GSIC302 Introducao Gestao Riscos Seguranca Informacao

>> Gesto da Segurana da Informao e Comunicaes >> 2009-2011
Jorge Henrique Cabral Fernandes
GSIC302
INTRODUO GESTO DE RISCOS

DE SEGURANA DA INFORMAO
VERSO 1.2
Luiz Incio Lula da Silva

Presidente da Repblica
Jorge Armando Flix
Ministro do Gabinete de Segurana Institucional
Antonio Sergio Geromel
Secretrio Executivo
Raphael Mandarino Junior
Diretor do Departamento de Segurana da Informao e
Comunicaes
Reinaldo Silva Simio
Coordenador Geral de Gesto da Segurana da
Informao e Comunicaes
Fernando Haddad
Ministro da Educao
UNIVERSIDADE DE BRASLIA
Jos Geraldo de Sousa Junior
Reitor
Joo Batista de Sousa
Vice-Reitor
Denise Bomtempo Birche de Carvalho
Decana de Pesquisa e Ps-Graduao
Nora Romeu Rocco
Instituto de Cincias Exatas
Priscila Barreto
Departamento de Cincia da Computao
CEGSIC
Coordenao
Secretaria Pedaggica
Marcelo Felipe Moreira Persegona
Ana Cristina Santos Moreira
Eduardo Loureiro Jr.
Assessoria Tcnica
Ricardo Sampaio
Gabriel Velasco
Odacyr Luiz Timm
Secretaria Administrativa
Adriana Rodrigues Pereira Moura
Gelsilane Cruvinel Menezes
Equipe de Produo Multimdia

Alex Harlen
Estfano Pietragalla
Lizane Leite
Rodrigo Moraes
Equipe de Tecnologia da Informao
Douglas Ferlini
Osvaldo Corra
Maicon Braga Freitas
Reviso de Lngua Portuguesa
Davi Miranda
Texto e Ilustraes
Capa e projeto grfico
Alex Harlen
Diagramao
Estfano Pietragalla
Desenvolvido em atendimento ao plano de trabalho do Programa de Formao de Especialistas para a Elaborao da
Metodologia Brasileira de Gesto de Segurana da Informao e Comunicaes CEGSIC 2009-2011.
Este material distribudo sob a licena creative commons

http://creativecommons.org/licenses/by-nc-nd/3.0/br/
>> CEGSIC 2009-2011 >> Introduo Gesto de Riscos de Segurana da Informao
Sumrio
[6] Currculo resumido do autor
[7] Resumo
[8] 1 Introduo
[9] 2 Fundamentos Gerais da Gesto e da Segurana
2.1. Organizaes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.2 Ordem e Caos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.3 Sistema Seguro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.4 Gesto e Gestores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.5 Controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.6 Controles de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.6.1 Controle de Segurana Operacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.6.2 Controle de Segurana Gerencial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.6.3 Controle de Segurana Tcnico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.6.4 Salvaguardas, Contramedidas ou Medidas de Segurana . . . . . . . . . . 12
2.6.5 Implementao de Controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.7 Eventos e Incidentes de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.7.1 Evento de Segurana da Informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.7.2 Incidente de Segurana da Informao . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.8 Risco e Risco de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.8.1 Risco de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.8.2 Perfil do Risco de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.8.3 Cenrio de Incidentes de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.8.4 Reduo do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.8.5 Iteratividade na Gesto do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.9 Paradoxo da Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.10 Concluso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
[17] 3 Conceitos de Gesto de Riscos

3.1 Ativos de Informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.1.1 Classificao de Ativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.1.2 Levantamento de A tivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.2 Anlises de Eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.2.1 Critrios ou Objetivos de Segurana da Informao . . . . . . . . . . . . . . . 20
3.2.2 Causalidade e Cadeias de Eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

3.2.3 Anlise de ameaas e vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.2.4 Anlise de Ameaas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.2.5 Anlise de Controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.2.6 Anlise de Vulnerabilidades e Controles . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.2.7 Anlise de Consequncias e Impactos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.2.8 Anlise de Consequncias Operacionais da Perda de Segurana . . . 25
3.2.9 Anlise de Impactos sobre Negcios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
[27] 4 O Processo de Gesto de Riscos

[30] 5 Definio do Contexto da GRSI
5.1 Descrio de Critrios Bsicos para GR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
5.1.1 Critrios para Avaliao de Riscos de Segurana da Informao . . . . 30
5.1.3 Critrios para Aceitao de RSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
5.2 Especificao do Escopo e Limites da Gesto de Riscos . . . . . . . . . . . . . . 32
5.3 Definio da Organizao para Operar a Gesto de Riscos . . . . . . . . . . . 33
[35] 6 Apreciao do Risco

6.1 Anlise do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
6.1.1 Identificao do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
6.1.1.1 Identificao de Ativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
6.1.1.2. Identificao de Ameaas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
6.1.1.3 Identificao de Controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
6.1.1.4 Identificao de Vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
6.1.1.5 Identificao de Consequncias e Cenrios de Incidentes . . . . . . . . 39
6.1.2 Estimativa do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
6.1.2.1 Avaliao do Impacto de Incidentes (Estimativa das Consequncias)
40
6.1.2.2 Estimativa da Probabilidade de Incidente . . . . . . . . . . . . . . . . . . . . . . . 41
6.1.2.3 Estimativa do Nvel do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
6.1.2.4 Mtodos de Estimativa de Risco Qualitativos . . . . . . . . . . . . . . . . . . . . 42
6.1.2.5 Mtodos de Estimativa Quantitativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
6.2 Avaliao do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
[44] 7 Tratamento dos Riscos

7.1 Um Guia Rpido para Reduo do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
7.1.1 Um catlogo de controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
7.1.2 Seleo de controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
7.1.3 Efeitos de controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
7.1.4 Investimentos, oportunidades e controles . . . . . . . . . . . . . . . . . . . . . . . . 46
7.1.5 Restries na seleo de controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

7.2 Guia Rpido de Reteno do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
7.3 Ao de Evitar o Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
7.4 Transferncia do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
[49] 8 Aceitao do Risco

[50] 9 Comunicao do Risco
[51] 10 Monitoramento e Reviso do Risco
10.1 Monitoramento e Reviso dos Fatores de Risco . . . . . . . . . . . . . . . . . . . . 51
10.2 Monitoramento, Reviso e Melhoria da Gesto de Riscos . . . . . . . . . . . 51
[53] 11 Introduzindo a Gesto de Riscos em Organizaes

11.1 O Planejamento da Gesto de Riscos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
11.2 Sistemas de Informao para a Gesto de Riscos . . . . . . . . . . . . . . . . . . . 54
[55] 12 Concluses
[56] Referncias
CURRCULO RESUMIDO DO AUTOR

Jorge Henrique Cabral Fernandes Doutor e Mestre em Cincia da Computao pela Universidade Federal de Pernambuco (2000 e 1992). especialista em Engenharia de Sistemas
pela Universidade Federal do Rio Grande do Norte (1998). Possui graduao em Cincias Biolgicas - Habilitao em Bioqumica pela Universidade Federal do Rio Grande do Norte (1986).
Foi Agente Administrativo, Analista de Sistemas e Professor de Engenharia de Software pela
Universidade Federal do Rio Grande do Norte. Atualmente Professor Adjunto do Departamento de Cincia da Computao da Universidade de Braslia e Professor da Ps-Graduao
em Cincia da Informao no Departamento de Cincia da Informao da Universidade de
Braslia. Presidente do Conselho de Informtica da UnB e Coordenador do Curso de Especializao em Gesto de Segurana da Informao e Comunicaes. Tem experincia na rea de
Engenharia de Software, Programao Orientada a Objetos, Cincia da Informao, Segurana
da Informao, Gesto da Segurana da Informao, Sistemas de Inventrio de Ciclo de Vida
de Produtos e Bancos de Dados.
Resumo
O objetivo deste texto apresentar uma introduo conceitual gesto da segurana,
com base na gesto de riscos de segurana da informao. O modelo conceitual de segurana, apresentado no Captulo 2, desenvolvido pelo prprio autor. O modelo de gesto de
riscos de segurana baseado na abordagem da norma ABNT NBR ISO/IEC 27005:2008 (ABNT,
2008) e apresentado nos captulos 3 a 10. A base para a apresentao da norma foi a verso
draft (ISO/IEC, 2007) da norma produzida pela ISO/IEC. A monografia contm uma compilao de vrios elementos descritos na referida norma e na verso brasileira da ISO/IEC (ABNT,
2008), mas no a substitui. Por fim, o texto apresenta algumas orientaes para a introduo
da gesto de riscos nas organizaes, baseadas na Norma AS-NZS 4360 (Standards Australia
and Standards New Zealand, 2004), da qual deriva a ISO/IEC 31000 (ISO/IEC, 2009). O texto foi
produzido para suporte s atividades do CEGSIC 2009-2011, a partir de aprimoramento de
material previamente desenvolvido em verses anteriores do CEGSIC. Comentrios, crticas,
sugestes e propostas de correes para aprimoramento deste material devem ser encaminhadas ao autor, que antecipa agradecimentos pelo retorno.
1 Introduo
Risco uma estimativa de incerteza1 e consequncias relacionadas ocorrncia de um
evento desejvel ou indesejvel. Segundo a Society for Risk Analysis2, o risco tem sido usado
desde antes da Grcia antiga como fundamento para a tomada de decises.
Por exemplo, suponha que tenho que decidir entre fumar ou no fumar. H um risco de
que, se eu adotar o hbito de fumar, desenvolva cncer de pulmo antes dos 50 anos. Tambm
h um risco de que, se no fumar, desenvolva cncer de pulmo antes dos cinquenta anos!
Qual dos riscos maior? Diz a cincia3 que se eu fumar terei um maior risco. Vrios fatores
podem estar envolvidos da determinao do risco acerca dessa questo especfica sobre fumo
e cncer, como idade, sexo, hbitos alimentares, profisso, condio familiar etc. Embora o
exemplo acima seja aplicvel tomada de decises individuais, os mesmos princpios podem
ser transpostos para a tomada de decises acerca de segurana nas organizaes.
Vrios modelos e mtodos da gesto de riscos contempornea foram desenvolvidos na
ltima dcada, como STONEBURNER, GOGUEN, FERINGA (2002), PELTIER (2001), Standards
Australia and Standards New Zealand (2004), ISO/IEC (2007), ISO/IEC (2009), COSO (2004), ALBERTS, DOROFEE (2002), MEULBROEK (2002), ASIS (2007), HHS (2005), BSI (2005), BS (2006)
e CNSS (2005). Tais mtodos baseiam-se na construo de uma argumentao racional, que
emprega fundamentos do mtodo cientfico para produzir medies quantitativas ou qualitativas acerca do risco organizacional ou relacionado a projetos. Tais medies permitem a
tomada de decises acerca da implementao de controles e outras aes de segurana. Por
meio da gesto de riscos os fatores do risco so decompostos, recompostos e recalculados de
forma iterativa, produzindo continuamente subsdios a decises satisfatrias para melhoria da
segurana de uma organizao. O plano de gerenciamento de riscos o principal direcionador
de um plano de segurana.
Este texto apresenta uma introduo conceitual gesto de riscos de segurana da informao. O modelo de gesto de riscos de segurana baseado na abordagem descrita na verso International Draft da ISO/IEC 27005 (ISO/IEC, 2007), bem como na sua congnere nacional,
a ABNT NBR ISO/IEC 27005:2008 (ABNT, 2008). A monografia contm uma compilao de vrios
elementos descritos na referida norma, mas no a substitui.
O restante do texto est dividido em mais 11 sees. Na Seo 2 so apresentados fundamentos gerais das organizaes e gesto da segurana. Na Seo 3 so apresentados conceitos bsicos da gesto de riscos. Nas sees 4 a 10 so apresentados os elementos do processo
de gesto de riscos de segurana da informao da ISO/IEC (2007). Na seo 11 so apresentadas recomendaes para a introduo da gesto de riscos em organizaes, baseadas na
norma Neozelandesa-Australiana de Gesto de Riscos (Standards Australia and Standards New
Zealand, 2004).
De acordo com o site http://www.businessdictionary.com, incerteza uma situao na qual o

estado corrente de conhecimento tal que (1) a ordem ou natureza das coisas desconhecida,
(2) as consequncias, extenso ou magnitude das circunstncias, condies ou eventos imprevisvel e (3) probabilidades crveis relacionadas aos resultados possveis no podem ser atribudas. Embora um excesso de incerteza seja indesejvel, incerteza gerencivel prov liberdade
para tomada de criativa de decises.
Kimberly M. Thompson, Paul F. Deisler, Jr., and Richard C. Schwing. Interdisciplinary Vision: The
First 25 Years of the Society for Risk Analysis (SRA), 19802005. Risk Analysis, Vol. 25, No. 6, 2005.
http://www.cancer.gov/cancertopics/smoking
2 Fundamentos Gerais da Gesto e da

Segurana
2.1. Organizaes
A humanidade vem aperfeioando ao longo da sua histria um tipo de empreendimento de durao indeterminada denominado organizao ou empresa. Uma organizao um
sistema autorregulado, cujo ambiente interno composto por vrios agentes que executam
processos organizacionais em um espao social segregado, buscando o alcance de objetivos
de negcio ou metas coletivas.
Toda organizao assim como todo sistema relaciona-se com o ambiente externo.
Esse relacionamento estabelecido por meio de uma interface com clientes, fornecedores,
governo etc. So exemplos de interfaces de uma organizao com o meio externo as reas
de recepo, call center, os vendedores, os compradores, os atendentes e demais agentes que
interagem com clientes, fornecedores, governo e cidado.
2.2 Ordem e Caos

Nenhuma organizao consegue viver em isolamento. Vrios eventos ocorrem no entorno
de qualquer organizao, tanto em seu ambiente externo quanto no interno, e no possvel
adquirir-se o controle pleno sobre todos esses eventos. Um evento uma dinmica indivisvel
do ponto de vista prtico, que ocorre em um lugar no espao e num instante do tempo. Tais
eventos podem ser regulares ou caticos. Um evento regular ou ordenado um evento para o
qual possvel alguma previso de ocorrncia. Um evento catico um evento que tem ocorrncia to irregular e imprevisvel que se torna difcil ou impossvel prever quando e onde ele
acontecer. H, portanto, um elevado grau de incerteza acerca de quando e onde um evento
catico ocorrer. Muitos eventos so regulares, como a nossa respirao, e uma quantidade
infinita de eventos catica, como a queda de uma estrela cadente. Situada entre a estrita
ordem dos eventos completamente regulares e o completo caos dos eventos completamente incertos e imprevisveis reside uma infinitude de eventos para os quais possvel fazer-se
uma estimativa de frequncia e consequncias, embora seja praticamente impossvel afirmar
exatamente quando e quais sero as consequncias de um evento futuro. A gesto de riscos
compartilha caractersticas com a futurologia4, ao buscar antever a ocorrncia desses eventos
a fim de controlar suas consequncias e impactos sobre uma organizao.
2.3 Sistema Seguro

A gesto de riscos tem o efeito de tornar um sistema mais seguro. Um sistema seguro
um sistema que possui um grau de garantia de que continuar a funcionar adequadamente
conforme suas caractersticas estabelecidas, mesmo na presena de eventos negativos decorrentes da interao com agentes maliciosos ou na ocorrncia de eventos decorrentes de acidentes ou desastres de origem natural ou ambiental. Para uma organizao, segurana significa continuar a cumprir seus objetivos de negcio, mesmo em face do sinistro.
http://en.wikipedia.org/wiki/Futurology
2.4 Gesto e Gestores

