organizações desenvolvam e implementem estratégias para melhorar a sua maturidade na gestão de riscos, juntamente com todos os demais aspectos da sua organização.

Estes princípios da gestão dos riscos devem ser os norteadores desta nobre ativi-dade no dia a dia das organizações.

Normas de gestão de segurança e de riscos

q

1 Norma ABNT NBR ISO/IEC 27001:2006 1 Norma ABNT NBR ISO/IEC 27002:2005

A área de segurança da informação possui um conjunto de normas para serem utilizadas nas mais diversas organizações, a fim de permitir uma padronização dos requisitos e proce-dimentos para a implementação de um SGSI.

Norma ABNT NBR ISO/IEC 27001:2006

2 Tecnologia da Informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos

2 Apresenta e descreve os requisitos que devem ser implementados no estabeleci-mento de um Sistema de Gestão de Segurança da Informação (SGSI).

1 Norma ABNT NBR ISO/IEC 27002:2005

2 Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação

2 Apresenta as melhores práticas para uma gestão adequada da segurança da informação. Podendo ser aplicadas a qualquer ambiente de uma organização (particularmente ao ambiente de TI), estas normas destacam a necessidade das organizações de possuírem uma gestão de riscos estruturada, com a padronização de processos e requisitos de gestão de riscos. Em 1995, a comissão de padronização da Austrália e Nova Zelândia lançou a primeira norma tratando do tema: AS/NZS 4360 – Gestão de Risco. Genérica, a norma estabelece um processo de gestão de riscos amplamente aceito, tendo sido atualizada em 1999 (AS/NZS 4360:1999). Em 1996, a International Organization for Standardization (ISO) criou um grupo de trabalho baseado na AS/NZS 4360 para criar um projeto de gestão de risco, que passou por diversos problemas e só foi concluído em 2009.

q

ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes:

1 Norma que fornece os princípios e diretrizes genéricas para qualquer indústria ou setor. 1 Criada para ser aplicada a qualquer ambiente ou organização.

ABNT ISO GUIDE 73:2009 Gestão de Riscos – Vocabulário:

1 Norma que apresenta as definições de termos genéricos relativos à gestão de riscos. 1 Referência de conceitos ligados à gestão de risco.

ABNT Fundada em 1940, a Associação Brasileira de Normas Técnicas é o órgão responsável pela normalização técnica no país, fornecendo a base necessária ao desenvolvimento tecno-lógico brasileiro. É uma entidade privada, sem fins lucrativos.

Saiba mais

As normas descritas acima são apresentadas no curso Gestão de Segu-rança da Informação – NBR 27001 e 27002, oferecido pela Escola Superior de Redes.

G es tã o d e R is co s d e T I N BR 2 70 05

q

ISO/IEC 31010:2009 Gestão de riscos – Técnicas de avaliação de riscos:

1 Norma que deve ser trabalhada em apoio à norma “ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes”.

1 Descreve as diversas técnicas e ferramentas de análise de risco, e não foi ainda tradu-zida pela ABNT.

Em 2009 é lançada pela ISO e imediatamente pela Associação Brasileira de Normas Téc-nicas (ABNT) a norma ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes. Esta norma fornece os princípios e diretrizes genéricas para qualquer indústria ou setor. No mesmo ano foi lançada a norma ABNT ISO GUIDE 73:2009 Gestão de Riscos – Vocabu-lário. Ela apresenta as definições de termos genéricos relativos à gestão de riscos. Quando se pretende fazer referência a um conceito de gestão de riscos, deve ser utilizada a defi-nição da norma ABNT ISO GUIDE 73:2009 Gestão de Riscos – Vocabulário. Segundo a ABNT: “Este guia fornece as definições de termos genéricos relativos à gestão de riscos. Destina-se a incentivar uma compreensão mútua e consistente, uma abordagem coerente na descrição das atividades relativas à gestão de riscos e a utilização de terminologia uniforme de gestão de riscos em processos e estruturas para gerenciar riscos”.

