RESERVADO
METODOLOGIA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO Desenvolvimento de metodologia e ferramenta de software público de arquitetura aberta para gestão de riscos de segurança da informação na Administração Pública Federal Relatório RM2
Fundação de Apoio à Capacitação em TI – Facti Termo de Execução Descentralizada MPOG nº 25/2014 Processo MPOG nº 04300.004903/2014-40 Processo Administrativo CTI nº 01241.000189/2014-74 Termo de Dispensa de Licitação CTI nº 98/2014 Termo de Contrato de Prestação de Serviços CTI nº 250/2014
Entidades Participantes Secretaria de Logística e Tecnologia da Informação – SLTI/MPOG Centro de Tecnologia da Informação Renato Archer do Ministério da Ciência, Tecnologia e Inovação – CTI/MCTI Fundação de Apoio à Capacitação em Tecnologia da Informação – Facti Maio de 2015
SLTI – OE1:RM2
RESERVADO
Página 1 de 140
RESERVADO
Título do documento Código do Documento Objetivo Específico
Versão 29/05/2015 19/06/2015 30/07/2015
Autor CTI/Facti CTI/Facti CTI/Facti
Metodologia de gestão de riscos de segurança da informação RM2 OE1 Data da Última Modificação 30/07/2015
Controle de Versão do Documento Modificações Versão inicial Inseridos diagramas BPMN e Templates Atividades, tarefas e fluxos revisados
Controle de Distribuição Este documento tem sua distribuição restrita às pessoas diretamente envolvidas nas atividades desenvolvidas no “Desenvolvimento de metodologia e ferramenta de software público de arquitetura aberta para gestão de riscos de segurança da informação na Administração Pública Federal” – de acordo com o Termo de Execução Descentralizada MPOG nº 25/2014, o Processo MPOG nº 04300.004903/2014-40, o Processo Administrativo CTI nº 01241.000189/2014-74 Termo de Dispensa de Licitação CTI nº 98/2014, Termo de Contrato de Prestação de Serviços CTI nº 250/2014 – e que dele precisem saber. Este documento não pode ser redistribuído. Este documento não pode ser reproduzido em todo ou em parte. As informações contidas neste documento somente poderão ser divulgadas a terceiros mediante prévia e expressa autorização da Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão – SLTI/MPOG. Controle de Distribuição Data
SLTI – OE1:RM2
Nome
Rubrica
RESERVADO
Página 2 de 140
RESERVADO
Lista de Figuras Figura 1. Níveis de atuação para a gestão de riscos. ........................................... 21 Figura 2. Níveis de atuação para a gestão de riscos e elementos da organização .................................................................................................................. 23 Figura 3. Processo da MGR-SISP ............................................................................ 26 Figura 4. Subprocesso Estabelecer Contexto......................................................... 42 Figura 5. Atividade Definir os Papéis e as Responsabilidades ............................ 43 Figura 6. Template do registro de Papéis, descrições e Responsabilidades .... 45 Figura 7. Template do registro de Profissionais e Papéis..................................... 45 Figura 8. Atividade Definir os Objetivos, Escopo e as Restrições da GRSI ...... 47 Figura 9. Template para o registro de objetivos, escopo, premissas e restrições ........................................................................................................................................ 49 Figura 10. Atividade Realizar Pré-análise da organização ................................... 52 Figura 11. Modelo de questionário de pré-análise da organização..................... 54 Figura 12. Modelo de apresentação de resultados da pré-análise da organização .................................................................................................................. 54 Figura 13. Atividade Realizar Pré-análise das unidades da organização .......... 58 Figura 14. Formulário com os resultados da pré-análise de unidades da organização .................................................................................................................. 60 Figura 15. Exemplo do Formulário ............................................................................ 60 Figura 16. Atividade Definir Critérios ........................................................................ 61 Figura 17. Formulário para a parametrização da avaliação de consequências 67 Figura 18. Formulário para a parametrização da avaliação de probabilidades 68 Figura 19. Formulário para a parametrização de critério de tratamento e de aceitação de riscos ...................................................................................................... 68 Figura 20. Subprocesso Identificar Riscos .............................................................. 69 Figura 21. Atividade Identificar Ativos ...................................................................... 72 Figura 22. Template do Mapa de Riscos - Ativos................................................... 75 Figura 23. Exemplo de Mapa de Riscos - Ativos .................................................... 75 Figura 24. Atividade Identificar Ameaças ................................................................ 77 Figura 25. Template do Mapa de Riscos - Ativos, Ameaças ................................ 79 Figura 26. Exemplo de Mapa de Riscos - Ativos, Ameaças ................................. 79 Figura 27. Atividade Identificar Controles ................................................................ 81 Figura 28. Template do Mapa de Riscos - Ativos, Ameaças e Controles .......... 83 Figura 29. Exemplo de Mapa de Riscos - Ativos, Ameaças e Controles ........... 84
SLTI – OE1:RM2
RESERVADO
Página 3 de 140
RESERVADO
Figura 30. Atividade Identificar Vulnerabilidades ................................................... 85 Figura 31. Template do Mapa de Riscos – Ativos, Ameaças, Controles e Vulnerabilidades........................................................................................................... 88 Figura 32. Exemplo de Mapa de Riscos – Ativos, Ameaças, Controles e Vulnerabilidades........................................................................................................... 89 Figura 33. Subprocesso Estimar Riscos .................................................................. 90 Figura 34. Atividade Identificar e Avaliar consequências ...................................... 95 Figura 35. Template do Mapa de Riscos – Ativos, Ameaças e Consequências 97 Figura 36. Exemplo de Mapa de Riscos – Ativos, Ameaças e Consequências 98 Figura 37. Atividade Avaliar Probabilidades .......................................................... 101 Figura 38. Template do Mapa de Riscos – Ativos, Ameaças, Consequências e Probabilidades ............................................................................................................ 103 Figura 39. Exemplo de Mapa de Riscos – Ativos, Ameaças, Consequências e Probabilidades ............................................................................................................ 103 Figura 40. Atividade Estimar Nível de Risco ......................................................... 105 Figura 41. Template do Mapa de Riscos – Ativos, Ameaças, Consequências, Probabilidades e Riscos ........................................................................................... 107 Figura 42. Exemplo de Mapa de Riscos – Ativos, Ameaças, Consequências, Probabilidades e Riscos ........................................................................................... 107 Figura 43. Subprocesso Avaliar Riscos ................................................................. 108 Figura 44. Atividade Classificar Riscos .................................................................. 110 Figura 45. Template do Mapa de Riscos – Ativos, Ameaças, Consequências e Riscos Ordenados e Classificados ......................................................................... 113 Figura 46. Exemplo de Mapa de Riscos – Ativos, Ameaças, Consequências e Riscos Ordenados e Classificados ......................................................................... 113 Figura 47. Subprocesso Tratar Riscos ................................................................... 115 Figura 48. Atividade Estimar Recursos .................................................................. 118 Figura 49. Template do Mapa de Riscos – Ativos, Ameaças, Riscos Ordenados, Controles e Estimativas para tratamento ............................................................... 121 Figura 50. Exemplo de Mapa de Riscos – Ativos, Ameaças, Riscos Ordenados, Controles e Estimativas para tratamento ............................................................... 122 Figura 51. Atividade decidir sobre alternativas de resposta aos riscos ............ 123 Figura 52. Template do Mapa de Riscos – Ativos, Ameaças, Riscos, Controles e Informações de Tratamento .................................................................................. 126 Figura 53. Exemplo de Mapa de Riscos – Ativos, Ameaças, Riscos, Controles e Informações de Tratamento ..................................................................................... 127 Figura 54. Atividade Implementar Respostas aos Riscos................................... 128 SLTI – OE1:RM2
RESERVADO
Página 4 de 140
RESERVADO
Figura 55. Template do PTR - Plano de Tratamento de Riscos ........................ 132 Figura 56. Exemplo de PTR - Plano de Tratamento de Riscos ......................... 132 Figura 57. Subprocesso Monitorar Riscos............................................................. 135 Figura 58. Subprocesso Monitorar Riscos ............................................................. 137
SLTI – OE1:RM2
RESERVADO
Página 5 de 140
RESERVADO
Sumário 1
Apresentação do documento .............................................................................. 8
2
Introdução ......................................................................................................... 9
3
Termos e definições .......................................................................................... 11
4
Normas e regulamentações relacionadas .......................................................... 14
5
MGR-SISP: Escopo de aplicação e principais características ............................... 17
6
Forma de estruturação e de representação ....................................................... 24
7
Visão geral da metodologia .............................................................................. 25 7.1 Subprocesso Estabelecer Contexto (EC) ................................................................. 27 7.1.1 Atividade definir os papéis e as responsabilidades ........................................... 27 7.1.2 Atividade definir os objetivos, o escopo e as restrições da GRSI ...................... 27 7.1.3 Atividade realizar pré-análise da organização................................................... 28 7.1.4 Atividade realizar pré-análise de unidades da organização ............................. 29 7.1.5 Atividade definir critérios ................................................................................... 30 7.2 Subprocesso Identificar Riscos (IR) ........................................................................ 31 7.2.1 Atividade identificar ativos ................................................................................. 32 7.2.2 Atividade identificar ameaças ............................................................................. 32 7.2.3 Atividade identificar controles ............................................................................ 33 7.2.4 Atividade identificar vulnerabilidades ............................................................... 33 7.3 Subprocesso Estimar Riscos (ER) ........................................................................... 34 7.3.1 Atividade avaliar consequências ......................................................................... 34 7.3.2 Atividade avaliar probabilidades ........................................................................ 35 7.3.3 Atividade estimar nível de risco.......................................................................... 35 7.4 Subprocesso Avaliar Riscos (AR) ............................................................................ 35 7.4.1 Atividade classificar os riscos.............................................................................. 36 7.5 Subprocesso Tratar Riscos (TR) ............................................................................. 36 7.5.1 Atividade estimar custos e prazos ...................................................................... 37 7.5.2 Atividade decidir sobre alternativas de resposta ao risco ................................ 37 7.5.3 Atividade implementar a resposta aos riscos .................................................... 38 7.6 Subprocesso Comunicar Riscos (CR) ...................................................................... 38 7.6.1 Atividade mapear e estabelecer comunicações com as partes interessadas... 38 7.6.2 Atividade compartilhar com os tomadores de decisão informações, resultados e saídas de todas as atividades ........................................................................................ 38 7.6.3 Atividade Avaliar e validar informações estratégicas. ...................................... 39 7.7 Subprocesso Monitorar Riscos (MR) ...................................................................... 39 7.7.1 Atividade monitorar a implementação do tratamento de risco ....................... 39
SLTI – OE1:RM2
RESERVADO
Página 6 de 140
RESERVADO
7.7.2 7.7.3
8
Atividade monitorar os riscos. ............................................................................ 39 Atividade monitorar alterações que impactam no resultado da análise de risco 40
Detalhamento da metodologia ......................................................................... 41 8.1 Subprocesso estabelecer contexto (EC) ................................................................. 41 8.1.1 Atividade 1. Definir os papéis e as responsabilidades ...................................... 42 8.1.2 Atividade 2. Definir os objetivos, o escopo e as restrições da GRSI ................. 45 8.1.3 Atividade 3. Realizar pré-análise da organização .............................................. 50 8.1.4 Atividade 4. Realizar pré-análise de unidades da organização ........................ 54 8.1.5 Atividade 5. Definir critérios ............................................................................... 60 8.2 Subprocesso Identificar Riscos (IR) ........................................................................ 69 8.2.1 Atividade 1. Identificar ativos ............................................................................. 70 8.2.2 Atividade 2. Identificar ameaças ......................................................................... 75 8.2.3 Atividade 3. Identificar controles........................................................................ 80 8.2.4 Atividade 4. Identificar vulnerabilidades ........................................................... 84 8.3 Subprocesso Estimar Riscos (ER) ........................................................................... 89 8.3.1 Atividade 1. Identificar e avaliar consequências ............................................... 90 8.3.2 Atividade 2. Avaliar probabilidades.................................................................... 98 8.3.3 Atividade 3. Estimar nível de risco ................................................................... 104 8.4 Subprocesso Avaliar Riscos (AR) .......................................................................... 108 8.4.1 Atividade 1. Classificar os riscos ....................................................................... 109 8.5 Subprocesso Tratar Riscos (TR) ........................................................................... 114 8.5.1 Atividade 1. Estimar recursos para o tratamento de riscos............................ 116 8.5.2 Atividade 2. Decidir sobre alternativas de reposta aos riscos ........................ 122 8.5.3 Atividade 3. Implementar a reposta aos riscos ................................................ 127 8.6 Subprocesso Comunicar Riscos (CR) .................................................................... 133 8.7 Subprocesso Monitorar Riscos (MR) .................................................................... 136
9
Considerações Finais....................................................................................... 138
10
Referências .................................................................................................. 139
SLTI – OE1:RM2
RESERVADO
Página 7 de 140
RESERVADO
1 Apresentação do documento Este documento situa-se no contexto do projeto “Desenvolvimento de metodologia e ferramenta de software público de arquitetura aberta para gestão de riscos de segurança da informação na Administração Pública Federal (APF)”. Este projeto é iniciativa da SLTI/MP e encontra-se em execução no CTI Centro de Tecnologia da Informação Renato Archer/MCTI, por intermédio da fundação de apoio, Facti. O documento refere-se à Meta Física RM2, componente do Objetivo Específico OE1: “Elaboração da Metodologia Pública de Gestão de Riscos de Segurança da Informação”. O documento apresenta a “Metodologia de Gestão de Riscos de Segurança da Informação do SISP (MGR-SISP)”. A metodologia visa a padronizar e sistematizar a gestão de riscos de segurança da informação na APF. Almeja-se assim atingir níveis satisfatórios de segurança da informação, e ao mesmo tempo racionalizar os investimentos, pela priorização de ações e por evitar redundâncias na gestão de riscos. A MGR-SISP é compatível com iniciativas anteriores voltadas à segurança da informação na APF, como a Norma Complementar nº 04/IN01/DSIC/GSIPR, que estabelece diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações. Os órgãos da APF apresentam grande variedade no tocante às características, aos requisitos, e ao nível maturidade em segurança da informação. Deste modo, a MGR-SISP estabelece atividades de pré-analise, visando a direcionar a implantação da metodologia em cada organização específica. Busca-se também o respaldo de padrões bem aceitos, como ISO/IEC 27005, IT Grundschutz BSI Standard 100-2 e NIST SP 800-39, que forneceram elementos para a definição da MGR-SISP, descrita neste documento.
SLTI – OE1:RM2
RESERVADO
Página 8 de 140
RESERVADO
2 Introdução Uma abordagem sistemática para a gestão da segurança da informação é importante para que as organizações identifiquem possíveis ameaças ao seu negócio e estabeleçam medidas de proteção eficazes. A missão da organização e os seus objetivos principais devem ser a base para o estabelecimento de práticas para a promoção da segurança da informação. Um elemento importante nos esforços voltados à segurança da informação é abordar os riscos de maneira efetiva e no tempo certo. A gestão de riscos deve integrar o sistema de gestão de segurança da informação, e deve ser alinhada às práticas gerais de gestão de riscos da organização. A gestão de riscos de segurança da informação deve ser um processo contínuo, bem estruturado e sistemático. O objetivo deste processo é de assegurar uma proteção adequada para os elementos de valor da organização, tais como: pessoas; informações; processos de negócio; e soluções de tecnologia da informação e comunicação. Esta proteção é necessária para evitar prejuízos a esses elementos de valor, que podem ocorrer como consequência de violações de segurança. Ao longo das atividades do processo de gestão de riscos devem ser estabelecidos o contexto, o escopo e os objetivos da gestão; devem ser identificados os riscos existentes, a probabilidade que estes de fato ocorram, assim como a extensão e gravidade dos efeitos negativos produzidos. Pode-se deste modo decidir sobre ações preventivas a serem tomadas para reduzir os riscos para níveis aceitáveis. Este processo é importante também para gerar informações que permitam a comunicação e a tomada de decisões sobre as prioridades para a alocação de recursos de segurança da informação: busca-se racionalizar o uso de recursos, evitando proteções redundantes, e privilegiando a proteção dos recursos vitais.
SLTI – OE1:RM2
RESERVADO
Página 9 de 140
RESERVADO
Este documento apresenta a primeira versão da “Metodologia de Gestão de Riscos de Segurança da Informação do SISP” (MGR-SISP). No contexto deste documento a Gestão de Riscos de Segurança da Informação é referida pela sigla GRSI, ou em alguns pontos, apenas como “Gestão de Riscos”. A aplicação da MGR-SISP em organizações será apoiada por uma ferramenta computacional (a ser desenvolvida), referida como “ferramenta de apoio à MGR-SISP”, ou em alguns pontos, simplesmente como “Ferramenta de Apoio”. O restante deste documento esta organizado do seguinte modo. A Seção 3 apresenta termos e definições fundamentais; a Seção 4 lista as normas e legislações relacionadas; a Seção 5 trata do escopo de aplicação e das principais características da metodologia; a Seção 6 descreve a forma de estruturação e de representação das descrições das seções seguintes. As Seções 7 e 8 descrevem a metodologia, primeiro apresentando uma visão geral, e segundo detalhando os subprocessos, as atividades e as informações tratadas. Por fim, a Seção 9 apresenta as considerações finais e a Seção 10 traz as referências bibliográficas.
SLTI – OE1:RM2
RESERVADO
Página 10 de 140
RESERVADO
3 Termos e definições Aceitação do risco: Decisão de aceitar risco residual. Ameaça: Elemento que tem potencial para comprometer ativos através da exploração das vulnerabilidades. Análise do risco: Estimar o risco baseado na probabilidade e seu respectivo impacto. Ataque: Evento decorrente da exploração de uma vulnerabilidade por uma ameaça. Ativo: Qualquer elemento que tenha valor para a organização. Confidencialidade: Garantia de que a informação seja legível somente para pessoas autorizadas. Controle: Forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal. Controle também pode ser utilizado como um sinônimo para proteção ou contramedida. Criptografia: Métodos para prover sigilo da informação. Disponibilidade: Garantia de que os usuários autorizados obtenham acesso à informação sempre que necessário. Estimativa
de
risco:
processo
utilizado
para
atribuir
valores
à
probabilidade e consequência de um risco. Identificação do risco: Processo de localizar, listar e caracterizar elementos de risco. Impacto: Mudança adversa no nível obtido dos objetivos de negócio.
SLTI – OE1:RM2
RESERVADO
Página 11 de 140
RESERVADO
Incidentes de segurança da informação: Evento, ou série de eventos indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. Integridade: Garantia de que a informação não foi alterada de maneira não autorizada ou desconhecida. Mapa de Riscos: Informações relacionadas à cada risco, definidas no decorrer das atividades de cada subprocesso tais como: ativos, ameaças, controles, vulnerabilidades, consequências, probabilidades, níveis de risco, etc. Probabilidade de ocorrência: Fator do risco baseado na análise da probabilidade de que uma dada ameaça seja capaz de explorar uma dada vulnerabilidade. Redução do risco: Ações tomadas para reduzir a probabilidade, as consequências negativas, ou ambas associadas a um risco. Retenção do risco: Aceitação do ônus da perda ou do benefício do ganho associado a um risco. Risco: combinação da probabilidade de um evento e de suas consequências. Risco de Segurança da Informação: potencial de que uma ameaça irá explorar vulnerabilidades de um ativo, ou conjunto de ativos, e deste modo causar um dano à organização. Risco residual: Riscos remanescentes após o tratamento do risco. Sistema Estruturante: Sistema com suporte de tecnologia da informação fundamental e imprescindível para planejamento, coordenação, execução, descentralização, delegação de competência, controle ou auditoria das ações do Estado, além de outras atividades auxiliares, desde que comum a dois ou mais órgãos da Administração e que necessitem de coordenação central.
SLTI – OE1:RM2
RESERVADO
Página 12 de 140
RESERVADO
Transferência do risco: Compartilhamento com outra entidade do ônus da perda ou do benefício do ganho associado a um risco. Vulnerabilidade: Falha ou descuido que quando explorada por uma ameaça, resulta na violação da segurança.
SLTI – OE1:RM2
RESERVADO
Página 13 de 140
RESERVADO
4 Normas e regulamentações relacionadas Norma Complementar nº 02/IN01/DSIC/GSIPR, Metodologia de Gestão de Segurança da Informação e Comunicações. 2008. Norma Complementar nº 03/IN01/DSIC/GSIPR, Diretrizes para a Elaboração de Política de Segurança da Informação e Comunicações nos Órgãos e Entidades da Administração Pública Federal. 2009. Norma Complementar nº 04/IN01/DSIC/GSIPR, e seu anexo, (Revisão 01). Diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações - GRSIC nos órgãos e entidades da Administração Pública Federal. 2013. Norma Complementar nº 05/IN01/DSIC/GSIPR, e seu anexo, Disciplina a criação de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais - ETIR nos órgãos e entidades da Administração Pública Federal. 2009 Norma Complementar nº 06/IN01/DSIC/GSIPR, Estabelece Diretrizes para Gestão de Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal, direta e indireta – APF. 2009 Norma Complementar nº 07/IN01/DSIC/GSIPR, (Revisão 01) Estabelece as Diretrizes para Implementação de Controles de Acesso Relativos à Segurança da Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta. 2014. Norma Complementar nº 08/IN01/DSIC/GSIPR, Estabelece as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos órgãos e entidades da Administração Pública Federal. Norma Complementar nº 09/IN01/DSIC/GSIPR, (Revisão 02) Estabelece orientações específicas para o uso de recursos criptográficos em Segurança da Informação e Comunicações, nos órgãos ou entidades da Administração Pública Federal (APF), direta e indireta. 2014. Norma Complementar nº 10/IN01/DSIC/GSIPR, Estabelece diretrizes para o processo de Inventário e Mapeamento de Ativos de Informação, para apoiar a Segurança da Informação e Comunicações (SIC), dos órgãos e entidades da Administração Pública Federal, direta e indireta – APF. 2012.