O controle ou regulao sistematicamente efetuada nas organizaes realizado por um subsistema dentro da prpria organizao, denominado sistema de gesto ou simplesmente gesto.
Um dos efeitos que a gesto produz sobre uma organizao a atuao na reduo dos
eventos que contribuem para produzir efeitos negativos, bem como a atuao para aumentar
eventos que contribuem para produzir efeitos positivos. A forma sistemtica como a gesto
atua surge por meio do uso de controles.
A gesto mobiliza as pessoas e outros agentes que atuam na organizao, especialmente
por meio de controles de gesto, com vistas a reduzir efeitos negativos e produzir efeitos positivos que garantam o alcance das metas coletivas dessa organizao diante da ocorrncia de
eventos incertos.
2.5 Controles
Depreende-se da discusso anterior que os controles aumentam a previsibilidade do funcionamento da organizao e, dessa forma, so vistos como estabilizadores dos processos e
sistemas nas organizaes.
De forma geral, controle pode ser referir ao ato ou processo de controlar, como:
a. [Controle] intervir numa situao, pessoa (ou grupo de pessoas) e fazer com
ela(s) realize(m) o que voc quer (LOGMAN, 1993);
b. [Controle] intervir sobre um processo, sistema etc, de modo que ele funcione
adequadamente e no cause problemas (LOGMAN, 1993);
c. [Controle] intervir sobre mquinas, equipamentos ou veculos usando suas
mos, ps, ferramentas etc (LOGMAN, 1993);
d. [Controle] o poder de direo e comando (PEARSALL; THUMBLE, 1996);
e. [Controle] ter responsabilidade sobre uma atividade ou grupo de pessoas (LOGMAN, 1993).
Controle tambm pode ser referir aos objetos que controlam, especialmente quando usado no plural, como:
a. [Controles] so mtodos, leis etc que so usados para controlar uma situao
(LOGMAN, 1993);
b. [Controles] so chaves e outros dispositivos por meio dos quais uma mquina ou
um veculo controlado (PEARSALL; THUMBLE, 1996);
c. [Controle] uma pessoa ou grupo que controla algo (PEARSALL; THUMBLE, 1996).
Em auditoria, o termo controle mais empregado no sentido de exame e verificao, conforme as seguintes definies:
a. [Controle] examinar ou verificar algo (LOGMAN, 1993);
b. [Controle] uma das funes gerenciais, da mesma forma que planejamento,
organizao, recursos humanos e direo. Compreende a definio de padres,
medio do desempenho real e tomada de aes corretivas (WIKIPEDIA, 2009);
c. [Controle] significa conhecer a realidade, compar-la com o que deveria ser, tomar conhecimento rpido das divergncias e suas origens e tomar medidas para
sua correo (ELISEU, 1995 apud PAULA, 1999, p. 21);
d. [Controle] abrange os vrios processos nos quais a administrao determina
seus objetivos, delineia os planos para alcanar esses objetivos, organiza e supervisiona as operaes necessrias para a implementao dos planos e desempenhos esperados (ELISEU, 1995 apud PAULA, 1999, p. 21);
10
e. [Controle] Controle um processo que compara a realidade com o planejado e

toma medidas para correo dos desvios encontrados;
f.
[Controle] um processo que possui um papel ativo na estabilizao de outro

processo.
Todo controle um estabilizador e, dessa forma, possui todas as caractersticas gerais de

um estabilizador, como reduo de caos (e aumento de estabilidade) em face da ocorrncia de
eventos se aplicam a um controle.
2.6 Controles de Segurana

Controles em funcionamento que tenham por objetivo neutralizar eventos potencialmente
negativos que venham a ocorrer numa organizao so chamados de controles de segurana.
A adoo de controles de segurana depende de aes de planejamento (quais os riscos
da organizao? quais controles devem ser implementados?), monitoramento (como os controles esto funcionando?) e controle (os controles esto funcionando a contento? que aes
corretivas ou aperfeioadoras devem ser tomadas?). Em suma, a adoo de controles, tanto
de gesto como de segurana, parte essencial da autorregulao realizada pela gesto da
organizao.
O NIST (NIST, 2006; NIST, 2009) oferece a seguinte definio para controle de segurana:
Um controle de segurana uma salvaguarda ou contramedida de natureza gerencial, operacional ou tcnica, prescrita para um sistema de
informaes, de modo a proteger a confidencialidade, integridade e
disponibilidade do sistema de sua informao.
Os controles de segurana podem se dividir entre gerenciais, operacionais ou tcnicos,
com as seguintes definies (NIST, 2006):
2.6.1 Controle de Segurana Operacional

Conforme NIST (2006), um controle de segurana operacional um controle de segurana
(salvaguarda ou contramedida) para um sistema de informao que primariamente implementado e executado por pessoas (em oposio a sistemas).
2.6.2 Controle de Segurana Gerencial

Conforme NIST (2006), um controle de segurana gerencial um controle de segurana
(salvaguarda ou contramedida) para um sistema de informao que foca a gesto do risco e a
gesto da segurana do sistema de informao.
2.6.3 Controle de Segurana Tcnico

Conforme NIST (2006), um controle de segurana tcnico um controle de segurana (salvaguarda ou contramedida) para um sistema de informao que primariamente executado e
implementado pelo sistema de informao, atravs de mecanismos contidos nos componentes de hardware, software ou firmware presentes no sistema.
11
2.6.4 Salvaguardas, Contramedidas ou Medidas de

Segurana
O termo salvaguarda tambm empregado como um sinnimo de controle, contramedida ou medida de segurana. Conforme NIST (2006),
Salvaguardas so medidas de proteo prescritas para alcanar requisitos de segurana (confidencialidade, integridade e disponibilidade)
que foram especificadas para um sistema de informao. Salvaguardas podem incluir caractersticas de segurana, restries gerenciais,
segurana de pessoal e segurana de estruturas fsicas, reas e dispositivos. Salvaguardas so sinnimos de controles e contramedidas de
segurana.
Controles de natureza operacional ou tcnica, como criptografia, so difceis de caracterizao como processos. O termo medida de segurana se aplica melhor aos casos em que
controles no so facilmente caracterizados como processos, isto , quando so objetos ou
artefatos quaisquer.
2.6.5 Implementao de Controles

A norma ABNT NBR ISO/IEC 27002:2005 (ABNT, 2005) contm um guia de implementao
de 133 controles de segurana tipicamente usados nas organizaes. A norma ABNT NBR ISO/
IEC 27001:2006 (ABNT, 2006) descreve um processo sistemtico de introduo de controles de
segurana em organizaes. No cerne do processo, proposto pela ABNT (2006), reside a gesto
de riscos. A Seo 8 deste texto apresenta um pouco mais de detalhes sobre a norma ISO/IEC
27002 (ABNT, 2005).
2.7 Eventos e Incidentes de Segurana

Eventos negativos para a segurana da informao so mais comumente chamados de
incidentes de segurana da informao. H, no entanto, diferenas entre os conceitos de eventos e incidentes, e a ABNT (2005) oferece definies para eventos e incidentes de segurana.
2.7.1 Evento de Segurana da Informao

Um evento de segurana da informao, segundo a ABNT (2005), uma ocorrncia identificada de um sistema, servio ou rede que indica uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida que possa
ser relevante para a segurana da informao.
2.7.2 Incidente de Segurana da Informao

Um Incidente de Segurana da Informao, segundo a ABNT (2005), indicado por um
simples evento ou uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham grande probabilidade de comprometer as operaes do negcio e ameaar
a segurana da informao.
Incidentes de segurana da organizao:
a. provocam obstruo ou erro na execuo de um ou mais processos organizacionais;
b. a obstruo ou erro decorre de dificuldades na ao dos agentes organizacionais
humanos ou computacionais, no desempenho de suas atividades;
12
c. provocam queda no desempenho de uma ou mais funes organizacionais;

d. impactam o alcance de metas organizacionais;
Dado que alguns eventos de segurana so classificados como incidentes, quanto mais
eventos ocorrerem, maior a chance de incidentes serem provocados. A gesto de riscos de
segurana da informao busca mapear o risco de ocorrncia dos incidentes de segurana da
informao.
2.8 Risco e Risco de Segurana

Risco um evento hipottico, cuja ocorrncia pode afetar de forma positiva ou negativa
uma organizao. Ele possui chance de ocorrncia futura que no nula e apresenta impacto
ou oportunidade significante.
2.8.1 Risco de Segurana

Um risco de segurana um evento possvel e potencialmente danoso a uma organizao, isto , um evento hipottico, que possui chance de ocorrncia futura que no nula e que
apresenta impacto negativo significante.
Sem chance de ocorrncia futura, um evento hipottico no se configura como risco. Sem
impacto negativo significante, um evento hipottico no se configura como risco. tambm
importante destacar que, mesmo que um evento futuro negativo tenha 50% de chance de
ocorrer e impacto negativo valorado, haver sempre uma incerteza associada a tal estimativa.
Isto , podemos ter baixa, mdia ou alta confiana de que o evento tem 50% de chance de
ocorrer, bem como podemos ter baixa, mdia ou alta confiana de que o impacto negativo real
ser do valor que estimamos.
Dessa forma, um risco poderia, de modo abstrato, ser obtido pela frmula abaixo:
Risco de Segurana = Chance de ocorrncia * Impacto negativo estimado * Incerteza relacionada com as medidas.
2.8.2 Perfil do Risco de Segurana

Ao conjunto de riscos de segurana aos quais est sujeito uma organizao d-se o nome
de perfil do risco de segurana.
Perfil do Risco de Segurana = {Risco de segurana 1 + Risco de segurana 2 + ... + Risco
de segurana n}
2.8.3 Cenrio de Incidentes de Segurana

A descrio fictcia e textualmente enriquecida de um conjunto de incidentes que podem potencialmente ocorrer com uma organizao chamada de cenrio de incidentes. O
conjunto de cenrios de incidentes uma forma empregada para facilitar a compreenso do
perfil de riscos de uma organizao. A partir do cenrio de incidentes podem ser construdos
vrios riscos.
13
2.8.4 Reduo do Risco

A reduo gerenciada de um risco obtida por meio da introduo de controles, produzindo um novo tipo de risco, chamado de risco residual. De forma abstrata, poderamos
expressar a reduo do risco, ou risco residual, por meio de uma frmula como a seguir:
Risco residual = Risco original / Controles de Segurana
2.8.5 Iteratividade na Gesto do Risco

Cada controle de segurana implementado para reduzir um ou mais riscos incorre em
um custo, bem como aumenta a chance de que outros eventos, de natureza positiva, tambm
sejam reduzidos e que, com isto, a organizao perca alguma flexibilidade e deixe de inovar.
Dessa forma, o gestor de segurana precisa encontrar um ponto de equilbrio entre o ganho
no aumento da segurana em comparao com as perdas decorrentes de investimentos em
controles e aquelas relacionadas perda de flexibilidade organizacional.
preciso tambm compreender que cada novo controle introduzido para tratar um risco
especfico produz um risco residual e pode introduzir surgimento ou desaparecimento de novos
riscos. Diante desse cenrio mutvel e complexo para a segurana, mais especificamente, a gesto da segurana organizacional contm pelo menos trs atividades, executadas nesta ordem:
a. levantamento do perfil de riscos de segurana da organizao;
b. adoo de controles de segurana compatveis com o perfil de riscos da organizao;
c. reavaliao.
A ordem na qual essas atividades devem ser realizadas a apresentada acima. um desperdcio de recursos a adoo de controles de segurana sem que haja compreenso do perfil
de riscos ao qual a organizao est sujeita. As atividades de levantamento do perfil de riscos
e de adoo de controles so realizadas no mbito da Gesto de Riscos de Segurana, que vem
a ser o cerne da Gesto da Segurana.
A implementao da segurana em uma organizao, fundamentalmente baseada em
controles, depende da compreenso da natureza do conjunto de eventos potencialmente negativos a essa organizao, os quais podem no possuir relao direta com a natureza do processo em si que est sendo executado.
A falta de energia, por exemplo, um evento que no possui relao direta com o processo de ensino de uma universidade. O uso de senhas no uma caracterstica inerente a
um sistema de controle de rendimento escolar. No entanto, um conjunto genrico de eventos
pode impactar um grande nmero de processos de uma organizao, e essencial saber quais
so eles e do que eles dependem para funcionar.
Como h uma quantidade finita de recursos para implementao de controles de segurana, para o alcance de uma situao de equilbrio necessrio estabelecer prioridades, identificando quais atividades so essenciais atuao da organizao e at que ponto elas so influenciadas por riscos de segurana. Todas as aes de segurana devem ser prioritariamente
guiadas para a preservao da continuidade do desempenho dessas atividades e alcance das
metas a elas associadas.
2.9 Paradoxo da Segurana

A segurana um processo que envolve o emprego de uma quantidade considervel de
recursos no diretamente relacionados satisfao das necessidades de uma organizao. Tais
recursos so empregados para analisar eventos, processos e sistemas, bem como para conceber, implementar, operar e aprimorar controles.
14
Por ser uma consumidora de recursos no relacionada realizao das atividades fim de
uma organizao, a segurana cria um aparente paradoxo.
Por um lado, existe uma quantidade infinita de eventos negativos que podem ocorrer, e a
adoo de controles de segurana para neutralizar cada um destes eventos levaria uma organizao a comprometer todos os seus recursos, levando-a morte por esgotamento de recursos.
A segurana excessiva no garante a continuidade da vida.
Por outro lado, a inexistncia de quaisquer controles de segurana, onde a organizao
observa e aproveita apenas os eventos positivos para a realizao de negcios, conduz tal organizao exposio a situaes que a levaro morte prematura.
A falta de segurana garante que a vida ser descontinuada. A preocupao com segurana aumenta na medida em que uma organizao vive mais.
Na prtica, maior investimento de recursos em segurana garante a sobrevivncia em situaes difceis (eventos danosos), enquanto investimentos de recursos na busca ou aproveitamento de eventos para a satisfao de necessidades bsicas esto relacionados ao prprio
desfrute da existncia ou realizao de objetivos de negcio.
O alcance da segurana efetiva exige uma situao de equilbrio na aplicao de recursos,
em ambas as situaes.
O processo de encontro do ponto de equilbrio entre a segurana e a realizao de objetivos de negocio iterativo, reflexivo e virtualmente infinito.
O processo iterativo porque so necessrios vrios ciclos para o alcance de uma situao
adequadamente equilibrada. Ora os controles de segurana so excessivos e a organizao
perde oportunidade para realizao de negcios; ora os controles de segurana so insuficientes, e a sobrevivncia da organizao ameaada.
O processo de segurana reflexivo porque a adoo de controles de segurana diante
dos eventos negativos possveis influencia a futura ocorrncia desses e de outros eventos, fazendo com que os prprios ambientes externo e interno se ajustem medida que os controles
so adotados.
Por fim, o alcance do ponto de equilbrio um processo virtualmente infinito, com durao para toda a vida. As organizaes que atuam em um espao modificam-se contnua e
imprevisivelmente conforme a ao das demais. Quando combinada com a caoticidade da
natureza e dos sistemas artificiais, inclusive de natureza tecnolgica, essa situao conduz a
uma contnua busca e coevoluo, sendo parcialmente encerrada quando a organizao morre, mas continuada pelos descendentes possivelmente gerados.
O alcance do ponto de equilbrio entre a aplicao de controles de segurana e a realizao de negcios encontrado apenas por meio de um processo iterativo, reflexivo e virtualmente infinito.
A segurana, embora consistindo na adoo planejada de controles, necessita ponderar a
necessidade e suficincia dos controles de segurana, em face do conjunto de eventos potenciais negativos que possam ocorrer no futuro.
2.10 Concluso
Esta seo comps um arcabouo conceitual geral sobre segurana, por meio do qual ser
efetuada uma apresentao do processo de gesto de riscos. Eis uma smula dos conceitos
discutidos na seo:
a. organizaes esto sujeitas ocorrncia de eventos incertos que podem desestabilizar suas atividades e processos. Tais eventos so denominados riscos;
b. gestores precisam controlar as atividades e processos organizacionais, isto ,
controlar riscos. Para tal, despendem recursos organizacionais na implementao de controles;
15
c. controles de segurana so aqueles voltados reduo de potenciais eventos

de impacto negativo (riscos de segurana), e so usualmente enquadrados em
classes de controle operacional, gerencial ou tcnico;
d. a reduo do risco de segurana um processo iterativo, que depende do levantamento do perfil de riscos de segurana que afetam uma organizao, da implementao de controles de segurana para mitigar esses riscos e da reavaliao
do perfil de riscos diante das mudanas inevitveis provocadas pelos controles.
O prximo captulo introduz a abordagem da ABNT NBR ISO/IEC 27005:2008 gesto de riscos.
16
3 Conceitos de Gesto de Riscos

