Академический Документы
Профессиональный Документы
Культура Документы
GSIC302
VERSO 1.2
Fernando Haddad
Ministro da Educao
UNIVERSIDADE DE BRASLIA
Jos Geraldo de Sousa Junior
Reitor
Joo Batista de Sousa
Vice-Reitor
Denise Bomtempo Birche de Carvalho
Decana de Pesquisa e Ps-Graduao
Nora Romeu Rocco
Instituto de Cincias Exatas
Priscila Barreto
Departamento de Cincia da Computao
CEGSIC
Coordenao
Jorge Henrique Cabral Fernandes
Secretaria Pedaggica
Marcelo Felipe Moreira Persegona
Ana Cristina Santos Moreira
Eduardo Loureiro Jr.
Assessoria Tcnica
Ricardo Sampaio
Gabriel Velasco
Odacyr Luiz Timm
Secretaria Administrativa
Adriana Rodrigues Pereira Moura
Gelsilane Cruvinel Menezes
Texto e Ilustraes
Jorge Henrique Cabral Fernandes
Capa e projeto grfico
Alex Harlen
Diagramao
Estfano Pietragalla
Desenvolvido em atendimento ao plano de trabalho do Programa de Formao de Especialistas para a Elaborao da
Metodologia Brasileira de Gesto de Segurana da Informao e Comunicaes CEGSIC 2009-2011.
Sumrio
[6] Currculo resumido do autor
[7] Resumo
[8] 1 Introduo
[9] 2 Fundamentos Gerais da Gesto e da Segurana
2.1. Organizaes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.2 Ordem e Caos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.3 Sistema Seguro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.4 Gesto e Gestores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.5 Controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.6 Controles de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.6.1 Controle de Segurana Operacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.6.2 Controle de Segurana Gerencial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.6.3 Controle de Segurana Tcnico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.6.4 Salvaguardas, Contramedidas ou Medidas de Segurana . . . . . . . . . . 12
2.6.5 Implementao de Controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.7 Eventos e Incidentes de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.7.1 Evento de Segurana da Informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.7.2 Incidente de Segurana da Informao . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.8 Risco e Risco de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.8.1 Risco de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.8.2 Perfil do Risco de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.8.3 Cenrio de Incidentes de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.8.4 Reduo do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.8.5 Iteratividade na Gesto do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.9 Paradoxo da Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.10 Concluso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
[55] 12 Concluses
[56] Referncias
Resumo
O objetivo deste texto apresentar uma introduo conceitual gesto da segurana,
com base na gesto de riscos de segurana da informao. O modelo conceitual de segurana, apresentado no Captulo 2, desenvolvido pelo prprio autor. O modelo de gesto de
riscos de segurana baseado na abordagem da norma ABNT NBR ISO/IEC 27005:2008 (ABNT,
2008) e apresentado nos captulos 3 a 10. A base para a apresentao da norma foi a verso
draft (ISO/IEC, 2007) da norma produzida pela ISO/IEC. A monografia contm uma compilao de vrios elementos descritos na referida norma e na verso brasileira da ISO/IEC (ABNT,
2008), mas no a substitui. Por fim, o texto apresenta algumas orientaes para a introduo
da gesto de riscos nas organizaes, baseadas na Norma AS-NZS 4360 (Standards Australia
and Standards New Zealand, 2004), da qual deriva a ISO/IEC 31000 (ISO/IEC, 2009). O texto foi
produzido para suporte s atividades do CEGSIC 2009-2011, a partir de aprimoramento de
material previamente desenvolvido em verses anteriores do CEGSIC. Comentrios, crticas,
sugestes e propostas de correes para aprimoramento deste material devem ser encaminhadas ao autor, que antecipa agradecimentos pelo retorno.
1 Introduo
Risco uma estimativa de incerteza1 e consequncias relacionadas ocorrncia de um
evento desejvel ou indesejvel. Segundo a Society for Risk Analysis2, o risco tem sido usado
desde antes da Grcia antiga como fundamento para a tomada de decises.
Por exemplo, suponha que tenho que decidir entre fumar ou no fumar. H um risco de
que, se eu adotar o hbito de fumar, desenvolva cncer de pulmo antes dos 50 anos. Tambm
h um risco de que, se no fumar, desenvolva cncer de pulmo antes dos cinquenta anos!
Qual dos riscos maior? Diz a cincia3 que se eu fumar terei um maior risco. Vrios fatores
podem estar envolvidos da determinao do risco acerca dessa questo especfica sobre fumo
e cncer, como idade, sexo, hbitos alimentares, profisso, condio familiar etc. Embora o
exemplo acima seja aplicvel tomada de decises individuais, os mesmos princpios podem
ser transpostos para a tomada de decises acerca de segurana nas organizaes.