Em 2012, foi lançada em português a norma “ABNT NBR ISO/IEC 31010:2012 Gestão de riscos – Técnicas para o processo de avaliação de riscos” deve ser trabalhada em apoio à norma “ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes”. A norma descreve as diversas técnicas e ferramentas de análise de risco, fornecendo orientações sobre a seleção e aplicação de técnicas sistemáticas para o processo de avaliação de riscos.

Este grupo de normas da série 31000 visa atender a qualquer tipo de ambiente de uma organização. Proporcionam, portanto, uma concepção ampla e genérica da gestão de riscos, sendo aplicadas para avaliar e tratar qualquer tipo de risco corporativo. Durante o desen-volvimento destas normas, foi publicada em 2008, pelo grupo de trabalho específico de tecnologia da informação, a norma “ABNT NBR ISO/IEC 27005: 2008 Tecnologia da Infor-mação – Técnicas de Segurança – Gestão de riscos de segurança da inforInfor-mação”. Esta norma foi desenvolvida com base nos estudos da ISO 31000:2009, e portanto atende aos seus requisitos e ao seu processo de gestão de risco. A ISO/IEC 27005 faz parte do conjunto de normas da série de 27000, sobre o Sistema de Gestão de Segurança da Informação (SGSI), onde são incluídas ainda as normas ISO/IEC 27001 e ISO/IEC 27002. Esta norma apresenta as melhores práticas e possibilita o aprofundamento em aspectos exclusivos da segurança da informação, enquanto a ISO 31000 é mais genérica e contempla todos os setores.

O enfoque deste curso está na norma “ABNT NBR ISO/IEC 27005: 2008 Tecnologia da Informação – Técnicas de Segurança – Gestão de riscos de segurança da infor-mação”. Os conceitos, processos e atividades apresentados se adequam ao que propõe a norma “ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e dire-trizes”, podendo ser aplicados em qualquer outra área que não a de TI.

Ca pí tu lo 1 - I nt ro du çã o à G es tã o d e R is co s

O quadro abaixo apresenta um resumo comparativo entre estas normas:

Norma Título Objetivo Observação

27001 Tecnologia da infor-mação – Técnicas de segurança – Sistemas de gestão de segu-rança da informação – Requisitos

Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criti-camente, manter e melhorar um SGSI docu-mentado no contexto dos riscos de negócio globais da organização. Especifica requisitos para a implementação de controles de segu-rança personalizados para as necessidades individuais de organizações ou de suas partes. Cobre todos os tipos de organização (empre-endimentos comerciais, agências governamen-tais, organizações sem fins lucrativos, entre diversas outras).

Trata mais especifica-mente de diretrizes e princípios para um sistema de gestão de segurança da infor-mação. 27002 Tecnologia da infor-mação – Técnicas de segurança – Código de prática para a gestão de segurança da infor-mação

Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação. Os obje-tivos definidos nesta norma estabelecem dire-trizes gerais para as metas e melhores práticas para a gestão da segurança da informação.

Voltada para controles de segurança. 27005 Tecnologia da infor-mação – Técnicas de segurança – Gestão de riscos de segu-rança da informação

Apresenta um sistema de gestão de riscos de segurança da informação com foco em tecno-logia da informação.

Esclarece como geren-ciar riscos de segu-rança da informação.

31000 Gestão de riscos –

Princípios e diretrizes Norma que apresenta princípios e diretrizes básicas para a gestão de riscos em geral em

qualquer tipo de ambiente. 

Editada em 2009, deste ano em diante as demais normas de gestão de riscos devem estar alinhadas a ela.

31010 Gestão de riscos

— Técnicas para o processo de avaliação de riscos

Descreve as diversas técnicas e ferramentas

de análise de riscos. Editada em 2012.

GUIDE 73 Gestão de risos –

Vocabulário Apresenta as definições de termos genéricos relativos à gestão de riscos. Editada em 2009.

Norma ABNT NBR ISO/IEC 27005:2008

q

ABNT NBR ISO/IEC 27005:2008 – Tecnologia da Informação – Técnicas de Segurança – Gestão de riscos de segurança da informação

1 Apresenta as diretrizes para o gerenciamento dos riscos de segurança da informação. 1 Emprega os conceitos da norma ABNT NBR ISO 27001:2005.