A gesto de riscos de segurana um processo sistemtico da gesto organizacional que
determina a aplicao equilibrada de controles de segurana nessa organizao, diante do seu
perfil de riscos de segurana.
A ISO/IEC 27005, norma base usada para apresentao de um modelo de gesto de riscos,
tem as finalidades de ser (ISO/IEC, 2007):
a. uma descrio de um processo genrico para a gesto do risco de segurana da
informao;
b. um guia para gesto do risco que pode ser usado em empresas, projetos, ciclos
de melhoria contnua etc;
c. um guia para desenvolvimento de mtodos e metodologias que atendam
s necessidades de gesto de riscos apontadas na norma ABNT NBR ISO/IEC
27001:2006;
d. uma norma de consenso entre diversas outras normas e metodologias de gesto
de riscos em nvel mundial.
Segundo (FERNANDEZ; SCHAUER, 2007), a ISO/IEC (2007) deriva de vrias outras normas como:
a. A norma inglesa BS-7799-3 (BS, 2006), que funcionalmente similar 27005;
b. AS/NZS 4360 (Standards Australia and Standards New Zealand, 2004), que possui
um modelo de processo de grande similaridade com o da 27005;
c. ISO/IEC 27001 - Sistemas de gesto de segurana da informao requisitos
(ABNT, 2006), que pertence mesma famlia da 27005 e articula-se explicitamente com essa norma.
d. ISO 31000:2009 - Risk management -- Principles and guidelines (ISO/IEC, 2009)
apresenta um arcabouo conceitual similar ao da norma AS/NZS 4360.
Figura 1 Mapa Conceitual sobre Gesto de Riscos de Segurana.
17
O mapa da Figura 2 apresenta o arcabouo conceitual geral sobre o qual se apoia a 27005,
e alguns de seus elementos so definidos na lista a seguir.
a. [Organizao] uma entidade que possui um conjunto de ativos (de informao) (ISO/IEC, 2007);
b. [Ativo] Qualquer coisa que tenha valor para a organizao (ISO/IEC, 2007). Um
ativo uma parte da organizao, podendo ser um elemento tangvel como um
de seus subsistemas, ou intangvel como uma marca comercial ou segredo industrial;
c. [Evento de Segurana da Informao] uma ocorrncia identificada de um estado de sistema, servio ou rede, indicando uma possvel violao da poltica de
segurana da informao ou falha de controles, ou uma situao previamente
desconhecida, que possa ser relevante para a segurana da informao (ISO/IEC,
2007);
d. [Consequncia de um Evento de Segurana] uma variao negativa no nvel
de um objetivo de segurana devido a um evento (ISO/IEC, 2007). So os principais objetivos de segurana a confidencialidade, integridade, disponibilidade e
autenticidade;
e. [Impacto] uma mudana adversa no nvel de objetivos de negcios alcanados. (ISO/IEC, 2007);
f.
[Ameaa] a causa potencial de um incidente indesejado, que pode resultar em

dano para um sistema ou organizao (ISO/IEC, 2004).
g. [Vulnerabilidade] uma fragilidade de um ativo ou grupo de ativos que pode ser

explorada por uma ou mais ameaas (ISO/IEC, 2004);
h. [Risco de Segurana da Informao] o Potencial que uma ameaa explore vulnerabilidades de um ativo ou conjunto de ativos e desta forma prejudique uma
organizao. Um risco mensurado em termos de probabilidade de materializao do risco e seus impactos (ISO/IEC, 2007);
i.
[Evitar o Risco] a Deciso de no se envolver ou de sair de uma situao de

risco (ISO/IEC, 2007);
j.
[Comunicar o Risco] a Troca ou compartilhamento de informao sobre risco

entre um tomador de deciso e outros interessados (ISO/IEC, 2007);
k. [Estimar o Risco] o Processo de atribuir valores s probabilidades e consequncias de um risco (ISO/IEC, 2007);
l.
[Identificar o Risco] o Processo de encontrar, listar e caracterizar elementos do

risco (ISO/IEC, 2007);
m. [Reduzir o Risco] um conjunto de aes adotadas para reduzir a probabilidade

de ocorrncia ou as consequncias negativas, ou ambas, associadas a um risco
(ISO/IEC, 2007);
n. [Reter o Risco] a aceitao do encargo da perda ou benefcio do ganho advindos de um risco em particular (ISO/IEC, 2007);
o. [Transferir o Risco] compartilhar com outro parceiro o encargo da perda ou o
benefcio do ganho, associado a um risco (ISO/IEC, 2007).
A partir das definies acima, pode-se inferir, entre outras coisas, que o conceito de ativo
fundamental para a gesto de riscos de segurana da informao, embora seja digno de nota
que a norma AS/NZS 4360 (Standards Australia and Standards New Zealand, 2004), norma geral de gesto de riscos, no se fundamenta na existncia de ativos para a gesto do risco.
Note-se ainda que a determinao de um risco de segurana da informao envolve a
coleta de dados sobre vrios elementos ou fatores de risco: ativos, ameaas, vulnerabilidades,
probabilidades, consequncias e impactos.
18
A prxima seo aprofunda o entendimento do conceito de ativo de informao e as formas de levantamento de inventrios de ativos.
3.1 Ativos de Informao

Devido natureza intangvel de muitos ativos de informao, a ABNT (2008) bastante
genrica no que se refere a quais seriam estes ativos. Em seu Anexo B, a ABNT (2008) faz uma
classificao primria dos ativos entre primrios e de suporte. Os ativos primrios apoiam-se
nos ativos de suporte.
3.1.1 Classificao de Ativos

So ativos primrios de uma organizao (ISO/IEC, 2007):
a. [Processos e Atividades do Negcio] so executados visando o desempenho das
funes da organizao. Processos so os elementos que mais agregam valor
organizao;
b. [Informaes] so usadas no apoio execuo desses processos, alm das de
carter pessoal, estratgicas ou com alto custo de aquisio.
Alm dos ativos primrios, o Anexo B da 27005 (ISO/IEC, 2007) sugere uma classificao de
ativos de suporte, composta por seis classes:
a. [Hardware] Constituda todos os elementos fsicos que suportam a execuo automtica de processos;
b. [Software] Constituda pelos programas de computador de sistema operacional,
de suporte, software empacotado e aplicativos de negcio padronizados ou especficos da organizao;
c. [Rede de Computadores] Constituda por todos os dispositivos de redes e telecomunicaes que interconectam os dispositivos e elementos dos sistemas de
informao, como redes telefnicas, redes de computadores de longa distncia,
metropolitanas, locais e ad hoc, roteadores, bridges, hubs e outras interfaces de
comunicao;
d. [Pessoal] Constituda por grupos enquadrados entre: tomadores de deciso, usurios, pessoal de manuteno e operao e desenvolvedores de software;
e. [Stio] Constituda por todos os lugares que agregam os demais ativos sob escopo, bem como os meios para operar este stio, como: (i) espaos exteriores,
(ii) permetros defensivos, (iii) zonas dentro do permetro (escritrios, zonas seguras), (iv) servios essenciais para operao de equipamentos, (v) servios de
comunicao, e (vi) utilidades para suprimento de energia eltrica, gua, esgoto,
condicionamento do ar etc;
f.
[Estrutura Organizacional] Constituda por (i) autoridades (conselhos e comits),

(ii) subunidades da organizao (departamentos, divises, sees), (iii) projetos e
(iv) subcontratados e fornecedores.
3.1.2 Levantamento de Ativos

O levantamento dos ativos baseado na ABNT (2008) compreende a catalogao dos ativos
nas categorias descritas.
A catalogao fragmentada de ativos enquadrados nas categorias propostas pela 27005,
embora seja uma forma prtica de tratamento do grande volume de informaes necessrias ao inventrio de ativos de uma organizao, prope a separao dos ativos em hardware,
19
software, rede, pessoal, stio e estrutura organizacional. opinio do autor que tal separao
torna difcil a identificao precisa da interdependncia entre as partes que constituem a execuo dos processos e sistemas de informao.
Como no h consenso entre as metodologias de gesto de riscos sobre qual a melhor forma de proceder ao inventrio de ativos, que constitui o conjunto de elementos delimitados pelo
escopo de GRSI, bem como no papel de uma norma internacional como a 27005 apresentar
uma metodologia especfica para levantamento de ativos, outras abordagens devem vir em auxlio, como a metodologia Octave (ALBERTS; DOROFEE, 2002), por exemplo, que aborda de forma
mais precisa a gesto de riscos em ativos de Tecnologia da Informao, e apresenta um modelo
propositivo para levantamento dos ativos de TI. O levantamento feito por meio da realizao de
workshops de elicitao de conhecimento, empregando-se tcnicas como entrevistas e brainstorm, onde os participantes selecionados das reas de negcios da organizao focam os seus
trabalhos e identificam os ativos relacionados ao desempenho de suas atividades.
3.2 Anlises de Eventos

Para que se possa ter eficcia na descoberta das consequncias para os ativos e dos possveis impactos sobre os negcios da organizao, faz-se necessrio identificar mais precisamente quais os eventos poderiam levar a essas perdas. Tal anlise evita esforo desnecessrio
na anlise de consequncias e impactos, uma vez que, se no forem encontrados quaisquer
eventos que poderiam afetar um ativo, no h necessidade de empregar muitos recursos na
identificao de consequncias e impactos.
So exemplos de eventos de segurana da informao:
a. o funcionrio X no est usando crach;
b. o firewall X no est bloqueando a porta 1521 na mquina Y;
c. a senha do usurio X fraca;
d. um curto-circuito ocorreu no estabilizador na tarde de hoje;
e. faz 2 meses que o backup do banco de dados Z no realizado;
f.
a chave da sala de servidores sumiu;
g. faltou energia no bloco C hoje tarde;

h. a cerca foi rompida na noite de ontem;
i.
o alarme de deteco de intrusos disparou trs vezes seguidas;
j.
o alarme de deteco de intrusos est quebrado.
A compreenso dos eventos que ocorrem no ambiente de uma organizao essencial

para que os riscos sejam avaliados com maior preciso. No caso especfico da GRSI, os eventos
esto relacionados aos ativos. Dessa forma, aps o levantamento de ativos, possvel uma
melhor estimativa dos eventos possveis que podero estar associados a cada ativo crtico.
3.2.1 Critrios ou Objetivos de Segurana da Informao

Disponibilidade, integridade e confidencialidade so os trs principais critrios de segurana da informao para uso nas organizaes em geral, sendo tambm utilizados outros
como a autenticidade, o no repdio, a contabilizao, a confiana e a conformidade. Alm dos
critrios ou objetivos citados, a informao tambm apresenta como critrios de mensurao
de consequncias a efetividade e a eficincia, entre outros:
a. [Confidencialidade] propriedade de que a informao no esteja disponvel ou
revelada a indivduos, entidades ou processos no autorizados (ABNT, 2006);
20
b. [Integridade] propriedade de salvaguarda da exatido e completeza de ativos

(ABNT, 2006);
c. [Disponibilidade] propriedade de que (um sistema de) informao esteja acessvel e utilizvel sob demanda por uma entidade autorizada (ABNT, 2006);
d. [Autenticidade] Garantia da identidade ou veracidade do emissor de uma mensagem, como sendo genuno e que possa ser verificado quanto sua confiana
(ITGI, 2007);
e. [No repdio] Mecanismo para garantia autoria de determinadas aes, impedindo o repdio (negao) da mesma (ITGI, 2007);
f.
[Contabilizao (accountability)] Habilidade de um sistema em determinar as

aes e comportamentos de um nico indivduo dentro de um sistema, e identificar aquele indivduo em particular (ITGI, 2007);
g. [Confiana (reliability)] a segurana de que um sistema pode ser usado para o

cumprimento de uma determinada atividade demandada por um usurio (ITGI,
2007);
h. [Conformidade] a garantia de que a informao gerida conforme os regulamentos e leis aplicveis (ITGI, 2007);
i.
[Efetividade] a garantia de que a informao relevante e pertinente aos processos de negcio e entregue ao usurio de forma correta, tempestiva, consistente e usvel (ITGI, 2007);
j.
[Eficincia] a garantia de que a informao produzida com o uso otimizado de

recursos, isto , da forma mais produtiva e econmica (ITGI, 2007).
Esses critrios de segurana so a base para as anlises dos fatores de risco, conforme
aprofunda o restante desta seo.
3.2.2 Causalidade e Cadeias de Eventos

No h uma forma simples de anlise de eventos, pois os mesmos usualmente ocorrem
em cadeias complexas. Um evento de segurana de grande severidade usualmente decorrncia de vrios eventos de menor severidade que formam uma cadeia.
A eficcia de sistemas automatizados de monitoramento da segurana depende fortemente da anlise de correlaes entre eventos.
Os eventos que se situam entre a pura regularidade (inevitabilidade) e entre o caos (imprevisibilidade) esto correlacionados a um ou mais eventos passados bem como tem elevada
chance de provocar um ou mais eventos futuros. O estudo das relaes entre os eventos, chamado de causalidade, feito no domnio da filosofia h pelo menos 3.000 anos5. importante
para um gestor de segurana desenvolver a habilidade de analisar a causalidade entre eventos, porque por meio dessa habilidade que se desenvolve melhor capacidade de prever os
eventos e model-los na forma de riscos.
http://en.wikipedia.org/wiki/Causality
21
Figura 2 Diagrama espinha de peixe.

Fonte: http://en.wikipedia.org/wiki/Causality.
Vrias so as teorias e modelos desenvolvidos para explicar como um evento produz outro, e na rea da gesto da qualidade foi desenvolvido o diagrama de causa-efeito, conhecido como diagrama de Ishikawa ou de espinha de peixe. Um exemplo ilustrado na Figura
2, onde a ocorrncia de um problema ou do efeito de um problema descrita por meio da
anlise de suas causas-raiz, que so falhas relacionadas a equipamentos, processos, pessoas,
materiais, ambiente e gesto.
A Figura 2 ilustra como um evento de segurana hipottico pode ser resultante de uma
srie de outros eventos de menor severidade.
3.2.3 Anlise de ameaas e vulnerabilidades

A anlise de eventos de segurana da informao pode ser dividida em vrias etapas que
compreendem anlise de fatores de risco como ameaas, vulnerabilidades, controles, consequncias operacionais e impactos sobre negcios.
As principais anlises que so reconhecidas como tal so a anlise de ameaas e a anlise
de vulnerabilidades.
Uma ameaa uma causa potencial de um incidente indesejado, que pode resultar em
dano para um sistema ou organizao (ISO/IEC, 2004).
Uma vulnerabilidade uma fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas (ISO/IEC, 2004).
Em ambos os casos, ameaas e vulnerabilidades podem ser representaes de eventos
passveis de ocorrncia em um ambiente de uma organizao.
Para fins de racionalizao de esforos na busca por ameaas e vulnerabilidades, os mtodos de GRSI propem que a identificao de ameaas seja feita antes da identificao de
vulnerabilidades, porque seria proibitivo o custo para identificao de vulnerabilidades em
todos os ativos existentes, independentemente da existncia de ameaas correspondentes.
22
3.2.4 Anlise de Ameaas

Conforme a 27005, uma fonte de ameaas um agente ou condio que exercita ameaas. Ameaas podem ter como fonte seres humanos e o ambiente, sendo que seres humanos
podem agir deliberadamente ou acidentalmente. Desta forma, quanto origem, as ameaas
podem ser classificada em:
a.
humanas deliberadas (D);
b.
humanas acidentais (A); e
c.
ambientais (E - Environmental)
Conforme a 27005, as ameaas tambm podem ser organizadas quanto ao tipo:

a. [Dano fsico] Incidente com equipamento, instalao, mdia ou substncia que
foi comprometido;
b. [Eventos naturais] Incidentes com fontes de gua, do solo e subsolo ou do ar;
c. [Paralisao de servios essenciais] Incidentes em servio de energia eltrica,
gua encanada, esgoto, condicionamento de ar etc;
d. [Distrbio causado por radiao] Incidentes causados por radiao trmica ou
eletromagntica;
e. [Comprometimento da informao] Interceptao, destruio, furto, cpia indevida, adulterao de hardware ou software;
f.
[Falhas tcnicas] Falha, defeito, saturao ou violao das condies de uso de

equipamento de informtica;
g. [Aes no autorizadas] Uso, cpia ou processamento ilegal de dados;

h. [Comprometimento de funes] Erro em uso, abuso de direitos, forjamento de
direitos, repdio de aes, indisponibilidade de pessoas.
O Anexo C da 27005 apresenta um catlogo de ameaas tpicas, classificadas quanto ao
tipo e origem.
A 27005 indica que ateno especial deve ser dada s fontes de ameaas intencionais e humanas, com suas correspondentes motivaes. Para tanto a norma tambm apresenta uma tabela de fontes de ameaas humanas intencionais, associadas s possveis motivaes dessas fontes.
O uso das informaes do Anexo C prov auxlio identificao de eventos possveis que
se constituam em ameaas aos ativos catalogados durante a GRSI.
3.2.5 Anlise de Controles