Vrios modelos e mtodos da gesto de riscos contempornea foram desenvolvidos na
ltima dcada, como STONEBURNER, GOGUEN, FERINGA (2002), PELTIER (2001), Standards
Australia and Standards New Zealand (2004), ISO/IEC (2007), ISO/IEC (2009), COSO (2004), ALBERTS, DOROFEE (2002), MEULBROEK (2002), ASIS (2007), HHS (2005), BSI (2005), BS (2006)
e CNSS (2005). Tais mtodos baseiam-se na construo de uma argumentao racional, que
emprega fundamentos do mtodo cientfico para produzir medies quantitativas ou qualitativas acerca do risco organizacional ou relacionado a projetos. Tais medies permitem a
tomada de decises acerca da implementao de controles e outras aes de segurana. Por
meio da gesto de riscos os fatores do risco so decompostos, recompostos e recalculados de
forma iterativa, produzindo continuamente subsdios a decises satisfatrias para melhoria da
segurana de uma organizao. O plano de gerenciamento de riscos o principal direcionador
de um plano de segurana.
Este texto apresenta uma introduo conceitual gesto de riscos de segurana da informao. O modelo de gesto de riscos de segurana baseado na abordagem descrita na verso International Draft da ISO/IEC 27005 (ISO/IEC, 2007), bem como na sua congnere nacional,
a ABNT NBR ISO/IEC 27005:2008 (ABNT, 2008). A monografia contm uma compilao de vrios
elementos descritos na referida norma, mas no a substitui.
O restante do texto est dividido em mais 11 sees. Na Seo 2 so apresentados fundamentos gerais das organizaes e gesto da segurana. Na Seo 3 so apresentados conceitos bsicos da gesto de riscos. Nas sees 4 a 10 so apresentados os elementos do processo
de gesto de riscos de segurana da informao da ISO/IEC (2007). Na seo 11 so apresentadas recomendaes para a introduo da gesto de riscos em organizaes, baseadas na
norma Neozelandesa-Australiana de Gesto de Riscos (Standards Australia and Standards New
Zealand, 2004).
Kimberly M. Thompson, Paul F. Deisler, Jr., and Richard C. Schwing. Interdisciplinary Vision: The
First 25 Years of the Society for Risk Analysis (SRA), 19802005. Risk Analysis, Vol. 25, No. 6, 2005.
http://www.cancer.gov/cancertopics/smoking
http://en.wikipedia.org/wiki/Futurology
2.5 Controles
Depreende-se da discusso anterior que os controles aumentam a previsibilidade do funcionamento da organizao e, dessa forma, so vistos como estabilizadores dos processos e
sistemas nas organizaes.
De forma geral, controle pode ser referir ao ato ou processo de controlar, como:
a. [Controle] intervir numa situao, pessoa (ou grupo de pessoas) e fazer com
ela(s) realize(m) o que voc quer (LOGMAN, 1993);
b. [Controle] intervir sobre um processo, sistema etc, de modo que ele funcione
adequadamente e no cause problemas (LOGMAN, 1993);
c. [Controle] intervir sobre mquinas, equipamentos ou veculos usando suas
mos, ps, ferramentas etc (LOGMAN, 1993);
d. [Controle] o poder de direo e comando (PEARSALL; THUMBLE, 1996);
e. [Controle] ter responsabilidade sobre uma atividade ou grupo de pessoas (LOGMAN, 1993).
Controle tambm pode ser referir aos objetos que controlam, especialmente quando usado no plural, como:
a. [Controles] so mtodos, leis etc que so usados para controlar uma situao
(LOGMAN, 1993);
b. [Controles] so chaves e outros dispositivos por meio dos quais uma mquina ou
um veculo controlado (PEARSALL; THUMBLE, 1996);
c. [Controle] uma pessoa ou grupo que controla algo (PEARSALL; THUMBLE, 1996).
Em auditoria, o termo controle mais empregado no sentido de exame e verificao, conforme as seguintes definies:
a. [Controle] examinar ou verificar algo (LOGMAN, 1993);
b. [Controle] uma das funes gerenciais, da mesma forma que planejamento,
organizao, recursos humanos e direo. Compreende a definio de padres,
medio do desempenho real e tomada de aes corretivas (WIKIPEDIA, 2009);
c. [Controle] significa conhecer a realidade, compar-la com o que deveria ser, tomar conhecimento rpido das divergncias e suas origens e tomar medidas para
sua correo (ELISEU, 1995 apud PAULA, 1999, p. 21);
d. [Controle] abrange os vrios processos nos quais a administrao determina
seus objetivos, delineia os planos para alcanar esses objetivos, organiza e supervisiona as operaes necessrias para a implementao dos planos e desempenhos esperados (ELISEU, 1995 apud PAULA, 1999, p. 21);
10
11
12
13
14
Por ser uma consumidora de recursos no relacionada realizao das atividades fim de
uma organizao, a segurana cria um aparente paradoxo.
Por um lado, existe uma quantidade infinita de eventos negativos que podem ocorrer, e a
adoo de controles de segurana para neutralizar cada um destes eventos levaria uma organizao a comprometer todos os seus recursos, levando-a morte por esgotamento de recursos.
A segurana excessiva no garante a continuidade da vida.