SLTI – OE1:RM2
RESERVADO
Página 14 de 140
RESERVADO
Norma Complementar nº 11/IN01/DSIC/GSIPR, Estabelece diretrizes para avaliação de conformidade nos aspectos relativos à Segurança da Informação e Comunicações (SIC) nos órgãos ou entidades da Administração Pública Federal, direta e indireta – APF. 2012. Norma Complementar nº 12/IN01/DSIC/GSIPR, Estabelece diretrizes e orientações básicas para o uso de dispositivos móveis nos aspectos referentes à Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta. 2012. Norma Complementar nº 13/IN01/DSIC/GSIPR, Estabelece diretrizes para a Gestão de Mudanças nos aspectos relativos à Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da Administração Pública Federal, direta e indireta (APF). 2012. Norma Complementar nº 14/IN01/DSIC/GSIPR, Estabelece diretrizes para a utilização de tecnologias de Computação em Nuvem, nos aspectos relacionados à Segurança da Informação e Comunicações (SIC), nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta. 2012. Norma Complementar nº 15/IN01/DSIC/GSIPR, Estabelece diretrizes de Segurança da Informação e Comunicações para o uso de redes sociais, nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta. 2012. Norma Complementar nº 17/IN01/DSCI/GSIPR, Estabelece Diretrizes nos contextos de atuação e adequações para Profissionais da Área de Segurança da Informação e Comunicações (SIC) nos Órgãos e Entidades da Administração Pública Federal (APF). 2013. Norma Complementar nº 18/IN01/DSIC/GSIPR, Estabelece as Diretrizes para as Atividades de Ensino em Segurança da Informação e Comunicações (SIC) nos Órgãos e Entidades da Administração Pública Federal (APF). 2013. Norma Complementar nº 19/IN01/DSIC/GSIPR, Estabelece Padrões Mínimos de Segurança da Informação e Comunicações para os Sistemas Estruturantes da Administração Pública Federal (APF), direta e indireta. 2014. Norma Complementar nº 20/IN01/DSIC/GSIPR, (Revisão 1) Estabelece as Diretrizes de Segurança da Informação e Comunicações para Instituição do Processo de Tratamento da Informação nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta.
SLTI – OE1:RM2
RESERVADO
Página 15 de 140
RESERVADO
Norma Complementar nº 21/IN01/DSIC/GSIPR, Estabelece as Diretrizes para o Registro de Eventos, Coleta e Preservação de Evidências de Incidentes de Segurança em Redes nos órgãos e entidades da Administração Pública Federal, direta e indireta. Instrução Normativa GSI Nº 1, de 13 de junho de 2008. Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências. Instrução Normativa GSI Nº 2, de 5 de fevereiro de 2013. Dispõe sobre o Credenciamento de segurança para o tratamento de informação classificada, em qualquer grau de sigilo, no âmbito do Poder Executivo Federal. Instrução Normativa GSI Nº 3, de 6 de março de 2013. Dispõe sobre os parâmetros e padrões mínimos dos recursos criptográficos baseados em algoritmos de Estado para criptografia da informação classificada no âmbito do Poder Executivo Federal. Instrução Normativa SLTI/MP Nº 4, de 11 de setembro de 2014. Dispõe sobre o processo de contratação de Soluções de Tecnologia da Informação pelos órgãos integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação – SISP do Poder Executivo Federal. Decreto Nº 8.135, de 4 de novembro de 2013. Dispõe sobre as comunicações de dados da administração pública federal direta, autárquica e fundacional, e sobre a dispensa de licitação nas contratações que possam comprometer a segurança nacional. Portaria Interministerial MP/MC/MD Nº 141, de 2 de maio de 2014. Dispõe que as comunicações de dados da Administração Pública federal direta, autárquica e fundacional deverão ser realizadas por redes de telecomunicações e serviços de tecnologia da informação fornecidos por órgãos ou entidades da Administração Pública Federal, incluindo empresas públicas e sociedades de economia mista da União e suas subsidiárias, observando o disposto nesta Portaria. Guia de referência para a Segurança das Infraestruturas Críticas da Informação. Versão 01 – Nov./2010. Portaria Nº 14 – CDN de 11 de maio de 2015. A Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal.
SLTI – OE1:RM2
RESERVADO
Página 16 de 140
RESERVADO
5 MGR-SISP: Escopo de aplicação e principais características
Esta seção apresenta uma visão geral da Metodologia de Gestão de Riscos de Segurança da Informação do SISP (MGR-SISP). É apresentado o escopo de aplicação da metodologia e é destacada integração desta iniciativa com outras voltadas à segurança da informação na APF. São descritos aspectos organizacionais importantes para a implementação da metodologia, assim como os três níveis de atuação para a gestão de riscos e proteção: organização; processos de negócio; e ativos tecnológicos. A MGR-SISP é voltada à gestão de riscos de segurança da informação com ênfase na fase de operação. Isto é, os alvos são órgãos da APF que possuem infraestrutura TIC já estabelecida e que estão em funcionamento. Não é tratada diretamente a gestão de riscos no desenvolvimento de soluções TIC, embora isto seja possível, por meio de extensões da metodologia. A
MGR-SISP
é
compatível
com
a
Norma
Complementar
nº
04/IN01/DSIC/GSIPR, que estabelece diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações, porém há um maior detalhamento de processos, atividades e técnicas a serem utilizados. Além disto, a existência de uma ferramenta de apoio à aplicação da metodologia torna explícitos detalhes de “como” realizar as atividades de gestão, algo além de indicar “o que” deve ser realizado. Isto contribui para tornar efetiva a adoção e a utilização da metodologia. A metodologia visa a ser uma plataforma integradora de iniciativas do governo de aprimorar a segurança da informação na APF. O alvo é contemplar os aspectos de segurança, conceitos e práticas, tratados em Normas Complementares (NC) e em Instruções normativas (IN) que sejam relacionadas à gestão de riscos de segurança da informação. Por exemplo, a metodologia deve destacar a importância do estabelecimento de: uma Política de Segurança da Informação e Comunicações (Norma Complementar nº SLTI – OE1:RM2
RESERVADO
Página 17 de 140
RESERVADO
03/IN01/DSIC/GSIPR); direcionar o gestor de riscos a implementar de Controles de Acesso (Norma Complementar nº 07/IN01/DSIC/GSIPR); e enfatizar que se respeitem diretrizes para o processo de Inventário e Mapeamento
de
Ativos
de
Informação
(Norma
Complementar
nº
10/IN01/DSIC/GSIPR). Outro ponto importante é que a MGR-SISP pode sistematizar e padronizar a gestão de riscos na APF, destacando boas práticas e o reuso de soluções. As medidas de segurança previstas contra as ameaças identificadas (chamadas de proteções, ou controles) são baseadas em padrões bem aceitos (como ISO/IEC 27005, IT Grundschutz BSI Standard 100-2 e NIST SP 800-39) e permitem que se atinjam níveis satisfatórios de segurança da informação, e ao mesmo tempo se racionalizem os investimentos, pela priorização de ações e por evitar redundâncias. Tendo como finalidade apoiar organizações da APF, cujas naturezas, características e objetivos apresentam variações, almeja-se que a metodologia seja adaptável e customizável. Em particular, busca-se oferecer apoio eficaz para a gestão de riscos, independentemente do nível de maturidade em segurança da informação em que a organização se encontra (em termos de cultura e de práticas de segurança adotadas e institucionalizadas), e do nível de segurança requerido pela organização (associado à criticidade dos ativos de informação da organização). Alguns requisitos mínimos, em termos de estrutura organizacional para a segurança da informação, são esperados para a implementação da gestão de riscos. Prevê-se a definição de papéis e o envolvimento de profissionais com os seguintes perfis:
Representantes da Alta Administração da organização, que devem aprovar pontos importantes relativos à gestão de riscos e para prover os recursos necessários;
SLTI – OE1:RM2
RESERVADO
Página 18 de 140
RESERVADO
Responsáveis pela gestão de segurança da informação, que executarão as atividades de gestão de riscos e coordenarão esforços para identificar e estimar riscos, bem como propor melhorias necessárias para mitigar riscos, além de comunicar os resultados de análises a todos os interessados;
Responsáveis por avaliar as informações produzidas pela gestão de riscos, acompanhar a realização das melhorias necessárias, e zelar pela fiel utilização da metodologia;
Responsáveis pelas áreas da organização nas quais a metodologia de gestão de riscos será implementada, que tem o papel de coletar as informações necessárias à identificação e a estimação de riscos, e realizar melhorias necessárias quando as análises indicarem esta necessidade.
É desejável também que a organização realize análises internas, voltadas a estabelecer as condições iniciais apropriadas para a implementação da metodologia de gestão de riscos. Isto envolve, por exemplo:
Definir o propósito dos investimentos em segurança da informação. O propósito deve estar associado à missão e aos objetivos da organização, deve ser
documentado e aprovado por
Administração
da
organização.
representantes da
Tipicamente,
este
Alta
documento
é
denominado Política de Segurança da Informação da organização [Norma Complementar nº 03/IN01/DSIC/GSIPR].
Para a gestão de riscos será necessário identificar os setores da organização (divisões, departamentos, projetos, etc.) que tratam com atividades e informações que envolvem requisitos de segurança, isto é, atividades e informações para as quais é importante que haja disponibilidade; integridade; e confidencialidade. Para facilitar esta tarefa, a organização deve ter mapeados os seus processos de negócio e informações antes de implantar a MGR-SISP.
Identificar profissionais com os perfis adequados aos papéis necessários à implantação da gestão de riscos (citados acima). Importante destacar que
SLTI – OE1:RM2
RESERVADO
Página 19 de 140
RESERVADO
a metodologia/ferramenta apoia os profissionais na identificação de eventos adversos que podem ocorrer e causar danos a ativos, a pessoas, ou à organização. Também auxilia na identificação de medidas de proteção, alternativas para evitar esses eventos, ou reduzir o impacto destes. Entretanto, a metodologia/ferramenta não substitui a expertise humana, necessária para decidir sobre alternativas de tratamento e para adaptar e implementar as medidas de segurança.
A gestão de riscos pode ocorrer em diferentes níveis de detalhamento, abordando medidas de proteção mais gerais, aplicáveis à organização como um todo, ou a setores desta. Cada setor por sua vez pode ser decomposto em processos de negócio e informações, permitindo estabelecer proteções mais específicas, voltadas a estes processos e informações. Caso necessário, cada processo de negócio pode ser decomposto nos ativos que o apoiam como: equipamentos de hardware, redes, locais físicos e software. Neste nível mais detalhado, as medidas de proteção são específicas para cada elemento (cada componente de software, hardware, etc). O conceito acima é ilustrado na Figura 1 que mostra os três níveis para a gestão de riscos e para a adoção de medidas de proteção: gestão de aspectos gerais da segurança de informação (1º Nível); gestão de segurança da informação voltada a processos de negócio e informações específicas (2º Nível); e gestão de segurança da informação para tratar cada elemento tecnológico da organização (3º Nível).
SLTI – OE1:RM2
RESERVADO
Página 20 de 140
RESERVADO
1o Nível
2o Nível
Organização
Processos de Negócio Ativos de tecnologia
3o Nível
Figura 1. Níveis de atuação para a gestão de riscos. O conceito ilustrado na Figura 1 pode ser compreendido mais concretamente a partir da análise da Tabela 1. Esta tabela exemplifica, para cada nível de atuação (organização, processos de negócio e ativos de tecnologia), ameaças, vulnerabilidades associadas às ameaças, e controles que podem aumentar o nível de proteção dos ativos às ameaças.
SLTI – OE1:RM2
RESERVADO
Página 21 de 140
RESERVADO
Níveis
Ameaça Furto de equipamento
Nível 1 Organização
Vulnerabilidade
Controle/Proteção
Acesso de não autorizados
Implementar controle de
nas dependências da
acesso nas dependências da
organização
organização
Furto de documentos nas
Falta de política de mesa
Instituir uma política de mesa
mesas dos funcionários
limpa
limpa
Interrupção de
Falta de Nobreak
Implementar um Nobreak
Ataque de negação de
Falta de monitoramento do
Implementar monitoramento
serviço em um sistema
tráfego de rede
de rede
Vazamento de
Os documentos trafegam em
Implementar criptografia nos
documentos sigilosos nos
texto em claro nos meios
documentos sigilosos
meios eletrônicos
eletrônicos
Falha no serviço de
O servidor de Helpdesk tem
Implementar um servidor
HelpDesk
problemas de Hardware
Backup redundante
Tentativa de exploração
Serviço de acesso remoto
Atualização da aplicação de
de acesso ao servidor
vulnerável
acesso remoto
Tentativa de um atacante
Um atacante pode conectar
Implementar controle de
conectar-se na rede local
seu notebook na rede local
acesso lógico na rede local
Tentativa de um atacante
Serviço de E-mail
Atualizar o serviço de E-mail e
invadir um servidor de E-
desatualizado e sem
aplicar o Hardening no
mail
aplicações de segurança
servidor
suprimento de energia
de voto eletrônico no dia da eleição
Nível 2 Processo de negócio
Linux Nível 3 – Ativos de Tecnologia
(LAN)
Tabela 1. Ameaças, Vulnerabilidades e Controle, por nível de atuação
SLTI – OE1:RM2
RESERVADO
Página 22 de 140
RESERVADO
A Figura 2 ilustra a atuação da gestão de segurança nos diversos níveis. No nível 1: organização como um todo, ou unidades da organização isoladamente; no nível 2, no qual processos de negócio e informações são o alvo da gestão; e no nível 3, que trata individualmente de ativos como: servidores, computadores pessoais, notebooks, dispositivos de rede, serviços, etc. Organização
Nível 1
Unidade 1
Processo de Negócio 1
Unidade 2
Processo de Negócio 2
Unidade N
Processo de Negócio 1
Nível 2 SERVIDOR UNIX
PC 1
SALA 1
LAN
EMAIL
Nível 3
Figura 2. Níveis de atuação para a gestão de riscos e elementos da organização
SLTI – OE1:RM2
RESERVADO
Página 23 de 140
RESERVADO
6 Forma de estruturação e de representação Esta seção apresenta a forma de estruturação da metodologia, com a utilização do conceito de processos e a notação BPMN. A MGR-SISP é associada a um processo, composto por subprocessos, que por sua vez são decompostos em atividades e, se necessário em tarefas. Os subprocessos definem conjuntos de atividades, estruturadas para que sejam atingidos os objetivos parciais específicos relacionados à gestão de riscos. Cada atividade é caracterizada pelos seguintes elementos: nome; descrição; diagrama de fluxo de tarefas; tarefas e respectivos responsáveis; condição para ser realizada; informações utilizadas; informações produzidas; condição para ser finalizada; e templates e exemplos. Os subprocessos, as atividades e as tarefas são ordenados, ou seja, há relações de precedência, sendo que os resultados produzidos por um subprocesso ou atividade, são normalmente utilizados para a realização de subprocessos ou atividades seguintes. Há também situações que envolvem a repetição de subprocessos ou de atividades, isto é, subprocessos ou atividades são realizadas mais de uma vez, até que uma condição alvo seja atingida. O processo, os subprocessos, e as atividades são modelados usando a notação BPMN (Business Process Modeling Notation), um modelo gráfico amplamente utilizado para a modelagem, análise, e simulação de processos.
SLTI – OE1:RM2
RESERVADO
Página 24 de 140
RESERVADO
7 Visão geral da metodologia Esta seção apresenta a metodologia MGR-SISP de maneira ampla, com foco nos subprocessos da metodologia e suas atividades principais. A Seção 8 detalha cada atividade nos moldes descritos na Seção 6. A MGR-SISP é composta pelos seguintes subprocessos:
Estabelecer Contexto (EC);
Identificar Riscos (IR);
Estimar Riscos (ER);
Avaliar Riscos (AR);
Tratar Riscos (TR);
Comunicar Riscos (CR) e;
Monitorar Riscos (MR).
A Figura 3 ilustra o processo subjacente à MGR-SISP. É mostrado fluxo de execução dos subprocessos, destacando a execução sequencial de: Estabelecer Contexto; Identificar Riscos; Estimar Riscos; e Avaliar Riscos. Em um primeiro ponto de decisão, depois do subprocesso Avaliar Riscos, é avaliada a necessidade de mais informações, em termos de abrangência e de nível de detalhe, situação na qual estes subprocessos são reexecutados. O fluxo segue com o tratamento de riscos e em um segundo ponto de decisão, caso o tratamento não seja suficiente, ou seja, o risco residual é superior ao aceitável, ocorre a reexecução dos subprocessos. Embora não explicitado na Figura 3, é previsto que a execução de cada subprocesso seja seguida de uma avaliação dos resultados produzidos. Esta avaliação pode indicar a necessidade de revisar informações ou reexecutar atividades, aspecto detalhado na Seção 8.
SLTI – OE1:RM2
RESERVADO
Página 25 de 140
RESERVADO
Figura 3. Processo da MGR-SISP
SLTI – OE1:RM2
RESERVADO
Página 26 de 140
RESERVADO
7.1 Subprocesso Estabelecer Contexto (EC) Este subprocesso trata de pontos a serem definidos nas etapas iniciais da implementação e utilização da metodologia de gestão de riscos e da ferramenta em uma organização. O subprocesso compreende as seguintes atividades.
7.1.1 Atividade definir os papéis e as responsabilidades Isto envolve estabelecer responsáveis pela realização de atividades voltadas à GRSI. Por exemplo, são identificados os responsáveis por definir objetivos da segurança da informação; pelo gerenciamento das atividades de gestão de riscos (planejar, iniciar e acompanhar atividades); pela realização da identificação e estimação de riscos; e pelo fornecimento das informações necessárias a gestão de riscos, por exemplo, sobre os ativos de informação de cada unidade da organização.
7.1.2 Atividade definir os objetivos, o escopo e as restrições da GRSI Definir o propósito da GRSI tendo em vista os objetivos estratégicos da organização. Tipicamente isto envolve a definição de uma política de segurança da informação [Norma Complementar nº 03/IN01/DSIC/GSIPR]. O conteúdo da política de segurança da informação deve estar voltado a aspectos importantes, como a missão e os objetivos da organização. Deve também focar com atenção a atuação da organização em termos de serviços prestados à sociedade e aos cidadãos. Exemplos de objetivos para adoção da GRSI:
Garantir que sistemas estruturantes tenham padrões mínimos de Segurança da informação e de Comunicações – SIC [Norma Complementar nº 19/IN01/DSIC/GSPR];
Promover a alta confiabilidade para tratar informação em termos de confidencialidade, integridade e disponibilidade;
SLTI – OE1:RM2
RESERVADO
Página 27 de 140
RESERVADO
Garantir uma boa reputação para o público em geral;
Preservar o valor do investimento em tecnologia, informação, processos e conhecimento;
Proteger o valor das informações mais importantes;
Proteger a qualidade da informação utilizada para decisões importantes;
Garantir a satisfação de requisitos legais e de regulação;
Reduzir o custo de incidentes de segurança;
Garantir a continuidade do trabalho.
É necessário explicitar as premissas e restrições que podem afetar o estabelecimento da GRSI, tais como: regulamentações específicas; restrições financeiras; restrições de prazo; restrições técnicas, etc.
7.1.3 Atividade realizar pré-análise da organização Esta atividade visa a obter uma avaliação inicial, não detalhada, da situação atual em segurança da informação na organização. Esta avaliação permite diagnosticar a maturidade da organização em segurança da informação e é útil para direcionar os passos seguintes da gestão de riscos. A atividade consiste na utilização de um questionário que aborda de forma ampla pontos de segurança da informação, incluindo questões sobre:
Aspectos gerais de segurança (backup, criptografia, proteção contra malware, treinamentos, etc.);
Infraestrutura (arquivos de dados, salas de servidores, escritórios, equipamentos móveis, etc.);
Sistemas de TI (servidores, clientes, etc.);
Redes (ambientes de redes, gerenciamento, topologia, VPN, LAN, logs de eventos, etc.), e;
SLTI – OE1:RM2
RESERVADO
Página 28 de 140
RESERVADO
Aplicações (servidores web, bancos de dados, aplicações web, serviços de e-mail, etc.).
7.1.4 Atividade realizar pré-análise de unidades da organização É necessário definir o escopo da GRSI, que pode ser aplicada na organização como um todo, ou em partes (unidades ou setores) específicas. Tipicamente as organizações podem ser decompostas em: departamentos, seções, ou projetos. É preciso decidir quais dessas unidades (departamentos, seções, ou projetos) devem estar no escopo da gestão de riscos e quais ficam fora do escopo. Além disso, algumas unidades podem ser mais relevantes tendo em vista a missão e os objetivos mais importantes da organização. Estas unidades devem ser priorizadas na realização da análise de riscos e na implementação de aprimoramentos de segurança. Esta pré-análise foca cada unidade separadamente e visa a avaliar processos de negócio, atividades, e informações tratadas na unidade. Por meio de um questionário, responsáveis pelas unidades são guiados a responder sobre o nível de criticidade (em temos de requisitos de disponibilidade; integridade; e confidencialidade) das operações da unidade, tendo em vista os objetivos principais da organização. De modo geral o nível de criticidade é maior quando a unidade da organização
possui
processos
de
negócio,
atividades
e
informações
associadas aos seguintes aspectos:
Sistema Estruturante;
Informações pessoais;
Informações classificadas (Lei Federal No 12527, 2011);
Obrigações legais ou regulatórias;
Interesses econômicos e comerciais;
SLTI – OE1:RM2
RESERVADO
Página 29 de 140
RESERVADO
Atividades que podem afetar a ordem pública;
Políticas e estratégias de negócios e de operação;
Contratos com clientes e fornecedores;
Esta análise estabelece em nível “macro” (alto nível) os requisitos de segurança de cada setor da organização. Como resultado tem-se, para cada unidade, uma relação de processos de negócio, atividades e informações, associados aos respectivos níveis de criticidade.
7.1.5 Atividade definir critérios Trata da definição dos critérios básicos a serem considerados para a gestão de riscos. Isto inclui a definição de critérios e/ou técnicas a serem utilizados para análise de riscos a ser realizada, bem como para a tomada de decisões. Pontos a serem definidos:
Critério para a avaliação de riscos e de impactos. Envolve estabelecer como serão avaliados riscos e impactos para os ativos a serem tratados na etapa de análise de riscos. Essencialmente, questões chave são definidas para direcionar a avaliação de riscos e de impactos. São também configuradas tabelas de ponderação (do tipo probabilidade e impacto) a serem aplicadas para as análises semiquantitativas de risco dos ativos. Por meio de questões sobre os requisitos de segurança do ativo em análise, o critério de impacto deve guiar o gestor de riscos na avaliação de o quão crítico é o ativo, isto é, qual é o impacto para a organização da perda de segurança do ativo. A avaliação envolve também estabelecer o quanto o ativo está exposto a riscos, em termos de probabilidades estimadas de perda de segurança. Esta análise deverá ser feita (na etapa de análise de riscos) por meio de tabelas de ponderação, que consideram
SLTI – OE1:RM2
RESERVADO
Página 30 de 140
RESERVADO
de forma conjunta os fatores descritos (tabelas do tipo probabilidade e impacto).
Critério para a avaliação e a aceitação de riscos. Consiste em definir regras sobre o tratamento de riscos a ser realizado, dependendo dos valores de risco apurados na etapa de estimativa de riscos. A organização deve definir abaixo de quais níveis os riscos podem ser aceitos sem tratamento (nível de tolerância a riscos) e para quais níveis os riscos devem ser tratados, transferidos, ou evitados.