Na 27005 proposta uma etapa de identificao de controles existentes e planejados}
efetuada possivelmente antes da identificao de vulnerabilidades, mas aps a identificao
de ameaas. Ao se detectar os controles atualmente existentes na organizao, bem como
aqueles planejados, pode-se descobrir uma srie de vulnerabilidades potenciais, j que cada
vulnerabilidade pode ser descrita por uma correspondente ausncia de controles, bem como
cada controle usualmente corresponde reduo de uma vulnerabilidade.
3.2.6 Anlise de Vulnerabilidades e Controles

Uma vulnerabilidade uma fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas (ISO/IEC, 2004).
Vulnerabilidades tm origem no ambiente interno dos ativos, sejam eles processos, documentos, pessoas, software, hardware, redes, instalaes e estruturas organizacionais.
23
A 27005 apresenta um catlogo de vulnerabilidades classificadas quanto ao tipo de ativo

secundrio qual se aplicam:
a. vulnerabilidades de hardware;
b. vulnerabilidades de software;
c. vulnerabilidades de rede;
d. vulnerabilidades de pessoal;
e. vulnerabilidades de instalaes e
f.
vulnerabilidades da estrutura organizacional.
Essas vulnerabilidades esto ainda associadas a possveis ameaas, possibilitando a construo de cenrios de incidentes sobre os ativos inventariados.
O catlogo de vulnerabilidades da 27005 possui uma natureza genrica e pouca aplicabilidade sobre vulnerabilidades especficas de ativos tecnolgicos, como computadores e software.
Dessa forma, para o caso de anlise de vulnerabilidades de ativos tecnolgicos, bem
como de sistemas especficos, a 27005 (ISO/IEC, 2007) recomenda o uso de mtodos, tcnicas
e ferramentas especficas, algumas das quais so:
a. [Ferramenta automatizada de anlise de vulnerabilidade] Aplica-se anlise de
redes de computadores e busca identificar portas abertas em hosts e vulnerabilidades associadas a essas portas. Nessus uma das ferramentas mais comumente
utilizadas para anlise de vulnerabilidades em redes;
b. [Teste e avaliao de segurana] Baseada na elaborao e execuo de scripts de
teste;
c. [Teste de penetrao] Tcnica amplamente varivel e aplicvel a vrios canais,
como artefatos tecnolgicos (ex: stios web, redes de telecomunicao, redes
sem fio, prdios, permetros e reas militares) e pessoas (tentativas de fraude,
engenharia social, reas vigiadas por humanos). Um exemplo de metodologia
aplicvel a ISECOM (2008);
d. [Reviso de Cdigo] Tcnica aplicvel a software, onde o cdigo-fonte de um
programa inspecionado visualmente por programadores (ou por meio de softwares parcialmente eficientes) a fim de se identificar vulnerabilidades a ataques
como SQL injection, buffer overflow, stack overflow, cross site-script etc. A reviso
de cdigo parte de abordagens como as descritas em Howard e Lipner (2006);
e. [Entrevistas] Aplicveis a colaboradores e usurios;
f.
[Questionrios] Para coleta de grandes volumes de dados;
g. [Inspeo fsica] Visitas ao stio;

h. [Anlise de documentos], por exemplo: anlise de registros de incidentes.
3.2.7 Anlise de Consequncias e Impactos

Uma vez levantados ou elicitados os ativos de informao de uma organizao, estes precisam ser valorados, isto , ordenados dos mais crticos ao menos crticos, segundo o julgamento dos analistas, que deve ser o menos subjetivo possvel.
Na GRSI, essa valorao inicialmente estabelecida em dois passos:
a. levantamento de consequncias operacionais da perda de segurana em ativos;
b. estimativa de impacto sobre negcios relacionados perda de proteo para
cada ativo.
24
3.2.8 Anlise de Consequncias Operacionais da Perda de

Segurana
Um levantamento preliminar de ativos deve considerar quais so os ativos e quais as consequncias operacionais relativas a perdas de proteo sobre estes ativos.
Um levantamento pode ser guiado por respostas a perguntas como:
a. quais so os ativos que voc quer proteger, por exemplo, devido a leis e regulamentos?
b. quais so os ativos mais importantes e de quais outros ativos eles dependem?
c. qual a justificativa para que X seja um ativo?
d. voc ampliou o seu escopo de anlise para o nvel da organizao inteira?
A perda de segurana em um ativo decorre de eventos de segurana relacionados ao ativo. Tal perda tecnicamente chamada de {bf brecha de segurana}, e apresenta consequncias
operacionais para a organizao. Os eventos possveis so descritos em cenrios de incidentes,
resultantes da combinao entre ameaas e vulnerabilidades. Sem entrar no mrito de quais
seriam os eventos de segurana que podem afetar um ativo, as consequncias operacionais
devem ser estimadas em termos de queda na disponibilidade, integridade e confidencialidade
da informao relacionadas a um ou mais ativos impactados pelo evento.
Uma vez que so conhecidos como os incidentes reduzem o alcance dos objetivos de
segurana relacionados aos ativos, possvel estimar as consequncias operacionais dessas redues. Em outras palavras, deve-se traduzir perda de confidencialidade, integridade e disponibilidade em termos como perda de servios, pagamento de multas e infraes contratuais.
A 27005 apresenta, no seu Anexo B, um conjunto de critrios que podem ser empregados
para atribuio de valores de criticidade aos ativos na ocorrncia de eventos em geral. A recomendao que se defina uma base comum de anlise, e duas formas so indicadas:
a. pela anlise das consequncias operacionais resultantes da perda de confidencialidade, integridade, disponibilidade, no repdio, contabilizao, autenticidade ou confiabilidade dos ativos ;e
b. de forma mais simples, pela avaliao direta dos impactos sobre os negcios da
organizao (ver Seo Impactos), em decorrncia do comprometimento dos ativos.
Acerca da primeira abordagem, algumas consequncias operacionais a considerar so
(ISO/IEC, 2007):
a. violao da legislao, regulamentos ou contratos;
b. reduo no desempenho de negcios;
c. perda de confiana e reputao de clientes e sociedade;
d. vazamento de informao pessoal;
e. aumento de perigos para os colaboradores;
f.
efeitos adversos no cumprimento da lei;
g. brechas de confidencialidade;
h. brechas na ordem pblica;
i.
perdas ou custos financeiros;
j.
riscos e crises ambientais;
k. crise governamental;
l.
interrupo de servios;
m. perda de vantagem competitiva.
25
Abordagens qualitativas so usualmente adotadas para avaliar as consequncias de comprometimento dos ativos, uma vez que a atribuio de valores financeiros a ativos nem sempre
possvel. Uma escala de pelo menos trs valores pode ser usada: alta, mdia e baixa.
O estabelecimento das dependncias entre os ativos importante para uma correta valorao de consequncias aos mesmos. Quanto mais processos de negcio dependerem de um
certo ativo, mais crtico o ativo. Por exemplo, se trs grandes sistemas de comrcio eletrnico
dependem de um servidor de banco de dados e de uma conexo de rede, esses dois ativos
devem tambm ser crticos.
Conforme a 27005, o resultado do levantamento de ativos deve conter uma lista dos ativos, com a correspondente valorao das consequncias relativas para:
a. perda de confidencialidade (divulgao indevida);
b. perda de integridade, autenticidade, no repdio e contabilizao (modificao
indevida);
c. perda de disponibilidade e confiabilidade (indisponibilidade e destruio); e
d. custos de substituio.
3.2.9 Anlise de Impactos sobre Negcios

A estimativa das consequncias da perda de segurana para um ativo na eventualidade
de incidentes permite apenas a descoberta dos valores operacionais dos ativos para a organizao, mas no indica precisamente como essas perdas podero impactar os negcios da
organizao em si.
Conforme a 27005, impacto uma mudana adversa no nvel de objetivos de negcios
alcanados. H que se considerar que um nico incidente pode afetar vrios ativos simultaneamente. Em vez de estar diretamente relacionado ao ativo, o impacto decorre dos efeitos de
um incidente que pode afetar vrios ativos de forma agregada e da mudana adversa sobre
os negcios da organizao. Essa mudana adversa pode se dar imediatamente (operacionalmente) bem como no futuro, por meio de perdas financeiras e de mercado.
A 27005 prope, para a avaliao do impacto operacional direto e indireto, a considerao
dos seguintes efeitos:
a. custo financeiro de substituio de um ativo;
b. custo de aquisio, configurao e instalao de um novo ativo ou de seu {\it
backup};
c. custo de operaes suspensas devido ao acidente, at que o servio seja restaurado;
d. resultados devido a brechas na segurana da informao;
e. violao de obrigaes;
f.
violao de cdigos de conduta, entre outros.
Uma vez feita uma valorao do impacto sobre negcios, um nvel de impacto ou criticidade deve estar relacionado a cada ativo, e pode empregar escalas qualitativas, usando valores
como muito alto, alto, mdio, baixo e muito baixo.
26
4 O Processo de Gesto de Riscos

A seo anterior apresentou os principais elementos conceituais que so articulados no
processo da 27005. A Figura 4 apresenta o fluxograma geral do processo de gesto de riscos
de segurana da informao, GRSI, adotado pela 27005.
Figura 4. O processo de gesto do risco da ISO 27005:2008.
Fonte: Adaptado de ISO/IEC (2007).

O Processo de gesto dos riscos um processo contnuo e iterativo e suas atividades e fases
so apresentadas nas clusulas 7 a 12 da norma, compreendendo as seguintes (ISO/IEC, 2007):
a. [Definio do contexto] Fase de preparao para implementao da gesto de
riscos, que envolve principalmente a definio de trs aspectos: (i) critrios bsicos para GRSI, (ii) escopo e limites do SGRSI; e (iii) organizao que vai operar
a GRSI;
b. [Apreciao do Risco] A Apreciao do Risco a fase mais intensa do processo de
GRSI no que concerne coleta e tratamento de informaes. Envolve a Anlise do
Risco e a Avaliao do Risco. A Anlise do Risco compreende a Identificao do
Risco e a Estimativa do Risco. A Identificao do Risco o processo de encontrar,
listar e caracterizar os elementos ou fatores dos riscos. Durante a identificao,
vrias anlises so efetuadas, e pode ser empregado um amplo arcabouo de
tcnicas. A Estimativa do Risco determina a magnitude ou nvel de cada risco
individual, e pode empregar mtodos qualitativos e (ou) quantitativos. Atribui
nveis para as probabilidades e consequncias de cada risco. A Avaliao do Risco
compreende a priorizao de cada risco dentro do conjunto dos riscos estimados, conforme os critrios de avaliao e os objetivos de segurana relevantes
para a organizao;
c. [Tratamento do risco] Fase que envolve a deciso entre reter, evitar, transferir
(compartilhar) ou reduzir os riscos;
27
d. [Aceitao do risco] fase que compreende o registro formal da deciso pelo aceite dos riscos residuais existentes na organizao;
e. [Comunicao do risco] conjunto de atividades continuamente executadas e que
envolve a troca de informaes sobre riscos entre os tomadores de deciso e
todos os envolvidos na organizao (stakeholders);
f.
[Monitoramento e reviso do risco] conjunto de atividades continuamente executadas e que envolve o monitoramento dos diversos fatores de caracterizao
do risco, a fim de identificar quaisquer mudanas no contexto da organizao,
atualizar o panorama de riscos da organizao e aprimorar o processo de gesto
de riscos da organizao.
Uma caracterstica geral da 27005 que todas as suas fases e atividades so organizadas
na forma de processos, que contm entradas, aes, guias para implementao e sadas bem
caracterizadas, mas de forma genrica.
Conforme a 27005, os benefcios decorrentes da adoo de uma abordagem de gesto de
riscos aderente norma compreendem:
a. riscos so identificados;
b. riscos so apreciados em termos de consequncias e chances de ocorrncia;
c. as chances e consequncias de riscos so comunicadas e compreendidas;
d. uma ordem de prioridade para tratamento de riscos estabelecida;
e. uma ordem de prioridade para reduo dos riscos estabelecida;
f.
os intervenientes so envolvidos em decises sobre riscos e mantidos informados sobre o status da gesto de riscos;
g. o monitoramento dos riscos efetivo;

h. os riscos e o processo de gerncia de riscos so monitorados e revistos regularmente;
i.
captura-se informao que permite a melhoria da abordagem de gesto de riscos;
j.
os gerentes e o staff so educados sobre riscos e aes tomadas para mitig-los.
A Figura 5 apresenta numa viso esquemtica de como ocorre o fluxo da informao num
processo organizado segundo o modelo da 27005.
28
Figura 5. Fluxo de informaes na Gesto de Riscos aderente ISO/IEC (2007).
Fonte: Autor.
Conforme ilustra o fluxo de dados da Figura 5, para a Definio do Contexto necessria

toda a informao disponvel, inclusive as produzidas por execues anteriores de qualquer
fase, os resultados das apreciaes insatisfatrias e os planos de tratamento do risco que no
foram aceitos, bem como dados do monitoramento e reviso da GRSI. A Apreciao do Risco
composta pelas fases de Identificao, Estimativa e Avaliao. A Identificao e a Estimativa
compreendem a Anlise.
Existem dois pontos de controle importantes em um processo de gesto de riscos aderente
27005, que atuam imediatamente aps a Apreciao e aps o Tratamento do Risco. No caso
dos resultados da Apreciao ou do Tratamento serem insatisfatrios, faz-se necessrio repetir
a execuo de passos anteriores do processo. O Tratamento produz um plano que contm uma
estimativa de riscos residuais, que devem ser aceitos pela alta gesto. O processo completado pela fase de Aceitao, que compreende a aceitao do plano de tratamento de riscos, que
por sua vez indica os riscos residuais da organizao.
As sees seguintes descrevem em mais detalhes os aspectos de cada fase.
29
5 Definio do Contexto da GRSI

A fase de Definio do Contexto cria ou ajusta o contexto para execuo da GRSI. Recebe
como entrada todas as informaes sobre a organizao relevantes para a definio do contexto, e produz como sada: (i) a especificao dos critrios bsicos para GR; (ii) a especificao
do escopo e limites cujos riscos sero geridos e (iii) uma organizao preparada para operar a
gesto de riscos. As aes realizadas na fase so as capazes de produzir os resultados esperados, e so detalhadas a seguir.
5.1 Descrio de Critrios Bsicos para GR

Os Critrios Bsicos para GR so estabelecidos preferencialmente sob superviso direta da
alta gesto e subdividem-se em:
a. [Critrios para Avaliao de RSI] Que consideraes devem ser usadas para avaliar os riscos?
b. [Critrios para Determinao do Impacto de Incidentes] Que consideraes devem ser usadas para determinar o impacto de incidentes de segurana para o
alcance dos objetivos de negcio da organizao?
c. [Critrios para Aceitao de RSI] Que consideraes sero usadas pela alta gesto
para aceitar os riscos residuais da organizao?
Abordagens para a descrio de cada um desses critrios so definidas a seguir.
5.1.1 Critrios para Avaliao de Riscos de Segurana da