Por outro lado, a inexistncia de quaisquer controles de segurana, onde a organizao
observa e aproveita apenas os eventos positivos para a realizao de negcios, conduz tal organizao exposio a situaes que a levaro morte prematura.
A falta de segurana garante que a vida ser descontinuada. A preocupao com segurana aumenta na medida em que uma organizao vive mais.
Na prtica, maior investimento de recursos em segurana garante a sobrevivncia em situaes difceis (eventos danosos), enquanto investimentos de recursos na busca ou aproveitamento de eventos para a satisfao de necessidades bsicas esto relacionados ao prprio
desfrute da existncia ou realizao de objetivos de negcio.
O alcance da segurana efetiva exige uma situao de equilbrio na aplicao de recursos,
em ambas as situaes.
O processo de encontro do ponto de equilbrio entre a segurana e a realizao de objetivos de negocio iterativo, reflexivo e virtualmente infinito.
O processo iterativo porque so necessrios vrios ciclos para o alcance de uma situao
adequadamente equilibrada. Ora os controles de segurana so excessivos e a organizao
perde oportunidade para realizao de negcios; ora os controles de segurana so insuficientes, e a sobrevivncia da organizao ameaada.
O processo de segurana reflexivo porque a adoo de controles de segurana diante
dos eventos negativos possveis influencia a futura ocorrncia desses e de outros eventos, fazendo com que os prprios ambientes externo e interno se ajustem medida que os controles
so adotados.
Por fim, o alcance do ponto de equilbrio um processo virtualmente infinito, com durao para toda a vida. As organizaes que atuam em um espao modificam-se contnua e
imprevisivelmente conforme a ao das demais. Quando combinada com a caoticidade da
natureza e dos sistemas artificiais, inclusive de natureza tecnolgica, essa situao conduz a
uma contnua busca e coevoluo, sendo parcialmente encerrada quando a organizao morre, mas continuada pelos descendentes possivelmente gerados.
O alcance do ponto de equilbrio entre a aplicao de controles de segurana e a realizao de negcios encontrado apenas por meio de um processo iterativo, reflexivo e virtualmente infinito.
A segurana, embora consistindo na adoo planejada de controles, necessita ponderar a
necessidade e suficincia dos controles de segurana, em face do conjunto de eventos potenciais negativos que possam ocorrer no futuro.
2.10 Concluso
Esta seo comps um arcabouo conceitual geral sobre segurana, por meio do qual ser
efetuada uma apresentao do processo de gesto de riscos. Eis uma smula dos conceitos
discutidos na seo:
a. organizaes esto sujeitas ocorrncia de eventos incertos que podem desestabilizar suas atividades e processos. Tais eventos so denominados riscos;
b. gestores precisam controlar as atividades e processos organizacionais, isto ,
controlar riscos. Para tal, despendem recursos organizacionais na implementao de controles;
15
16
17
O mapa da Figura 2 apresenta o arcabouo conceitual geral sobre o qual se apoia a 27005,
e alguns de seus elementos so definidos na lista a seguir.
a. [Organizao] uma entidade que possui um conjunto de ativos (de informao) (ISO/IEC, 2007);
b. [Ativo] Qualquer coisa que tenha valor para a organizao (ISO/IEC, 2007). Um
ativo uma parte da organizao, podendo ser um elemento tangvel como um
de seus subsistemas, ou intangvel como uma marca comercial ou segredo industrial;
c. [Evento de Segurana da Informao] uma ocorrncia identificada de um estado de sistema, servio ou rede, indicando uma possvel violao da poltica de
segurana da informao ou falha de controles, ou uma situao previamente
desconhecida, que possa ser relevante para a segurana da informao (ISO/IEC,
2007);
d. [Consequncia de um Evento de Segurana] uma variao negativa no nvel
de um objetivo de segurana devido a um evento (ISO/IEC, 2007). So os principais objetivos de segurana a confidencialidade, integridade, disponibilidade e
autenticidade;
e. [Impacto] uma mudana adversa no nvel de objetivos de negcios alcanados. (ISO/IEC, 2007);
f.
j.
k. [Estimar o Risco] o Processo de atribuir valores s probabilidades e consequncias de um risco (ISO/IEC, 2007);
l.
18
A prxima seo aprofunda o entendimento do conceito de ativo de informao e as formas de levantamento de inventrios de ativos.
19
software, rede, pessoal, stio e estrutura organizacional. opinio do autor que tal separao
torna difcil a identificao precisa da interdependncia entre as partes que constituem a execuo dos processos e sistemas de informao.
Como no h consenso entre as metodologias de gesto de riscos sobre qual a melhor forma de proceder ao inventrio de ativos, que constitui o conjunto de elementos delimitados pelo
escopo de GRSI, bem como no papel de uma norma internacional como a 27005 apresentar
uma metodologia especfica para levantamento de ativos, outras abordagens devem vir em auxlio, como a metodologia Octave (ALBERTS; DOROFEE, 2002), por exemplo, que aborda de forma
mais precisa a gesto de riscos em ativos de Tecnologia da Informao, e apresenta um modelo
propositivo para levantamento dos ativos de TI. O levantamento feito por meio da realizao de
workshops de elicitao de conhecimento, empregando-se tcnicas como entrevistas e brainstorm, onde os participantes selecionados das reas de negcios da organizao focam os seus
trabalhos e identificam os ativos relacionados ao desempenho de suas atividades.
j.