7.2 Subprocesso Identificar Riscos (IR) Como definido na Seção 3, entende-se um Risco de Segurança da Informação como “o potencial de que uma ameaça irá explorar vulnerabilidades de um ativo, ou conjunto de ativos, e deste modo causar um dano à organização”. O conceito de Risco de Segurança da Informação é referido apenas como Risco, ou ainda como Cenário de Incidente. Este subprocesso trata da identificação de riscos na organização, além da descrição dos riscos e das consequências adversas resultantes. Busca-se compreender possíveis ameaças e vulnerabilidades existentes, além de avaliar a extensão e a adequação das proteções utilizadas (controles). Esta etapa é direcionada pelos resultados da etapa anterior (Estabelecer Contexto), a saber: propósito, premissas e escopo da GRSI; responsáveis e papéis; resultados das pré-análises; critérios para a avaliação de riscos e de impactos; e critérios para a aceitação de riscos. A identificação de riscos pode tratar todos as unidades da organização (departamentos, seções, ou projetos) ao mesmo tempo, com a execução das atividades
deste
subprocesso
sendo
realizadas
simultaneamente
por
responsáveis em cada unidade. De outro modo, pode ser feita uma priorização, focando os esforços e recursos primeiro em setores mais críticos, e depois, nos sucessivamente menos críticos. Importante destacar que existem ameaças e SLTI – OE1:RM2
RESERVADO
Página 31 de 140
RESERVADO
vulnerabilidades que impactam a organização como um todo. Tratar essas ameaças com proteções adequadas também deve ser uma prioridade. As atividades deste subprocesso e do subprocesso seguinte (Estimar Riscos) geram informações que são consolidadas no Mapa de Riscos. Este mapa agrupa as informações sobre riscos geradas de forma incremental em cada atividade. A identificação de riscos é realizada por meio das seguintes atividades:
7.2.1 Atividade identificar ativos Ativo é tudo que tem valor para a organização e que deve estar no escopo da gestão de riscos. De modo geral, pode-se dizer que ativos primários são: processos de negócio; atividades; e informações. Os ativos de suporte podem incluir, por exemplo: Hardware; Software; Redes de Comunicação; Locais Físicos; Pessoas; e a Organização como um todo. Sugere-se uma abordagem “top-down” para a análise e cadastro dos ativos. Inicialmente devem ser cadastrados os processos de negócio; as atividades; e as informações. Isto deve ser realizado para cada unidade da organização que faça parte do escopo da GRSI. Depois de cadastrados esses ativos primários, devem ser cadastrados os ativos de suporte aos básicos. Este nível maior de granularidade e de detalhamento deve focar primeiro as unidades e processos de negócio identificados como mais críticos nas pré-análises realizadas. Cada ativo de apoio vinculado ao processo de negócio em análise deve então ser cadastrado.
7.2.2 Atividade identificar ameaças Ameaças tem o potencial de causar prejuízo aos ativos da organização, podendo ser de origem humana, ou natural, e serem causadas de forma acidental ou proposital.
SLTI – OE1:RM2
RESERVADO
Página 32 de 140
RESERVADO
Deve ser realizada a identificação de ameaças para cada ativo identificado no escopo da gestão de riscos. Em geral um tipo de ativo (hardware, software, informação, etc.) está sujeito a um subconjunto de ameaças, dentre todas as ameaças existentes. Além disso, uma mesma ameaça pode impactar vários ativos de certo tipo. As ameaças que se aplicam ao ativo em análise devem ser identificadas e documentadas, para consideração em etapa posterior (Estimação de Riscos). Como já destacado, uma ameaça existente para um ativo, caracteriza a presença de um risco.
7.2.3 Atividade identificar controles Ao se identificar as ameaças que podem existir em relação a um ativo ou à organização, uma questão importante é de como proteger o ativo e a organização contra as ameaças. Esta proteção é necessária para evitar que ameaças explorem as vulnerabilidades, causando danos ao ativo e ao seu contexto. Para auxiliar na identificação de possíveis controles devem ser utilizados catálogos de controles existentes, associados às ameaças (como os fornecidos em IT-Grundschutz, ou ISO/IEC 27002). O resultado desta análise permite identificar, para cada ameaça e ativo, a existência (no estado atual da organização) de controles para proteger o ativo e a efetividade destes. Esta informação é útil para a tomada de decisões em etapas posteriores.
7.2.4 Atividade identificar vulnerabilidades As vulnerabilidades podem ser exploradas por ameaças, levando a danos para os ativos, ou para a organização. Esta atividade tem o propósito de identificar estas vulnerabilidades, que podem estar associadas a diferentes áreas como: organização; processos e SLTI – OE1:RM2
RESERVADO
Página 33 de 140
RESERVADO
procedimentos; rotinas de gerenciamento; recursos humanos; ambiente físico; configuração dos sistemas de informação; hardware; software; equipamentos de comunicação; ou parceiros externos. Para auxiliar na identificação de vulnerabilidades devem ser utilizados catálogos de vulnerabilidades (como os fornecidos em IT-Grundschutz, ou ISO/IEC 27005). A definição de vulnerabilidades é uma consequência do mapeamento das ameaças ao ativo. Quando um ativo apresenta uma ameaça e não há controles implementados
para
proteger
o
ativo
desta
ameaça,
tem-se
uma
vulnerabilidade exposta.
7.3 Subprocesso Estimar Riscos (ER) Este subprocesso trata da estimação dos riscos identificados no subprocesso anterior (IR). A estimação de riscos é realizada por meio das seguintes atividades.
7.3.1 Atividade avaliar consequências Nesta atividade são avaliadas as possíveis consequências de riscos (ameaças que podem se tornar realidade e provocar danos em ativos). As consequências podem ter impacto em ativos, na organização e em pessoas. Esta análise deve ser feita para cada ativo no escopo da GRSI e para cada ameaça ao ativo. O resultado da análise deve refletir a extensão do dano causado pela perda de atributos de segurança (confidencialidade, integridade e disponibilidade), associados ao ativo caso a ameaça se concretize (ocorra uma violação de segurança). Devem ser considerados impactos diretos (exemplo: custo de reposição e atrasos devido a um equipamento roubado) e os indiretos (exemplo: violação
SLTI – OE1:RM2
RESERVADO
Página 34 de 140
RESERVADO
de contratos devido aos atrasos, ou divulgação de informações pessoais presentes no equipamento roubado). Como resultado a atividade deve gerar descrições de consequências dos riscos e estimativas quantitativas da gravidade dessas consequências.
7.3.2 Atividade avaliar probabilidades Nesta atividade são avaliadas as probabilidades de riscos (isto é, a probabilidade de que as ameaças que se concretizam e provocam danos em ativos). Assim como a avaliação de consequências (atividade anterior), esta análise deve ser feita para cada ativo no escopo da GRSI e para cada ameaça ao ativo. A avaliação de probabilidade deve refletir o quão frequentemente a ameaça ocorre e o quão facilmente as vulnerabilidades são exploradas no ativo. Como resultado a atividade deve gerar estimativas quantitativas de probabilidade dos riscos.
7.3.3 Atividade estimar nível de risco Nesta atividade é estimado o nível de cada risco. Por meio de uma função matemática é obtida uma estimativa do nível de cada risco em função das estimativas de consequência e de probabilidade. Deste modo esta atividade gera estimativas quantitativas do nível de cada risco.
7.4 Subprocesso Avaliar Riscos (AR) Este subprocesso trata da avaliação dos riscos identificados e estimados no subprocesso anterior. O Mapa de Riscos é utilizado neste subprocesso para direcionar decisões sobre o tratamento de riscos.
SLTI – OE1:RM2
RESERVADO
Página 35 de 140
RESERVADO
Os resultados obtidos nas atividades do subprocesso Estimar Riscos são confrontados aos critérios estabelecidos no subprocesso Estabelecer Contexto. O objetivo é identificar os riscos mais expressivos e estabelecer uma estratégia de resposta a estes. A avaliação de riscos é realizada por meio da seguinte atividade:
7.4.1 Atividade classificar os riscos Como já descrito, a última atividade da Estimativa de Riscos gera um Mapa de Riscos e informações relacionadas. Cada item do mapa define: ativo, ameaça ao ativo, estimativa de consequência, justificativa para a estimativa de consequência, estimativa de probabilidade, e nível de risco. Deve-se então criar uma lista ordenada dos riscos de maior nível para os riscos de menor nível, o que permite distinguir visualmente os riscos mais relevantes. Em seguida, devem ser aplicados os critérios de classificação, resultando na atribuição de um nível de gravidade qualitativo para cada risco (risco muito baixo, risco baixo, risco moderado, risco alto, ou risco muito alto).
7.5 Subprocesso Tratar Riscos (TR) Neste subprocesso todas as análises realizadas e informações obtidas são utilizadas na tomada de decisão sobre como a organização irá agir em relação aos riscos. Além disso, outros fatores podem influenciar nesta decisão, tais como o custo e o tempo estimados para tratar os riscos. Como explicitado no fluxo do processo de Gestão de Ricos, trata-se de um ponto de decisão no qual o Gestor de Riscos deve decidir se as informações são suficientes para a tomada de decisões. Caso sejam necessárias informações mais abrangentes, mais detalhadas, ou se forem identificadas inconsistências, pode ser necessário reexecutar alguns subprocessos.
SLTI – OE1:RM2
RESERVADO
Página 36 de 140
RESERVADO
O tratamento de riscos envolve a tomada de decisão sobre uma ou mais opções de tratamento para cada risco identificado e estimado: redução de riscos; retenção (aceitação) de riscos; transferência de riscos; ou evitar riscos. O tratamento de riscos é realizado por meio das seguintes atividades.
7.5.1 Atividade estimar custos e prazos Depois de estabelecida a lista ordenada de riscos, assim como definidas as classes de risco, podem ser consideradas restrições que potencialmente afetam as decisões sobre o tratamento de riscos, entre elas custos e prazos. Neste sentido, os riscos precisam passar por uma análise preliminar a fim de estimar a ordem de grandeza de custos e do prazo para o tratamento dos riscos. O resultado desta atividade é a associação de uma Estimativa de Custo, uma Estimativa de Esforço, uma Estimativa de Prazo e de restrições, para cada alternativa de tratamento de risco presente no Mapa de Riscos. Deste modo a saída desta atividade é o Mapa de Riscos atualizado, onde cada linha apresenta as informações: ativo; ameaça ao ativo; estimativa de consequência; justificativa para a estimativa de consequência; estimativa de probabilidade; nível de risco; e para cada alternativa de tratamento de risco: estimativa de custo para tratamento; estimativa de esforço; estimativa de prazo para tratamento; restrições.
7.5.2 Atividade decidir sobre alternativas de resposta ao risco Nesta atividade cada risco relevante do Mapa de Riscos, produzida como saída do subprocesso anterior (Estimar Riscos), é analisado para determinar a resposta adequada. Como já destacado, devem ser tratados prioritariamente os riscos maiores, e alguns riscos menores podem ser retidos, segundo o estabelecido nos critérios de avaliação de riscos e de aceitação de riscos. SLTI – OE1:RM2
RESERVADO
Página 37 de 140
RESERVADO
Esta atividade trata de avaliar cada risco relevante do Mapa de Riscos e decidir sobre o tratamento (reduzir, reter, transferir, ou evitar).
7.5.3 Atividade implementar a resposta aos riscos Nesta atividade o Gestor de Riscos deve criar condições para que os riscos sejam tratados. Para tanto devem ser criados Planos de Tratamento de Riscos
(PTRs).
Nesta
atividade
é
importante
considerar
prioridades,
implementando antes respostas aos riscos avaliados como mais críticos.
7.6 Subprocesso Comunicar Riscos (CR) Este subprocesso trata da comunicação dos riscos entre os envolvidos no processo de GSRI. Tem por objetivo comunicar o desenvolvimento das atividades e os resultados alcançados em todas as fases da gestão de riscos. A comunicação do risco é importante uma vez que o tomador de decisão baseia-se nessas entradas de informações para um bom entendimento dos riscos e para decidir quais são as ações a serem tomadas. As seguintes atividades são executadas neste subprocesso:
7.6.1 Atividade mapear e estabelecer comunicações com as partes interessadas Nesta atividade o Gestor de Riscos faz o mapeamento de todos os envolvidos na análise de riscos, estabelece quais as responsabilidades de cada um, e define pontos relacionados à comunicação.
7.6.2 Atividade compartilhar com os tomadores de informações, resultados e saídas de todas as atividades
decisão
Para cada saída das atividades, o Gestor de Riscos comunica aos tomadores de decisão e a outros envolvidos sobre os resultados.
SLTI – OE1:RM2
RESERVADO
Página 38 de 140
RESERVADO
7.6.3 Atividade Avaliar e validar informações estratégicas. Esta atividade tem como objetivo avaliar e validar informações que precisam ser realizadas por um Representante da Alta Administração. Caso necessário, as atividades podem ser reexecutadas para a realização de correções e de ajustes antes de passar para a próxima atividade.
7.7 Subprocesso Monitorar Riscos (MR) Este subprocesso tem por objetivo monitorar todas as informações obtidas sobre os riscos mapeados no processo de gestão de riscos e acompanhar o progresso das atividades com o propósito de verificar o desenvolvimento destas. As seguintes atividades são executas neste subprocesso:
7.7.1 Atividade monitorar a implementação do tratamento de risco Nesta atividade o gestor de riscos acompanha os Planos de Tratamento de Risco – PTRs de modo a garantir que eles sejam efetivamente executados. Caso algum problema ocorra, como por exemplo não respeitar o cronograma programado de tratamento, cabe ao Gestor de Riscos contatar o responsável pelo PTR e atuar para solucionar o problema.
7.7.2 Atividade monitorar os riscos. Devem ser monitorados todos os riscos que compõem o Mapa de Riscos. Os riscos aceitos (retidos), devem ser avaliados periodicamente para verificar se há alterações que justifiquem outro tratamento. No caso de riscos reduzidos, ou
transferidos,
avaliar
periodicamente
a
efetividade
dos
controles
implementados pela execução dos planos de tratamento.
SLTI – OE1:RM2
RESERVADO
Página 39 de 140
RESERVADO
7.7.3 Atividade monitorar alterações que impactam no resultado da análise de risco Nesta atividade o Gestor de Riscos monitora qualquer mudança que impacte na análise de riscos, ou seja, desde a definição de contexto até os riscos mapeados. Deste modo, é importante monitorar tudo aquilo que possa impactar na classificação destes riscos como, por exemplo:
Novos ativos;
Valor dos ativos;
Novas ameaças e vulnerabilidades;
Incidentes de segurança.
Novas leis ou regulamentações.
Cabe também ao Gestor de Riscos, continuamente monitorar, revisar e aperfeiçoar o GSRI, visando assegurar que este processo permaneça adequado à organização.
SLTI – OE1:RM2
RESERVADO
Página 40 de 140
RESERVADO
8 Detalhamento da metodologia Esta
seção
detalha
a
metodologia,
fornecendo
informações
complementares às da Seção 7. São descritos os subprocessos, suas atividades, tarefas e as informações envolvidas. Cada subprocesso é descrito resumidamente e é mostrado o fluxo de atividades, por meio de diagramas em notação BPMN. Tem-se então a descrição das atividades constituintes do subprocesso. Para cada atividade é fornecida uma descrição, são apresentadas as tarefas que compõem a atividade, os responsáveis pela execução das tarefas, as informações necessárias e condição de início para a atividade, assim como as informações produzidas e condição de finalização. As atividades também são representadas por meio de diagramas em notação BPMN. Templates e exemplos associados às atividades são apresentados.
8.1 Subprocesso estabelecer contexto (EC) Descrição do subprocesso: Trata de pontos a serem definidos nas etapas iniciais da implementação e utilização da metodologia de gestão de riscos e da ferramenta de apoio em uma organização. As atividades do subprocesso são:
Definir os papéis e as responsabilidades;
Definir os objetivos, o escopo e as restrições da GRSI;
Realizar pré-análise da organização;
Realizar pré-análise de unidades da organização;
Definir critérios.
A Figura 4 mostra o fluxo do subprocesso.
SLTI – OE1:RM2
RESERVADO
Página 41 de 140
RESERVADO
Figura 4. Subprocesso Estabelecer Contexto
8.1.1 Atividade 1. Definir os papéis e as responsabilidades Descrição da atividade: envolve estabelecer papéis e responsáveis pela realização de atividades voltadas à GRSI. Devem ser identificados os papéis necessários à realização de todas as atividades da gestão de riscos e devem ser localizados profissionais que apresentam perfil adequado para assumir esses papéis. São previstos os seguintes papéis:
Representantes da Alta Administração. Responsáveis por prover os recursos
necessários
à
gestão
de
riscos;
identificar
papéis
e
responsabilidades; iniciar as atividades de gestão de riscos; aprovar pontos importantes relativos à gestão de riscos, como: objetivo, restrições, e aprimoramentos da MGR-SISP.
Gestores de Riscos. Responsáveis por executar as atividades de gestão de riscos e coordenar esforços para identificar e estimar riscos, bem como propor melhorias necessárias para mitigar riscos, além de comunicar os resultados de análises a todos os interessados.
SLTI – OE1:RM2
RESERVADO
Página 42 de 140
RESERVADO
Auditores. Responsáveis por avaliar as informações produzidas pela gestão de riscos, acompanhar a realização das melhorias necessárias, e zelar pela fiel utilização da metodologia;
Responsáveis por Unidades (ou Responsáveis Técnicos). Responsáveis pelas áreas da organização nas quais a metodologia de gestão de riscos será implementada, ou que devem prover informações para a gestão de riscos. Têm o papel de coletar as informações necessárias à identificação e a estimação de riscos, e realizar melhorias necessárias quando as análises indicarem esta necessidade;
Proprietários de Ativos. Responsáveis por fornecer informações sobre os ativos que permitam a análise de riscos e a tomada de decisões sobre controles a serem implementados.
A Figura 5 mostra o fluxo da atividade.
Figura 5. Atividade Definir os Papéis e as Responsabilidades
Tarefas da atividade:
Tarefa 1.1: Identificar a estrutura atual de segurança da informação na organização e realizar as adequações necessárias; Responsável: Representante da Alta Administração.
SLTI – OE1:RM2
RESERVADO
Página 43 de 140
RESERVADO
Tarefa 1.2: Identificar papéis para a gestão de riscos. A MGR-SISP define um conjunto de papeis e respectivas responsabilidades, que vêm pré-cadastrados na Ferramenta de Apoio. O Representante da Alta Administração deve identificar a adequação dos papéis e realizar ajustes, se necessários. Responsável: Representante da Alta Administração.
Tarefa 1.3: Alocar os recursos humanos aos papéis identificados. Devem ser identificados os profissionais que assumirão os papéis na GRSI, o que inclui a identificação de Gestores de Riscos, Responsáveis por Unidades da Organização e Proprietários de Ativos. Um Gestor de Riscos deve ser designado formalmente para a condução das próximas atividades da GRSI. Responsável: Representante da Alta Administração.
Condição para início: Decisão para implementar a MGR-SISP tomada. Informações necessárias: Informações sobre profissionais da organização; organograma. Condição para ser finalizada: Papéis para gestão de riscos definidos e respectivos profissionais identificados. Informações produzidas: Papéis para gestão de riscos e respectivos profissionais. Templates da atividade: O template na Figura 6 ilustra o registro de Papeis, Descrições e Responsabilidades. O template na Figura 7 ilustra a associação de profissionais específicos para os papeis, e destaca responsabilidades específicas.
SLTI – OE1:RM2
RESERVADO
Página 44 de 140
RESERVADO
Papéis e Responsabilidades Papel
Descrição do papel
Descrição das responsabilidades do papel
Papel 1
Descrição do papel 1
Responsabilidades do papel 1
Papel 2
Descrição do papel 2
Responsabilidades do papel 2
...
...
...
Responsável pela informação: Data:
Figura 6. Template do registro de Papéis, descrições e Responsabilidades
Profissionais, Papéis e Responsabilidades Nome do profissional
Unidade (Divisão)
Telefone
e-mail
Papel
Responsabilidades específicas
Nome 1
Unidade 1
Telefone 1
e-mail 1
Papel 1
Responsabilidades específicas 1
Nome 2
Unidade 2
Telefone 2
e-mail 2
Papel 2
Responsabilidades específicas 2
...
...
...
...
...
...
Responsável pela informação: Data:
Figura 7. Template do registro de Profissionais e Papéis
8.1.2 Atividade 2. Definir os objetivos, o escopo e as restrições da GRSI Descrição da atividade: visa principalmente a definir os objetivos e o escopo da GRSI tendo em vista os objetivos estratégicos da organização. Tipicamente esta informação é parte de uma política de segurança da informação [Norma Complementar nº 03/IN01/DSIC/GSIPR]. O objetivo da GRSI deve ser voltado a aspectos importantes, como a missão e os objetivos da organização, além de focar a atuação da organização em termos de serviços prestados à sociedade e aos cidadãos. Os objetivos e restrições devem ser a base para os passos posteriores da gestão de riscos e para a tomada de decisões. SLTI – OE1:RM2
RESERVADO
Página 45 de 140
RESERVADO
Exemplos de objetivos para adoção da GRSI:
Garantir que sistemas estruturantes, padrões mínimos de Segurança da informação
e
Comunicações
–
SIC
[Norma
Complementar
nº
19/IN01/DSIC/GSPR];
Promover alta confiabilidade para tratar informação em termos de confidencialidade, integridade e disponibilidade;
Garantir uma boa reputação para o público em geral;
Preservar o valor do investimento em tecnologia, informação, processos e conhecimento;
Proteger o valor das informações mais importantes;
Proteger a qualidade da informação utilizada para decisões importantes;
Garantir a satisfação de requisitos legais e de regulação;
Reduzir o custo de incidentes de segurança;
Garantir a continuidade do trabalho.
O escopo da GRSI deve ser definido explicitando quais unidades da organização (divisões, setores, departamentos, etc.) devem ser tratados pela gestão de riscos. Esta análise deve focar na natureza das atividades e das informações em cada unidade, levando à decisão de se há necessidade de assegurar a segurança da informação nas unidades. Importante notar mesmo as unidades que não tratam com informações e processos críticos têm influência na segurança da informação, por exemplo às relacionadas a Recursos Humanos, aspectos Jurídicos, etc. Devem ser registradas quais as unidades estão no escopo da Gestão de Riscos e quais estão fora do escopo. Justificativas dessas decisões devem ser documentadas. Importante salientar que a atividade “Realizar a pré-análise de unidades da organização” (Atividade 4 deste subprocesso) fornece bases mais sólidas para a definição do escopo. Caso a organização tenha dificuldade em definir o SLTI – OE1:RM2
RESERVADO
Página 46 de 140
RESERVADO
escopo neste ponto, é aconselhável postergar esta definição para após a realização da Atividade 4 deste subprocesso. É necessário também explicitar as premissas e as restrições que podem afetar o estabelecimento da GRSI, tais como: regulamentações específicas; restrições financeiras; restrições de prazo; restrições técnicas, etc. Esta atividade é de responsabilidade da Alta Administração da organização. Membros técnicos, como um Gestor de Riscos, podem apoiar na realização da atividade que neste caso deve ser validada pela Alta Administração. Dependendo dos objetivos e da complexidade da organização, esta atividade deve considerar também o envolvimento de setores, como: segurança patrimonial; jurídico; recursos humanos; financeiro; e de planejamento. A Figura 8 mostra o fluxo da atividade.