Informao
Os critrios para avaliao de RSI so usados na fase de Avaliao, que compreende a ordenao dos riscos quanto prioridade para tratamento. O estabelecimento de critrios deve
considerar (ISO/IEC, 2007):
a. [Valor Estratgico] Qual o valor Estratgico para a organizao dos processos de
negcio que tratam com informao? Qual o valor dos processos responsveis
pelo tratamento da informao em sua organizao?
b. [Criticalidade dos ativos de informao] Quo crtico para o alcance dos objetivos
de negcio da organizao so os ativos de informao envolvidos?
c. [Requisitos legais, regulatrios e contratuais] A quais aspectos legais, regulatrios e contratuais est sujeito o tratamento da informao na sua organizao?
d. [Importncia da disponibilidade, confidencialidade e integridade] Qual a importncia da disponibilidade, confidencialidade e integridade para a operao e
para os negcios? Qual a importncia absoluta e relativa destes critrios?
e. [Expectativas e percepes] Quais as expectativas e percepes dos envolvidos,
alm de consequncias negativas para a boa f e reputao destes e da organizao? Todos os envolvidos manifestaram suas percepes?
f.
[Prioridades] Quais as prioridades para tratamento de riscos? Quais as aes prioritrias de tratamento?
Durante o estabelecimento de critrios para avaliao de riscos de segurana da informao, uma descrio formal que responda s questes acima precisa ser formalizada. Tal descrio ser usada como base para vrias etapas do processo de GRSI.
5.1.2 Critrios para Determinao do Impacto de Incidentes
30
A quais eventos de segurana est sujeita a organizao? Que impactos esses eventos
podem causar? O desenvolvimento e a especificao de critrios de determinao de impacto
devem descrever o grau de danos ou custos para a organizao, causado por eventos de segurana, e deve considerar os seguintes aspectos (ISO/IEC, 2007):
a. [Nveis de classificao] Quais os nveis de classificao de segurana dos ativos
de informao impactados? Como os eventos impactam ativos de informao de
diversos nveis?
b. [Brechas de segurana da informao] Brechas de segurana da informao envolvem perda de confidencialidade, integridade e disponibilidade. Quais so as
brechas que podem ocorrer?
c. [Operaes obstrudas] Quais podem ser as operaes obstrudas, sejam elas
internas ou com terceiras partes? Que operaes podem ser interrompidas por
eventos?
d. [Perda de negcios e valores financeiros] Como a organizao pode perder negcios e valor financeiro com os eventos?
e. [Rompimento de planos e prazos] Como os planos da organizao podem ser
afetados ou completamente obstrudos? Como os prazos de sua organizao podem ser afetados por eventos?
f.
[Danos reputao] Quais os danos que podem ocorrer reputao da organizao?
g. [Infrao de requisitos] Que infraes de requisitos legais, regulatrios ou contratuais podem ocorrer? Como a sua organizao pode infringir leis, normas, regulamentos ou contratos em decorrncia de eventos de segurana?
Durante o estabelecimento de critrios para determinao do impacto de incidentes, uma
descrio formal que responda s questes acima precisa ser elaborada, e ser usada como
base para vrias etapas do processo de GRSI.
5.1.3 Critrios para Aceitao de RSI

Que consideraes sero usadas pela alta gesto para aceitar os riscos da organizao na
fase de Aceitao? Essas consideraes devem ser definidas na forma de critrios para aceitao de riscos de segurana da informao. Tais critrios guiaro os analistas de risco na preparao de anlises e avaliaes preliminares de riscos, de modo que o trabalho do analista de
riscos possa ser aceito pela gesto da organizao. Uma organizao deve desenvolver escalas
prprias para nveis de aceitao de riscos, considerando os seguintes aspectos (ISO/IEC, 2007):
a. [Mltiplos nveis de disparo] como so alcanados os nveis de risco alvo que so
desejados pelos gestores? Quais os nveis e gatilhos de risco de sua organizao?
b. [Proviso para aceitao] Como a alta gesto poder aceitar riscos acima dos nveis estabelecidos? Sob quais circunstncias definidas? Que condies especiais
possibilitam a aceitao de riscos que, em condies normais, seriam inaceitveis?
c. [Custos e benefcios] Qual a relao entre o benefcio estimado (ex: financeiro) e
risco de dano estimado?
d. [Diferentes nveis de risco] Quais so os diferentes nveis de risco aceitveis conforme as classes de risco? Qual a tolerncia a riscos de no conformidade com
legislao comparativamente tolerncia a riscos de quebra de contrato?
e. [Aceitao condicionada] Como aceitar condicionalmente o risco, sujeito aprovao de tratamentos futuros dentro de um determinado perodo? Quais os riscos que voc aceita hoje, condicionados tomada de aes de controle futuras?
31
f.
[Tempo para existncia do risco] O risco aceito est relacionado a uma atividade
de curto prazo ou de longo prazo?
g. [Critrios de negcio] Como o seu negcio diferente dos demais?

h. [Aspectos legais e regulatrios] Como os aspectos legais e regulatrios se aplicam ao negcio da organizao?
i.
[Operaes] Em que tipos de operaes a organizao est envolvida?
j.
[Tecnologias] Quais as tecnologias empregadas pela organizao?
k. [Finanas] Quais os impactos financeiros dos riscos organizao?

l.
[Fatores sociais e humanitrios] Fatores sociais e humanitrios se aplicam sua

organizao e podem influenciar a aceitao dos riscos?
A Tabela 1 apresenta um exemplo de escala de mensurao de riscos. Um exemplo de

critrio a ser referendado pela alta gesto de um rgo seria aceitar, sem justificativas, apenas
os riscos cujo valor seja baixo (entre 0 e 2).
Tabela 1. Uma escala para mensurao do risco. Fonte: (ISO/IEC, 2007)
5.2 Especificao do Escopo e Limites da Gesto de Riscos

Todo sistema possui um escopo e limites que demarcam esse escopo; tal escopo precisa
dessa delimitao para que tenha convergncia a gesto de riscos. Segundo a ISO/IEC (2007)
preciso, com a especificao do escopo e limites, produzir um documento que responda s
seguintes questes:
a. qual o escopo da GRSI a ser adotado?
b. quais os ativos relevantes que sero considerados, e que formaro o escopo?
c. quais ativos so pouco relevantes?
d. como voc delimita os elementos do escopo? Por meio de limites fsicos? Limites
legais? Limites tecnolgicos? Limites contratuais? Limites organizacionais?
e. em que ambiente a organizao opera? Qual a relevncia do ambiente para a
GRSI? A sua organizao opera em um ambiente controlado? Em um ambiente
hostil? Com muitas ameaas?
Alm desses aspectos, deve-se considerar, tambm segundo ISO/IEC (2007), que a delimitao do escopo pode ser influenciada pelos:
a. objetivos estratgicos, estratgias e polticas de negcios e servios da organizao;
b. processos de negcios;
32
c. funes e estruturas organizacionais;

d. requisitos legais, regulatrios e contratuais aplicveis;
e. poltica de segurana da informao da organizao;
f.
abordagem geral de gesto de riscos da organizao;
g. ativos de informao;
h. quantidade de stios fsicos da organizao e suas caractersticas geogrficas;
i.
restries afetando a organizao;
j.
expectativas dos intervenientes e outras partes interessadas;
k. ambiente sociocultural;
l.
interfaces (ex: de troca de informao com o meio ambiente).
Devem ser providas justificativas para quaisquer excluses de ativos do escopo indicado.
O resultado da atividade uma declarao preliminar de escopo de gesto de riscos, um
documento formal.
5.3 Definio da Organizao para Operar a Gesto de

Riscos
A definio da organizao para operar a gesto de riscos (GR) o ultimo aspecto na fase
de Definio do Contexto. Uma organizao com responsabilidades pela GRSI deve ser criada
e mantida. Essa organizao forma um subsistema, que poderia ser chamado de Sistema de
Gesto de Riscos de Segurana da Informao. A Figura 5 apresenta o escopo desse sistema de
forma abstrata e suas relaes com o restante da organizao.
Figura 5 Arcabouo de um SGRSI - Sistema de Gesto de Riscos de Segurana da Informao.
Fonte: o autor.
Segundo a (ISO/IEC, 2007), so papis e responsabilidades dessa organizao:
a. desenvolvimento de um processo de GRSI adequado para a organizao;
b. identificao e anlise dos intervenientes e partes interessadas;
33
c. definies de papis e responsabilidades por todos os parceiros na GRSI, tanto

internos quanto externos organizao;
d. estabelecimento dos relacionamentos requeridos entre o SGRSI e os intervenientes, bem como das interfaces com as funes de gerenciamento de riscos de alto
nvel da organizao (ex: gesto de riscos operacional), bem como com outros
projetos e atividades relevantes;
e. definio dos caminhos de escalao de deciso;
f.
especificao dos registros a serem mantidos;
O SGRSI deve ser aprovado pelos gestores de nveis adequados na organizao, e um

importantes recursos que atendem aos requisitos da 27001 (ISO/IEC, 2006).
34
6 Apreciao do Risco
A Apreciao do Risco o processo responsvel por identificar, estimar e avaliar o risco.
Envolve vrias anlises e avaliaes que so agrupadas sobre os processos de Anlise do Risco
e de Avaliao do Risco. A apreciao do risco um processo iterativo que, segundo a ABNT
(2008), deve ser executada em pelo menos duas iteraes. Tal abordagem devida interdependncia entre os vrios elementos levantados durante a identificao (ativos, ameaas,
controles, vulnerabilidades, probabilidades, consequncias, impactos e magnitude de riscos).
A Apreciao recebe como entradas os critrios bsicos, escopo e limites, bem como a
organizao responsvel pelo processo de GRSI, definidos na fase de definio dos conceitos.
A sada da apreciao uma lista de riscos avaliados e priorizados conforme os critrios
estabelecidos na fase anterior.
A seguir so detalhadas a anlise e a avaliao dos riscos.
6.1 Anlise do Risco

A Anlise do Risco a composio dos processos de Identificao do Risco e de Estimativa
do Risco. A identificao do risco o processo de encontrar, listar e caracterizar os elementos
ou fatores do risco. O propsito da Avaliao do Risco priorizar os riscos contra critrios de
avaliao (estabelecidos na Definio do Contexto) e objetivos relevantes para a organizao.
6.1.1 Identificao do Risco

O propsito da identificao do risco , segundo ISO/IEC (2007), determinar o que pode
acontecer para causar uma perda potencial, ou ganhar percepo sobre como, onde e porque
a perda pode acontecer. A identificao do risco decompe o risco em cinco fatores e os analisa individualmente. As atividades so:
a. identificao de ativos;
b. identificao de ameaas;
c. identificao de controles;
d. identificao de vulnerabilidades;
e. identificao de consequncias,
Essas atividades so detalhadas a seguir.
6.1.1.1 Identificao de Ativos

A atividade de Identificao de Ativos recebe como entradas: (i) a declarao do escopo e
limites da GR; e (ii) uma lista preliminar de ativos da organizao, com indicao do responsvel por cada um, alm das localizaes, funes e outras caractersticas dos ativos. O objetivo
da atividade identificar quais dos ativos esto no escopo a ser gerenciado, produzindo como
sada uma lista de ativos cujos riscos devem ser gerenciados, associado a uma lista de processos de negcio relacionados com os ativos e a relevncia desses relacionamentos.
Alguns aspectos importantes devem ser considerados na identificao de ativos so (ISO/IEC, 2007):
a. sistemas de informao so mais que hardware e software;
b. o nvel de detalhamento dos ativos deve ser suficiente para permitir as fases subsequentes, especialmente a avaliao;
35
c. deve-se ter em mente que o nvel de detalhamento das descries dos ativos
ser refinado em iteraes posteriores;
d. para cada ativo identificado, um responsvel ou proprietrio tambm deve ser
identificado. Esse pessoal deve ser responsvel pela produo, desenvolvimento,
manuteno, uso e segurana do ativo. Ela a principal fonte de informaes
sobre o ativo;
e. o responsvel pelo ativo a pessoa mais indicada para determinar o valor do
ativo para a organizao;
f.
a coleta de dados no deve ultrapassar o escopo da gesto de riscos.
Tabela 2 Exemplo de lista de ativos e suas relaes com processos de negcio.
A Tabela 2 apresenta um esboo do que seria uma lista de ativos identificados, produzida
ao final dessa atividade.
6.1.1.2. Identificao de Ameaas

A atividade de Identificao de Ameaas recebe como entradas informaes sobre ameaas, obtidas por meio: (i) da reviso dos registros de incidentes e eventos de segurana; (ii) dos
responsveis pelos ativos, dos usurios; e (iii) de outras fontes, incluindo catlogos externos de
ameaas. O objetivo que ameaas e suas fontes sejam identificadas. A atividade produz como
sada uma lista de ameaas, com a identificao do tipo e fonte da ameaa, como a Tabela 3.
Tabela 3. Exemplo de tabela de identificao de ameaas.
36
Alguns aspectos importantes devem ser considerados na identificao de ativos, conforme a 27005:
a. uma ameaa pode afetar mais de um ativo e os impactos de uma mesma ameaa
podem ser diferentes, conforme o ativo;
b. fontes de ameaa acidental e deliberada devem ser identificadas;
c. ameaas podem ter origem fora e dentro da organizao;
d. a fim de tornar o trabalho limitado, ameaas devem ser identificadas genericamente e por tipo. Posteriormente, onde apropriado, ameaas individuais dentro
das classes genricas devem ser identificadas;
e. considerar que as ameaas esto em constante modificao, especialmente
quando negcios e sistemas de informao se modificam;
Por fim, devem-se empregar, para a anlise de ameaas, vrias fontes de informao,
como: (i) responsveis pelos ativos; (ii) usurios dos ativos; (iii) {\it staff } da organizao; (iv)
gestores de instalaes; (v) especialistas de segurana da informao; (vi) especialistas em segurana fsica; (vii) pessoal da rea jurdica; (viii) agncias de regulao e outras organizaes
civis; (ix) meteorologistas; (x) seguradoras; (xi) autoridades do governo; e (xii) catlogos e estatsticas obtidas em Normas; sociedades de indstria, comrcio e servios; governo; organizaes jurdicas e seguradoras.
6.1.1.3 Identificao de Controles

A atividade de Identificao de Controles recebe como entradas a documentao dos
controles e planos de implementao de tratamento de risco, se existentes. O objetivo da
identificao de controles que os controles existentes e planejados sejam identificados. A
atividade produz como sada uma lista de todos os controles existentes e planejados, com seu
status de implementao e uso.
So aspectos importantes que devem ser considerados na identificao dos controles,
conforme a 27005 (ISO/IEC, 2007):
a. a identificao dos controles existentes evita trabalhos e custos desnecessrios,
com possvel duplicao de controles;
b. controles que no funcionam adequadamente podem causar vulnerabilidades;
c. ao se identificar um controle, deve-se medir a efetividade do mesmo. A consulta
a resultados de auditorias porventura existentes reduz o esforo na medio dessa eficcia (este um dos principais trabalhos dos auditores);
d. como os controles existentes reduzem as vulnerabilidades de forma efetiva? A
efetividade de um controle pode ser estimada atravs da estimativa do quanto
ele reduz: (i) a chance de a ameaa ocorrer (ii) facilidade de explorao de uma
vulnerabilidade por uma ameaa; ou (iii) impacto do evento de segurana;
e. controles com implementao planejada devem ser tratados da mesma forma
que controles existentes;
f.
a estimativa de eficcia dos controles uma boa oportunidade para ajustes nos
mesmos;
g. Um controle pode ser identificado como: (i) efetivo, (i) no efetivo, (iii) no suficiente ou (iv) no justificado. Nos casos (iii) controle no suficiente e (iv) controle
no justificado, devem ser adotadas medidas para: (a) remoo; (b) substituio;
ou (c) manuteno do controle (devido a razes como custo). s vezes mais
econmico manter um controle implementado, mesmo que ele seja ineficaz.
37
So atividades recomendadas pela ISO/IEC (2007), quando da identificao de controles:

a. a reviso de documentos contendo informaes sobre controles, por exemplo,
planos de tratamento de riscos;
b. a reviso do status de implementao dos controles, no caso de um sistema de
gesto de segurana da informao j implementado;
c. a verificao, junto a responsveis pela segurana da informao e usurios dos
controles, acerca do status real de implementao dos controles relativos ao escopo sob anlise;
d. a conduo de reviso de controles fsicos nas instalaes da organizao em
escopo, comparando com a lista dos controles que deveriam estar presentes e
verificao de que os implementados esto funcionando corretamente e efetivamente.
6.1.1.4 Identificao de Vulnerabilidades

A Identificao de Vulnerabilidades recebe como entradas a lista de ameaas conhecidas,
a lista de ativos e a lista de controles existentes e planejados. O objetivo identificar as vulnerabilidades que podem ser exploradas pelas ameaas e, dessa forma, causar danos a ativos e
organizao.
A identificao de vulnerabilidades produz:
a. uma lista de vulnerabilidades em relao a ativos, ameaas e controles; e
b. uma lista de vulnerabilidades no relacionadas a quaisquer ameaas, para reviso e monitoramento.
Uma lista das reas e aspectos que devem ser observados conforme a ISO/IEC (2007):
a. organizao;
a. processos e procedimentos;
b. rotinas gerenciais;
c. pessoal;
d. ambiente fsico;
e. configuraes de sistemas de informao;
f.
hardware, software e equipamentos de comunicao;
g. dependncias de parceiros externos.