20
[Efetividade] a garantia de que a informao relevante e pertinente aos processos de negcio e entregue ao usurio de forma correta, tempestiva, consistente e usvel (ITGI, 2007);
j.
Esses critrios de segurana so a base para as anlises dos fatores de risco, conforme
aprofunda o restante desta seo.
http://en.wikipedia.org/wiki/Causality
21
Vrias so as teorias e modelos desenvolvidos para explicar como um evento produz outro, e na rea da gesto da qualidade foi desenvolvido o diagrama de causa-efeito, conhecido como diagrama de Ishikawa ou de espinha de peixe. Um exemplo ilustrado na Figura
2, onde a ocorrncia de um problema ou do efeito de um problema descrita por meio da
anlise de suas causas-raiz, que so falhas relacionadas a equipamentos, processos, pessoas,
materiais, ambiente e gesto.
A Figura 2 ilustra como um evento de segurana hipottico pode ser resultante de uma
srie de outros eventos de menor severidade.
22
b.
c.
ambientais (E - Environmental)
23
Essas vulnerabilidades esto ainda associadas a possveis ameaas, possibilitando a construo de cenrios de incidentes sobre os ativos inventariados.
O catlogo de vulnerabilidades da 27005 possui uma natureza genrica e pouca aplicabilidade sobre vulnerabilidades especficas de ativos tecnolgicos, como computadores e software.
Dessa forma, para o caso de anlise de vulnerabilidades de ativos tecnolgicos, bem
como de sistemas especficos, a 27005 (ISO/IEC, 2007) recomenda o uso de mtodos, tcnicas
e ferramentas especficas, algumas das quais so:
a. [Ferramenta automatizada de anlise de vulnerabilidade] Aplica-se anlise de
redes de computadores e busca identificar portas abertas em hosts e vulnerabilidades associadas a essas portas. Nessus uma das ferramentas mais comumente
utilizadas para anlise de vulnerabilidades em redes;
b. [Teste e avaliao de segurana] Baseada na elaborao e execuo de scripts de
teste;
c. [Teste de penetrao] Tcnica amplamente varivel e aplicvel a vrios canais,
como artefatos tecnolgicos (ex: stios web, redes de telecomunicao, redes
sem fio, prdios, permetros e reas militares) e pessoas (tentativas de fraude,
engenharia social, reas vigiadas por humanos). Um exemplo de metodologia
aplicvel a ISECOM (2008);
d. [Reviso de Cdigo] Tcnica aplicvel a software, onde o cdigo-fonte de um
programa inspecionado visualmente por programadores (ou por meio de softwares parcialmente eficientes) a fim de se identificar vulnerabilidades a ataques
como SQL injection, buffer overflow, stack overflow, cross site-script etc. A reviso
de cdigo parte de abordagens como as descritas em Howard e Lipner (2006);
e. [Entrevistas] Aplicveis a colaboradores e usurios;
f.
24
g. brechas de confidencialidade;
h. brechas na ordem pblica;
i.
j.
k. crise governamental;
l.
interrupo de servios;
25
Abordagens qualitativas so usualmente adotadas para avaliar as consequncias de comprometimento dos ativos, uma vez que a atribuio de valores financeiros a ativos nem sempre
possvel. Uma escala de pelo menos trs valores pode ser usada: alta, mdia e baixa.
O estabelecimento das dependncias entre os ativos importante para uma correta valorao de consequncias aos mesmos. Quanto mais processos de negcio dependerem de um
certo ativo, mais crtico o ativo. Por exemplo, se trs grandes sistemas de comrcio eletrnico
dependem de um servidor de banco de dados e de uma conexo de rede, esses dois ativos
devem tambm ser crticos.
Conforme a 27005, o resultado do levantamento de ativos deve conter uma lista dos ativos, com a correspondente valorao das consequncias relativas para:
a. perda de confidencialidade (divulgao indevida);
b. perda de integridade, autenticidade, no repdio e contabilizao (modificao
indevida);
c. perda de disponibilidade e confiabilidade (indisponibilidade e destruio); e
d. custos de substituio.
Uma vez feita uma valorao do impacto sobre negcios, um nvel de impacto ou criticidade deve estar relacionado a cada ativo, e pode empregar escalas qualitativas, usando valores
como muito alto, alto, mdio, baixo e muito baixo.
26
27
d. [Aceitao do risco] fase que compreende o registro formal da deciso pelo aceite dos riscos residuais existentes na organizao;
e. [Comunicao do risco] conjunto de atividades continuamente executadas e que
envolve a troca de informaes sobre riscos entre os tomadores de deciso e
todos os envolvidos na organizao (stakeholders);
f.