Figura 8. Atividade Definir os Objetivos, Escopo e as Restrições da GRSI
SLTI – OE1:RM2
RESERVADO
Página 47 de 140
RESERVADO
Tarefas da atividade:
Tarefa 2.1: Definir os objetivos da GRSI. Devem ser informados os objetivos genéricos (de alto nível, como os listados na descrição da atividade) e os objetivos específicos da organização (tais como os relacionados aos seguintes pontos: informações confidenciais; sistemas que requerem alta disponibilidade; sistemas e informações cruciais para a tomada de decisões, etc.). Responsável: Gestor de Riscos.
Tarefa 2.2: Identificar premissas e restrições relativas à GRSI. Devem ser identificados os tipos de restrições que se apliquem (tais como: técnicas, jurídicas, financeiras, de prazos, etc.) e devem ser descritos em detalhes as restrições e premissas, informando se necessário valores, como de prazo, ou de orçamento. Responsável: Gestor de Riscos.
Tarefa 2.3: Definir o escopo da GRSI. Identificar as unidades dentro do escopo e também as que estão fora do escopo. Devem ser identificados também os responsáveis pelas unidades (um ou mais responsáveis). Responsável: Gestor de Riscos.
Tarefa 2.4: Analisar e validar objetivos, as premissas e restrições, e o escopo da GRSI. As informações definidas nas tarefas anteriores são estratégicas e devem ser avaliadas por um Representante da Alta Administração. Este representante deve avaliar as informações e, caso sejam encontradas inconsistências, deve apontar a necessidade de reexecutar uma ou mais tarefas anteriores da atividade. Quando aprovadas as informações o fato deve ser registrado.
SLTI – OE1:RM2
RESERVADO
Página 48 de 140
RESERVADO
Responsável: Representante da Alta Administração.
Condição para início: Papéis para gestão de riscos definidos e respectivos profissionais identificados. Informações necessárias: Objetivos da organização; regulamentações específicas; restrições financeiras; restrições de prazo; restrições técnicas; informações estratégicas de outros setores (exemplos: segurança patrimonial; jurídico; recursos humanos; financeiro; e de planejamento). Condição para ser finalizada: Objetivos, premissas e restrições da GRSI identificadas,
documentadas
e
validadas
por
representante
da
Alta
Administração. Informações produzidas: Objetivos, premissas e restrições, e escopo da GRSI identificadas e documentadas. Template da atividade: A Figura 9 apresenta um template para o registro das informações tratadas na atividade. Objetivos, Escopo, Premissas e Restrições da GRSI Objetivos da GRSI Escopo da GRSI
Descrição dos Objetivos Descrição do Escopo
Premissas da GRSI
Descrição das Premissas
Restrições da GRSI
Descrição das Restrições
Responsável pela informação: Responsável pela aprovação: Data:
Figura 9. Template para o registro de objetivos, escopo, premissas e restrições
SLTI – OE1:RM2
RESERVADO
Página 49 de 140
RESERVADO
8.1.3 Atividade 3. Realizar pré-análise da organização Descrição da atividade: visa a obter uma avaliação inicial e abrangente da situação atual em segurança da informação na organização. Esta avaliação é útil para direcionar os passos seguintes na gestão de riscos, por exemplo, para indicar pontos fracos a serem priorizados no tratamento. A avaliação pode também ser reaplicada em situações posteriores para se verificar a evolução na segurança da informação. A atividade consiste na utilização de um questionário (estilo Checklist) que aborda de forma ampla pontos de segurança da informação. Propõe-se a utilização de uma classificação proposta originalmente por (YOO e outros, 2007) e referida em (Canongia e outros, 2010), que aborda abrangentemente requisitos de segurança da informação. O questionário deve focar Itens de Controle e admitir para cada questão a resposta da classificação de grau de implementação do Item de Controle entre zero e cinco (grau variando de: “controles não adotados”, passando por: “controles
executados
e
documentados”,
até
“controles
analisados e
aprimorados”). Os itens de controle base abordam diferentes categorias:
Política de Proteção da Informação;
Gestão do Risco;
Gestão de Configuração;
Manutenção;
Proteção de Mídias;
Cultura;
Gestão de crise;
Proteção Física e Ambiental;
SLTI – OE1:RM2
RESERVADO
Página 50 de 140
RESERVADO
Segurança do Pessoal;
Resposta a incidentes;
Auditoria e Rastreamento de Responsabilidades;
Controle de Acesso ao Sistema e Proteção das Comunicações;
Aplicações.
Cada categoria de controle da lista anterior é associada a vários itens de controle, que focam em pontos específicos da categoria. Para cada item de controle deve ser classificado o Grau de Implementação (GI), que pode variar entre 0 e 5. Opções como “Não se Aplica” (“a pergunta não faz sentido no contexto”), ou “Não Avaliado” (“não sei responder”) também são opções de resposta. Valores baixos para GI significam um item de controle não
implementado,
valores
médios
significam
item
de
controle
em
implementação, valores altos significam item de controle implementado, já valores muito altos significam item de controle em otimização. Uma tabela detalhando características de cada nível de GI (de 0 a 5) deve ser fornecida para facilitar a classificação. O questionário pode ser respondido pelo Gestor de Riscos, ou este pode identificar outros profissionais mais aptos a responder sobre categorias específicas controles. A análise das respostas obtidas permite a quantificação do nível de maturidade da organização em cada uma das categorias abordadas. A Figura 10 mostra o fluxo da atividade.
SLTI – OE1:RM2
RESERVADO
Página 51 de 140
RESERVADO
Figura 10. Atividade Realizar Pré-análise da organização
Tarefas da atividade:
Tarefa 3.1: Identificar os profissionais que irão responder ao questionário. Devem ser identificados e comunicados os profissionais que irão responder ao questionário (um ou mais profissionais). O próprio gestor de riscos pode também responder ao questionário. Responsável: Gestor de Riscos.
Tarefa 3.2: Responder ao questionário. Os profissionais designados respondem aos questionários. Caso necessário estes devem ser orientados sobre as respostas possíveis para cada questão. Responsável: Profissionais identificados.
Tarefa 3.3: Compilar as respostas e resumir os resultados. Os resultados são gerados pela Ferramenta de Apoio à MGR-SISP. No caso de vários questionários respondidos, as respostas devem ser consolidadas. Os resultados são analisados pelo Gestor de Riscos e são comunicados ao Representante da Alta Administração. Responsável: Gestor de Riscos.
SLTI – OE1:RM2
RESERVADO
Página 52 de 140
RESERVADO
Tarefa 3.4: Apreciar os resultados. Os resultados consolidados devem ser apreciados pelos envolvidos em tomadas de decisões na GRSI. A ciência dos resultados deve ser registrada. Caso conveniente, ações de divulgação podem ser realizadas. Responsável: Representante da Alta Administração.
Condição para início: Papéis para gestão de riscos definidos e respectivos profissionais identificados. Informações necessárias: Políticas da organização; procedimentos da organização; conhecimento de profissionais da organização. Condição
para
ser
finalizada:
Questionários
respondidos,
respostas
compiladas e resumidas. Informações produzidas: Resultados da pré-análise. Quantificação do nível de maturidade da organização em segurança da informação em cada uma das categorias abordadas. Identificação de pontos fortes e pontos para melhoria. Templates da atividade: A Figura 11 mostra um modelo de questionário de pré-análise da organização, que aborda categorias de controle, cada uma associada a vários itens de controle a serem classificados por grau de implementação. A Figura 12 mostra um formulário de resultados da avaliação com os valores de nível de maturidade apurados para cada categoria de controle.
SLTI – OE1:RM2
RESERVADO
Página 53 de 140
RESERVADO
Questionário de pré-analise da organização – nível de maturidade da organização em segurança da informação Categoria de Controle
Itens de Controle
Grau de Implementação (1 a 5, ou NA: não se aplica)
Categoria 1 – Item 1
Grau de Implementação Categoria 1 – Item 1
Categoria 1 – Item 2
Grau de Implementação Categoria 1 – Item 2
Categoria 1
...
...
Média da Categoria
Média de valores de Grau de Implementação Categoria 1 (Nível de Maturidade)
Categoria 2 – Item 1
Grau de Implementação Categoria 2 – Item 1
Categoria 2 – Item 2
Grau de Implementação Categoria 2 – Item 2
Categoria 2
...
...
Média da Categoria
Média de valores de Grau de Implementação Categoria 2 (Nível de Maturidade)
Responsável pela informação: Data:
Figura 11. Modelo de questionário de pré-análise da organização Resultados da pré-análise da organização – nível de maturidade da organização em segurança da informação Categorias de controle
Nível de Maturidade (Score obtido / Total de Itens – varia entre 1 e 5)
Categoria 1
Nível de Maturidade – Média Categoria 1
Categoria 2
Nível de Maturidade - Média Categoria 2
...
... Média dos Níveis de Maturidade
Responsável pela informação: Data:
Figura 12. Modelo de apresentação de resultados da pré-análise da organização
8.1.4 Atividade 4. Realizar pré-análise de unidades da organização Descrição da atividade: nesta etapa é realizada uma pré-análise das unidades da organização. Neste contexto unidades representam as partes em que uma organização pode ser decomposta – divisões, departamentos, setores, etc. Esta pré-análise foca cada unidade separadamente e visa a avaliar os processos de negócio, e as informações tratadas na unidade. A importância para a organização, dos processos de negócio e das informações tratados nas unidades, determina os requisitos de proteção dessas unidades. SLTI – OE1:RM2
RESERVADO
Página 54 de 140
RESERVADO
Algumas questões chave podem auxiliar nesta avaliação, por exemplo:
Existe algum sistema estruturante na organização?
Quais processos de negócio existem e como eles estão associados aos objetivos da organização?
Quais processos de negócio dependem do funcionamento correto da infraestrutura de tecnologia da informação?
Que informação é tratada em cada processo de negócio?
Que informação é especialmente importante e que requer proteção em termos de confidencialidade, integridade e disponibilidade?
Quais condições externas que afetam a segurança da informação, como: requisitos legais (leis e regulações), fatores geográficos, contexto social e cultural,
requisitos
de
clientes,
parceiros,
ou
fornecedores,
padrões
específicos?
O responsável pela unidade da organização é o incumbido de prover esta informação, contando com o apoio do Gestor de Riscos e de responsáveis por ativos na unidade (proprietários de ativos, que não sejam o responsável pela unidade). Nesta avaliação o responsável pela unidade deve identificar os ativos primários da unidade. Ativos primários são:
Processos de negócio e suas atividades;
Informações.
Cada processo de negócio e informação no escopo da unidade deve ser identificado e documentado por meio de uma breve descrição. Tem-se então a utilização de um questionário para avaliar o quão crítico para a organização é cada processo de negócio, ou informação. Este nível de criticidade está associado à gravidade e à extensão do dano à organização, a pessoas, ou a outras organizações, consequência de violações SLTI – OE1:RM2
RESERVADO
Página 55 de 140
RESERVADO
de segurança nos ativos primários. A classificação deve ser feita com respeito a cada atributo separadamente:
Confidencialidade;
Integridade;
Disponibilidade.
Cada atributo pode assumir uma das classificações (e respectivos pesos) abaixo. As questões base para a análise são do tipo: “O impacto e a extensão da perda de [Confidencialidade, Integridade, Disponibilidade] do ativo primário em análise pode ser definido como:”.
Muito
pouco
crítico.
(peso
1).
A
[Confidencialidade,
Integridade,
Disponibilidade] é irrelevante para a organização. Incidentes não causam impactos;
Pouco crítico. (peso 2). A [Confidencialidade, Integridade, Disponibilidade] é pouco relevante para a organização. Incidentes podem causar impactos muito baixos;
Moderadamente
crítico.
(peso
5).
A
[Confidencialidade,
Integridade,
Disponibilidade] é relevante para a organização. Incidentes podem causar impactos controláveis, mas não desprezíveis;
Crítico. (peso 8). A [Confidencialidade, Integridade, Disponibilidade] é altamente relevante para a organização. Incidentes podem causar problemas de grande impacto e extensão;
Altamente crítico. (peso 10). A [Confidencialidade, Integridade, Disponibilidade] é fundamental para a organização. Incidentes podem causar problemas cuja gravidade coloca em risco pessoas e a organização.
Depois de respondidos os questionários para todas as unidades, e abordando todos os ativos primários, é possível apurar a seguinte informação: para cada unidade, uma lista de ativos primários e respectivos valores de criticidade para cada um dos atributos, além de valores totais. SLTI – OE1:RM2
RESERVADO
Página 56 de 140
RESERVADO
Esta informação é útil para se consolidar o escopo definido para a gestão de riscos (atividade “Definir os objetivos o escopo e as restrições da GRSI”). Deve ser avaliado se os resultados desta pré-análise estão condizentes com o escopo definido, ou se são necessárias alterações (aumentar ou diminuir o escopo). A Tabela 2 ilustra como essas informações podem ser representadas. Podem ser identificadas informações sobre unidade UA da organização. Para cada ativo primário ATi, são identificados os níveis de criticidade para Confidencialidade (CATi), Integridade (IATi) e Disponibilidade (DATi). A criticidade total do ativo (TATi) é calculada por meio de uma função F1 (por exemplo, o máximo entre os valores). A criticidade total da unidade (TUUi) é calculada por meio de uma função F2 (por exemplo, soma das criticidades dos ativos). Ao se quantificar a criticidade dos ativos primários de cada unidade, estabelece-se a base para a tomada de decisões estratégicas sobre prioridades na gestão de riscos de segurança.
Unidade
UA
Criticidade
Ativo
Total Ativo
Total Unidade
Primário
C
I
D
AT1
CAT1
IAT1
DAT1
TAT1=F1(CAT1, IAT1, DAT1)
AT2
CAT2
IAT2
DAT2
TAT2=F1(CAT2, IAT2, DAT2)
AT3
CAT3
IAT3
DAT3
TAT3=F1(CAT3, IAT3, DAT3)
TUUA=F2(TAT1, TAT2, TAT3)
Tabela 2. Informações de resultado da pré-análise para a unidade UA da organização
A Figura 13 mostra o fluxo da atividade.
SLTI – OE1:RM2
RESERVADO
Página 57 de 140
RESERVADO
Figura 13. Atividade Realizar Pré-análise das unidades da organização
Tarefas da atividade:
Tarefa 4.1: Identificar profissionais que irão responder ao questionário. Os profissionais devem ser selecionados e comunicados. Responsável: Gestor de Riscos;
Tarefa 4.2: Responder ao questionário. Os profissionais selecionados devem responder ao questionário e enviar as respostas ao Gestor de Riscos. Responsável: Responsáveis pelas unidades e responsáveis por ativos na unidade; apoio do Gestor de Riscos.
SLTI – OE1:RM2
RESERVADO
Página 58 de 140
RESERVADO
Tarefa 4.3: Compilar as respostas e resumir os resultados. Os resultados são gerados pela Ferramenta de Apoio à MGR-SISP. Os resultados são analisados pelo Gestor de Riscos e são comunicados ao Representante da Alta Administração Responsável: Gestor de Riscos.
Tarefa 4.4: Apreciar os resultados. Os resultados consolidados devem ser apreciados pelos envolvidos em tomadas de decisões na GRSI. A ciência dos resultados deve ser registrada. Caso conveniente, ações de divulgação podem ser realizadas. Responsável: Representante da Alta Administração.
Condição para início: Papéis para gestão de riscos definidos e respectivos profissionais identificados. Informações necessárias: Informações sobre os ativos primários de cada unidade. Conhecimento dos responsáveis pelos setores e responsáveis por ativos na unidade Condição
para
ser
finalizada:
Questionários
respondidos,
respostas
compiladas e resumidas. Informações produzidas: Resultados da pré-análise de unidades da organização. Quantificação do nível de criticidade dos ativos primários tratados em cada unidade da organização. Template e exemplo da atividade: A Figura 14 ilustra um formulário com os resultados da pré-análise de unidades da organização que identifica: unidades, ativos primários, valores de criticidades definidos na análise, totais de criticidade por ativo e por unidade. A Figura 15 apresenta um exemplo deste mesmo formulário.
SLTI – OE1:RM2
RESERVADO
Página 59 de 140
RESERVADO
Resultados da pré-análise de unidades da organização – Criticidade dos ativos primários de cada unidade Unidade (Unidade da Organizaç ão)
UA
...
Ativo Primário
Criticidade
Total Ativo (Criticidade total do ativo – média de C,I,A)
Identificador
Descrição
C (confidenci alidade)
I (integridad e)
D (disponibili dade)
AT1
Descrição
C AT1
I AT1
D AT1
TAT1=(CAT1 + IAT1, + DAT1)/3
AT2
Descrição
C AT2
I AT2
D AT2
TAT2=(CAT2 + IAT2, + DAT2)/3
AT3
Descrição
C AT3
I AT3
D AT3
TAT3=(CAT3 + IAT3, + DAT3)/3
...
...
...
...
...
...
AT1 AT2 AT3
Total Unidade (soma de criticidades dos ativos da unidade)
TUUA=(TAT1+ +TAT2+TAT3)
...
Responsável pela informação: Data:
Figura 14. Formulário com os resultados da pré-análise de unidades da organização Resultados da pré-análise de unidades da organização – Criticidade dos ativos primários de cada unidade Unidade (Unidade da Organizaç ão)
Ativo Primário Identifica dor
AT1 Divisão de Planejame nto
Divisão de Operações
AT2 AT3
Criticidade
Descrição Documento preliminar de planejamento estratégico Processo de reserva de salas / equipamentos Controle de suprimentos
C (confidenci alidade)
I (integridad e)
D (disponibili dade)
10
8
5
Total Ativo (Criticidade total do ativo – média de C,I,D)
Total Unidade (soma de criticidades dos ativos da unidade)
7,6 10,2
1
2
5
2,6
5
10
10
8,3
8,3
Responsável pela informação: Sr. Claudio Data: 10/05/2015
Figura 15. Exemplo do Formulário
8.1.5 Atividade 5. Definir critérios Descrição da atividade: no processo de gestão de riscos são necessários critérios para avaliar o nível dos riscos e para decidir sobre qual tratamento deve ser realizado. Para tanto são utilizados critérios que sistematizam este processo: critérios para a avaliação de riscos e de impactos, e critérios para a
SLTI – OE1:RM2
RESERVADO
Página 60 de 140
RESERVADO
aceitação de riscos. Os critérios definidos nesta atividade são utilizados em momentos posteriores do processo de gestão de riscos. A Figura 16 mostra o fluxo da atividade.
Figura 16. Atividade Definir Critérios
A metodologia MGR-SISP propõe o uso de análises semiquantitativas como critérios, conforme descrito a seguir. Tarefas da atividade:
Tarefa 5.1: Parametrizar critério de avaliação de consequências. Nesta tarefa são definidos critérios para avaliar o nível das consequências (ou impactos) de riscos (ameaças que se concretizam e provocam danos em ativos). As consequências podem ter impacto em ativos, na organização e em pessoas, podendo ser impactos diretos, ou indiretos. Cada classe de consequência deve refletir a extensão do dano causado pela perda de atributos
SLTI – OE1:RM2
RESERVADO
Página 61 de 140
RESERVADO
de segurança (confidencialidade, integridade e disponibilidade), associados ao ativo, caso a ameaça se concretize. As classes de consequências previstas na MGR-SISP são as seguintes: o
Consequência Muito Baixa (MB);
o
Consequência Baixa (B);
o
Consequência Moderada (M);
o
Consequência Alta (A);
o
Consequência Muito Alta (MA).
A avaliação de consequências requer a Parametrização de questões de apoio. O Gestor de Riscos deve definir questões de apoio para a avaliação de consequências de cada atributo de segurança (confidencialidade, integridade e disponibilidade). A Ferramenta de Apoio à MGR-SISP deve apresentar questões default, que podem ser modificadas se necessário pelo Gestor de Riscos. A seguir é fornecido um exemplo de questão e de classificação default para guiar a avaliação de consequências em relação ao atributo disponibilidade. Questão: Qual o impacto da ameaça ao ativo em relação à disponibilidade? Classes: o
Consequência Muito Baixa: nenhum serviço ou atividade é afetado;
o
Consequência Baixa: poucos serviços ou atividades de menor importância são afetados, pode provocar atrasos desprezíveis;
o
Consequência Moderada: alguns serviços ou atividades são afetados, podendo causar atrasos significativos;
o
Consequência Alta: serviços essenciais são afetados, provocando atrasos graves e danos elevados;
o
Consequência
Muito
Alta:
serviços
essenciais
são
afetados
severamente, gerando danos muito elevados e atrasos intoleráveis.
SLTI – OE1:RM2
RESERVADO
Página 62 de 140
RESERVADO
Responsável: Gestor de Riscos.
Tarefa 5.2: Parametrizar critério de avaliação de probabilidades. Nesta tarefa são definidos critérios para avaliar as probabilidades de riscos, isto é, o nível de probabilidade de que as ameaças se concretizam e provoquem danos em ativos, na organização, ou em pessoas. Isto é feito por meio da definição de classes de probabilidade que caracterizam o quão frequentemente a espera-se que uma ameaça ocorra, e o quão facilmente as vulnerabilidades serão exploradas no ativo. As classes de probabilidades previstas na MGR-SISP são as seguintes: o
Probabilidade Muito Baixa (MB);
o
Probabilidade Baixa (B);
o
Probabilidade Moderada (M);
o
Probabilidade Alta (A);
o
Probabilidade Muito Alta (MA).
A avaliação de probabilidades requer a Parametrização de questões de apoio. O Gestor de Riscos deve definir questões de apoio para a avaliação de probabilidades. A Ferramenta de Apoio à MGR-SISP deve apresentar questões default, que podem ser modificadas se necessário pelo Gestor de Riscos. A seguir é fornecido um exemplo de questão e de classificação default para guiar a avaliação de probabilidades. Questão: Qual é a estimativa de probabilidade de que a ameaça ao ativo ocorra em um prazo aproximado de um ano? Classes: o
Probabilidade Muito Baixa. Altamente improvável, ocorre menos de uma vez a cada 10 anos;
o
Probabilidade Baixa. Improvável, ocorre menos que uma vez a cada ano e mais do que uma vez a cada 10 anos;
SLTI – OE1:RM2
RESERVADO
Página 63 de 140
RESERVADO
o
Probabilidade Moderada. Provável, ocorre entre 1 e 10 vezes por ano;
o
Probabilidade Alta. Altamente provável, ocorre entre 10 e 100 vezes ao ano;
o
Probabilidade Muito Alta. Quase certo, Ocorre mais do que 100 vezes ao ano.
Responsável: Gestor de Riscos.
Tarefa 5.3: Parametrizar critérios de tratamento e de aceitação de riscos. Como detalhado à frente no subprocesso “Estimar Riscos (ER)”, o nível de cada risco (uma dada ameaça a um ativo) é calculado a partir das estimativas feitas para consequências e probabilidades. A parametrização, critérios de tratamento e de aceitação de riscos devem considerar dois aspectos: o
Definição de faixas de valores para os níveis de riscos;
o
Definição de ações a serem tomadas para o tratamento de riscos em cada faixa.