Alguns aspectos importantes devem ser considerados na identificao das vulnerabilidades, conforme a ISO/IEC (2007):
a. vulnerabilidades no so intrinsecamente ruins, pois preciso uma ameaa estar
presente para explor-las;
b. vulnerabilidades sem ameaas correspondentes devem ser reconhecidas e monitoradas continuamente quanto a mudanas;
c. quaisquer controles ineficazes podem ser considerados vulnerabilidades;
d. a efetividade de um controle depende do ambiente onde ele est funcionando.
Dessa forma, mudanas ambientais podem modificar bastante o grau e a extenso das vulnerabilidades;
e. ameaas sem vulnerabilidades correspondentes no constituem riscos;
f.
vulnerabilidades podem estar intrinsecamente relacionadas s propriedades

funcionais de um ativo (estaro sempre presentes);
38
g. muitas vulnerabilidades podem estar relacionadas a caractersticas de uso no

previstas para um ativo quando de sua aquisio ou construo. Por exemplo,
softwares, dispositivos e sistemas cujo uso atual no corresponde ao planejado;
h. vulnerabilidades dos ativos ocorre tanto de forma individual como agregada a
outros ativos;
6.1.1.5 Identificao de Consequncias e Cenrios de

Incidentes
A atividade de Identificao de Consequncias recebe como entradas: (i) a lista de ativos;
(ii) uma lista de processos de negcios da organizao; (iii) uma lista de ameaas e vulnerabilidades correlacionadas com ativos e suas relevncias. O objetivo da atividade identificar as
consequncias de eventuais perdas de confidencialidade, integridade e disponibilidade sobre
os ativos. A atividade produz como sada uma lista de {\bf cenrios de incidentes} com suas
consequncias relacionadas aos ativos e processos de negcio. Esses cenrios de incidente so
base para a identificao dos riscos de segurana.
Conforme a ISO/IEC (2007), um cenrio de incidente a descrio de uma ameaa explorando uma vulnerabilidade ou conjunto de vulnerabilidades dentro de um incidente de segurana da informao. So consequncias tpicas da perda de confidencialidade, integridade e
(ou) disponibilidade descritas num cenrio de incidentes:
a. perda de efetividade do ativo;
b. condies operacionais adversas;
c. perda de negcios;
d. perda de reputao;
e. danos etc.
Alguns aspectos importantes devem ser considerados na identificao de consequncias,
conforme a 27005:
a. as consequncias e o impactos de um cenrio de incidente devem ser determinados por meio dos critrios definidos durante a Definio do Contexto;
b. um cenrio de incidente pode afetar um ou mais ativos, ou parte de um ativo;
c. ativos devem ser valorados quanto ao valor financeiro ou consequncias para o
negcio no caso de dano ou comprometimento;
d. so aspectos que auxiliam na identificao de consequncias operacionais em
cenrios de incidente: (i) o tempo de reparo e investigao; (ii) perda de tempo
em trabalho; (iii) oportunidades perdidas para realizao de outras atividades;
(iv) impactos sobre a sade e segurana humana; (v) o custo financeiro no emprego de habilidades especficas para reparar o dano; e (vi) a perda de imagem,
reputao ou boa f.
Mais detalhes sobre a identificao de consequncias foram abordados na seo 2 deste texto.
6.1.2 Estimativa do Risco

A Estimativa do Risco a ltima etapa da fase de anlise do risco, e seu objetivo atribuir
valores para as probabilidades e consequncias de cada risco, usando escalas qualitativas e
(ou) quantitativas. O grau de detalhamento da estimativa pode ser amplamente varivel, dependendo de:
39
a. quo crticos os ativos so para a organizao;

b. qual a extenso de vulnerabilidades conhecidas;
c. o registro de incidentes prvios aos quais se tem acesso.
Segundo a ISO/IEC (2007), no incio da gesto de riscos, a estimativa do risco deve ser de
alto nvel, para evitar demora excessiva na apreciao, que inicialmente compreende pelo menos duas iteraes para obter resultados satisfatrios. A norma apresenta algumas estratgias
sobre como comear a realizar abordagem de alto nvel na estimativa dos riscos.
As atividades realizadas na estimativa envolvem:
a. estimativa das consequncias;
b. avaliao da probabilidade de incidente;
c. estimativa do nvel do risco.
Essas atividades so detalhadas a seguir.
6.1.2.1 Avaliao do Impacto de Incidentes (Estimativa

das Consequncias)
A Avaliao do Impacto de Incidentes (estimativa das consequncias) recebe como entrada uma lista de cenrios de incidente identificados como relevantes, incluindo identificao de
ameaas, vulnerabilidades, ativos afetados, consequncias para ativos e processos de negcio.
O objetivo avaliar o impacto sobre os negcios da organizao que resultaria da ocorrncia
desses cenrios de incidentes. Devem ser levadas em considerao as brechas de segurana,
como perda de confidencialidade, integridade e disponibilidade. A sada do processo uma
lista de avaliaes de impacto (consequncias) apreciadas, decorrentes de um cenrio de incidente, expressas com respeito a ativos e critrios de impacto.
So aspectos importantes que devem ser considerados na estimativa de consequncias,
conforme a 27005:
a. valorar todos os ativos no escopo e considerar o valor desses ativos quando estimando as consequncias;
b. valorar impactos sobre os negcios de forma quantitativa ou qualitativa (valores
monetrios facilitam tomada de deciso);
c. ordenar os ativos quanto criticidade, isto , a importncia dos ativos para alcance dos objetivos de negcios da organizao;
d. analisar na ordem dos mais crticos para os menos crticos;
e. adotar algumas formas de valorao indicadas, dentre as quais so indicadas:
(i) estimar qual o valor para substituir o ativo; (ii) estimar qual o custo de recuperao, depurao e substituio da informao perdida; (iii) estimar as consequncias para o negcio devido perda ou compromisso do ativo, devido
divulgao indevida, devido modificao no autorizada, indisponibilidade
e destruio;
f.
realizar uma anlise de impacto sobre negcios - BIA ({\it Business Impact Analysis});
g. considerar que incidentes podem afetar mais de um ativo;

h. modelar as consequncias de um evento ou de uma srie de eventos usando
dados experimentais;
i.
expressar consequncias usando critrios de impacto em termos monetrios,

tcnicos ou humanos, ou outros.
40
6.1.2.2 Estimativa da Probabilidade de Incidente

A Estimativa da Probabilidade de Incidentes, segundo a ISO 27705, recebe como entradas:
(i) uma lista de cenrios de incidente identificados como relevantes, incluindo identificao de
ameaas, vulnerabilidades, ativos afetados, consequncias para ativos e processos de negcio;
e (ii) uma lista de todos os controles existentes e planejados, suas efetividades e status de implementao e uso.
O objetivo da atividade avaliar a probabilidade de realizao de cenrios de incidentes.
A sada dessa atividade a lista das probabilidades de cenrios de incidentes.
Alguns aspectos importantes devem ser considerados na estimativa de probabilidades,
conforme a 27005:
a. a frequncia com a qual as ameaas ocorrem;
b. quo fcil , para as ameaas, explorarem as vulnerabilidades;
c. a experincia e estatsticas sobre probabilidade de ameaas;
Para ameaas de origem deliberadas, a norma recomenda observar:
a. motivaes e capacidades;
b. mudanas ao longo do tempo;
c. recursos disponveis aos atacantes;
d. percepo da atratividade e vulnerabilidade dos ativos para um atacante possvel.
Para ameaas acidentais, a norma recomenda observar:
a. fatores geogrficos;
b. proximidade a outras instalaes;
c. condies meteorolgicas extremas;
d. fatores que influenciam erro humano;
e. mau funcionamento de equipamentos;
6.1.2.3 Estimativa do Nvel do Risco

A Estimativa do Nvel do Risco recebe como entrada a lista de cenrios de incidentes, com
suas consequncias relacionadas a ativos e processos de negcios, associados s probabilidades (qualitativas ou quantitativas). O objetivo da atividade estimar o nvel de risco para
todos os cenrios de incidentes relevantes. A sada da atividade a lista de riscos com nveis
de valorao atribudos.
Durante a Estimativa do Nvel do Risco, deve-se considerar antecipadamente os custos e
benefcios do tratamento dos riscos e as preocupaes dos intervenientes.
Para a realizao da estimativa das consequncias, probabilidades e nvel do risco, podem ser usadas abordagens qualitativas, quantitativas ou mistas. A abordagem qualitativa
usualmente realizada, em primeiro lugar, para indicao geral do nvel de risco e para revelar
os maiores riscos. A abordagem quantitativa mais complexa e custosa, e demora a produzir
resultados satisfatoriamente precisos. Apenas os riscos de maior impacto podem ser estimados com maior detalhamento por meio de abordagem quantitativa. Independentemente da
abordagem, as estimativas devem ser baseadas em informao factual e todos os dados disponveis.
Detalhes sobre os mtodos qualitativo e quantitativo so apresentados a seguir.
41
6.1.2.4 Mtodos de Estimativa de Risco Qualitativos

Os mtodos de estimativa qualitativos usam escalas nominais (qualificadoras) para descrever as magnitudes de consequncias potenciais de um risco, bem como a probabilidade de
materializao do risco. H tambm, para mtodos mais avanados, informao sobre o grau
de incerteza ou de confiana relativamente s medies. Uma escala qualitativa ou nominal
usa valores como: alta, mdia e baixa. Mtodos qualitativos so fceis de entender e empregar,
mas so sujeitos maior subjetividade quando comparados ao quantitativo.
Mtodos qualitativos so recomendados, segundo a ISO/IEC (2007), para uso em atividades: (i) de varredura inicial para identificar necessidades de anlise detalhada em casos especficos; (ii) quando apropriados, tomada de deciso; (iii) quando dados numricos ou recursos so inadequados para estimativa quantitativa, por exemplo, quando o valor dos ativos
intangvel.
6.1.2.5 Mtodos de Estimativa Quantitativa

Os mtodos de estimativa quantitativa usam uma escala numrica tanto para estimar
consequncias quanto para estimar probabilidades, empregando dados de fontes diversas. A
qualidade da anlise quantitativa dependente da validade dos modelos numricos usados.
Estimativas quantitativas dependem fortemente de dados histricos de incidentes e, dessa
forma, podem ser relacionados diretamente aos objetivos e preocupaes de segurana da
organizao.
Novos tipos de risco so difceis de estimar pelo mtodo quantitativo devido falta de
informaes histricas. Na ausncia de dados factuais ou auditveis, os mtodos quantitativos
so frgeis, pois a preciso ilusria. A incerteza e variabilidade das consequncias e probabilidades estimadas numericamente devem ser consideradas e comunicadas efetivamente, pois
os nmeros facilitam a tomada de deciso; porm, se forem ilusoriamente precisos, podem
causar mais problemas que solues.
Os pargrafos seguintes demonstram um pequeno exemplo de emprego de mtodo
quantitativo, baseado no exposto em Harris (2005).
Estimativa Quantitativa das Consequncias
Em mtodos quantitativos, as consequncias podem ser determinadas pelo fator de exposio ao risco (RE). RE (Risk Exposure) a percentagem de perda que uma ameaa realizada
incorre sobre um ativo especfico.
Por exemplo, uma srie de estudos efetuados por seguradoras americanas indicam que
um incndio tpico em um datacenter provoca 25% de perda do valor do ativo, devido indisponibilidade e perda de integridade.
Estimativa Quantitativa da Probabilidade de Incidente
Em mtodos quantitativos, as probabilidades de ocorrncia do incidente podem ser determinadas pelo ndice de ocorrncia anualizado - ARO (Anualized Rate of Occurrence). ARO
igual frequncia estimada da ameaa sendo realizada em um horizonte de um ano.
Por exemplo, suponha que dados histricos do Governo Ingls indicam que um incndio
ocorra a cada 10 anos num datacenter. Nesse caso, o ARO seria igual a 1 incidente a cada 10
anos = 0,1 = 10%.
Estimativa Quantitativa do Nvel do Risco
Para estimativa quantitativa do nvel do risco, preciso determinar um valor monetrio
para o ativo (AV - asset value). Como o datacenter aqui no Brasil custou R$ 5.000.000,00
para ser implantado, ento AV = R$ 5.000.000,00.
42
Baseado nos nmeros obtidos, se a estimativa de perda anual dada pela determinao
do fator SLE - Single Loss Expectancy6, quanto haver de perda, caso a ameaa seja realizada
sobre o ativo vulnervel? A resposta dada pela frmula abaixo.
SLE = AV x RE = R$ 5.000.000,00 x 25% = R$ 1.250.000,00.
Recomendaes para Tratamento
Conforme o exemplo de abordagem quantitativa apresentado, a organizao em pauta
dever investir, no mximo, R$ 1.250.000,00, anualmente, para o combate a incndio no datacenter. Perceba que a afirmao vlida se o incndio afeta o datacenter apenas na forma identificada. As recomendaes para tratamento so empregadas na fase de tratamento do risco.
6.2 Avaliao do Risco

Segundo a ISO/IEC (2007), o propsito da Avaliao do Risco priorizar os riscos contra
critrios de avaliao (definidos na Definio do Contexto) e objetivos relevantes para a organizao. So entradas para a Avaliao do Risco:
a. lista de riscos com valoraes de nveis;
b. critrios de avaliao de riscos (declarados na Definio do Contexto);
c. critrios de aceitao do risco (declarados na Definio do Contexto).
Uma vez que as entradas so recebidas, os nveis dos riscos valorados so comparados
com os critrios de avaliao estabelecidos e os critrios de aceitao de riscos. A sada da
atividade uma lista de riscos priorizados, conforme critrios de avaliao, em relao aos
cenrios de incidente que levam a esses riscos.
So aspectos importantes que devem ser considerados na avaliao do risco, conforme a
27005:
a. as decises sero apoiadas nos critrios estabelecidos durante a Definio do
Contexto;
b. as decises e o contexto devem ser revisitados com maior detalhamento, uma
vez que mais informaes so conhecidas sobre os riscos;
c. critrios de avaliao devem ser consistentes com os cenrios de segurana da
informao interno e externo;
d. critrios de avaliao devem considerar os objetivos da organizao e as percepes dos intervenientes;
e. decises so principalmente baseadas no nvel de risco aceitvel (tolervel);
f.
agregaes de mltiplos riscos de menor escala podem resultar em riscos mais

elevados do que o real;
g. deve-se observar atentamente a relevncia dos critrios, pois: (i) alguns objetivos
de segurana da informao podem ser irrelevantes para uma organizao. Ex:
confidencialidade; (ii) Processos de pouca importncia para a organizao tero
seus riscos associados avaliados com menor considerao; (iii) Observar aspectos
legais, regulatrios e contratuais, em adio aos riscos estimados.
A Avaliao do Risco conclui a fase de Apreciao. Ao final da Avaliao, os riscos foram
identificados, estimados e avaliados, e produziu-se uma lista de riscos priorizados conforme
critrios previamente estabelecidos.
Se a Apreciao do Risco no produz resultados satisfatrios, deve-se retornar fase de
Definio do Contexto, para refinamentos e nova anlise e avaliao. Caso a Apreciao produza resultados satisfatrios, deve-se passar fase de Tratamento do Risco.
Expectativa de perda em um evento isolado.
43
7 Tratamento dos Riscos