A norma “ABNT NBR ISO/IEC 27005:2008 – Tecnologia da Informação – Técnicas de Segu-rança – Gestão de riscos de seguSegu-rança da informação” foi publicada em julho de 2008 e apresenta as diretrizes para o gerenciamento dos riscos de segurança da informação. Emprega os conceitos da norma ABNT NBR ISO 27001:2005, que especifica os requisitos de sistemas de gestão da segurança da informação.

Tabela 1.2 Resumo comparativo entre as normas.

G es tã o d e R is co s d e T I N BR 2 70 05

Esta norma descreve todo o processo necessário para a gestão de riscos de segurança da informação e as atividades necessárias para a perfeita execução da gestão. Apresenta prá-ticas para gestão de riscos da segurança da informação. As técnicas nela descritas seguem o conceito, os modelos e os processos globais especificados na norma ABNT NBR ISO/IEC 27001, além de apresentar a metodologia de avaliação e tratamento dos riscos requeridos pela mesma norma.

Partindo do princípio de que a gestão de riscos é um processo cíclico e contínuo, a norma está dividida em sessões e anexos. As sessões contêm as informações do processo e das atividades necessárias para a sua execução. Existem 12 sessões ao todo: as sessões de 1 a 4 tratam das referências e da estrutura da norma, e as sessões 5 e 6 apresentam a visão geral do processo de gestão de riscos. As sessões a partir da 7 tratam especificamente do processo de gestão de riscos. Os seis anexos são identificados de A a F e trazem informações adicionais e exemplos.

Nas sessões de 7 a 12 as atividades de gestão são apresentadas de acordo com a seguinte estrutura:

1 Entrada: refere-se aos insumos e premissas necessárias para a realização da atividade. 1 Ação: descrição da atividade, sempre acompanhada do “convém”.

1 Diretrizes para implementação: diretrizes necessárias para a realização da ação, isto é, o detalhamento de como a ação pode ser realizada. Estas diretrizes devem ser adaptadas a cada tipo de organização. Também estão acompanhadas do “convém”.

1 Saída: apresenta os resultados que devem ser alcançados e que vão servir para gerar evidências. Este curso utiliza o processo de gestão de riscos normatizado contido na norma ABNT NBR ISO/IEC 27005.

Visão geral da gestão de riscos

q

1 É necessária uma abordagem sistemática de gestão de riscos que varia de organi-zação para organiorgani-zação assim como o nível de risco aceitável de cada uma. 1 Risco aceitável é o grau de risco que a organização está disposta a aceitar para

con-cretizar os seus objetivos.

1 Necessidade de aumentar a capacidade de gerir o risco e otimizar o retorno. 1 A abordagem de gestão de riscos de segurança da informação deve ser:

2 Contínua.

2 Realizada no tempo apropriado. 2 Repetitiva.

2 Própria ao ambiente da organização.

2 Ajustada ao processo de gestão de riscos corporativos. 2 Alinhada com os requisitos de negócios.

2 Apoiada pela alta direção.

Gestão de riscos são atividades formalizadas e coordenadas para controlar e dirigir um con-junto de instalações e pessoas com relações e responsabilidades, entre si e externamente, no que se refere a riscos nos negócios sob a ótica da segurança da informação.

Ca pí tu lo 1 - I nt ro du çã o à G es tã o d e R is co s Definição do contexto; 1 Análise/Avaliação de riscos; 1 Tratamento do risco; 1 Aceitação do risco; 1 Comunicação do risco;

1 Monitoramento e análise crítica; 1 Ciclo de melhoria contínua PDCA.

A Tabela 1.3 mostra as principais atividades de gestão de riscos da segurança da informação.