Definição de faixas de valores para os níveis de riscos. A Tabela 3 deve ser gerada pela Ferramenta de Apoio à MGR-SISP. Esta tabela ilustra um possível critério de classificação para o tratamento e aceitação de riscos. A linha superior mostra a classificação de probabilidades e a coluna à esquerda mostra a classificação de consequências. Os valores interiores representam os níveis de risco estimados em cada situação, e combinam os efeitos da probabilidade e da consequência do dos riscos. As letras interiores definem as diferentes classes para o tratamento de riscos (MB: Muito Baixo; B: Baixo; M: Moderado; A: Alto; MA: Muito Alto). Cada classe de risco é sinalizada com uma cor diferente.
SLTI – OE1:RM2
RESERVADO
Página 64 de 140
RESERVADO
Consequência
Probabilidade
Muito baixa
Baixa
Moderada
Alta
Muito alta
Muito baixa
1 (MB)
2 (MB)
3 (B)
4 (B)
5 (M)
Baixa
2 (MB)
3 (B)
4 (B)
5 (M)
6 (A)
Moderada
3 (B)
4 (B)
5 (M)
6 (A)
7 (A)
Alta
4 (B)
5 (M)
6 (A)
7 (A)
8 (MA)
Muito alta
5 (M)
6 (A)
7 (A)
8 (MA)
9 (MA)
Tabela 3. Tabela de Classificação dos riscos Deste modo, as faixas (ou classes) definidas pelos critérios de avaliação de riscos e de aceitação de riscos neste caso estabelecem: o
Risco Muito Baixo (MB): nível de risco entre 1 e 2;
o
Risco Baixo (B): nível de risco entre 3 e 4;
o
Risco Moderado (M): nível de risco igual a 5;
o
Risco Alto (A): nível de risco entre 6 e 7;
o
Risco Muito Alto (MA): nível de risco entre 8 e 9.
Definição de ações a serem tomadas para o tratamento de riscos em cada faixa. Este aspecto estabelece a estratégia da organização para tratar os riscos, dependendo dos resultados obtidos na estimativa de riscos. Aspectos como custo-benefício de tratamentos também devem ser levados em conta. A seguir um exemplo de possível estratégia de tratamento de riscos (baseada em Canongia e outros, 2010), que pode ser modificada pelo Gestor de Riscos: o
Risco Muito Baixo (MB): risco tolerável, nenhuma ação é necessária;
o
Risco Baixo (B): risco tolerável, nenhuma ação imediata é necessária, porém o risco deve ser monitorado; Recomenda-se tratar os riscos nessa classe apenas se restrições (como custo e esforço de tratamento) não forem significativas.
SLTI – OE1:RM2
RESERVADO
Página 65 de 140
RESERVADO
o
Risco Moderado (M): situação de atenção. Se possível o risco deve ser tratado em médio prazo. O risco deve monitorado frequentemente; Restrições (como custo e esforço de tratamento) podem ser consideradas para priorizar o tratamento de riscos nessa classe.
o
Risco Alto (A): risco intolerável, situação de grande preocupação. Ações devem ser tomadas rapidamente e os resultados precisam ser monitorados frequentemente para avaliar se a situação mudou com as ações. Recomenda-se o tratamento de riscos independentemente de restrições (como custo e esforço de tratamento).
o
Risco Muito Alto (MA): risco intolerável. Requer ações de tratamento imediatas. As ações devem ser monitoradas continuamente para avaliar se os efeitos são os esperados. Os riscos devem ser tratados independentemente de restrições (como custo e esforço de tratamento).
Responsável: Gestor de Riscos.
Tarefa 5.4: Analisar e validar os critérios definidos. Os critérios definidos nas tarefas anteriores desta atividade devem ser avaliados por representantes da Alta Administração. Estes representantes são responsáveis por assegurar que os critérios definidos reflitam os objetivos de segurança da organização. Caso sejam encontradas inconsistências ou oportunidades de aprimoramento, deve-se apontar a necessidade de reexecutar uma ou mais tarefas anteriores da atividade. Quando aprovadas as informações o fato deve ser registrado. Responsável: Representante da Alta Administração;
Condição para início: Papéis para gestão de riscos definidos e respectivos profissionais identificados; objetivos e premissas e restrições da GRSI identificadas, SLTI – OE1:RM2
documentadas
e
validadas
RESERVADO
por
representante
da
Alta
Página 66 de 140
RESERVADO
Administração; resultados da pré-análise obtidos; resultados da pré-análise de unidades da organização obtidos. Informações necessárias: objetivos e premissas e restrições da GRSI; resultados da pré-análise; resultados da pré-análise de unidades da organização; Condição para ser finalizada:
Critérios definidos e
aprovados por
representante da Alta Administração Informações produzidas: Critérios definidos - critério de avaliação de consequências; critério de avaliação de probabilidades; critérios de tratamento e de aceitação de riscos. Templates da atividade: A Figura 17 apresenta um formulário para a parametrização da avaliação de consequências. Para cada classe de consequência devem ser definidas questões a serem fornecidas para apoiar a classificação de consequências para cada atributo de segurança (Confidencialidade, Disponibilidade e Integridade).
Parametrização de critério de avaliação de consequências Questões de apoio
Classe de consequência
Confidencialidade (Cn)
Disponibilidade (Ds)
Integridade (In)
Muito Baixa (MB)
Questão (Cn) (MB)
Questão (Ds) (MB)
Questão (In) (MB)
Baixa (B)
Questão (Cn) (B)
Questão (Ds) (B)
Questão (In) (B)
Moderada (M)
Questão (Cn) (M)
Questão (Ds) (M)
Questão (In) (M)
Alta (A)
Questão (Cn) (A)
Questão (Ds) (A)
Questão (In) (A)
Muito Alta (MA)
Questão (Cn) (MA)
Questão (Ds) (MA)
Questão (In) (MA)
Responsável pela informação: Data:
Figura 17. Formulário para a parametrização da avaliação de consequências
SLTI – OE1:RM2
RESERVADO
Página 67 de 140
RESERVADO
A Figura 18 apresenta um formulário para a parametrização da avaliação de probabilidades. Para cada classe de consequência devem ser definidas as questões a serem fornecidas para apoiar a classificação de probabilidades.
Parametrização de critério de avaliação de probabilidades Classe de probabilidade
Questões de apoio
Muito Baixa (MB)
Questão (MB)
Baixa (B)
Questão (B)
Moderada (M)
Questão (M)
Alta (A)
Questão (A)
Muito Alta (MA)
Questão (MA)
Responsável pela informação: Data:
Figura 18. Formulário para a parametrização da avaliação de probabilidades
A Figura 19 apresenta um formulário para a parametrização de critério de tratamento e de aceitação de riscos. Para cada classe de consequência devem ser definidos: os valores limites de risco (inferior e superior) para a classe, e as ações a serem tomadas para tratar os riscos da classe.
Parametrização de critério de tratamento e de aceitação de riscos Classe de Riscos
Valores Limites de Risco Limite Inferior (I)
Limite Superior (S)
Ações a serem tomadas no tratamento de riscos
Muito Baixo (MB)
Risco (MB-I)
Risco (MB-S)
Ações para a classe de ricos MB
Baixo (B)
Risco (B-I)
Risco (B-S)
Ações para a classe de ricos B
Moderado (M)
Risco (M-I)
Risco (M-S)
Ações para a classe de ricos M
Alto (A)
Risco (A-I)
Risco (A-S)
Ações para a classe de ricos A
Muito Alto (MA)
Risco (MA-I)
Risco (MA-S)
Ações para a classe de ricos MA
Responsável pela informação: Data:
Figura 19. Formulário para a parametrização de critério de tratamento e de aceitação de riscos
SLTI – OE1:RM2
RESERVADO
Página 68 de 140
RESERVADO
8.2 Subprocesso Identificar Riscos (IR) Descrição do subprocesso Trata da identificação e descrição de riscos na organização e das consequências
adversas
resultantes.
Busca-se
compreender
possíveis
ameaças e vulnerabilidades existentes, além de avaliar a extensão e a adequação das proteções utilizadas (controles). As atividades do subprocesso são:
Identificar ativos;
Identificar ameaças;
Identificar controles; e
Identificar vulnerabilidades.
A Figura 20 mostra o fluxo do subprocesso.
Figura 20. Subprocesso Identificar Riscos
SLTI – OE1:RM2
RESERVADO
Página 69 de 140
RESERVADO
8.2.1 Atividade 1. Identificar ativos Descrição da atividade: nesta atividade são identificados os ativos que estão no escopo da gestão de riscos. Os resultados da pré-análise de unidades da organização (divisões, departamentos, projetos, etc.) podem servir como base para priorizar a identificação de ativos de unidades mais críticas. Esses resultados também indicam o nível de detalhe requerido para a identificação dos ativos. Em unidades menos críticas pode ser suficiente identificar apenas alguns ativos primários (informações, ou processos de negócio). Já para unidades que requerem maior nível de proteção pode ser necessário identificar os ativos que suportam processos de negócio (hardware, software, salas, etc.). De modo geral os tipos ativos para a identificação e o registro são: Ativos primários:
Processos de negócio e suas atividades;
Informações;
Ativos de suporte:
Hardware, por exemplo: o
Equipamentos de processamento fixos (microcomputadores, servidores, etc);
o
Equipamentos de processamento móveis (notebooks, celulares, etc);
o
Periféricos;
o
Mídias de dados (pen-drive, cd, etc.);
o
Outras mídias não eletrônicas (documentos em papel);
Software, por exemplo: o
Sistemas operacionais;
o
Software de administração;
SLTI – OE1:RM2
RESERVADO
Página 70 de 140
RESERVADO
o
Pacotes de software;
o
Aplicações de negócio.
Redes, por exemplo: o
Mídias e apoio (equipamentos e protocolos, como Ethernet, protocolos e equipamento WiFi, Bluetooth, Firewall, etc.);
o
Equipamentos intermediários (roteadores, hub, switch);
o
Interfaces de comunicação (adaptadores);
Pessoal, por exemplo: o
Tomadores de decisão (proprietários de ativos, responsáveis por unidades, representantes da Alta Administração, etc.);
o
Usuários (pessoal que interage com os ativos, recursos humanos, gestão financeira, gestor de riscos, etc.);
o
Pessoal de operação e manutenção (administrador do sistema, administrador de banco de dados, help desk, etc.);
o
Desenvolvedores (analistas, programadores, etc.);
Locais / recursos, por exemplo: o
Ambiente externo (outras organizações, casas de pessoas, etc.);
o
Zonas, locais (prédios, áreas de escritório, salas reservadas, etc.);
o
Serviços essenciais (energia elétrica);
o
Comunicações (telefone);
o
Utilidades (no-breaks, ar-condicionado, etc.);
Organização, por exemplo: o
Autoridades (líderes, representantes da Alta Administração);
o
Estrutura da organização (gerenciamento de RH, gerenciamento de TI, gerenciamento de compras, segurança física, etc.);
SLTI – OE1:RM2
RESERVADO
Página 71 de 140
RESERVADO
o
Projetos
da
organização
(migração
de
sistemas,
novos
desenvolvimentos, etc.); o
Subcontratados (gerenciamento externo, consultores, etc.);
Deve-se notar que esta lista de tipos de Ativos de Suporte é abrangente. Espera-se que uma boa parte das organizações que utilizarem a MGR-SISP terá necessidade de tratar apenas um subconjunto desses tipos de ativos. A Figura 21 mostra o fluxo da atividade.
Figura 21. Atividade Identificar Ativos
Tarefas da atividade:
Tarefa 1.1: Avaliar resultados de pré-análise de unidades da organização e decidir a abordagem. Esta tarefa retoma informações de atividades do subprocesso Estabelecer Contexto para definir como abordar a gestão de riscos em cada unidade da organização. Deve ser decidido, para cada unidade, o nível de detalhamento a ser adotado na identificação de ativos. Isto envolve avaliar se é suficiente
SLTI – OE1:RM2
RESERVADO
Página 72 de 140
RESERVADO
identificar apenas ativos primários como alvo da análise de riscos, ou se é necessário decompor os ativos primários em ativos de suporte. Esta tarefa tem com resultado a definição da abordagem para a identificação de ativos em cada unidade da organização. Responsável: Gestor de Riscos, junto com responsáveis pelas unidades da organização.
Tarefa 1.2: Selecionar as unidades no escopo da GRSI e acionar os respectivos responsáveis. Os
responsáveis
pelas
unidades
selecionadas
são
comunicados
da
necessidade de identificar os ativos da unidade e são informados prazos estimados para a realização da tarefa. Responsável: Gestor de Riscos, junto com responsáveis pelas unidades da organização.
Tarefa 1.3: Cadastrar ativos das unidades. Trata da identificação e cadastro de cada ativo que faz parte do escopo da gestão de riscos. Informações de ativos primários já cadastrados na atividade “Realizar pré-análise de unidades da organização” devem ser revisadas. Outros ativos primários e os ativos de suporte devem ser identificados e cadastrados. Informações típicas que caracterizam os ativos são: natureza (primário ou suporte); tipo (hardware, software, etc.); subtipo (notebook, pen-drive, etc.); descrição; responsável pelo ativo; responsável pela unidade que abriga o ativo; data de cadastro; localização física; valor de reposição. Esta tarefa é realizada em cada unidade da organização, podendo ser realizada em série (uma unidade após a outra, em ordem priorizada por criticidade), ou em paralelo (realizada simultaneamente em todos os setores). O resultado da tarefa é o cadastro de cada ativo que faz parte do escopo da gestão de riscos em cada unidade da organização.
SLTI – OE1:RM2
RESERVADO
Página 73 de 140
RESERVADO
Responsável: Responsáveis pelas unidades da organização, proprietários de ativos. Apoio do Gestor de Riscos.
Tarefa 1.4: Avaliar as informações sobre os ativos. Depois de ser notificado do final do cadastro de ativos de cada unidade, estas informações devem ser avaliadas. Caso o Gestor de Riscos identifique inconsistências, deve indicar o fato ao responsável pela unidade e fornecer uma descrição do problema. O responsável pela unidade receberá uma notificação e a descrição do problema para que possa corrigi-lo. O passo anterior ocorre até que Gestor de Riscos aprove as informações e registre este fato. Responsável: Gestor de Riscos.
Condição para início: atividades do subprocesso Estabelecer Contexto finalizadas. Informações necessárias: objetivos e premissas e restrições da GRSI; escopo inicial da GRSI; resultados da pré-análise; resultados da pré-análise de unidades da organização; critérios de avaliação de riscos e de aceitação de riscos. Condição para ser finalizada: ativos identificados. Informações produzidas: Mapa de Riscos com informações sobre os ativos. Template e exemplo da atividade: A Figura 22 mostra o Mapa de Riscos com as informações relativas aos ativos e ao cadastro realizado na atividade. A Figura 23 mostra um exemplo.
SLTI – OE1:RM2
RESERVADO
Página 74 de 140
RESERVADO
Mapa de Riscos Ativos Código
Natureza (primário ou suporte)
Tipo Subtipo (hardware, software, etc.)
Unidade da organização
Responsável Pelo Ativo
Descrição do Ativo
Localização do Ativo
Data de Cadastro
Responsável Pelo Cadastro
A01
Natureza A01
Tipo A01
Unidade A01
Responsável A01
Descrição A01
Localização A01
Responsável Cad. A01
A02
Natureza A02
Tipo A02
Unidade A02
Responsável A02
Descrição A02
Localização A02
Data de Cadastro A01 Data de Cadastro A02
...
...
...
...
...
...
...
...
...
Responsável Cad. A02
Figura 22. Template do Mapa de Riscos - Ativos Mapa de Riscos Ativos Código
Natureza (primário ou suporte)
Tipo Subtipo (hardware, software, etc.)
Unidade da organização
Responsável Pelo Ativo
Descrição do Ativo
Localização do Ativo
Data de Cadastro
Responsável Pelo Cadastro
A01
Primário
Processo Negócio
DMPS
João
DMPS – Sala 15
09/06/2015
Maria da DMPS
A02
Suporte
Sala
DSSI
Miguel
Suporte
Hardware, Servidor
DSC
Paulo
Prédio 3, andar 2 Prédio 3, andar 2, Datacenter 1
09/06/2015
A03
Processo avaliação RDA Sala 31 da DSSI Servidor Dell Modelo XY
Gestor de Riscos José Paulo da DSC
09/06/2015
Figura 23. Exemplo de Mapa de Riscos - Ativos
8.2.2 Atividade 2. Identificar ameaças Descrição da atividade: trata da identificação das ameaças associadas aos ativos identificados na atividade anterior. Deve ser realizada a identificação de ameaças para cada ativo identificado no escopo da gestão de riscos. Em geral um tipo de ativo (hardware, software, informação, etc.) está sujeito a um subconjunto de ameaças, dentre todas as ameaças existentes. Além disso, uma mesma ameaça pode impactar vários ativos de certo tipo, ou ativos de tipos diferentes. SLTI – OE1:RM2
RESERVADO
Página 75 de 140
RESERVADO
Para auxiliar na identificação de ameaças devem ser utilizados catálogos de ameaças típicas (como os fornecidos em IT-Grundschutz, ou ISO/IEC 27005). Esta informação pode ser disponibilizada pela ferramenta de apoio à MGRSISP. Tipos de ameaça incluem:
Dano físico (fogo, destruição de equipamentos);
Eventos naturais (enchente, terremotos);
Falta de serviços essenciais (perda de energia, perda de telecomunicações);
Comprometimento da informação (roubo de mídias, revelação de sigilos, falsificação por software, fontes não confiáveis);
Falhas técnicas (falha de equipamentos, falha de software);
Ações não autorizadas (adulteração de dados, uso não autorizado de equipamentos), e;
Comprometimento de funções (erro em uso, abuso de direitos).
As ameaças que se aplicam ao ativo em análise devem ser identificadas com auxílio do catálogo de ameaças. Deve ser feita uma descrição de como a ameaça gera impacto no ativo. Caso seja identificada uma possível ameaça ao ativo que não esteja no catálogo, esta nova ameaça deve ser inserida no catálogo. Deve-se também associar a ameaça ao ativo e descrever o impacto desta. Esta informação será utilizada no subprocesso Estimar Riscos.
SLTI – OE1:RM2
RESERVADO
Página 76 de 140
RESERVADO
A Figura 24 mostra o fluxo da atividade.
Figura 24. Atividade Identificar Ameaças
Tarefas da atividade:
Tarefa 2.1: Indicar o início da identificação de ameaças. Quando uma unidade da organização finalizou a identificação de ativos o Gestor de Riscos indica o início da identificação e cadastro de ameaças. Os responsáveis pelas unidades são comunicados da necessidade de identificar as ameaças aos ativos da unidade e são informados prazos estimados para a realização da tarefa. Responsável: Gestor de Riscos
Tarefa 2.2: Identificar as ameaças aos ativos das unidades. Refere-se à identificação e cadastro das ameaças aos ativos e deve ser realizada em cada unidade da organização, possivelmente em paralelo. Para
SLTI – OE1:RM2
RESERVADO
Página 77 de 140
RESERVADO
cada ativo identificado na atividade anterior devem ser identificadas as ameaças existentes (a partir de uma lista) e estas devem ser descritas. O resultado da tarefa é o cadastro de ameaças para cada ativo que faz parte do escopo da gestão de riscos em cada unidade da organização. Responsável: Responsáveis pelas unidades da organização, proprietários de ativos. Apoio do Gestor de Riscos.
Tarefa 2.3: Avaliar as informações sobre as ameaças. Depois de ser notificado do final do cadastro de ameaças de cada unidade, estas informações devem ser avaliadas. Caso o Gestor de Riscos identifique inconsistências, deve indicar o fato ao responsável pela unidade e fornecer uma descrição do problema. O responsável pela unidade receberá uma notificação e a descrição do problema para que possa corrigi-lo. O passo anterior ocorre até que Gestor de Riscos aprove as informações e registre este fato. Responsável: Gestor de Riscos.
Condição para início: identificação de ativos realizada. (Mapa de Riscos com o ativo) Informações necessárias: informações sobre ativos, lista de ameaças aos ativos. Condição para ser finalizada: ameaças identificadas e documentadas. Informações produzidas: Mapa de Riscos com informações sobre os ativos e as respectivas ameaças. Cada ativo pode estar sujeito a mais de uma ameaça. Novas ameaças identificadas inseridas no catálogo de ameaças.
SLTI – OE1:RM2
RESERVADO
Página 78 de 140
RESERVADO
Template e exemplo da atividade: A Figura 25 mostra o Mapa de Riscos com as informações relativas aos ativos e às respectivas ameaças (tipo e descrição de cada ameaça). Cada par [ativo, ameaça] caracteriza um risco. A Figura 26 apresenta um exemplo. Mapa de Riscos Ativos
Ameaças
Código
Natureza (primário ou suporte)
Tipo Subtipo (hardware, software, etc.)
Unidade da organização
Responsável Pelo Ativo
Descrição do Ativo
Tipo de Ameaça (tipo de ameaça – selecionado da lista)
Descrição da ameaça (descrição – informação editada)
A01
Natureza A01
Tipo A01
Unidade A01
Responsável A01
Descrição A01
Tipo Ameaça 1
Descrição Ameaça 1
Tipo Ameaça 2
Descrição Ameaça 2
Tipo Ameaça 3
Descrição Ameaça 3 Descrição Ameaça 4 Descrição Ameaça 1 Descrição Ameaça 2
...
A02
Natureza A02
Tipo A02
Unidade A02
Responsável A02
Descrição A02
Tipo Ameaça 4 Tipo Ameaça 1 Tipo Ameaça 2
...
...
...
...
...
...
...
Figura 25. Template do Mapa de Riscos - Ativos, Ameaças Mapa de Riscos Ativos
Ameaças
Código
Natureza (primário ou suporte)
Tipo Subtipo (hardware, software, etc.)
Unidade da organização
Responsável Pelo Ativo
Descrição do Ativo
Tipo de Ameaça (tipo de ameaça – selecionado da lista)
Descrição da ameaça (descrição – informação editada)
A01
Primário
Processo de Negócio
DMPS
João
Processo avaliação RDA
Comprometimento da informação
Extravio do documento sigiloso RDA-YZ.doc
Ações não autorizadas
Acesso de não autorizados no ambiente físico RdaR
Falhas técnicas
Sistema de apoio RDAAB pouco confiável
Comprometimento de funções
Abuso de diretos de acesso ao sistema RDACD Extravio de pen-drive com informações sigilosas Perda de documentos devido a incêndio
A02
Suporte
Sala
DSSI
Miguel
Sala 31 da DSSI
Comprometimento da informação Dano físico
Figura 26. Exemplo de Mapa de Riscos - Ativos, Ameaças
SLTI – OE1:RM2
RESERVADO
Página 79 de 140
RESERVADO
8.2.3 Atividade 3. Identificar controles Descrição da atividade: Como já definido, um controle é “uma forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas, estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão, ou legal”. Controles de modo geral tem o efeito de reduzir os riscos por meio de dois fatores:
Realizam uma redução da exposição de um ativo ao risco, protegendo-o e diminuindo assim a probabilidade de que incidentes ocorram;
Realiza uma redução da gravidade da consequência em termos abrangência, de duração, e de impacto na organização;
Esta atividade trata da identificação dos controles, associadas aos ativos e ameaças, identificados nas atividades anteriores. Cada ativo pode estar sujeito a uma ou mais ameaças. Um par [ativo, ameaça] caracteriza um risco para o qual um ou mais controles podem ser aplicados. Para auxiliar na identificação de possíveis controles devem ser utilizados catálogos de controles existentes, associados às ameaças (como os fornecidos em
IT-Grundschutz,
ou
ISO/IEC
27002).