O Tratamento do Risco a fase da gesto de riscos que envolve a deciso entre reter, evitar, transferir (compartilhar) ou reduzir os riscos. A entrada para o Tratamento dos Riscos uma
lista de riscos priorizados conforme critrios de avaliao em relao aos cenrios de incidente
que levaram a tais riscos. Os objetivos a serem alcanados com o tratamento dos riscos so:
a. a definio de quais controles sero empregados para reduzir alguns destes riscos;
b. a reteno ou aceitao de outros riscos;
c. a ao de evitar outros riscos;
d. a transferncia de alguns desses riscos a outros agentes; e
e. a definio de um plano de tratamento do risco.
As sadas da fase de tratamento so (i) o plano de tratamento do risco e (ii) a lista de riscos
residuais, ambos sujeitos deciso de aceitao pelos altos gestores da organizao.
A Figura 6 apresenta um fluxograma bsico da atividade de tratamento do risco.
Figura 6 Fluxograma do tratamento do risco. Fonte: Adaptado de ISO/IEC (2007).
So aspectos gerais que devem ser considerados no tratamento do risco, conforme a ISO/IEC (2007):
a. as opes devem ser selecionadas baseadas em trs aspectos: (i) nos resultados
da apreciao do risco; (ii) no custo esperado para implementar as opes; e (iii)
nos benefcios esperados com as opes;
b. quando largas redues de risco podem ser obtidas com poucas despesas, essas
opes devem ser implementadas. Outras opes de tratamento dependem de
julgamento melhor exercitado;
44
c. as consequncias adversas de riscos devem ser reduzidas a nveis mnimos, at

quando isso for prtico;
d. os riscos raros e severos devem ser cuidadosamente considerados pelos gestores. Nesses casos, podem ser necessrios controles custosos, que no so economicamente justificados (ex: relativos continuidade de negcios);
e. as opes para tratamento no so mutuamente exclusivas. Uma combinao de
opes pode ser praticvel;
f.
alguns tratamentos reduzem mais de um risco (ex: treinamentos).
Guias de implementao para cada uma das opes so apresentados a seguir.
7.1 Um Guia Rpido para Reduo do Risco

A Reduo do Risco consiste em tomar aes para reduzir a probabilidade, as consequncias negativas, ou ambas, associadas a um risco (ABNT, 2005). A reduo envolve a adoo de
controles. tambm chamada de mitigao.
7.1.1 Um catlogo de controles

A ISO/IEC 27002:2005, tambm conhecida como ISO/IEC 17799:2005, apresenta um guia
para implementao de controles de segurana da informao, agrupados por objetivo de
controle, num total de 39 objetivos. Estes objetivos de controle e controles so enunciados no
Anexo A na ISO/IEC 27001:2006. As sees da norma 27002:2005 e a quantidade de objetivos
de controle e controles (133 controles ao total), cuja implementao descrita em cada seo,
so enumerados a seguir:
a. seo 5 - Poltica de Segurana da Informao (1 objetivo de controle - 2 controles)
b. seo 6 - Organizando a Segurana da Informao (2 objetivos de controle - 11
controles)
c. seo 7 - Gesto de Ativos (2 objetivos de controle - 5 controles)
d. seo 8 - Segurana em Recursos Humanos (3 objetivos de controle - 9 controles)
e. seo 9 - Segurana Fsica e do Ambiente (2 objetivos de controle - 13 controles)
f.
seo 10 - Gesto das Operaes e Comunicaes (10 objetivos de controle - 32

controles)
g. seo 11 - Controle de Acesso (7 objetivos de controle - 25 controles)

h. seo 12 - Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao (6 objetivos de controle - 16 controles)
i.
seo 13 - Gesto de Incidentes de Segurana da Informao (2 objetivos de controle - 5 controles)
j.
seo 14 - Gesto da Continuidade do Negcio (1 objetivo de controle - 5 controles)
k. seo 15 - Conformidade (3 objetivos de controle - 10 controles)

A publicao inicial desses controles pelo rgo de padronizao britnico, em meados
da dcada de 1990, reconhecida como uma grande contribuio uniformizao das prticas de gesto da segurana da informao em todo o mundo.
45
7.1.2 Seleo de controles

So aspectos que devem ser considerados para reduo do risco, conforme a 27005:
a. controles apropriados e justificados devem ser selecionados;
b. aspectos normativos e contratuais devem ser considerados quando da aceitao
dos riscos;
c. o custo, o tempo e os aspectos tcnicos, ambientais e culturais relacionados
seleo do controle devem ser considerados;
d. usualmente, o TCO (custo total de apropriao ou total cost of ownership) de um
sistema reduzido por meio da adoo de controles propriamente selecionados;
7.1.3 Efeitos de controles

Os efeitos de um controle podem ser (ISO/IEC, 2007):
e. preveno;
f.
conscientizao;
g. monitoramento;
h. deteco;
i.
deteno;
j.
eliminao;
k. correo;
l.
minimizao de impacto e
m. recuperao.
Um controle pode exercer um ou mais desses efeitos.
7.1.4 Investimentos, oportunidades e controles

Controles necessitam de investimentos da capital e custeio para:
a. aquisio;
b. implementao (colocar em funcionamento);
c. planejamento;
d. operao;
e. monitoramento; e
f.
manuteno;
Uma vez que algumas habilidades especiais podem ser necessrias para definir e implementar os controles ou modificar os existentes, antes de se decidir pela adoo de controles
deve-se comparar os custos dos controles em funo dos custos dos ativos protegidos, bem
como se deve realizar estimativa de oportunidades de investimentos, isto , quais investimentos em controles permitem reduzir o risco e que novas oportunidades de negcios podem ser
possveis com esses investimentos.
46
7.1.5 Restries na seleo de controles

Deve-se considerar que existem restries durante a seleo de controles, relacionadas ao:
a. tempo para implementar versus a janela de oportunidade ou necessidade;
b. custo financeiro para implementar;
c. tcnicas necessrias para implementar;
d. aspectos operacionais do controle no interior da organizao;
e. aspectos culturais vinculados adoo do controle;
f.
aspectos ticos vinculados adoo do controle;
g. aspectos ambientais vinculados adoo do controle;

h. aspectos jurdico-legais vinculados adoo do controle;
i.
facilidade de uso do controle;
j.
restries de pessoal no uso do controle; e
k. restries de integrao com controles novos e existentes.

Em suma, a elaborao de um plano de reduo de riscos uma atividade que articula
diversos elementos do nvel humano, operacional, ttico e estratgico organizacional.
7.2 Guia Rpido de Reteno do Risco

A Reteno do Risco a deciso de reter ou aceitar o risco sem aes subsequentes. Devese, no entanto, evitar uso da palavra aceitar o risco, para evitar confuso com a fase de Aceitao do Risco, que envolve aceitar o plano de tratamento do risco.
Para reteno do risco, deve-se considerar que, se os nveis de risco so compatveis com
os critrios de aceitao do risco, no h necessidade de implementar mais controles. Nesse
caso, o risco deve ser retido. O registro do risco retido permite o seu monitoramento futuro,
uma vez que mudanas no ambiente organizacional podem modificar o perfil do risco.
O fluxograma da Figura 7 apresenta um critrio para reteno de riscos provocados por
agentes de ameaa intencional. Este modelo proposto pela Norma NIST 800-100.
Figura 7. Critrio para reteno do risco com agentes de ameaa intencionais.
Fonte: (NIST).
47
Conforme o fluxograma da Figura 7, se o custo do atacante menor que o ganho que ele
pode ter, e, adicionalmente, se a perda estimada maior que um limite de tolerncia indicado, ento o risco inaceitvel. Caso contrrio, o risco retido (aceito). O fluxograma descreve
um critrio para aceitao do risco que tem como um de seus fatores um agente de ameaa
intencional.
7.3 Ao de Evitar o Risco

Na ao de evitar o risco, a atividade, condio, ao ou processo que permite a existncia
do risco deve ser evitada. A organizao abstm-se de realiz-la.
Uma deciso de evitar o risco completamente pode ser tomada quando os riscos so excessivamente elevados ou os custos de implementao de outras opes excedem os benefcios. Nesse caso, a organizao se recusa a executar atividades planejadas ou existentes, ou
muda as condies sobre as quais a atividade executada.
Por exemplo, para riscos de causas naturais, o mais efetivo pode ser mudar-se para um
local onde o risco no existe ou est sob controle.
7.4 Transferncia do Risco

A transferncia do risco o compartilhamento com uma outra entidade do nus da perda ou do benefcio do ganho associado a um risco (ABNT, 2004).
Na transferncia do risco, os riscos so transferidos para outro parceiro, que mais efetivo
em controlar esse tipo particular de risco. A transferncia de riscos envolve a deciso de compartilhar certos riscos com parceiros externos. A transferncia pode introduzir novos riscos ou
modificar os riscos existentes e (ou) identificados e, dessa forma, pode ser necessrio tratar
riscos adicionais.
Transferncia pode ser feita por meio da contratao de seguros ou subcontratao de
um parceiro especializado em monitorar o sistema e adotar aes para parar um ataque antes
que ele alcance nveis de dano elevados.
A transferncia usualmente transfere a responsabilidade gerencial pelo risco, mas no a
responsabilidade jurdica ou contratual pelos impactos. O cliente possivelmente continuar a
atribuir organizao a culpa pelas falhas e impactos adversos.
48
8 Aceitao do Risco
A Aceitao do Risco a fase da gesto de riscos que compreende o registro formal da
deciso pelo aceite dos riscos residuais existentes na organizao. Essa deciso tomada pelo
gestor responsvel pelo escopo de risco.
As entradas para a aceitao do risco so: (i) o plano de tratamento de riscos, sujeito aprovao; e (ii) a avaliao de riscos residuais, sujeitos aprovao.
O objetivo da aceitao do risco efetuar a deciso e formalmente registrar a aceitao
dos riscos e responsabilidades pela deciso. A sada da atividade a lista de riscos aceitos,
qual esto associadas justificativas para aceitao daqueles que no se coadunam com os critrios normais de aceitao de risco da organizao.
So aspectos que devem ser considerados para a aceitao do risco, conforme ISO/IEC (2007):
a. planos de tratamento de risco devem descrever como riscos apreciados devem
ser tratados. importante que os gestores responsveis revisem e aprovem os
planos propostos e riscos residuais resultantes;
b. importante que as decises e condies de aprovao sejam formalmente registradas;
c. Em alguns casos, os riscos residuais no atendem a critrios que foram parcialmente estabelecidos, bem como no atendem s condies de contorno do
problema. No ltimo caso, o gestor pode incluir uma justificativa da deciso de
sobrepor critrios.
Por fim, deve-se ter claro que os critrios de aceitao do risco podem ser bem mais complexos que a simples comparao entre nveis de gatilho estabelecidos. Dessa forma, a aceitao pode depender de julgamento subjetivo e tornar-se algo demorado.
49
9 Comunicao do Risco
A Comunicao do Risco um conjunto de atividades continuamente executadas e que
envolve a troca de informaes sobre riscos entre os tomadores de deciso e todos os envolvidos na organizao. O objetivo da comunicao fazer com que as informaes sejam trocadas ou compartilhadas entre tomadores de deciso e outros intervenientes.
As entradas para a Comunicao do Risco so todas as informaes sobre riscos obtidas
a partir das atividades de GRSI. O resultado da atividade a compreenso mtua e contnua
do processo de GRSI e seus resultados, com o alcance de acordos sobre como gerenciar riscos.
As principais informaes compartilhadas acerca do risco envolvem:
a. existncia do risco;
b. natureza do risco;
c. forma do risco;
d. probabilidade do risco;
e. severidade do risco;
f.
tratamento do risco; e
g. critrios para aceitao do risco.

Segundo ISO/IEC (2007), as percepes de risco variam muito de pessoa para pessoa, pois
suposies, formao, conceitos, necessidades e preocupaes variam de pessoa para pessoa,
e necessrio identificar, documentar e considerar claramente tais percepes e raciocnios.
Desse modo, a comunicao do risco bidirecional e mant-la dessa forma importante, pois
pode impactar severamente a tomada de decises e contribuir para que as corretas sejam
tomadas. Pode-se formar comits de debate durante a priorizao e tratamento apropriado
dos riscos.
Segundo ISO/IEC (2007), a comunicao de riscos facilita:
a. a garantia dos resultados da GRSI;
b. a coleta de informaes sobre riscos;
c. o compartilhamento de resultados da avaliao de riscos e do plano de tratamento de riscos;
d. a compreenso mtua que elimina ou reduz a ocorrncia e consequncias de
brechas de segurana;
e. o processo de tomada de decises;
f.
o fluxo de conhecimentos sobre segurana da informao;
g. a coordenao com outros parceiros e o desenvolvimento de respostas aos planos quando da ocorrncia de incidentes;
h. a formao de senso de responsabilidade acerca de riscos entre tomadores de
deciso e intervenientes;
i.
a melhor conscientizao.
Diferentes planos de comunicao do risco devem ser desenvolvidos para os casos de

operao da organizao sob condies normais e quando a mesma est operando em modo
de emergncia ou crise. importante, sobretudo, estabelecer um canal de informaes sobre
riscos com a rea de relaes pblicas da organizao, especialmente durante emergncias ou
crises.
Por fim, na opinio do autor, negligenciar a correta comunicao dos riscos reduz sensivelmente a eficcia da gesto de riscos. Um plano de gesto de riscos guardado a sete chaves,
cujos elementos so conhecidos exclusivamente pela gesto da segurana, no conduz melhoria da segurana.
50
10 Monitoramento e Reviso do Risco

Monitoramento e Reviso do Risco o nome dado a um conjunto de atividades continuamente executadas e que envolve o monitoramento dos diversos fatores de caracterizao do
risco, a fim de identificar quaisquer mudanas no contexto da organizao, atualizar o panorama de riscos da organizao e aprimorar o processo de gesto de riscos da organizao.
O Monitoramento e Reviso do Risco, segundo a ISO/IEC (2007), dividido em dois subprocessos:
a. monitoramento e Reviso dos Fatores de Risco;
b. monitoramento, Reviso e Melhoria da Gesto de Riscos.
Esses subprocessos so detalhados a seguir.
10.1 Monitoramento e Reviso dos Fatores de Risco

O Monitoramento e Reviso dos Fatores de Risco recebe como entradas todas as informaes originadas das atividades de GRSI. O objetivo o monitoramento e reviso dos riscos
e seus fatores (valorao dos ativos, impactos, ameaas, vulnerabilidades e probabilidades), a
fim de identificar qualquer incio de mudanas significativas no contexto organizacional.
Durante o monitoramento e reviso dos fatores de risco deve-se observar que:
a. riscos no estticos;
b. mudanas abruptas podem ocorrer sem indicao aparente e exigem contnuo
monitoramento;
c. a contratao de servios externos pode auxiliar no monitoramento desses fatores;
d. a organizao deve rever todos os riscos regularmente, especialmente quando
grandes mudanas ocorrem nos ambientes interno e (ou) externo.
Destacam-se entre os principais aspectos a serem monitorados, segundo ISO/IEC (2007):
a. novos ativos que foram includos no escopo;
b. modificaes nos valores dos ativos devido a, por exemplo, mudanas em negcios;
c. novas ameaas que passaram a existir interna e (ou) externamente;
d. possibilidade de novas ameaas explorarem vulnerabilidades novas ou que aumentaram;
e. aumento do impacto ou de consequncias em ameaas, vulnerabilidades e riscos, quando apreciados de forma agregada;
f.
incidentes de segurana da informao.
O resultado do monitoramento e reviso dos fatores de risco o alinhamento contnuo

entre a gesto de riscos e os objetivos de negcios, dentro dos critrios de risco estabelecidos
(ISO/IEC, 2007).
10.2 Monitoramento, Reviso e Melhoria da Gesto de

Riscos
O Monitoramento, reviso e melhoria da gesto de riscos recebe como entradas todas as
informaes originadas das atividades de GRSI. O objetivo fazer com que o processo de GRSI,
51
cujo modelo descrito nas sees 5 a 10 dessa monografia, seja continuamente monitorado,
revisto e melhorado, quando necessrio e apropriado.
O monitoramento, reviso e melhoria da gesto de riscos deve-se garantir que:
a. o processo de GRSI apropriado e seguido;
b. os riscos so realistas;
c. a gesto de riscos tem capacidade de responder aos riscos;
d. os critrios de medio de riscos aderem aos objetivos de negcios, estratgias
e polticas.
So aspectos especficos a serem monitorados e revisados de forma contnua e peridica,
para a melhoria do processo de gesto de riscos de segurana da informao, segundo a ISO/
IEC (2007):
a. contexto jurdico e ambiental;
b. contexto da competio;
c. abordagem de avaliao de risco;
d. valores e categorias de ativos;
e. critrios de impacto;
f.
critrios de avaliao de riscos;
g. critrios de aceitao de riscos;

h. TCO - custo total de apropriao ou propriedade;
i.
recursos necessrios GRSI.
Conforme a 27005, as modificaes da abordagem, metodologia e ferramentas usadas na