Processo do SGSI Processo de gestão de riscos de segurança da informação

PLANEJAR

1 Definição do contexto 1 Análise/Avaliação de riscos

1 Definição do plano de tratamento do risco 1 Aceitação do risco

EXECUTAR Implementação do plano de tratamento do risco

VERIFICAR Monitoramento contínuo e análise crítica de riscos

AGIR Manutenção e melhoria do processo de gestão de riscos de segu-_{rança da informação}

Em seu livro “Desafio aos deuses: a fascinante história do risco”, Peter Bernstein nos pre-senteia com uma detalhada análise histórica da evolução do controle e previsão dos riscos pela humanidade, desde a Grécia antiga. Segundo o autor, somos possuidores de elevado potencial técnico para a prevenção das perdas e ganhos, mesmo que o comportamento dos agentes seja imprevisível. Nas suas palavras: “... aconteça o que acontecer e apesar de todos os nossos esforços, os seres humanos não possuem o conhecimento completo sobre as leis que definem a ordem do mundo objetivamente existente”. Portanto, o autor nos desquali-fica como “previsores perfeitos” do futuro.

Bernstein diz ainda que “Quando investidores compram ações, cirurgiões realizam opera-ções, engenheiros projetam pontes, empresários abrem seus negócios e políticos concorrem a cargos eletivos, o risco é um parceiro inevitável. Contudo, suas ações revelam que o risco não precisa ser tão temido: administrar o risco é sinônimo de desafio e oportunidade”. O risco faz parte de nosso cotidiano, de modo que precisamos conhecê-lo para poder tratá--lo e dele extrair novas oportunidades.

É inquestionável a importância do papel que a tecnologia da informação exerce na socie-dade para que esta alcance seus objetivos. A integração do ambiente tecnológico, caracte-rizado pela complexidade e interdependência, produz contextos muitas vezes hostis que propiciam ataques cada vez mais frequentes à segurança da informação, exigindo respostas cada vez mais rápidas das organizações. A este quadro vêm somar-se novas obrigações legais, de proteção de privacidade e governança corporativa, gerando a necessidade das organizações gerenciarem mais efetivamente sua infraestrutura de tecnologia.

Para enfrentar estas novas ameaças e demandas as organizações devem desenvolver uma atitude proativa, antecipando-se em conhecer suas fraquezas e vulnerabilidades. Isto pode ser obtido através da adoção de um processo formal de gerenciamento de riscos de segu-rança da informação, que permita à organização estabelecer um nível aceitável de risco.

Tabela 1.3 Principais atividades de gestão de riscos da segurança da informação.

Saiba mais

G es tã o d e R is co s d e T I N BR 2 70 05

Para isso é necessária uma abordagem sistemática de gestão de riscos, que irá variar de acordo com o negócio de cada organização, assim como o nível de risco aceitável estabele-cido pela direção de cada organização.

Risco aceitável é o grau de risco que a organização está disposta a aceitar para a concretização dos seus objetivos estratégicos.

Exercício de fixação 2

e

Visão geral

Na sua organização, qual seria o “risco aceitável” na realização das suas atividades? Explique.

Aumentar a capacidade de gerir o risco e otimizar o retorno são ações integrantes de uma abordagem sistêmica, que proporciona um processo formal para a melhoria da capacidade de identificação e avaliação dos riscos. Esta abordagem deve estar de acordo com os obje-tivos da organização, atendendo às suas necessidades específicas de acordo com os requi-sitos de segurança da informação. Para isso, a abordagem de gestão de riscos de segurança da informação deve ser:

1 Contínua;

1 Realizada no tempo apropriado; 1 Repetitiva;

1 De acordo com o ambiente da organização;

1 Ajustada ao processo de gestão de riscos corporativos; 1 Alinhada com os requisitos de negócios;

1 Apoiada pela alta direção.

Partindo do conceito amplo de que o processo de gestão é composto de atividades coordenadas e formalizadas para controlar e dirigir uma organização – formada por suas instalações e pessoal, com relações e responsabilidades entre si e com agentes externos –, pode-se inferir que a gestão de riscos é composta de atividades formalizadas e coordenadas para controlar e dirigir um conjunto de instalações e pessoas com relações e responsabilidades, entre si e com o ambiente externo, no que se refere a riscos nos negócios sob a ótica da segurança da informação.

Ca pí tu lo 1 - I nt ro du çã o à G es tã o d e R is co s

A Figura 1.1 apresenta uma visão do processo de gestão de riscos de segurança da infor-mação segundo a norma ABNT NBR ISO/IEC 27005.