Esta
informação
pode
ser
disponibilizada pela ferramenta de apoio à MGR-SISP. Recomenda-se realizar para cada ativo, e cada ameaça associada, a seguinte análise, junto ao responsável pelo ativo:
Identificar os controles aplicáveis para proteger o ativo da ameaça (utilizar o catálogo de controles);
Para cada controle, avaliar por meio de investigações e análises a existência (ou não) do controle implementado na organização. A situação da implementação do controle pode ser classificada em uma das seguintes categorias:
SLTI – OE1:RM2
RESERVADO
Página 80 de 140
RESERVADO
o
a) Não implementado;
o
b) Parcialmente implementado;
o
c) Totalmente implementado, ou;
o
d) Não se aplica, ou desnecessário.
Justificativas devem ser fornecidas para as classificações. Adicionalmente, caso o responsável pela análise idealize algum controle não presente no catálogo consultado e que possa proteger o ativo da ameaça, este novo controle deve ser inserido no catálogo de controles. Deve-se também associar o novo controle ao ativo e ameaça. O resultado desta análise permite identificar, para cada ameaça e ativo, a existência (no estado atual da organização) de controles para proteger o ativo e a efetividade destes controles. Esta informação é útil para a tomada de decisões em etapas posteriores. A Figura 27 mostra o fluxo da atividade.
Figura 27. Atividade Identificar Controles
SLTI – OE1:RM2
RESERVADO
Página 81 de 140
RESERVADO
Tarefas da atividade:
Tarefa 3.1: Indicar o início da identificação de controles. Quando uma unidade da organização finalizou a identificação de ameaças o Gestor de Riscos indica o início da identificação e cadastro de controles. Os responsáveis pelas unidades são comunicados da necessidade de identificar os controles para as ameaças (aos ativos da unidade) e são informados prazos estimados para a realização da tarefa. Responsável: Gestor de Riscos.
Tarefa 3.2: Identificar os controles. Refere-se à identificação e cadastro de controles para as ameaças (aos ativos) e deve ser realizada em cada unidade da organização. Para cada ativo e ameaça devem ser identificados os controles aplicáveis, e deve ser informada situação de implementação de cada controle, conforme já descrito nesta seção. O resultado da tarefa é o cadastro de controles para as ameaças e ativos, assim como a descrição dos respectivas situações de implementação. Responsável: Responsáveis pelas unidades da organização, proprietários de ativos. Apoio do Gestor de Riscos.
Tarefa 3.3: Avaliar as informações sobre os controles. Depois de ser notificado do final do cadastro de controles em cada unidade, estas informações devem ser avaliadas. Caso o Gestor de Riscos identifique inconsistências, deve indicar o fato ao responsável pela unidade e fornecer uma descrição do problema. O responsável pela unidade receberá uma notificação e a descrição do problema para que possa corrigi-lo. O passo anterior ocorre até que Gestor de Riscos aprove as informações e registre este fato. Responsável: Gestor de Riscos.
Condição para início: Mapa de Riscos com os ativos e ameaças identificados.
SLTI – OE1:RM2
RESERVADO
Página 82 de 140
RESERVADO
Informações necessárias: informações sobre ativos e sobre ameaças, lista de controles aplicáveis aos ativos e ameaças. Condição para ser finalizada: controles identificados. Informações produzidas: Mapa de Riscos com informações sobre os ativos, respectivas ameaças, e os status de implementação de controles. Cada ativo pode estar sujeito a mais de uma ameaça. Para cada par [ativo, ameaça] podem existir zero ou mais controles implementados. Novos controles identificados inseridos no catálogo de controles. Template e exemplo da atividade: A Figura 28 mostra o Mapa de Riscos com as informações relativas aos ativos, às respectivas ameaças, e aos controles para cada ameaça (descrição do controle, situação de implementação e justificativas). Os controles, quando implementados corretamente, pode reduzir as ameaças aos ativos. A Figura 29 apresenta um exemplo. Mapa de Riscos Ativos
Ameaças
Controles
Códi go.
Descrição do Ativo
Tipo de Ameaça (tipo de ameaça – selecionado da lista)
Descrição da ameaça (descrição – informação editada)
A01
Descrição A01
Tipo Ameaça 1
Descrição Ameaça 1
Descrição do controle (lista de controles)
Descrição Controle 1
Situação / Justificativa Controle 1
Descrição Controle 2
Situação / Justificativa Controle 2
... Tipo Ameaça 2
A02
...
Descrição Ameaça 2
Descrição A02
Tipo Ameaça 1
Descrição Ameaça 1
Tipo Ameaça 2
Descrição Ameaça 2
...
...
...
Situação / Justificativa (Situação: seleção, Justificativa: informação editada)
...
Descrição Controle 1
Situação / Justificativa Controle 1
Descrição Controle 2
Situação / Justificativa Controle 2
... ... ... ...
... ... ... ...
Figura 28. Template do Mapa de Riscos - Ativos, Ameaças e Controles
SLTI – OE1:RM2
RESERVADO
Página 83 de 140
RESERVADO
Mapa de Riscos Ativos
Ameaças
Código
Descrição do Ativo
Tipo de Ameaça (tipo de ameaça – selecionado da lista)
Descrição da ameaça (descrição – informação editada)
A01
Processo avaliação RDA
Comprometimento da informação
Extravio do documento sigiloso RDA-YZ.doc
Ações não autorizadas
Acesso de não autorizados no ambiente físico RdaR
Controles Descrição do controle (lista de controles)
Situação / Justificativa (Situação: seleção, Justificativa: informação editada)
Conscientização “mesa limpa”
Não Implementado
Fechadura mecânica
Totalmente Implementado
Câmara monitoramento.
Parcialmente Implementado – câmera VGA, pouco nítida img.
Política e procedimentos de controle acesso
Parcialmente Implementado – procedimentos informais
Fechadura mecânica
Totalmente Implementado
Câmara monitoramento.
Totalmente Implementado
Falhas técnicas
Sistema de apoio RDAAB pouco confiável
Realizar teste de software
Parcialmente Implementado – teste não sistemático.
Comprometimento de funções
Abuso de diretos de acesso ao sistema RDACD
Realizar teste de segurança
Totalmente Implementado
Figura 29. Exemplo de Mapa de Riscos - Ativos, Ameaças e Controles
8.2.4 Atividade 4. Identificar vulnerabilidades Descrição da atividade: Relembrando, uma vulnerabilidade é definida como “fragilidade de um ativo, ou grupo de ativos, que pode ser explorada por uma ou mais ameaças”. Quando uma vulnerabilidade de um ativo é explorada por uma ameaça pode ocorrer uma violação da segurança. Esta atividade tem o propósito de identificar estas vulnerabilidades, que podem estar associadas a diferentes áreas como: organização; processos e procedimentos; rotinas de gerenciamento; recursos humanos; ambiente físico; configuração dos sistemas de informação; hardware; software; equipamentos de comunicação; ou parceiros externos. Para auxiliar na identificação de vulnerabilidades devem ser utilizados catálogos de vulnerabilidades (como os fornecidos em IT-Grundschutz, ou ISO/IEC 27005). Esta informação pode ser disponibilizada pela ferramenta de apoio à MGR-SISP. SLTI – OE1:RM2
RESERVADO
Página 84 de 140
RESERVADO
Recomenda-se realizar para cada ativo, e cada ameaça associada, a seguinte análise, junto ao responsável pelo ativo:
Identificar os controles não implementados, ou parcialmente implementados, para proteger o ativo da ameaça (resultado da atividade anterior);
Para cada controle, avaliar por meio de investigações e análises a existência (ou não) de vulnerabilidades associadas ao ativo. A lista de vulnerabilidades pode ser utilizada nesta tarefa.
Adicionalmente, caso seja identificada alguma vulnerabilidade não presente no catálogo consultado, esta nova vulnerabilidade deve ser inserida no catálogo de vulnerabilidades. As vulnerabilidades identificadas para cada ativo devem ser documentadas para a análise em etapas posteriores da gestão de riscos. A Figura 30 mostra o fluxo da atividade.
Figura 30. Atividade Identificar Vulnerabilidades
SLTI – OE1:RM2
RESERVADO
Página 85 de 140
RESERVADO
Tarefas da atividade:
Tarefa 4.1: Indicar o início da identificação de vulnerabilidades. Quando uma unidade da organização finalizou a identificação de controles para as ameaças o Gestor de Riscos indica o início da identificação e cadastro de vulnerabilidades. Os responsáveis pelas unidades são comunicados da necessidade de identificar as vulnerabilidades associadas aos ativos da unidade e são informados prazos estimados para a realização da tarefa. Responsável: Gestor de Riscos
Tarefa 4.2: Identificar as vulnerabilidades. Para cada ativo e ameaça devem ser identificados os controles com ênfase nos controles não implementados e nos parcialmente implementados. A ferramenta de apoio à MGR-SISP fornece uma lista de vulnerabilidades específicas considerando o ativo, a ameaça e o controle. As vulnerabilidades consideradas como existentes deve ser selecionadas e uma descrição da vulnerabilidade deve ser fornecida. Responsável: Responsáveis pelas unidades da organização, proprietários de ativos. Apoio do Gestor de Riscos.
Tarefa 4.3: Avaliar as informações sobre as vulnerabilidades. Depois de ser notificado do final do cadastro de vulnerabilidades em cada unidade, estas informações devem ser avaliadas. Caso o Gestor de Riscos identifique inconsistências, deve indicar o fato ao responsável pela unidade e fornecer uma descrição do problema. O responsável pela unidade receberá uma notificação e a descrição do problema para que possa corrigi-lo. O passo anterior ocorre até que Gestor de Riscos aprove as informações e registre este fato. Responsável: Gestor de Riscos.
SLTI – OE1:RM2
RESERVADO
Página 86 de 140
RESERVADO
Condição para início: Mapa de Riscos com os ativos, as ameaças e os controles identificados. Atividades de identificação de ativos, de identificação de ameaças e de identificação de controles realizadas. Informações necessárias: informações sobre ativos, sobre ameaças e sobre controles, lista de controles aplicáveis aos ativos e ameaças. Condição para ser finalizada: vulnerabilidades identificadas. Informações produzidas: Mapa de Riscos atualizado com informações sobre as vulnerabilidades identificadas. Novas vulnerabilidades inseridas na lista de vulnerabilidades. Template e exemplo da atividade: A Figura 31 mostra o Mapa de Riscos com as informações relativas aos ativos, às
respectivas
vulnerabilidades
ameaças, (descrição
aos da
controles
para
vulnerabilidade,
cada se
ameaça
e
existente).
às As
vulnerabilidades são associadas a controles não implementados, ou a controles implementados inadequadamente. A Figura 32 apresenta um exemplo.
SLTI – OE1:RM2
RESERVADO
Página 87 de 140
RESERVADO
Mapa de Riscos Ativos
Ameaças
Controles
Vulnerabilidades
Código.
Descrição do Ativo
Tipo de Ameaça (tipo de ameaça – selecionado da lista)
Descrição da ameaça (descrição – informação editada)
Descrição do controle (lista de controles)
Situação / Justificativa (Situação: seleção, Justificativa: informação editada)
A01
Descrição A01
Tipo Ameaça 1
Descrição Ameaça 1
Descrição Controle 1
Situação / Justificativa Controle 1
Descrição da Vulnerabilidade 1
Descrição Controle 2
Situação / Justificativa Controle 2
Descrição da Vulnerabilidade 2
Tipo Ameaça 2
A02
...
Descrição A02
...
Descrição Ameaça 2
Tipo Ameaça 1 Tipo Ameaça 2
Descrição Ameaça 1 Descrição Ameaça 2
...
...
Descrição da Vulnerabilidade
...
...
Descrição Controle 1
Situação / Justificativa Controle 1
Descrição da Vulnerabilidade 1
...
Descrição Controle 2
Situação / Justificativa Controle 2
Descrição da Vulnerabilidade 2
... ...
... ...
... ...
...
...
...
...
...
...
Figura 31. Template do Mapa de Riscos – Ativos, Ameaças, Controles e Vulnerabilidades
SLTI – OE1:RM2
RESERVADO
Página 88 de 140
RESERVADO
Mapa de Riscos Ativos
Ameaças
Código.
Descrição do Ativo
Tipo de Ameaça (tipo de ameaça – selecionado da lista)
A01
Processo avaliação RDA
Comprometi mento da informação
Ações não autorizadas
Controles
Descrição da ameaça (descrição – informação editada) Extravio do documento sigiloso RDAYZ.doc
Acesso de não autorizados no ambiente físico RdaR
Descrição do controle (lista de controles)
Vulnerabilidades
Situação / Justificativa (Situação: seleção, Justificativa: informação editada)
Descrição da Vulnerabilidade
Conscientização “mesa limpa”
Não Implementado
Maior probabilidade do extravio de documentos e equipamentos
Fechadura mecânica
Totalmente Implementado
Nenhuma
Câmara monitoramento.
Parcialmente Implementado – câmera VGA, pouco nítida img.
Risco de não ter desempenho adequado
Política e procedimentos de controle acesso
Parcialmente Implementado – procedimentos informais
Risco de procedimentos não serem seguidos
Fechadura mecânica
Totalmente Implementado
Nenhuma
Câmara monitoramento.
Não Implementado
Impedimento de identificar responsáveis por invasões.
Falhas técnicas
Sistema de apoio RDA-AB pouco confiável
Realizar teste de software
Parcialmente Implementado – teste não sistemático.
Problemas de disponibilidade e integridade de informações sensíveis
Comprometi mento de funções
Abuso de diretos de acesso ao sistema RDACD
Realizar teste de segurança
Totalmente Implementado
Nenhuma
Figura 32. Exemplo de Mapa de Riscos – Ativos, Ameaças, Controles e Vulnerabilidades
8.3 Subprocesso Estimar Riscos (ER) Descrição do subprocesso Este subprocesso trata da estimação dos riscos identificados no subprocesso anterior (IR). A estimação visa a compreender as consequências caso as ameaças aos ativos ocorram de fato, definindo quantitativamente o nível das
SLTI – OE1:RM2
RESERVADO
Página 89 de 140
RESERVADO
consequências. Trata também de ponderar sobre quais são as chances de que as ameaças se tornem realidade. A estimação de riscos é realizada por meio das seguintes atividades:
Identificar e avaliar consequências;
Avaliar probabilidades; e
Estimar nível de risco.
A Figura 33 mostra o fluxo do subprocesso.
Figura 33. Subprocesso Estimar Riscos
8.3.1 Atividade 1. Identificar e avaliar consequências Descrição da atividade: Nesta atividade são identificadas e avaliadas as possíveis consequências de riscos (ameaças que se concretizam e provocam danos em ativos). As consequências podem ter impacto em ativos, na organização e em pessoas. Esta análise deve ser feita para cada ativo no SLTI – OE1:RM2
RESERVADO
Página 90 de 140
RESERVADO
escopo da GRSI e para cada ameaça ao ativo. O resultado da análise deve refletir a extensão do dano causado pela perda de atributos de segurança (confidencialidade, integridade e disponibilidade), associados ao ativo, caso a ameaça se concretize (ocorra uma violação de segurança). Devem ser considerados impactos diretos (exemplo: custo de reposição e atrasos devido a um equipamento roubado) e os indiretos (exemplo: violação de contratos devido aos atrasos, ou divulgação de informações pessoais presentes no equipamento roubado). A avaliação deve considerar diferentes tipos de possíveis consequências como, por exemplo:
Violação da legislação;
Violação de contratos;
Problemas jurídicos;
Prejuízo no desempenho;
Prejuízo para a reputação e credibilidade;
Violação de informações pessoais;
Violação de informações confidenciais;
Prejuízo à ordem pública;
Perdas financeiras;
Interrupção de serviços;
Custos em termos de equipamentos, pessoal, especialistas;
Danos materiais;
Perigo à saúde e à vida;
Perda de clientes ou fornecedores.
SLTI – OE1:RM2
RESERVADO
Página 91 de 140
RESERVADO
O responsável pela estimativa de riscos deve considerar as seguintes fontes de informação em sua análise:
A lista de possíveis tipos de consequências (como a anterior). A ferramenta de apoio à MGR-SISP deve fornecer uma lista de consequências a serem selecionadas;
Informações históricas sobre incidentes. O conhecimento sobre o impacto para a organização em situações anteriores em que incidentes ocorreram (ameaças que se concretizaram afetando ativos do tipo em questão);
O conhecimento dos responsáveis pelo ativo e informações;
Importante notar que o nível de consequência quando um risco se concretiza
também
é
afetado
pelo
estado
atual
dos
controles
implementados na organização. Isto é, o responsável pela estimativa de consequências deve levar em conta os controles já estabelecidos para refletir o fato de que as consequências são menores se controles eficazes existem, e maiores caso contrário.
Nesta análise o responsável pela estimativa deve classificar o nível de severidade de consequências, para a organização e para pessoas, de incidentes de segurança associados ao ativo (perda de confidencialidade, perda de integridade, ou perda de disponibilidade). Por meio de questões-chave, fornecidas pela ferramenta de apoio à MGRSISP, o responsável pela avaliação de consequências fará a classificação de impacto de violação de segurança (incidente) provocada pela ameaça ao ativo, em uma das opções abaixo:
Consequência Muito Baixa (MB);
Consequência Baixa (B);
Consequência Moderada (M);
Consequência Alta (A);
Consequência Muito Alta (MA).
SLTI – OE1:RM2
RESERVADO
Página 92 de 140
RESERVADO
Cada atributo de segurança (confidencialidade, integridade e disponibilidade) é contemplado separadamente, portanto o responsável pela atividade realizara três análises distintas para cada ameaça e ativo. As três análises para uma ameaça e ativo (uma para cada atributo de segurança) são consolidadas por meio de uma função C = F(CC, CI, CD), sendo, C: Consequência, CC: Consequência relativa à Confidencialidade; CI: Consequência
relativa
à
Integridade;
CD:
Consequência
relativa
à
Disponibilidade; F: Função de consolidação de consequências. A MGR-SISP define que a consequência resultante o maior valor entre CC, CI e CD (C = Max(CC,CI,CD)). Importante destacar que os valores CC, CI, CD, além do valor C devem ser registrados, pois esta informação é útil para se definirem os controles a serem aplicados para tratar riscos (no subprocesso Tratar Riscos). A seguir é fornecido um exemplo de questão e de classificação que podem ser utilizados para guiar a avaliação de consequências em relação ao atributo disponibilidade. Questão: Como é avaliado o nível de seriedade de consequências da ameaça ao ativo em relação à disponibilidade? Classes:
Consequência Muito Baixa (MB): nenhum serviço ou atividade é afetado;
Consequência Baixa (B): poucos serviços ou atividades de menor importância são afetados, pode provocar atrasos desprezíveis;
Consequência Moderada (M): alguns serviços ou atividades são afetados, podendo causar atrasos significativos;
Consequência Alta (A): serviços essenciais são afetados, provocando atrasos graves e danos elevados;
Consequência Muito Alta (MA): serviços essenciais são afetados severamente, gerando danos muito elevados e atrasos intoleráveis.
SLTI – OE1:RM2
RESERVADO
Página 93 de 140
RESERVADO
O resultado desta atividade é a estimativa de consequência (impacto), para cada risco (uma ameaça a um ativo), alocando-o em uma classe – Muito Baixa (MB); Baixa (B); Moderada (M); Alta (A); Muito Alta (MA). Para cada classificação de consequência o responsável pela avaliação de consequências deve descrever o motivo da classificação, além de detalhar as consequências do risco para ativos, para a organização, para pessoas, ou para outras organizações. Isto é especialmente importante para os riscos com consequências mais severas. Caso seja possível estimar quantitativamente a consequência, este valor deve ser documentado. Por exemplo, nos seguintes termos:
Custo financeiro de reposição ou reparo do ativo;
Custo financeiro de operações suspensas;
Tempo para investigação e reparo;
Tempo de trabalho perdido.
SLTI – OE1:RM2
RESERVADO
Página 94 de 140
RESERVADO
A Figura 34 mostra o fluxo da atividade.
Figura 34. Atividade Identificar e Avaliar consequências
Tarefas da atividade:
Tarefa 1.1: Indicar o início da identificação e avaliação de consequências. Quando uma unidade da organização finalizou todas as atividades do subprocesso Identificar Riscos, o Gestor de Riscos indica o início do subprocesso Estimar Riscos, com a execução da atividade de Identificar e Avaliar Consequências. Os responsáveis pelas unidades são comunicados da necessidade de identificar e avaliar consequências de riscos associadas aos ativos da unidade e são informados prazos estimados para a realização da tarefa. Responsável: Gestor de Riscos
Tarefa 1.2: Identificar e avaliar consequências
SLTI – OE1:RM2
RESERVADO
Página 95 de 140
RESERVADO
Como já descrito, devem ser identificadas e avaliadas as possíveis consequências de riscos (ameaças que se concretizam e provocam danos em ativos). Para cada risco deve ser identificada a classe de consequência – Muito Baixa (MB); Baixa (B); Moderada (M); Alta (A); Muito Alta (MA) em relação a cada atributo de segurança (confidencialidade, integridade e disponibilidade). Deve-se também detalhar as consequências e fornecer justificativas de classificação. Responsável: Responsáveis pelas unidades da organização, proprietários de ativos. Apoio do Gestor de Riscos.
Tarefa 1.3: Avaliar as informações sobre as consequências dos riscos. Depois de ser notificado do final do cadastro de consequências em cada unidade, estas informações devem ser avaliadas. Caso o Gestor de Riscos identifique inconsistências, deve indicar o fato ao responsável pela unidade e fornecer uma descrição do problema. O responsável pela unidade receberá uma notificação e a descrição do problema para que possa corrigi-lo. O passo anterior ocorre até que Gestor de Riscos aprove as informações e registre este fato. Responsável: Gestor de Riscos.
Condição para início: Mapa de Riscos atualizado. Informações necessárias: Mapa de Riscos. Informações sobre incidentes de segurança, informações sobre os processos de negócio da organização e dos ativos que os suportam. Condição para ser finalizada: consequências dos riscos identificadas e estimadas Informações produzidas: Mapa de Riscos atualizado com consequências de cada risco descritas e estimadas.