[Monitoramento e reviso do risco] conjunto de atividades continuamente executadas e que envolve o monitoramento dos diversos fatores de caracterizao
do risco, a fim de identificar quaisquer mudanas no contexto da organizao,
atualizar o panorama de riscos da organizao e aprimorar o processo de gesto
de riscos da organizao.
Uma caracterstica geral da 27005 que todas as suas fases e atividades so organizadas
na forma de processos, que contm entradas, aes, guias para implementao e sadas bem
caracterizadas, mas de forma genrica.
Conforme a 27005, os benefcios decorrentes da adoo de uma abordagem de gesto de
riscos aderente norma compreendem:
a. riscos so identificados;
b. riscos so apreciados em termos de consequncias e chances de ocorrncia;
c. as chances e consequncias de riscos so comunicadas e compreendidas;
d. uma ordem de prioridade para tratamento de riscos estabelecida;
e. uma ordem de prioridade para reduo dos riscos estabelecida;
f.
os intervenientes so envolvidos em decises sobre riscos e mantidos informados sobre o status da gesto de riscos;
j.
A Figura 5 apresenta numa viso esquemtica de como ocorre o fluxo da informao num
processo organizado segundo o modelo da 27005.
28
Fonte: Autor.
29
[Prioridades] Quais as prioridades para tratamento de riscos? Quais as aes prioritrias de tratamento?
Durante o estabelecimento de critrios para avaliao de riscos de segurana da informao, uma descrio formal que responda s questes acima precisa ser formalizada. Tal descrio ser usada como base para vrias etapas do processo de GRSI.
5.1.2 Critrios para Determinao do Impacto de Incidentes
30
A quais eventos de segurana est sujeita a organizao? Que impactos esses eventos
podem causar? O desenvolvimento e a especificao de critrios de determinao de impacto
devem descrever o grau de danos ou custos para a organizao, causado por eventos de segurana, e deve considerar os seguintes aspectos (ISO/IEC, 2007):
a. [Nveis de classificao] Quais os nveis de classificao de segurana dos ativos
de informao impactados? Como os eventos impactam ativos de informao de
diversos nveis?
b. [Brechas de segurana da informao] Brechas de segurana da informao envolvem perda de confidencialidade, integridade e disponibilidade. Quais so as
brechas que podem ocorrer?
c. [Operaes obstrudas] Quais podem ser as operaes obstrudas, sejam elas
internas ou com terceiras partes? Que operaes podem ser interrompidas por
eventos?
d. [Perda de negcios e valores financeiros] Como a organizao pode perder negcios e valor financeiro com os eventos?
e. [Rompimento de planos e prazos] Como os planos da organizao podem ser
afetados ou completamente obstrudos? Como os prazos de sua organizao podem ser afetados por eventos?
f.
g. [Infrao de requisitos] Que infraes de requisitos legais, regulatrios ou contratuais podem ocorrer? Como a sua organizao pode infringir leis, normas, regulamentos ou contratos em decorrncia de eventos de segurana?
Durante o estabelecimento de critrios para determinao do impacto de incidentes, uma
descrio formal que responda s questes acima precisa ser elaborada, e ser usada como
base para vrias etapas do processo de GRSI.
31
f.
[Tempo para existncia do risco] O risco aceito est relacionado a uma atividade
de curto prazo ou de longo prazo?
j.
32
g. ativos de informao;
h. quantidade de stios fsicos da organizao e suas caractersticas geogrficas;
i.
j.
k. ambiente sociocultural;
l.
Devem ser providas justificativas para quaisquer excluses de ativos do escopo indicado.
O resultado da atividade uma declarao preliminar de escopo de gesto de riscos, um
documento formal.
Fonte: o autor.
Segundo a (ISO/IEC, 2007), so papis e responsabilidades dessa organizao:
a. desenvolvimento de um processo de GRSI adequado para a organizao;
b. identificao e anlise dos intervenientes e partes interessadas;
33
34
6 Apreciao do Risco
A Apreciao do Risco o processo responsvel por identificar, estimar e avaliar o risco.
Envolve vrias anlises e avaliaes que so agrupadas sobre os processos de Anlise do Risco
e de Avaliao do Risco. A apreciao do risco um processo iterativo que, segundo a ABNT
(2008), deve ser executada em pelo menos duas iteraes. Tal abordagem devida interdependncia entre os vrios elementos levantados durante a identificao (ativos, ameaas,
controles, vulnerabilidades, probabilidades, consequncias, impactos e magnitude de riscos).
A Apreciao recebe como entradas os critrios bsicos, escopo e limites, bem como a
organizao responsvel pelo processo de GRSI, definidos na fase de definio dos conceitos.
A sada da apreciao uma lista de riscos avaliados e priorizados conforme os critrios
estabelecidos na fase anterior.
A seguir so detalhadas a anlise e a avaliao dos riscos.