IDENTIFICAÇÃO DE RISCOS ANÁLISE DE RISCOS

ACEITAÇÃO DO RISCO

FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES

COMUNICAÇÃO E CONSULTA DO RISCO

MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

PONTO DE DECISÃO 2 Tratamento satisfatório PONTO DE DECISÃO 1 Avaliação satisfatória Não Sim Não Sim

PROCESSO DE AVALIAÇÃO DE RISCOS

TRATAMENTO DO RISCO AVALIAÇÃO DE RISCOS DEFINIÇÃO DO CONTEXTO

O processo tem seis grandes grupos de atividades: 1 Definição do contexto;

1 Análise/Avaliação de riscos; 1 Tratamento do risco; 1 Aceitação do risco; 1 Comunicação do risco;

1 Monitoramento e análise crítica.

Como pode ser visto na Figura 1.1, o ciclo de vida da gestão de riscos de segurança da infor-mação é iterativo, onde a gestão se desenvolve de maneira incremental, através de uma sucessão de iterações, e cada iteração libera uma entrega (saída) para a seguinte, minimi-zando tempo e esforço.

Definição do contexto

Dentro do processo, a definição do contexto é responsável pela definição do ambiente, escopo, critérios de avaliação, entre outras definições.

Figura 1.1 Processo de gestão de riscos de segurança da informação.

G es tã o d e R is co s d e T I N BR 2 70 05

Esta etapa é essencial para a equipe que realiza a gestão de risco conhecer todas as infor-mações sobre a organização.

Análise/Avaliação de riscos

A próxima iteração é de análise e avaliação de risco, que permitirá a identificação dos riscos e a determinação das ações necessárias para reduzir o risco a um nível aceitável.

Tratamento do risco

A partir dos resultados obtidos na análise e avaliação do risco são definidos os controles necessários para o tratamento do risco. A norma ABNT NBR ISO/IEC 27001 especifica os controles que deverão ser implementados.

Aceitação do risco

Assegura os riscos aceitos pela organização, ou seja, os riscos que por algum motivo não serão tratados ou serão tratados parcialmente. São os chamados riscos residuais, cujo enquadramento nesta categoria deverá ser justificado.

Comunicação do risco

Nesta etapa é feita a comunicação do risco e da forma como será tratado, para todas as áreas operacionais e seus gestores.

Monitoramento e análise crítica

São as atividades de acompanhamento dos resultados, implementação dos controles e de análise crítica para a melhoria contínua do processo de gestão de riscos.

Todas estas etapas serão detalhadas nas próximas sessões.

A norma ABNT NBR ISO/IEC 27001 especifica que os controles implementados no escopo, limites e contexto do Sistema de Gestão de Segurança da Informação (SGSI) devem estar baseados no risco. Este requisito deve ser atendido através da aplicação do processo de gestão de riscos de segurança da informação.

No ambiente de um SGSI, a definição do contexto, a análise e avaliação de riscos, o desen-volvimento do plano de tratamento do risco e a aceitação do risco fazem parte da fase “Pla-nejar” do ciclo de melhoria contínua PDCA. Já a fase “Executar” do SGSI é a implementação de controles para conduzir os riscos ao nível aceitável pela organização. A fase “Verificar” do SGSI, por sua vez, inclui as ações de revisão. Finalmente, a fase “Agir” compreende as ações necessárias para execução, incluindo a reaplicação do processo de gestão de riscos de segurança da informação.

Podemos resumir da seguinte forma as principais atividades de Gestão de riscos de segu-rança da informação:

Processo do SGSI Processo de gestão de riscos de segurança da informação

PLANEJAR

Definição do contexto Análise/Avaliação de riscos

Definição do plano de tratamento do risco Aceitação do risco

Ca pí tu lo 1 - I nt ro du çã o à G es tã o d e R is co s

Processo do SGSI Processo de gestão de riscos de segurança da informação

VERIFICAR Monitoramento contínuo e análise crítica de riscos

AGIR Manutenção e melhoria o processo de Gestão de Riscos de Segu-_{rança da Informação}

Manutenção e melhoria do processo Monitoramento e análise crítica Implementar o plano de tratamento Aceitação do risco Definição do plano de tratamento Análise/Avaliação de riscos Definição do contexto AGIR PLANEJAR PL AN EJA R PL AN EJA R PLA NEJ AR EX EC UT AR V ERIF ICAR

Exercício de fixação 3

e

PDCA

Explique como a fase planejar (PDCA) do processo do SGSI é executado no processo de gestão de riscos de segurança da informação.