SLTI – OE1:RM2
RESERVADO
Página 96 de 140
RESERVADO
Template e exemplo da atividade: A Figura 35 mostra o Mapa de Riscos com as informações relativas aos ativos, às respectivas ameaças, e as consequências. Para cada risco (ativo e ameaça) são apresentados os valores estimados de consequência para cada atributo de segurança (confidencialidade, integridade e disponibilidade), os valores totais de consequência, e os detalhamentos (tipos e descrições de consequências). A Figura 36 apresenta um exemplo. Mapa de Riscos Ativos
Ameaças
Consequências
Tipo de Ameaça (tipo de ameaça – selecionado da lista)
Descrição da ameaça (descrição – informação editada)
Confidencialida de
Integridade
A01
Descrição A01
Tipo Ameaça 1
Descrição Ameaça 1
Valor C1
Valor I1
Tipo Ameaça 2
Descrição Ameaça 2
Valor C2
Valor I2
... ...
... ...
... ...
... ...
...
...
Total (média)
Descrição do Ativo
Disponibilidade
Códi go.
Tipo de Consequência (tipo de consequência – selecionado da lista)
Descrição da Consequência (descrição – informação editada)
Valor D1
Média (C,I,D) 1
Tipo Consequência 1
Descrição Consequência 1
Valor D2
Média (C,I,D) 2
Tipo Consequência 2
Descrição Consequência 2
... ...
... ...
... ...
... ...
Figura 35. Template do Mapa de Riscos – Ativos, Ameaças e Consequências
SLTI – OE1:RM2
RESERVADO
Página 97 de 140
RESERVADO
Mapa de Riscos Ativos
Ameaças
Consequências
Tipo de Ameaça (tipo de ameaça – selecionado da lista)
Descrição da ameaça (descrição – informação editada)
Integridade
Disponibilidade
A01
Processo avaliação RDA
Comprometi mento da informação
Extravio do documento sigiloso RDAYZ.doc
10
5
8
7.66 (8)
Ações não autorizadas
Acesso de não autorizados no ambiente físico RdaR
2
2
2
Falhas técnicas
Sistema de apoio RDAAB pouco confiável
2
5
8
Total (média)
Descrição do Ativo
Confidencialida de
Códi go.
Tipo de Consequência (tipo de consequência – selecionado da lista)
Descrição da Consequência (descrição – informação editada)
Violação de informações confidenciais. Problemas jurídicos.
Informações sigilosas de clientes divulgadas. Risco de processos. Atrasos.
2
Danos materiais.
Danos aos 2 PCs do ambiente.
5
Prejuízo no desempenho
Interrupção do processo RDAAB. Atrasos.
Figura 36. Exemplo de Mapa de Riscos – Ativos, Ameaças e Consequências
8.3.2 Atividade 2. Avaliar probabilidades Descrição da atividade: Nesta atividade são avaliadas as probabilidades de que ocorra uma violação de segurança (isto é que as ameaças que se concretizam e provocam danos em ativos). Assim como a avaliação de consequências (atividade anterior), esta análise deve ser feita para cada ativo no escopo da GRSI e para cada ameaça ao ativo. A avaliação de probabilidade deve refletir o quão frequentemente a ameaça ocorre e o quão facilmente as vulnerabilidades são exploradas no ativo. Mais precisamente deseja-se estimar a probabilidade conjunta dos acontecimentos:
A probabilidade de um evento ameaça seja provocado (para ações causadas
propositalmente),
ou
ocorra
(para
ações
causadas
acidentalmente);
SLTI – OE1:RM2
RESERVADO
Página 98 de 140
RESERVADO
A probabilidade de que o evento, uma vez iniciado, irá resultar em impactos adversos para as operações da organização, seus ativos, pessoas, ou outras organizações.
Embora sejam dois acontecimentos distintos, a metodologia MGR-SISP trata a probabilidade como um valor único para facilitar a análise. Esta avaliação pode ser baseada nos seguintes elementos:
Informações estatísticas gerais sobre a probabilidade de incidentes de segurança;
Informações da organização sobre histórico de ocorrência de incidentes de segurança (frequência, ou periodicidade de ocorrência);
Informações da organização sobre a frequência ou a periodicidade de ocorrência de uma ameaça específica e da exploração das vulnerabilidades associadas;
Para
ações
causadas
propositalmente:
as
fontes
de
ameaça;
características de capacidade da fonte em causar danos; características de intenção e motivação de fonte em causar danos; percepção exterior da atratividade e vulnerabilidade do ativo; facilidade para converter a exploração da vulnerabilidade do ativo em uma recompensa.
Para ações causadas acidentalmente: fatores geográficos propensos a gerar problemas; fatores que podem favorecer erros humanos, ou falhas de equipamentos.
Importante notar que o nível de probabilidade de um risco se concretizar também é afetado pelo estado atual dos controles implementados na organização. Isto é, o responsável pela estimativa de probabilidades deve levar em conta os controles já estabelecidos para refletir o fato de que as probabilidades são menores se controles eficazes existem, e maiores caso contrário.
O responsável pela avaliação deve fazer a classificação do nível de probabilidade de violação de segurança provocada pela ameaça ao ativo, em SLTI – OE1:RM2
RESERVADO
Página 99 de 140
RESERVADO
uma das opções: Muito Baixa (MB); Baixa (B); Moderada (M); Alta (A); Muito Alta (MA). Abaixo um exemplo de diretriz para classificação, configurável no subprocesso Estabelecer Contexto.
Probabilidade Muito Baixa (MB). Altamente improvável, ocorre menos de uma vez a cada 10 anos;
Probabilidade Baixa (B). Improvável, ocorre menos que uma vez a cada ano e mais do que uma vez a cada 10 anos;
Probabilidade Moderada (M). Provável, ocorre entre 1 e 10 vezes por ano;
Probabilidade Alta (A). Alto. Altamente provável, ocorre entre 10 e 100 vezes ao ano;
Probabilidade Muito Alta (MA). Quase certo, Ocorre mais do que 100 vezes ao ano.
O resultado da avaliação de probabilidade é a atribuição de uma classe de probabilidade para cada risco (ameaça a um ativo) analisado.
SLTI – OE1:RM2
RESERVADO
Página 100 de 140
RESERVADO
A Figura 37 mostra o fluxo da atividade.
Figura 37. Atividade Avaliar Probabilidades
Tarefas da atividade:
Tarefa 2.1: Indicar o início da avaliação de probabilidades. Depois de uma unidade identificar e avaliar as consequências o Gestor de Riscos indica para esta unidade o início da segunda atividade do subprocesso Estimar Riscos, com a execução da atividade de Avaliar Probabilidades. Os responsáveis pelas unidades são comunicados da necessidade de avaliar as probabilidades de riscos associadas aos ativos da unidade e são informados prazos estimados para a realização da tarefa. Responsável: Gestor de Riscos
Tarefa 2.2: Avaliar probabilidades Como
tratado
na
descrição
da
atividade,
devem
ser
avaliadas
as
probabilidades dos riscos (probabilidade de que as ameaças se concretizem e
SLTI – OE1:RM2
RESERVADO
Página 101 de 140
RESERVADO
provoquem danos em ativos). Para cada risco deve ser identificada a classe de probabilidade – Muito Baixa (MB); Baixa (B); Moderada (M); Alta (A); Muito Alta (MA). Deve-se também fornecer justificativas de classificação. Responsável: Responsáveis pelas unidades da organização, proprietários de ativos. Apoio do Gestor de Riscos.
Tarefa 2.3: Avaliar as informações sobre as probabilidades dos riscos. Depois de ser notificado do final do cadastro de probabilidades em cada unidade, estas informações devem ser avaliadas. Caso o Gestor de Riscos identifique inconsistências, deve indicar o fato ao responsável pela unidade e fornecer uma descrição do problema. O responsável pela unidade receberá uma notificação e a descrição do problema para que possa corrigi-lo. O passo anterior ocorre até que Gestor de Riscos aprove as informações e registre este fato. Responsável: Gestor de Riscos.
Condição para início: Mapa de Riscos atualizado. Informações necessárias: Mapa de Riscos. Informações estatísticas sobre incidentes. Informações históricas de incidentes na organização. Condição para ser finalizada: probabilidades dos riscos identificadas e estimadas Informações produzidas: Mapa de Riscos atualizado com as probabilidades de cada risco descritas e estimadas. Template e exemplo da atividade: A Figura 38 mostra o Mapa de Riscos com as informações relativas aos ativos, às respectivas ameaças, e às consequências, incluindo descrições e o total estimado (obtido na atividade anterior). Para cada risco (ativo e ameaça) e mostrada a probabilidade estimada. SLTI – OE1:RM2
RESERVADO
Página 102 de 140
RESERVADO
A Figura 39 apresenta um exemplo. Mapa de Riscos
A01
Tipo Ameaça 1
Descrição Ameaça 1
Tipo Ameaça 2
Descrição Ameaça 2
... ...
... ...
...
Descrição A01
...
Tipo de Consequência (tipo de consequência – selecionado da lista) Tipo Consequência 1 Tipo Consequência 2
... ...
Consequências Descrição da Consequência (descrição – informação editada)
Probabilidades Probabilidade de ocorrência (Prob)
Ameaças Tipo de Descrição da Ameaça (tipo ameaça de ameaça – (descrição – selecionado informação da lista) editada)
Total Consequência (Cnq)
Ativos Códi Descrição go. do Ativo
Descrição Consequência 1 Descrição Consequência 2
Cnq 1
Prob 1
Cnq 2
Prob 2
... ...
... ...
... ...
Figura 38. Template do Mapa de Riscos – Ativos, Ameaças, Consequências e Probabilidades Mapa de Riscos
Processo avaliação RDA
Ameaças Tipo de Descrição da Ameaça (tipo ameaça de ameaça – (descrição – selecionado informação da lista) editada) Comprometi mento da informação
Extravio do documento sigiloso RDAYZ.doc
Ações não autorizadas
Acesso de não autorizados no ambiente físico RdaR Sistema de apoio RDAAB pouco confiável
Falhas técnicas
...
...
...
...
Tipo de Consequência (tipo de consequência – selecionado da lista) Violação de informações confidenciais. Problemas jurídicos. Danos materiais.
Prejuízo no desempenho
...
Consequências Descrição da Consequência (descrição – informação editada)
Probabilidades Probabilidade de ocorrência (Prob)
A01
Ativos Descrição do Ativo
Total Consequência (Cnq)
Códi go.
Informações sigilosas de clientes divulgadas. Risco de processos. Atrasos. Danos aos 2 PCs do ambiente.
8
8
2
5
Interrupção do processo RDAAB. Atrasos.
5
8
...
...
...
Figura 39. Exemplo de Mapa de Riscos – Ativos, Ameaças, Consequências e Probabilidades
SLTI – OE1:RM2
RESERVADO
Página 103 de 140
RESERVADO
8.3.3 Atividade 3. Estimar nível de risco Descrição da atividade: Esta atividade consolida as estimativas de consequência (Atividade 1) e as estimativas de probabilidade (Atividade 2). O objetivo é de obter para cada risco, um valor numérico que considere conjuntamente consequências e probabilidades, indicando a sim o nível de gravidade dos riscos. O nível de cada risco é calculado pela ferramenta de apoio à MGR-SISP a partir
das
estimativas
feitas
anteriormente
para
consequências
e
probabilidades. Para uma dada ameaça a um ativo o nível de risco é calculado pela aplicação da Tabela 4. Como já explicado anteriormente (subprocesso Estabelecer Contexto), a linha superior mostra a classificação de probabilidade e a coluna à esquerda mostra a classificação de consequências (pesos entre parênteses). Os valores interiores representam os níveis de risco estimados em cada situação.
Consequência
Probabilidade
Muito baixa
Baixa
Moderada
Alta
Muito alta
Muito baixa
1
2
3
4
5
Baixa
2
3
4
5
6
Moderada
3
4
5
6
7
Alta
4
5
6
7
8
Muito alta
5
6
7
8
9
Tabela 4. Tabela classificação de riscos – níveis de risco por classes de consequências e de probabilidades
Portanto o nível de risco pode assumir valores entre 1 (consequência e probabilidade muito baixas) e 9 (consequência e probabilidade muito altas).
SLTI – OE1:RM2
RESERVADO
Página 104 de 140
RESERVADO
O resultado desta atividade é um Mapa de Riscos, cada risco identificando: ativo, ameaça ao ativo, estimativa de consequência, justificativa para a estimativa de consequência, estimativa de probabilidade, e nível de risco. A Figura 40 mostra o fluxo da atividade.
Figura 40. Atividade Estimar Nível de Risco
Tarefas da atividade:
Tarefa 3.1: Estimar o nível de risco. Depois de cada unidade da organização finalizar as avaliações de consequências e de probabilidades o Gestor de Riscos consolida as estimativas de nível de risco, o que é feito com o uso da Ferramenta de Apoio à MGR-SISP. as estimativas consolidadas devem ser comunicadas aos responsáveis pelas unidades e/ou proprietários de ativos. Responsável: Gestor de Riscos
Tarefa 3.2: Apreciar os resultados de riscos estimados.
SLTI – OE1:RM2
RESERVADO
Página 105 de 140
RESERVADO
Os responsáveis pelas unidades e os proprietários de ativos devem tomar ciência dos riscos estimados. Esta ciência deve ser registrada. Responsável: Responsáveis pelas unidades da organização, proprietários de ativos. Apoio do Gestor de Riscos.
Condição para início: Mapa de Riscos atualizado. Informações necessárias: Mapa de Riscos atualizado. Condição para ser finalizada: Nível dos riscos estimados. Informações produzidas: Mapa de Riscos atualizado com as estimativas do nível de cada risco. Template e exemplo da atividade: A Figura 41 mostra o Mapa de Riscos com as informações relativas aos ativos, às respectivas ameaças, e às consequências, incluindo descrições e o total estimado, assim como as probabilidades de ocorrência (estimadas na atividade anterior). Para cada risco (ativo e ameaça) e mostrado o nível de risco estimado a partir das consequências e das probabilidades.
SLTI – OE1:RM2
RESERVADO
Página 106 de 140
RESERVADO
A Figura 42 apresenta um exemplo. Mapa de Riscos Probabilidades
Riscos
Probabilidade de ocorrência (Prob)
Risco -Rsc (Cnq X Prob)
Ameaças
Total Consequência (Cnq)
Ativos
Consequências
Cnq 1
Prob 1
Rsc 1
Códi go.
Descrição do Ativo
Tipo de Ameaça (tipo de ameaça – selecionad o da lista)
Descrição da ameaça (descrição – informação editada)
Tipo de Consequência (tipo de consequência – selecionado da lista)
Descrição da Consequência (descrição – informação editada)
A01
Descrição A01
Tipo Ameaça 1
Descrição Ameaça 1
Tipo Consequência 1
Descrição Consequência 1
Tipo Ameaça 2
Descrição Ameaça 2
Tipo Consequência 2
Descrição Consequência 2
Cnq 2
Prob 2
Rsc 2
... ...
... ...
... ...
... ...
... ...
... ...
...
...
... ...
Figura 41. Template do Mapa de Riscos – Ativos, Ameaças, Consequências, Probabilidades e Riscos Mapa de Riscos Probabilidades
Riscos Risco -Rsc (Cnq X Prob)
Consequências Descrição da Consequência (descrição – informação editada)
Probabilidade de ocorrência (Prob)
Ameaças
Total Consequência (Cnq)
Ativos
8
8
64
Códi go.
Descrição do Ativo
Tipo de Ameaça (tipo de ameaça – selecionad o da lista)
Descrição da ameaça (descrição – informação editada)
Tipo de Consequência (tipo de consequência – selecionado da lista)
A01
Processo avaliação RDA
Compromet imento da informação
Extravio do documento sigiloso RDAYZ.doc
Violação de informações confidenciais. Problemas jurídicos.
Informações sigilosas de clientes divulgadas. Risco de processos. Atrasos.
Ações não autorizadas
Acesso de não autorizados no ambiente físico RdaR
Danos materiais.
Danos aos 2 PCs do ambiente.
2
5
10
Falhas técnicas
Sistema de apoio RDAAB pouco confiável
Prejuízo no desempenho
Interrupção do processo RDAAB. Atrasos.
5
8
40
Figura 42. Exemplo de Mapa de Riscos – Ativos, Ameaças, Consequências, Probabilidades e Riscos
SLTI – OE1:RM2
RESERVADO
Página 107 de 140
RESERVADO
8.4 Subprocesso Avaliar Riscos (AR) Descrição do subprocesso Neste ponto do processo de gestão de riscos há uma visão mais clara de quais ameaças existem para os ativos no escopo da gestão de riscos, e do quanto estes ativos estão protegidos por meio de controles. Já foi também estimado o nível dos riscos, resultantes de consequências e probabilidades apuradas. Este subprocesso trata da avaliação dos riscos identificados e estimados no subprocesso anterior. O Mapa de Riscos e as respectivas estimativas de nível são utilizados neste subprocesso para direcionar decisões sobre o tratamento de riscos. O objetivo é identificar os riscos mais expressivos e estabelecer estratégias de resposta a estes. A Figura 43 mostra o fluxo do subprocesso.
Figura 43. Subprocesso Avaliar Riscos
SLTI – OE1:RM2
RESERVADO
Página 108 de 140
RESERVADO
A avaliação de riscos é realizada por meio das seguintes atividades:
8.4.1 Atividade 1. Classificar os riscos Descrição da atividade: Nesta atividade é feita a classificação de riscos e é criada uma lista ordenada dos riscos, o que permite distinguir visualmente os riscos mais relevantes. A classe de cada risco, assim como o nível de cada risco (atividade anterior), é definido por meio de uma tabela, já descrita anteriormente e reproduzida abaixo (Tabela 5). Os valores interiores representam os níveis de risco estimados em cada situação (atividade anterior), enquanto as letras e as cores internas definem diferentes classes para o tratamento de riscos.
Consequência
Probabilidade
Muito baixa
Muito baixa
1
(MB)
Baixa
2
(MB)
Moderada Alta Muito alta
3
(B)
4 (B) 5
(M)
Baixa 2
Moderada
(MB)
3 (B) 4
(B)
6
(A)
Muito alta
3
(B)
4
(B)
5
(M)
4
(B)
5
(M)
6
(A)
6 (A)
7
(A)
5 (M)
5 (M)
Alta
6
(A)
7 (A)
(A)
8
(MA)
(MA)
9
(MA)
7 8
Tabela 5. Tabela classificação de riscos – classes de risco por classes de consequências e de probabilidades
As seguintes classes de risco são estabelecidas na tabela:
Risco Muito Baixo (MB): nível de risco entre 1 e 2;
Risco Baixo (B): nível de risco entre 3 e 4;
Risco Moderado (M): nível de risco igual a 5;
Risco Alto (A): nível de risco entre 6 e 7;
Risco Muito Alto (MA): nível de risco entre 8 e 9.
SLTI – OE1:RM2
RESERVADO
Página 109 de 140
RESERVADO
A ferramenta de apoio à MGR-SISP auxilia na identificação da classe de cada risco comparando cada risco calculado com o definido na tabela de classificação de riscos Como resultado, é definida a classe de cada risco (MB: Muito Baixo; B: Baixo; M: Moderado; A: Alto; MA: Muito Alto) e é criada uma lista ordenada dos riscos de maior nível para os riscos de menor nível. A Figura 44 mostra o fluxo da atividade.
Figura 44. Atividade Classificar Riscos
SLTI – OE1:RM2
RESERVADO
Página 110 de 140
RESERVADO
Tarefas da atividade:
Tarefa 1.1: Classificar os Riscos. Depois de consolidar as estimativas de nível de risco o Gestor de Riscos realiza a classificação dos riscos, o que é feito com o uso da Ferramenta de Apoio à MGR-SISP. Os riscos consolidados e classificados devem ser comunicados aos Responsáveis pelas Unidades e/ou Proprietários de Ativos e também aos Representantes da Alta Administração. Responsável: Gestor de Riscos
Tarefa 1.2: Apreciar os resultados de riscos classificados. Os responsáveis pelas unidades e os proprietários de ativo devem tomar ciência dos riscos classificados. Esta ciência deve ser registrada. Responsável: Responsáveis pelas unidades da organização, proprietários de ativos. Apoio do Gestor de Riscos.
Tarefa 1.3: Avaliar as informações sobre os riscos classificados. Depois de ser notificado de que os riscos encontram-se consolidados e classificados o Representante da Alta Administração deve avaliar as informações. Importante destacar que o Representante da Alta Administração (com apoio do Gestor de Riscos e também dos Responsáveis por Unidades) é o responsável por decidir sobre a necessidade (ou não) de se levantar mais informações antes de iniciar o tratamento de riscos. Caso sejam identificadas inconsistências ou informações insuficientes, deve ser indicada a necessidade de reexecutar atividades anteriores, inclusive atividades de outros subprocessos (Estabelecer Contexto, Identificar Riscos, ou Estimar Riscos). Isto pode ser necessário, por exemplo, para refinar informações sobre riscos em unidades mais críticas, ou para corrigir possíveis discrepâncias das análises feitas em diferentes unidades da organização.
SLTI – OE1:RM2
RESERVADO
Página 111 de 140
RESERVADO
Responsável: Representante da Alta Administração. Apoio do Gestor de Riscos e dos Responsáveis por Unidades.
Condição para início: atividades do subprocesso de estimação de riscos realizadas.
Consequências
e
probabilidades
identificadas,
descritas
e
estimadas. Informações necessárias: Mapa de Riscos atualizado onde cada item do mapa define: ativo, ameaça ao ativo, estimativa de consequência, justificativa para a estimativa de consequência, estimativa de probabilidade, e nível de risco. Condição para ser finalizada: Riscos classificados e ordenados por nível de risco. Informações produzidas: estimativas do nível de cada risco associados aos itens do Mapa de Riscos. Cada item do mapa define: ativo, ameaça ao ativo, estimativa de consequência, justificativa para a estimativa de consequência, estimativa de probabilidade, nível de risco, e classe de nível de risco (MB: Muito Baixo; B: Baixo; M: Moderado; A: Alto; MA: Muito Alto). Template e exemplo da atividade: A Figura 45 mostra o Mapa de Riscos com as informações relativas aos ativos, às respectivas ameaças, e as descrições de consequências. Para cada risco (ativo e ameaça) e mostrado o nível de risco estimado e a respectiva classificação de riscos (Muito Baixo, Baixo, Moderado, Alto, ou Muito Alto). O Mapa de Riscos é ordenado do risco maior para o menor.
SLTI – OE1:RM2
RESERVADO
Página 112 de 140
RESERVADO
A Figura 46 apresenta um exemplo. Mapa de Riscos Ativos
Ameaças
Consequências
Riscos Ordenados e Classificados
Códi go.
Descrição do Ativo
Tipo de Ameaça (tipo de ameaça – selecionad o da lista)
Descrição da ameaça (descrição – informação editada)
Tipo de Consequência (tipo de consequência – selecionado da lista)
Risco -Rsc (Cnq X Prob)
Classe dos riscos - CLRsc (MB, B, M, A, MA)
A01
Descrição A01
Tipo Ameaça 1
Descrição Ameaça 1
Tipo Consequência 1
Descrição Consequência 1
Rsc 1
CL Rsc 1
Tipo Ameaça 2
Descrição Ameaça 2
Tipo Consequência 2
Descrição Consequência 2
Rsc 2
CL Rsc 2
... ...