35
c. deve-se ter em mente que o nvel de detalhamento das descries dos ativos
ser refinado em iteraes posteriores;
d. para cada ativo identificado, um responsvel ou proprietrio tambm deve ser
identificado. Esse pessoal deve ser responsvel pela produo, desenvolvimento,
manuteno, uso e segurana do ativo. Ela a principal fonte de informaes
sobre o ativo;
e. o responsvel pelo ativo a pessoa mais indicada para determinar o valor do
ativo para a organizao;
f.
A Tabela 2 apresenta um esboo do que seria uma lista de ativos identificados, produzida
ao final dessa atividade.
36
Alguns aspectos importantes devem ser considerados na identificao de ativos, conforme a 27005:
a. uma ameaa pode afetar mais de um ativo e os impactos de uma mesma ameaa
podem ser diferentes, conforme o ativo;
b. fontes de ameaa acidental e deliberada devem ser identificadas;
c. ameaas podem ter origem fora e dentro da organizao;
d. a fim de tornar o trabalho limitado, ameaas devem ser identificadas genericamente e por tipo. Posteriormente, onde apropriado, ameaas individuais dentro
das classes genricas devem ser identificadas;
e. considerar que as ameaas esto em constante modificao, especialmente
quando negcios e sistemas de informao se modificam;
Por fim, devem-se empregar, para a anlise de ameaas, vrias fontes de informao,
como: (i) responsveis pelos ativos; (ii) usurios dos ativos; (iii) {\it staff } da organizao; (iv)
gestores de instalaes; (v) especialistas de segurana da informao; (vi) especialistas em segurana fsica; (vii) pessoal da rea jurdica; (viii) agncias de regulao e outras organizaes
civis; (ix) meteorologistas; (x) seguradoras; (xi) autoridades do governo; e (xii) catlogos e estatsticas obtidas em Normas; sociedades de indstria, comrcio e servios; governo; organizaes jurdicas e seguradoras.
a estimativa de eficcia dos controles uma boa oportunidade para ajustes nos
mesmos;
g. Um controle pode ser identificado como: (i) efetivo, (i) no efetivo, (iii) no suficiente ou (iv) no justificado. Nos casos (iii) controle no suficiente e (iv) controle
no justificado, devem ser adotadas medidas para: (a) remoo; (b) substituio;
ou (c) manuteno do controle (devido a razes como custo). s vezes mais
econmico manter um controle implementado, mesmo que ele seja ineficaz.
37
38
39
realizar uma anlise de impacto sobre negcios - BIA ({\it Business Impact Analysis});
40
41
42
Baseado nos nmeros obtidos, se a estimativa de perda anual dada pela determinao
do fator SLE - Single Loss Expectancy6, quanto haver de perda, caso a ameaa seja realizada
sobre o ativo vulnervel? A resposta dada pela frmula abaixo.
SLE = AV x RE = R$ 5.000.000,00 x 25% = R$ 1.250.000,00.
Recomendaes para Tratamento
Conforme o exemplo de abordagem quantitativa apresentado, a organizao em pauta
dever investir, no mximo, R$ 1.250.000,00, anualmente, para o combate a incndio no datacenter. Perceba que a afirmao vlida se o incndio afeta o datacenter apenas na forma identificada. As recomendaes para tratamento so empregadas na fase de tratamento do risco.
g. deve-se observar atentamente a relevncia dos critrios, pois: (i) alguns objetivos
de segurana da informao podem ser irrelevantes para uma organizao. Ex:
confidencialidade; (ii) Processos de pouca importncia para a organizao tero
seus riscos associados avaliados com menor considerao; (iii) Observar aspectos
legais, regulatrios e contratuais, em adio aos riscos estimados.
A Avaliao do Risco conclui a fase de Apreciao. Ao final da Avaliao, os riscos foram
identificados, estimados e avaliados, e produziu-se uma lista de riscos priorizados conforme
critrios previamente estabelecidos.
Se a Apreciao do Risco no produz resultados satisfatrios, deve-se retornar fase de
Definio do Contexto, para refinamentos e nova anlise e avaliao. Caso a Apreciao produza resultados satisfatrios, deve-se passar fase de Tratamento do Risco.
43
So aspectos gerais que devem ser considerados no tratamento do risco, conforme a ISO/IEC (2007):
a. as opes devem ser selecionadas baseadas em trs aspectos: (i) nos resultados
da apreciao do risco; (ii) no custo esperado para implementar as opes; e (iii)
nos benefcios esperados com as opes;
b. quando largas redues de risco podem ser obtidas com poucas despesas, essas
opes devem ser implementadas. Outras opes de tratamento dependem de
julgamento melhor exercitado;
44
j.
45
conscientizao;
g. monitoramento;
h. deteco;
i.
deteno;
j.
eliminao;
k. correo;
l.
minimizao de impacto e
m. recuperao.