Fatores críticos para o sucesso

q

1 Redução das surpresas operacionais e prejuízos.

1 Identificação de oportunidades de crescimento e melhorias.

1 Racionalização do capital estabelecendo uma ordem de prioridades de investimento. 1 Prá-atividade com o uso dos recursos computacionais nos negócios.

1 Envolvimento e participação da alta direção no processo. 1 Comunicação e treinamento.

1 Definição de objetivos.

1 Papéis e responsabilidades definidos.

1 Integração com as atividades de gestão de segurança da informação.

Figura 1.2 Processo de gestão

de riscos e o modelo PDCA.

G es tã o d e R is co s d e T I N BR 2 70 05

A gestão de riscos de segurança da informação é implementada pelas organizações na busca por vantagens competitivas para os negócios. É fundamental demonstrar, para as partes interessadas, uma postura de segurança na gestão dos riscos relacionados à pro-teção dos ativos e informações.

Os fatores críticos para o sucesso estão relacionados aos benefícios que devem ser alcan-çados pelas organizações, a depender da natureza de cada organização. Para atingir tais benefícios é preciso realizar as etapas que envolvem os fatores críticos para o sucesso. Como exemplos destes fatores podemos mencionar os listados a seguir.

Envolvimento e participação da alta direção no processo

É essencial para o sucesso de qualquer projeto que a direção esteja envolvida e comprometida com o seu desenvolvimento e sucesso de acordo com os objetivos estratégicos definidos.

Comunicação e treinamento

Todo o processo precisa ser comunicado a todas as partes envolvidas antes do seu início, durante o seu desenvolvimento e após sua conclusão, com a apresentação dos resultados alcançados e metas atingidas. Em um processo de gestão de riscos todos os participantes devem ser envolvidos, e para isso é necessária a realização de campanhas de conscienti-zação e treinamentos.

Definição de objetivos

O estabelecimento de objetivos contribui decisivamente com o alcance das metas da gestão de riscos.

Papéis e responsabilidades definidas

Todos os integrantes das partes envolvidas devem conhecer as suas atribuições e responsa-bilidades durante todo o processo de gestão de riscos de segurança da informação.

Integração com a gestão de segurança da informação

As atividades de gestão de riscos devem estar totalmente integradas às atividades do SGSI. No desenvolvimento deste curso serão explorados os fatores críticos de sucesso perten-centes a cada etapa da gestão de riscos de segurança da informação.

Áreas de conhecimento necessárias

q

Os profissionais envolvidos nas atividades de análise de risco possuem um perfil com conhecimento em diversas áreas:

1 Técnico. 1 Negócios. 1 Legislação. 1 Processos.

Para a melhor aplicação do processo de gestão de riscos, é importante que os profissionais envolvidos possuam um perfil com conhecimento de áreas diversas, permitindo a identifi-cação das ameaças e vulnerabilidades em qualquer ambiente organizacional.

Na equipe encarregada da realização da análise de risco preferencialmente devem ser encontrados os seguintes perfis:

Ca pí tu lo 1 - I nt ro du çã o à G es tã o d e R is co s

1 Técnico: contribui no atendimento das demandas das diversas áreas técnicas da organi-zação, incluindo as áreas de hardware, software, sistemas operacionais, infraestrutura e aplicações web, entre outras.

1 Negócios: auxilia a equipe no entendimento preciso dos negócios da organização e seus múltiplos processos, além de ter importância no cálculo dos impactos.

1 Legislação: perfil voltado ao entendimento dos aspectos legais e normativos com os quais a organização analisada necessita se alinhar.

1 Processos: permite a compreensão dos processos e através de sua análise identifica pos-síveis ameaças e vulnerabilidades, contribuindo com a elaboração de planos de gestão e tratamento de riscos.