GRSI dependem principalmente das:
a. necessidades de mudana identificadas durante a prtica efetiva;
b. de qual a iterao para apreciao do risco que est sendo realizada;
c. das mudanas nas motivaes para estabelecimento da GRSI
d. de mudanas no escopo ou objeto da GRSI.
Dentre as distintas motivaes para estabelecer GRSI numa organizao, destacam-se demandas para:
a. continuidade de negcios;
b. conformidade; ou
c. resilincia da organizao a incidentes;
Acerca de mudanas no escopo ou objeto da GRSI, estas podem se referir a mudanas:
a. na organizao;
b. numa unidade de negcios dentro da organizao;
c. no processo de tratamento da informao;
d. na implementao tcnica do processo;
e. de aplicativo; e
f.
de conexo Internet.
O resultado do emprego do monitoramento que o processo de GRSI se mantm atualizado e continuamente relevante para o cumprimento dos objetivos de negcio da organizao. De outra forma, sem o monitoramento, o processo de GRSI tornar-se- fatalmente
obsoleto e de pouca utilidade.
52
11 Introduzindo a Gesto de Riscos em

Organizaes
Como j discutido anteriormente, o processo da ISO 27005 j descrito anteriormente
apresenta grande similaridade com a norma AS/NZS 4360. As principais diferenas entre as
normas residem no fato de que a AS/NZS 4360:
a. aborda a gesto de riscos positivos e negativos, simultaneamente;
b. uma norma mais antiga, curta, simplificada e abstrata que a ISO/IEC 27005:2008;
c. enfatiza a importncia da comunicao e da consulta junto aos vrios intervenientes no incio do processo de gesto de riscos; e
d. subdivide a anlise do contexto organizacional em externo e interno.
Alm das diferenas de processo acima sumarizadas, a AS/NZS 4360 apresenta uma breve
descrio de um processo para estabelecer a gerncia de riscos efetiva numa organizao, o
qual baseado: (i) na avaliao de prticas de gesto de riscos existentes e necessrias e (ii) no
planejamento da gesto de riscos. A norma tambm prope o estabelecimento de sistemas de
informao para a gesto de riscos.
Um modelo de planejamento da gesto de riscos e os elementos presentes em sistemas
de informao para a gesto de riscos so brevemente sumarizados a seguir, com a inteno
de apresent-los e apontar oportunidades para desenvolvimento de trabalhos de ordem prtica relacionados gesto de riscos.
11.1 O Planejamento da Gesto de Riscos

Segundo a Standards Australia and Standards New Zealand (2004), o planejamento da
gesto de riscos deve observar o cumprimento dos seguintes aspectos:
a. [Desenvolvimento de planos de gesto de riscos] que definem como a gesto de
riscos deve ser conduzida por meio da organizao. importante destacar que
todas as prticas e processos importantes na organizao devem ser incorporados gesto de riscos, especialmente durante: (i) o desenvolvimento de polticas;
(ii) o planejamento estratgico e de negcios e (iii) a gesto de mudanas, (iv)
a gesto de ativos; (v) a auditoria; (vi) a continuidade de negcios; (v) a gesto
ambiental; (vi) o controle de fraudes; (vii) os recursos humanos; (viii) os investimentos e (ix) a gesto de projetos. Planos para tais incorporaes devem ser
elaborados e organizados;
b. [Garantia de suporte da alta gesto] por meio de um compromisso para com a
gesto de riscos que deve ser alcanado por meio de: (i) obteno de suporte ativo e contnuo por parte de diretores e executivos seniores, para desenvolvimento e implementao de polticas e planos de gesto de riscos; (ii) indicao de
um indivduo ou grupo de alto respaldo organizacional para conduzir o processo;
alm de (iii) obteno de suporte por parte de toda a alta gesto, para execuo
dos planos;
c. [Desenvolvimento e comunicao de uma poltica de gesto de riscos], onde os
executivos devem definir, documentar e se comprometer com uma poltica para
gesto de riscos, que: (i) seja satisfatoriamente justificada; (ii) esteja relacionada
com a poltica e planos estratgicos da organizao; (iii) descreva a extenso e
os tipos de riscos que a organizao assumir, com o alcance de equilbrio entre
ameaas e oportunidades; (iv) descreva o processo a ser usado para gerenciar
os riscos; (v) indique como ser contabilizada a gesto de alguns riscos especficos; (vi) detalhe o suporte e os conhecimentos disponveis para apoiar aqueles
responsveis pela gesto de riscos; (vii) declare como o desempenho da gesto
de riscos ser medido e relatado; (viii) apresentao de um compromisso para a
53
reviso peridica do sistema de gesto de riscos; e (ix) declare o compromisso

dos diretores e executivos;
d. [Estabelecimento de contabilizao e autoridade], onde a gesto de riscos responsabilidade, em ltima instncia, da alta gesto. O pessoal responsvel por
cada rea de controle tem responsabilidades pelos riscos a ela pertinentes. Devem ser especificados os responsveis pela gesto, implementao e manuteno dos controles em cada rea. Indicadores de desempenho e mecanismos de
relato da gesto de riscos precisam ser criados. Nveis de reconhecimento, recompensa, aprovao e sano devem ser estabelecidos.
e. [Customizao do processo de gesto de riscos], onde o processo deve ser alinhado s caractersticas da organizao, s suas polticas e sua cultura, em contnua mudana.
f.
[Garantia de recursos adequados], que envolve a identificao dos recursos necessrios e suficientes para a gesto de riscos, abrangendo: pessoal e habilidades;
processos e procedimentos documentados; sistemas de informao e bancos de
dados; dinheiro e outros recursos para desempenho de atividades.
11.2 Sistemas de Informao para a Gesto de Riscos

A Gesto de Riscos uma atividade que manipula um imenso volume de informao. Fazse necessrio empregar sistemas de informao, especialmente os automatizados por software, para oferecer suporte atividade. Conforme a norma AS/NZS 4630, sistemas de informao
para gesto de riscos devem possuir capacidade para:
a. registrar detalhes de riscos, controles e prioridades, bem como as mudanas nesses elementos;
b. registrar tratamentos de risco e necessidades de recursos associadas;
c. registrar detalhes de incidentes, eventos de perda e lies aprendidas;
d. rastrear a contabilizao dos riscos, controles e tratamentos;
e. rastrear o progresso e registrar o cumprimento das aes de tratamento;
f.
medir o progresso dos planos de gesto de risco;
g. monitorar o disparo de gatilhos; e

h. realizar auditorias.
54
12 Concluses
Este texto apresentou uma introduo gnese, conceitos e processos de gesto de riscos
de segurana, com foco na perspectiva da norma ISO/IEC 27005:2008. O processo de gesto
de riscos de segurana da informao o cerne de qualquer ao bem-sucedida de Gesto da
Segurana da Informao, e sua adoo, conforme o modelo da 27005, permite a construo
de uma abordagem eficaz na organizao, onde a comunicao, monitoramento e melhoria
contnua garantem que a GRSI continuar a atender s necessidades da organizao no curto,
mdio e longo prazo.
A 27005 no uma metodologia, mas sua descrio apresenta uma quantidade suficiente
de detalhes para permitir a construo de metodologias e ferramentas adequadas gesto de
riscos em organizaes de pequeno, mdio e grande porte.
Por fim, importante destacar princpios para uso da gesto de riscos na gesto da segurana da informao, que so os seguintes:
a. o alcance da segurana da informao em uma organizao compreende, de forma geral, a implementao de controles de segurana;
b. qualquer controle custa caro para ser implementado, de modo que no h como
implementar todos os controles possveis, sob pena de conduzir uma organizao falncia e inoperncia;
c. necessrio tomar uma deciso racional sobre quais controles de segurana sero implementados. Tal deciso deve ser baseada em mtodos qualitativos ou
quantitativos que, a partir do traado do perfil de riscos de uma organizao,
orientam a implementao de um conjunto de controles em detrimento de outros.
d. a eventual implementao dos controles de segurana planejados modifica o
prprio perfil de riscos da organizao, fazendo com que seja necessrio reavaliar periodicamente os riscos que levaram atual configurao de controles de
segurana. O desafio para a organizao gerenciar seus riscos de forma contnua, custo-efetiva e sustentvel.
O conhecimento produzido durante a gesto de riscos aumenta a conscincia situacional
e o sense-making7 organizacional.
De acordo com o link http://en.wikipedia.org/wiki/Sensemaking, sense-making um processo

atravs do qual as pessoas do significado s suas experincias. Conforme Karl E. Weick, em Sensemaking in Organizations, Sage Publications: USA. 1995, Sense-making testado ao extremo
quando pessoas encontram um evento cuja ocorrncia to implausvel que elas hesitam em
relat-las por medo de no serem acreditadas.
55
Referncias
ASIS. General Security Risk Assessment guideline. Disponvel em: <http://www.asisonline.
org/guidelines/guidelinesgsra.pdf>. Acesso em: julho de 2008.
ABNT. ABNT ISO/IEC GUIA 73:2005. [S.l.], 2005.
ABNT. Tecnologia da informao - Tcnicas de segurana - Cdigo de prtica para a gesto
da segurana da informao: ABNT NBR ISO/IEC 27002:2005. 2a. ed. Rio de Janeiro,
2005.
ABNT. Tecnologia da informao - Tcnicas de segurana - Sistemas de gesto de segurana
da informao - Requisitos: ABNT NBR ISO/IEC 27001:2006. 1a. ed. Rio de Janeiro,
2006.
BOWEN, P.; HASH, J.; WILSON, M. NIST Special Publication 800-100: Information Security
Handbook: A Guide for Managers. [S.l.], October 2006. Disponvel em: <http://csrc.
nist.gov/publications/PubsSPs% -.html>. Acesso em: agosto de 2010.
BS. B. S. Information Security Management Systems (BS 7799-3-2006): Part 3: guidelines for
information security risk management. 2006.
COSO: Committee of Sponsoring Organizations of the Treadway Commission. Enterprise
Risk Management Framework: Exposure Draft for Public Comment. [S.l.], 2004. 152
p. Disponvel em: <http://www.erm.coso.org>. Acesso em: fevereiro de 2009.
CNSS, C. on N. S. S. National Information Assurance Training Standard For Risk Analysts.
[S.l.], November 2005. 38 p. Disponvel em: <http://www.cnss.gov/instructions.
html>. Acesso em: Agosto de 2008.
FERNANDEZ, A.; SCHAUER, H. ISO27005 Gestion de risque. [S.l.], 2007. Disponvel em:
<http://www.hsc.fr/index.html.en>. Acesso em: fevereiro de 2009.
ISO/IEC. ISO/IEC 13335-1:2004 - Information technology Security techniques Management of information and communications technology security Part 1: Concepts
and models for information and communications technology security management.
[S.l.], 2004.
ISO/IEC. ISO/IEC FDIS 27005 - Information technology - Security Techniques - Information
security risk management. [S.l.], 2007.
ISO/IEC. ISO/IEC 31000:2009 - Risk management Principles and guidelines. [S.l.], 2009.
MEULBROEK, L. K. Integrated Risk Management for the Firm: A Senior Managers Guide.
Soldiers Field Road. Boston, MA 02163, 2002.
NIST. FIPS PUB 200: Minimum Security Requirements for Federal Information and Information Systems. [S.l.], March 2006. 17 p. Disponvel em: <http://csrc.nist.gov/>.
Acesso em: fevereiro de 2009.
PELTIER, T. R. Information security risk analysis. Boca Raton: Auerbach Publications, 2001.
Standards Australia and Standards New Zealand. AS/NZS 4360:2004 - Australia/New Zealand Standard for Risk Management. [S.l.], 2004.
STONEBURNER, G.; GOGUEN, A.; FERINGA, A. NIST Special Publication 800-30: Risk Management Guide for Information Technology Systems. [S.l.], July 2002. 55 p. Disponvel
em: <http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf>. Acesso
em: julho de 2009.
56

GSIC302 Introducao Gestao Riscos Seguranca Informacao

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

GSIC302 Introducao Gestao Riscos Seguranca Informacao

Загружено:

Авторское право:

Доступные форматы

>> Gesto da Segurana da Informao e Comunicaes >> 2009-2011

Jorge Henrique Cabral Fernandes

INTRODUO GESTO DE RISCOS

Luiz Incio Lula da Silva

Equipe de Produo Multimdia

Este material distribudo sob a licena creative commons

>> CEGSIC 2009-2011 >> Introduo Gesto de Riscos de Segurana da Informao

[17] 3 Conceitos de Gesto de Riscos

>> CEGSIC 2009-2011 >> Introduo Gesto de Riscos de Segurana da Informao

3.2.2 Causalidade e Cadeias de Eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

[27] 4 O Processo de Gesto de Riscos

[35] 6 Apreciao do Risco

[44] 7 Tratamento dos Riscos

>> CEGSIC 2009-2011 >> Introduo Gesto de Riscos de Segurana da Informao

7.1.5 Restries na seleo de controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

[49] 8 Aceitao do Risco

[53] 11 Introduzindo a Gesto de Riscos em Organizaes

>> CEGSIC 2009-2011 >> Introduo Gesto de Riscos de Segurana da Informao

CURRCULO RESUMIDO DO AUTOR

Jorge Henrique Cabral Fernandes

>> CEGSIC 2009-2011 >> Introduo Gesto de Riscos de Segurana da Informao

>> CEGSIC 2009-2011 >> Introduo Gesto de Riscos de Segurana da Informao

De acordo com o site http://www.businessdictionary.com, incerteza uma situao na qual o

>> CEGSIC 2009-2011 >> Introduo Gesto de Riscos de Segurana da Informao

2 Fundamentos Gerais da Gesto e da

2.2 Ordem e Caos

2.3 Sistema Seguro

>> CEGSIC 2009-2011 >> Introduo Gesto de Riscos de Segurana da Informao

2.4 Gesto e Gestores

>> CEGSIC 2009-2011 >> Introduo Gesto de Riscos de Segurana da Informao

e. [Controle] Controle um processo que compara a realidade com o planejado e

[Controle] um processo que possui um papel ativo na estabilizao de outro

Todo controle um estabilizador e, dessa forma, possui todas as caractersticas gerais de

2.6 Controles de Segurana

2.6.1 Controle de Segurana Operacional

2.6.2 Controle de Segurana Gerencial

2.6.3 Controle de Segurana Tcnico

>> CEGSIC 2009-2011 >> Introduo Gesto de Riscos de Segurana da Informao

2.6.4 Salvaguardas, Contramedidas ou Medidas de

2.6.5 Implementao de Controles

2.7 Eventos e Incidentes de Segurana

2.7.1 Evento de Segurana da Informao

2.7.2 Incidente de Segurana da Informao

>> CEGSIC 2009-2011 >> Introduo Gesto de Riscos de Segurana da Informao

c. provocam queda no desempenho de uma ou mais funes organizacionais;

2.8 Risco e Risco de Segurana

2.8.1 Risco de Segurana

2.8.2 Perfil do Risco de Segurana

2.8.3 Cenrio de Incidentes de Segurana

>> CEGSIC 2009-2011 >> Introduo Gesto de Riscos de Segurana da Informao

2.8.4 Reduo do Risco

2.8.5 Iteratividade na Gesto do Risco

2.9 Paradoxo da Segurana

>> CEGSIC 2009-2011 >> Introduo Gesto de Riscos de Segurana da Informao

>> CEGSIC 2009-2011 >> Introduo Gesto de Riscos de Segurana da Informao

c. controles de segurana so aqueles voltados reduo de potenciais eventos

>> CEGSIC 2009-2011 >> Introduo Gesto de Riscos de Segurana da Informao

3 Conceitos de Gesto de Riscos

Figura 1 Mapa Conceitual sobre Gesto de Riscos de Segurana.

>> CEGSIC 2009-2011 >> Introduo Gesto de Riscos de Segurana da Informao

[Ameaa] a causa potencial de um incidente indesejado, que pode resultar em

g. [Vulnerabilidade] uma fragilidade de um ativo ou grupo de ativos que pode ser

[Evitar o Risco] a Deciso de no se envolver ou de sair de uma situao de