Um controle pode exercer um ou mais desses efeitos.
manuteno;
Uma vez que algumas habilidades especiais podem ser necessrias para definir e implementar os controles ou modificar os existentes, antes de se decidir pela adoo de controles
deve-se comparar os custos dos controles em funo dos custos dos ativos protegidos, bem
como se deve realizar estimativa de oportunidades de investimentos, isto , quais investimentos em controles permitem reduzir o risco e que novas oportunidades de negcios podem ser
possveis com esses investimentos.
46
j.
Fonte: (NIST).
47
Conforme o fluxograma da Figura 7, se o custo do atacante menor que o ganho que ele
pode ter, e, adicionalmente, se a perda estimada maior que um limite de tolerncia indicado, ento o risco inaceitvel. Caso contrrio, o risco retido (aceito). O fluxograma descreve
um critrio para aceitao do risco que tem como um de seus fatores um agente de ameaa
intencional.
48
8 Aceitao do Risco
A Aceitao do Risco a fase da gesto de riscos que compreende o registro formal da
deciso pelo aceite dos riscos residuais existentes na organizao. Essa deciso tomada pelo
gestor responsvel pelo escopo de risco.
As entradas para a aceitao do risco so: (i) o plano de tratamento de riscos, sujeito aprovao; e (ii) a avaliao de riscos residuais, sujeitos aprovao.
O objetivo da aceitao do risco efetuar a deciso e formalmente registrar a aceitao
dos riscos e responsabilidades pela deciso. A sada da atividade a lista de riscos aceitos,
qual esto associadas justificativas para aceitao daqueles que no se coadunam com os critrios normais de aceitao de risco da organizao.
So aspectos que devem ser considerados para a aceitao do risco, conforme ISO/IEC (2007):
a. planos de tratamento de risco devem descrever como riscos apreciados devem
ser tratados. importante que os gestores responsveis revisem e aprovem os
planos propostos e riscos residuais resultantes;
b. importante que as decises e condies de aprovao sejam formalmente registradas;
c. Em alguns casos, os riscos residuais no atendem a critrios que foram parcialmente estabelecidos, bem como no atendem s condies de contorno do
problema. No ltimo caso, o gestor pode incluir uma justificativa da deciso de
sobrepor critrios.
Por fim, deve-se ter claro que os critrios de aceitao do risco podem ser bem mais complexos que a simples comparao entre nveis de gatilho estabelecidos. Dessa forma, a aceitao pode depender de julgamento subjetivo e tornar-se algo demorado.
49
9 Comunicao do Risco
A Comunicao do Risco um conjunto de atividades continuamente executadas e que
envolve a troca de informaes sobre riscos entre os tomadores de deciso e todos os envolvidos na organizao. O objetivo da comunicao fazer com que as informaes sejam trocadas ou compartilhadas entre tomadores de deciso e outros intervenientes.
As entradas para a Comunicao do Risco so todas as informaes sobre riscos obtidas
a partir das atividades de GRSI. O resultado da atividade a compreenso mtua e contnua
do processo de GRSI e seus resultados, com o alcance de acordos sobre como gerenciar riscos.
As principais informaes compartilhadas acerca do risco envolvem:
a. existncia do risco;
b. natureza do risco;
c. forma do risco;
d. probabilidade do risco;
e. severidade do risco;
f.
tratamento do risco; e
g. a coordenao com outros parceiros e o desenvolvimento de respostas aos planos quando da ocorrncia de incidentes;
h. a formao de senso de responsabilidade acerca de riscos entre tomadores de
deciso e intervenientes;
i.
a melhor conscientizao.
50
51
cujo modelo descrito nas sees 5 a 10 dessa monografia, seja continuamente monitorado,
revisto e melhorado, quando necessrio e apropriado.
O monitoramento, reviso e melhoria da gesto de riscos deve-se garantir que:
a. o processo de GRSI apropriado e seguido;
b. os riscos so realistas;
c. a gesto de riscos tem capacidade de responder aos riscos;
d. os critrios de medio de riscos aderem aos objetivos de negcios, estratgias
e polticas.
So aspectos especficos a serem monitorados e revisados de forma contnua e peridica,
para a melhoria do processo de gesto de riscos de segurana da informao, segundo a ISO/
IEC (2007):
a. contexto jurdico e ambiental;
b. contexto da competio;
c. abordagem de avaliao de risco;
d. valores e categorias de ativos;
e. critrios de impacto;
f.
de conexo Internet.
O resultado do emprego do monitoramento que o processo de GRSI se mantm atualizado e continuamente relevante para o cumprimento dos objetivos de negcio da organizao. De outra forma, sem o monitoramento, o processo de GRSI tornar-se- fatalmente
obsoleto e de pouca utilidade.
52
53
[Garantia de recursos adequados], que envolve a identificao dos recursos necessrios e suficientes para a gesto de riscos, abrangendo: pessoal e habilidades;
processos e procedimentos documentados; sistemas de informao e bancos de
dados; dinheiro e outros recursos para desempenho de atividades.