Estes são alguns exemplos de perfis ou conhecimentos necessários para a análise de risco. O tipo da organização e seus objetivos de negócios indicarão os perfis realmente importantes para compor a equipe de trabalho. Não existe a necessidade de um profissional para cada perfil citado, pois os conhecimentos podem ser encontrados em um mesmo profissional. A quantidade de profissionais alocados será determinada pelo escopo da análise e prazo.

Leitura complementar

1 Sessões 4, 5 e 6 da norma ABNT NBR ISO/IEC 27005.

1 Item 4 da Norma Complementar Gestão de Riscos de Segurança da Informação e Comuni-cações – GRSIC, do DSIC/GSI/PR: http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf 1 Enterprise Risk Management: Past, Present and Future:

http://www.casact.org/education/erm/2004/handouts/kloman.pdf 1 Interdisciplinary Risk Management:

http://www.riskinfo.com/rmr/rmrjun05.htm 1 Quatro dicas para uma gestão de riscos eficiente:

http://cio.uol.com.br/gestao/2009/07/03/quatro-dicas-para-a-boa-gestao-de-riscos/ 1 AS/NZS 4360:

http://www.standards.org.au/ 1 História da AS/NZS 4360:

G es tã o d e R is co s d e T I N BR 2 70 05

Ca pí tu lo 1 - R ot ei ro d e A tiv id ad es

Roteiro de Atividades 1

Atividade 1.1 – Conhecendo os conceitos

Para cada conceito a seguir, explique e apresente um exemplo baseado na organização em que você trabalha. Justifique sua resposta:

Conceito Definição Exemplo Justificativa

Riscos de segurança da informação Identificação de riscos Impacto Compartilhamento do risco Evitar o risco Comunicação do risco Estimativa do risco Tratamento do risco Aceitação do risco

Atividade 1.2 – Conhecendo a norma

Descreva como está organizada a norma ABNT NBR ISO/IEC 27005, citando suas sessões.

Explique como estão estruturadas as atividades das sessões 7 a 12 da norma ABNT NBR ISO/IEC 27005.

G es tã o d e R is co s d e T I N BR 2 70 05

Atividade 1.3 – Identificando o processo

Descreva a sequência das etapas do processo de gestão de riscos.

Atividade 1.4 – Fatores críticos

O que é a gestão de riscos de segurança da informação e como ela se aplica na sua organização?

Quais são os fatores críticos de sucesso? Dê exemplos baseados na sua organização.

Em sua opinião qual a importância de entendermos a gestão de risco para o exercício das nossas atividades cotidianas?

O que foi aprendido

q

1 Conceito de gestão de risco. 1 Visão geral da gestão de risco. 1 Fatores críticos de sucesso.

Ca pí tu lo 2 - C on te xt o d a g es tã o d e r is co s

obj

et

ivo

s

co

nc

ei

to

s

2

Contexto da gestão de riscos

Conceituar e definir o contexto do ambiente da gestão de riscos; identificar o escopo e as atividades de definição de critérios no processo de gestão de riscos.

Contexto, escopo, limites e critérios.

Introdução

Ao iniciar qualquer tipo de trabalho, a primeira atividade a ser feita é conhecer o ambiente em que o trabalho será desenvolvido, as pessoas que de alguma forma irão interagir, o que será desenvolvido; em resumo, “conhecer o terreno” para saber conduzir o andamento dos trabalhos. Nas atividades que envolvem gestão de riscos de segurança da informação a definição do con-texto é a parte inicial e tem como objetivo permitir o conhecimento do ambiente da organização.

Exercício de nivelamento 1

e

Contexto

No seu entendimento qual o contexto atual da sua organização?

Processo de gestão de riscos de segurança da informação

q

1 Conhecer a sequência das fases da gestão de riscos. 1 Ter acesso a toda a documentação da organização.

Na sessão anterior foi apresentada a visão geral do processo de gestão de riscos. É neces-sário que o conhecimento da sequência das fases do processo faça parte do dia a dia dos profissionais envolvidos com a gestão de riscos.