54
12 Concluses
Este texto apresentou uma introduo gnese, conceitos e processos de gesto de riscos
de segurana, com foco na perspectiva da norma ISO/IEC 27005:2008. O processo de gesto
de riscos de segurana da informao o cerne de qualquer ao bem-sucedida de Gesto da
Segurana da Informao, e sua adoo, conforme o modelo da 27005, permite a construo
de uma abordagem eficaz na organizao, onde a comunicao, monitoramento e melhoria
contnua garantem que a GRSI continuar a atender s necessidades da organizao no curto,
mdio e longo prazo.
A 27005 no uma metodologia, mas sua descrio apresenta uma quantidade suficiente
de detalhes para permitir a construo de metodologias e ferramentas adequadas gesto de
riscos em organizaes de pequeno, mdio e grande porte.
Por fim, importante destacar princpios para uso da gesto de riscos na gesto da segurana da informao, que so os seguintes:
a. o alcance da segurana da informao em uma organizao compreende, de forma geral, a implementao de controles de segurana;
b. qualquer controle custa caro para ser implementado, de modo que no h como
implementar todos os controles possveis, sob pena de conduzir uma organizao falncia e inoperncia;
c. necessrio tomar uma deciso racional sobre quais controles de segurana sero implementados. Tal deciso deve ser baseada em mtodos qualitativos ou
quantitativos que, a partir do traado do perfil de riscos de uma organizao,
orientam a implementao de um conjunto de controles em detrimento de outros.
d. a eventual implementao dos controles de segurana planejados modifica o
prprio perfil de riscos da organizao, fazendo com que seja necessrio reavaliar periodicamente os riscos que levaram atual configurao de controles de
segurana. O desafio para a organizao gerenciar seus riscos de forma contnua, custo-efetiva e sustentvel.
O conhecimento produzido durante a gesto de riscos aumenta a conscincia situacional
e o sense-making7 organizacional.
55
Referncias
ASIS. General Security Risk Assessment guideline. Disponvel em: <http://www.asisonline.
org/guidelines/guidelinesgsra.pdf>. Acesso em: julho de 2008.
ABNT. ABNT ISO/IEC GUIA 73:2005. [S.l.], 2005.
ABNT. Tecnologia da informao - Tcnicas de segurana - Cdigo de prtica para a gesto
da segurana da informao: ABNT NBR ISO/IEC 27002:2005. 2a. ed. Rio de Janeiro,
2005.
ABNT. Tecnologia da informao - Tcnicas de segurana - Sistemas de gesto de segurana
da informao - Requisitos: ABNT NBR ISO/IEC 27001:2006. 1a. ed. Rio de Janeiro,
2006.
BOWEN, P.; HASH, J.; WILSON, M. NIST Special Publication 800-100: Information Security
Handbook: A Guide for Managers. [S.l.], October 2006. Disponvel em: <http://csrc.
nist.gov/publications/PubsSPs% -.html>. Acesso em: agosto de 2010.
BS. B. S. Information Security Management Systems (BS 7799-3-2006): Part 3: guidelines for
information security risk management. 2006.
COSO: Committee of Sponsoring Organizations of the Treadway Commission. Enterprise
Risk Management Framework: Exposure Draft for Public Comment. [S.l.], 2004. 152
p. Disponvel em: <http://www.erm.coso.org>. Acesso em: fevereiro de 2009.
CNSS, C. on N. S. S. National Information Assurance Training Standard For Risk Analysts.
[S.l.], November 2005. 38 p. Disponvel em: <http://www.cnss.gov/instructions.
html>. Acesso em: Agosto de 2008.
FERNANDEZ, A.; SCHAUER, H. ISO27005 Gestion de risque. [S.l.], 2007. Disponvel em:
<http://www.hsc.fr/index.html.en>. Acesso em: fevereiro de 2009.
ISO/IEC. ISO/IEC 13335-1:2004 - Information technology Security techniques Management of information and communications technology security Part 1: Concepts
and models for information and communications technology security management.
[S.l.], 2004.
ISO/IEC. ISO/IEC FDIS 27005 - Information technology - Security Techniques - Information
security risk management. [S.l.], 2007.
ISO/IEC. ISO/IEC 31000:2009 - Risk management Principles and guidelines. [S.l.], 2009.
MEULBROEK, L. K. Integrated Risk Management for the Firm: A Senior Managers Guide.
Soldiers Field Road. Boston, MA 02163, 2002.
NIST. FIPS PUB 200: Minimum Security Requirements for Federal Information and Information Systems. [S.l.], March 2006. 17 p. Disponvel em: <http://csrc.nist.gov/>.
Acesso em: fevereiro de 2009.
PELTIER, T. R. Information security risk analysis. Boca Raton: Auerbach Publications, 2001.
Standards Australia and Standards New Zealand. AS/NZS 4360:2004 - Australia/New Zealand Standard for Risk Management. [S.l.], 2004.
STONEBURNER, G.; GOGUEN, A.; FERINGA, A. NIST Special Publication 800-30: Risk Management Guide for Information Technology Systems. [S.l.], July 2002. 55 p. Disponvel
em: <http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf>. Acesso
em: julho de 2009.
56