G es tã o d e R is co s d e T I N BR 2 70 05 IDENTIFICAÇÃO DE RISCOS ANÁLISE DE RISCOS ACEITAÇÃO DO RISCO

FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES

COMUNICAÇÃO E CONSULTA DO RISCO

MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

PONTO DE DECISÃO 2 Tratamento satisfatório PONTO DE DECISÃO 1 Avaliação satisfatória Não Sim Não Sim

PROCESSO DE AVALIAÇÃO DE RISCOS

TRATAMENTO DO RISCO AVALIAÇÃO DE RISCOS DEFINIÇÃO DO CONTEXTO

Para realizar esta atividade, os profissionais deverão ter acesso a toda documentação sobre a organização, permitindo assim o amplo conhecimento sobre as especificidades da organização.

Contexto

É necessário entender o significado conceitual de “contexto” e sua aplicação na gestão de riscos. Ao buscar o seu significado nos dicionários, encontra-se, entre outras definições, que contexto é um substantivo masculino que significa “inter-relação de circunstâncias que acompanham um fato ou uma situação”.

Assim, ao nos referirmos a “contexto” queremos na verdade tratar da totalidade de circunstân-cias que possibilitam, condicionam ou determinam a realização de um texto, projeto, ativi-dade ou mesmo de um evento de segurança da informação. Em outras palavras, contexto é o conjunto de circunstâncias que se relacionam de alguma forma com um determinado aconteci-mento. É a situação geral ou o ambiente a que está sendo referido um determinado assunto.

Chamamos de contextualização a atividade de mapear todo o ambiente que envolve o evento em análise. No processo de gestão de riscos esta é a primeira atividade a ser desempenhada.

Figura 2.1 Definição do contexto.

Ca pí tu lo 2 - C on te xt o d a g es tã o d e r is co s

Segundo a norma ABNT NBR ISO 31000:2009 o contexto pode ser analisado sob dois aspectos:

q

1 Contexto Externo: é o ambiente externo no qual a organização se situa e busca atingir seus objetivos (ambiente cultural, financeiro, regulatórios, tecnológico, econômico, competitivo, entre outros).

1 Contexto Interno: é o ambiente interno no qual a organização busca atingir seus objetivos (governança, estrutura organizacional, políticas, objetivos, capacidades, sistemas de informação, cultura organizacional, normas, diretrizes, entre outras).

Estabelecimento do contexto

q

De acordo com a norma ABNT NBR ISO/IEC 31000, no momento em que a organização estabelece seu contexto ela:

1 Articula seus objetivos.

1 Define parâmetros internos e externos.

1 Define o escopo e os critérios de risco para todo o processo de gestão de riscos. De acordo com a norma ABNT NBR ISO/IEC 31000, no momento que a organização estabe-lece seu contexto ela articula seus objetivos, definindo parâmetros internos e externos que devem ser levados em consideração para gerenciar o risco, e define o escopo e os critérios de risco para todo o processo de gestão de riscos.

Contexto da norma ABNT NBR ISO/IEC 27005

q

Seção 7 da ABNT NBR ISO/IEC 27005: trata as atividades desenvolvidas durante a fase de contexto da gestão de riscos.

1 Apresentações da organização. 1 Entrevistas.

1 Questionários:

2 Seção 7.1 – Considerações iniciais. 2 Seção 7.2 – Critérios básicos. 2 Seção 7.3 – Escopo e limites.

2 Seção 7.4 – Organização para gestão de riscos de segurança da informação. 1 Anexo A – Informativo.

A seção 7 da norma ABNT NBR ISO/IEC 27005 trata das atividades que devem ser desen-volvidas durante a fase de contexto da gestão de riscos. Essas atividades devem ser desenvolvidas pela equipe responsável pela gestão de riscos, sendo realizadas por meio de interações com os profissionais da organização avaliada através de:

1 Apresentações da organização;

1 Entrevistas com diretores, gerentes, técnicos e usuários; 1 Questionários.

A seção 7 desta norma está organizada da seguinte forma:

1 Seção 7.1 – Considerações iniciais: finalidade de realizar a contextualização; 1 Seção 7.2 – Critérios básicos: critérios de avaliação;