... ...
... ...
... ...
... ...
...
...
Descrição da Consequência (descrição – informação editada)
... ...
Figura 45. Template do Mapa de Riscos – Ativos, Ameaças, Consequências e Riscos Ordenados e Classificados Mapa de Riscos Ativos
Ameaças
Consequências
Riscos Ordenados e Classificados
Códi go.
Descrição do Ativo
Tipo de Ameaça (tipo de ameaça – selecionad o da lista)
Descrição da ameaça (descrição – informação editada)
Tipo de Consequência (tipo de consequência – selecionado da lista)
Risco -Rsc (Cnq X Prob)
Classe dos riscos - CLRsc (MB, B, M, A, MA)
Descrição da Consequência (descrição – informação editada)
Códi go. A01
Processo avaliação RDA
Compromet imento da informação
Extravio do documento sigiloso RDAYZ.doc
Violação de informações confidenciais. Problemas jurídicos.
Informações sigilosas de clientes divulgadas. Risco de processos. Atrasos.
64
Alto
Falhas técnicas
Sistema de apoio RDAAB pouco confiável
Prejuízo no desempenho
Interrupção do processo RDA-AB. Atrasos.
40
Moderado
Ações não autorizadas
Acesso de não autorizados no ambiente físico RdaR
Danos materiais.
Danos aos 2 PCs do ambiente.
10
Baixo
Figura 46. Exemplo de Mapa de Riscos – Ativos, Ameaças, Consequências e Riscos Ordenados e Classificados
SLTI – OE1:RM2
RESERVADO
Página 113 de 140
RESERVADO
8.5 Subprocesso Tratar Riscos (TR) Descrição do subprocesso Neste subprocesso todas as análises realizadas e informações obtidas são utilizadas na tomada de decisão sobre como a organização irá agir em relação aos riscos. O tratamento de risco envolve a tomada de decisão sobre uma ou mais opções de tratamento. Estas opções são descritas a seguir.
Redução de riscos. O nível de risco deve ser reduzido pela seleção e implementação de controles, de modo que o risco residual possa ser reavaliado como sendo aceitável. Em geral, controles devem fornecer uma ou mais dos seguintes tipos de proteção: Correção; Eliminação; Prevenção; Minimização de impacto;
Dissuasão;
Detecção;
Recuperação;
Monitoramento;
ou
Conscientização.
Retenção (aceitação) de riscos. Trata-se da decisão de reter o risco sem maiores ações. Se o nível dos riscos satisfaz o critério de aceitação, não existe necessidade de implementar controles adicionais e o risco pode ser retido. A decisão deve ser registrada formalmente e justificada.
Transferência de riscos. Trata-se de transferir o risco para outra parte externa, que pode ser feita pela contratação de um seguro, que irá apoiar em relação às consequências do risco, ou por subcontratação de serviços.
Evitar riscos. Quando riscos identificados e são considerados muito altos, ou se os custos de implementação de outro tratamento de risco excedem os benefícios, a decisão deve ser feita para evitar risco por completo, pela retirada de forma planejada de atividades existentes.
Algumas diretrizes para o tratamento de riscos:
Quando uma redução significativa de riscos pode ser obtida com custos relativamente baixos, esta opção deve ser implementada;
SLTI – OE1:RM2
RESERVADO
Página 114 de 140
RESERVADO
As consequências e a probabilidade dos riscos devem ser minimizadas tanto quanto possível, considerando níveis tratáveis de custo;
Deve-se considerar de forma especial eventos raros, mas que causam consequências muito graves;
As quatro opções para o tratamento de risco não são mutuamente exclusivas. Em alguns casos, a organização pode combinar mais de uma opção;
Alguns tratamentos de riscos podem atingir mais que um risco.
A escolha do tratamento de riscos deve levar em conta os resultados da estimativa de consequências analisando de forma separada cada atributo de segurança (confidencialidade, integridade, disponibilidade). Deve ser priorizado a implantação de controles que tratam o atributo definido como mais crítico.
Também é importante levar em consideração o esforço e as restrições que podem envolver o tratamento do risco. Para tanto, este subprocesso foi dividido em três atividades, cada qual com suas tarefas. A Figura 47 mostra o fluxo do subprocesso.
Figura 47. Subprocesso Tratar Riscos
SLTI – OE1:RM2
RESERVADO
Página 115 de 140
RESERVADO
8.5.1 Atividade 1. Estimar recursos para o tratamento de riscos Descrição da atividade: Depois de estabelecido o Mapa de Riscos, assim como definidas as classes risco (Muito Baixo; Baixo; Moderado; Alto; Muito Alto), podem ser consideradas restrições que potencialmente afetam as decisões sobre o tratamento de riscos, por exemplo, custos e prazos. Neste sentido, os riscos precisam passar por uma análise preliminar a fim de estimar a ordem de grandeza de custos, esforço, do prazo e se existem restrições para o tratamento do risco. Para cada risco do Mapa de Riscos deve ser recuperada a informação levantada na atividade “identificar controles (proteções) existentes”, do subprocesso “Identificar Riscos”. Devem ser identificados:
Os controles aplicáveis para o risco;
Para cada controle, a situação da implementação do controle: o
a) Não implementado;
o
b) Parcialmente implementado;
o
c) Totalmente implementado, ou;
o
d) Não se aplica, ou desnecessário.
Deve ser feita uma estimativa do custo, esforço e de prazo para implementar os controles identificado nas situações a (Não implementado) e b (Parcialmente implementado). Esses controles, se implementados e/ou complementados, podem reduzir a exposição do ativo ao risco. Importante notar que a análise descrita acima (identificar controles ainda não implementados,
ou
parcialmente
implementados)
abrange
diferentes
alternativas de tratamento, associadas aos diferentes controles. Tipicamente controles agem Reduzindo Riscos, ou Transferindo Riscos. É importante registrar o custo, esforço e prazo estimados para cada alternativa de controle
SLTI – OE1:RM2
RESERVADO
Página 116 de 140
RESERVADO
que possa ser utilizada para um risco específico, seja ele para reduzir o risco, ou para transferir o risco. O resultado desta atividade é a associação de uma Estimativa de Custo, Estimativa de Esforço, Estimativa de Prazo e de Restrições para cada risco presente no Mapa de Riscos e para cada alternativa de controle. Deste modo a saída desta atividade é o Mapa de Riscos, onde cada linha apresenta as informações: ativo; ameaça ao ativo; estimativa de consequência; justificativa para a estimativa de consequência; estimativa de probabilidade; nível de risco; e para cada alternativa de controle: estimativa de custo para tratamento; estimativa de esforço; estimativa de prazo para tratamento; restrições. Caso sejam estimados recursos para as alternativas: Transferir o Risco, ou Evitar o Risco, esta informação também e fornecida como saída desta atividade.
SLTI – OE1:RM2
RESERVADO
Página 117 de 140
RESERVADO
A Figura 48 mostra o fluxo da atividade.
Figura 48. Atividade Estimar Recursos
SLTI – OE1:RM2
RESERVADO
Página 118 de 140
RESERVADO
Tarefas da atividade:
Tarefa 1.1: Indicar o início da estimativa de recursos para o tratamento de riscos. Depois de finalizada a atividade classificar riscos, devem ser realizadas as estimativas para as opções de tratamento de riscos. Os responsáveis pelas unidades são comunicados da necessidade de realizar estas estimativas e são informados prazos estimados para a realização da tarefa. Responsável: Gestor de Riscos
Tarefa 1.2: Estimar custo do tratamento. Estimar custos de implementação dos controles para tratar o risco. Responsável: Responsáveis pelas Unidades, Proprietários de Ativos. Apoio do Gestor de Riscos.
Tarefa 1.3: Estimar esforço do tratamento. Estimar o quanto de esforço é necessário para implementar cada controle. Responsável: Responsáveis pelas Unidades, Proprietários de Ativos. Apoio do Gestor de Riscos.
Tarefa 1.4: Estimar prazo do tratamento. Estimar o prazo de tratamento para cada risco. Responsável: Responsáveis pelas Unidades, Proprietários de Ativos. Apoio do Gestor de Riscos.
Tarefa 1.5: Levantar restrições que podem impactar o tratamento. Identificar se existe alguma restrição que impacte na escolha do tratamento do risco. Responsável: Responsáveis pelas Unidades, Proprietários de Ativos. Apoio do Gestor de Riscos.
SLTI – OE1:RM2
RESERVADO
Página 119 de 140
RESERVADO
Tarefa 1.6: Avaliar as estimativas de recursos para o tratamento de riscos. Depois de ser notificado do final das estimativas para tratamento de riscos em cada unidade, estas informações devem ser avaliadas. Caso o Gestor de Riscos identifique inconsistências, deve indicar o fato ao responsável pela unidade e fornecer uma descrição do problema. O responsável pela unidade receberá uma notificação e a descrição do problema para que possa corrigi-lo. O passo anterior ocorre até que Gestor de Riscos aprove as informações e registre este fato. Responsável: Gestor de Riscos.
Condição para início: É necessário o Mapa de Riscos atualizado e os controles que podem ser implementados. Informações necessárias: Informações históricas sobre custo, esforço e tempo parta implementação de controles. Avaliações de especialistas ou de representantes de setores / proprietários de ativos Condição para ser finalizada: estimativas relacionadas a todos os controles estabelecidas e restrições identificadas Informações produzidas: Mapa de Riscos atualizado com as estimativas para cada controle, restrições identificadas. Template e exemplo da atividade: A Figura 49 mostra o Mapa de Riscos com as informações relativas aos ativos, às respectivas ameaças, e aos riscos ordenados e classificados. Para cada risco são apresentados os controles aplicáveis. Cada controle é descrito e é fornecida a sua situação de implementação (não implementado, parcialmente implementado, totalmente implementado, ou não se aplica). A cada controle são associadas estimativas para a implementação (custo, classe de esforço, prazo) e são apresentadas as restrições. SLTI – OE1:RM2
RESERVADO
Página 120 de 140
RESERVADO
A Figura 50 apresenta um exemplo. Mapa de Riscos Ativos
Ameaças
Riscos Ordenados e Classificados
Prazo (Prz)
Restrições (Rst)
Descrição Controle 1
Situação / Justificativa Controle 1
Prz 1
Rst 1
Descrição Controle 2
Situação / Justificativa Controle 2
Esf 2
Prz 2
Rst 2
...
...
...
...
...
Descrição Controle 1
Situação / Justificativa Controle 1
Esf 1
Prz 1
Rst 1
Descrição Controle 2
Situação / Justificativa Controle 2
Esf 2
Prz 2
Rst 2
CL Rsc 1
Esf 1
Rsc 1
Esforço (Esf) – Baixo Médio, Alto,
Descrição Ameaça 1
Cst 2
Tipo Ameaça 1
Cst 1
Descrição A01
Situação / Justificativa (Situação: seleção, Justificativa: informação editada)
Cst 2
A01
Descrição do controle (lista de controles)
Cst 1
Descrição da ameaça (descrição – informação editada)
...
...
...
...
... Tipo Ameaça 2
...
...
... ...
Descrição Ameaça 2
... ...
Rsc 2
... ...
CL Rsc 2
... ...
Estimativas / Restrições
Custo (Cst)
Tipo de Ameaça (tipo de ameaça – selecionad o da lista)
Classe dos riscos CLRsc (MB, B, M, A, MA)
Descrição do Ativo
Risco -Rsc (Cnq X Prob)
Códi go.
Controles
... ... ...
... ... ...
... ...
Figura 49. Template do Mapa de Riscos – Ativos, Ameaças, Riscos Ordenados, Controles e Estimativas para tratamento
SLTI – OE1:RM2
RESERVADO
Página 121 de 140
RESERVADO
Mapa de Riscos Ativos
Ameaças
Parcialmente Implementado – câmera VGA, pouco nítida img.
Realizar teste de software
Parcialmente Implementado – teste não sistemático.
Realizar teste de segurança
Totalmente Implementado
x
Política e procedimento s de controle acesso
Parcialmente Implementado – procedimentos informais
45 Dias
x
Fechadura mecânica
Totalmente Implementado
x
x
x
x
Câmara monitorament o.
Totalmente Implementado
x
x
x
x
Restrições (Rst)
Câmara monitorament o.
120 Dias
Totalmente Implementado
Prazo (Prz)
x
x
x
x
x
20 Dias
x
150 Dias
Equipe interna
Baixo
Fechadura mecânica
Médio
10
Médio
Não Implementado
Alto
Acesso de não autorizados no ambiente físico RdaR
40
Conscientizaç ão “mesa limpa”
Baixo
Ações não autorizadas
Sistema de apoio RDAAB pouco confiável
Alto
1.000 R$
Falhas técnicas
64
Médio
Extravio do documento sigiloso RDAYZ.doc
Esforço (Esf) – Baixo Médio, Alto,
Compromet imento da informação
Situação / Justificativa (Situação: seleção, Justificativa: informação editada)
3.000 R$
Processo avaliação RDA
Descrição do controle (lista de controles)
15.000 R$
Códi go. A01
Estimativas / Restrições
10.000 R$
Descrição da ameaça (descrição – informação editada)
Controles
Custo (Cst)
Tipo de Ameaça (tipo de ameaça – selecionad o da lista)
Classe dos riscos CLRsc (MB, B, M, A, MA)
Descrição do Ativo
Risco -Rsc (Cnq X Prob)
Códi go.
Riscos Ordenados e Classificados
x
x
x
Figura 50. Exemplo de Mapa de Riscos – Ativos, Ameaças, Riscos Ordenados, Controles e Estimativas para tratamento
8.5.2 Atividade 2. Decidir sobre alternativas de reposta aos riscos Descrição da atividade: Nesta atividade cada risco do Mapa de Riscos é analisado para determinar a resposta adequada.
SLTI – OE1:RM2
RESERVADO
Página 122 de 140
RESERVADO
Depois de finalizada a atividade de Estimar Recursos para o Tratamento dos Riscos, devem ser realizadas decisões sobre como tratá-los. Esta decisão deve considerar os riscos priorizados por níveis (Muito Baixo; Baixo; Moderado; Alto; Muito Alto) as opções de tratamento opção de tratamento (Reduzir os Riscos; Reter os Riscos; Transferir os Riscos; ou Evitar os Riscos) e as estimativas feitas para a implementação dos controles (custo, esforço, tempo e restrições). A Figura 51 mostra o fluxo da atividade.
Figura 51. Atividade decidir sobre alternativas de resposta aos riscos
Tarefas da atividade:
Tarefa 2.1: Decidir sobre ações de tratamento e monitoramento dos riscos. Cada risco deve ser selecionado para análise, um por vez. Com o auxílio da Ferramenta de Apoio à MGR-SISP deve ser identificado o nível do risco e o
SLTI – OE1:RM2
RESERVADO
Página 123 de 140
RESERVADO
tratamento recomendado para este nível, cadastrado no subprocesso Estabelecer Contexto. Uma opção de tratamento (Reduzir os Riscos; Reter os Riscos; Transferir os Riscos; ou Evitar os Riscos) deve ser selecionada e uma justificativa deve ser fornecida. A opção por Reduzir os Riscos é vista como a solução mais comum a ser adotada na maior parte das situações. Deve também ser registrada a necessidade (ou não) de monitorar o risco e, caso positivo, a periodicidade para o monitoramento. Quando feita a opção por Reduzir os Riscos os controles referentes a cada risco devem ser visualizados. Cada controle possui um estado de implementação (Não implementado; Parcialmente implementado; Totalmente implementado; Não se aplica; ou Desnecessário) e são mostradas as estimativas feitas na atividade anterior para a implementação do controle (custo, esforço, tempo e restrições). O Gestor de Riscos deve então selecionar para cada risco um ou mais controles a serem implementados. Depois de realizados estes passos o Gestor de Riscos deve comunicar todas as informações e decisões aos Responsáveis por Unidades. Responsável: Gestor de Riscos.
Tarefa 2.2: Avaliar informações e decisões sobre o tratamento dos riscos. Os responsáveis por unidades devem avaliar as informações e decisões sobre tratamento de cada risco no escopo da unidade. Caso sejam identificadas inconsistências ou inadequações, os responsáveis por unidades devem apontar a necessidade de revisar as informações e fornecer uma descrição das questões identificadas. Responsável: Responsáveis por Unidades, Proprietários de Ativos. Tarefa 2.3: Compartilhar informações e decisões sobre o tratamento dos riscos.
SLTI – OE1:RM2
RESERVADO
Página 124 de 140
RESERVADO
O Gestor de Riscos deve receber retornos dos responsáveis por unidades e realizar as correções e ajustes necessários nas informações e decisões sobre o tratamento dos riscos. Em seguida as informações devem ser compartilhadas com os tomadores de decisão para a avaliação e aprovação da atividade realizada. Responsável: Gestor de Riscos.
Tarefa 2.4: Avaliar estrategicamente informações e decisões sobre o tratamento dos riscos. Depois de ser notificado de que informações e decisões sobre o tratamento de riscos estão estabelecidas o Representante da Alta Administração deve avaliar estas informações e decisões. O Representante da Alta Administração (com respaldo da análise técnica feita pelo Gestor de Riscos e pelos Responsáveis por Unidades) é o responsável por decidir sobre a adequação das opções definidas para tratar os riscos. Caso alguma opção de tratamento não esteja de acordo com a visão estratégica da Alta Administração pode ser necessário revisar ou refinar decisões anteriores. Nestes casos o Gestor de Riscos deve ser informado da necessidade de revisar decisões e devem ser fornecidas descrições das questões identificadas pela Alta Administração. Responsável: Representante da Alta Administração.
Informações necessárias: Quais são as prioridades, custo e o tempo para a implementação de cada alternativa do tratamento de risco. Objetivos da GRSI na organização Condição para ser finalizada: Para que esta tarefa seja finalizada, é importante que todos os riscos tenham sua opção de tratamento selecionada, bem como elaborada a justificativa da escolha.
SLTI – OE1:RM2
RESERVADO
Página 125 de 140
RESERVADO
Informações produzidas: Mapa de Riscos atualizado com o tratamento selecionado e a justificativa da escolha e o responsável pelo tratamento. Também é gerada uma lista com os riscos aceitos e suas justificativas. Template e exemplo da atividade: A Figura 52 mostra o Mapa de Riscos com as informações relativas aos ativos, às respectivas ameaças, e aos riscos ordenados e classificados. Para cada risco são apresentados os controles aplicáveis. Cada controle é descrito e é fornecida a sua situação de implementação. Para cada risco (ativo e ameaça) é indicada a prioridade de opções para o tratamento (1: prioridade maior). Justificativas descrevem as escolhas. Para os tratamentos a serem realizadas são associados Planos de Tratamento de Riscos (PTRs). A Figura 53 apresenta um exemplo. Ativos
Ameaças
A01
Descrição A01
Tipo Ameaça 1
Descrição Ameaça 1
... Tipo Ameaça 2
Descrição Ameaça 2
Rsc 2
CL Rsc 2
Descrição Controle 1 Descrição Controle 2
...
...
Plano de Tratamento de Risco (PTR)
Descrição da ameaça (descrição – informação editada)
Tratamento de Riscos Opção de tratamento – Op (ordem 1, 2, 3, ...)
Tipo de Ameaça (tipo de ameaça – selecionad o da lista)
Classe dos riscos - CLRsc (MB, B, M, A, MA)
Descrição do Ativo
Risco -Rsc (Cnq X Prob)
Códi go.
Mapa de Riscos Riscos Controles Ordenados e Classificados Descrição do Situação / controle (lista Justificativa de controles) (Situação: seleção, Justificativa: informação editada) Rsc 1 CL Rsc Descrição Situação / 1 Controle 1 Justificativa Controle 1 Descrição Situação / Controle 2 Justificativa Controle 2
Op 1
PTR 1
Op 2
PTR 2
...
...
...
Situação / Justificativa Controle 1 Situação / Justificativa Controle 2
Op 1
PTR 3
Op 2
PTR 4
...
...
...
...
...
... ...
... ...
...
...
...
...
...
...
... ... ...
Figura 52. Template do Mapa de Riscos – Ativos, Ameaças, Riscos, Controles e Informações de Tratamento
SLTI – OE1:RM2
RESERVADO
Página 126 de 140
RESERVADO
Mapa de Riscos Ativos
Ameaças
A01
Processo avaliação RDA
Compromet imento da informação
Extravio do documento sigiloso RDAYZ.doc
Falhas técnicas
Ações não autorizadas
Sistema de apoio RDAAB pouco confiável
Acesso de não autorizados no ambiente físico RdaR
64
Alto
40
10
Médio
Baixo
Tratamento de Riscos
Descrição do controle (lista de controles)
Situação / Justificativa (Situação: seleção, Justificativa: informação editada)
Plano de Tratamento de Risco (PTR)
Descrição da ameaça (descrição – informação editada)
Controles
Opção de tratamento – Op (ordem 1, 2, 3, ...)
Tipo de Ameaça (tipo de ameaça – selecionad o da lista)
Classe dos riscos CLRsc (MB, B, M, A, MA)
Descrição do Ativo
Risco -Rsc (Cnq X Prob)
Códi go.
Riscos Ordenados e Classificados
Conscientizaç ão “mesa limpa”
Não Implementado
1 - Obs: mais eficaz
PTRRDA-1
Fechadura mecânica
Totalmente Implementado
x
x
Câmara monitorament o.
Parcialmente Implementado – câmera VGA, pouco nítida img.
2 – Obs: pouco efetiva
x
Realizar teste de software
Parcialmente Implementado – teste não sistemático.
1
PTRRDA-1
Realizar teste de segurança
Totalmente Implementado
x
x
Política e procedimento s de controle acesso
Parcialmente Implementado – procedimentos informais
1
PTRRDA-1
Fechadura mecânica
Totalmente Implementado
x
x
Câmara monitorament o.
Totalmente Implementado
x
x
Figura 53. Exemplo de Mapa de Riscos – Ativos, Ameaças, Riscos, Controles e Informações de Tratamento
8.5.3 Atividade 3. Implementar a reposta aos riscos Descrição da atividade: Nesta atividade o Gestor de Riscos deve criar condições para que os riscos sejam tratados, sendo assim devem ser criados os Planos de Tratamento de Riscos (PTRs). Cada PTR deve agrupar ações voltadas ao tratamento de riscos comuns. Por exemplo, um PTR pode agrupar um conjunto de ações de melhoria de
SLTI – OE1:RM2
RESERVADO
Página 127 de 140
RESERVADO
segurança
a
serem
implementadas
em
uma
unidade
específica
da
organização. Para cada PTR deve ser definido: escopo; unidade da organização; controles a serem implementados; descrição de ações necessárias; responsável pela execução; data de início; e data prevista para término. O Gestor de Riscos deve alocar a execução dos PTRs aos responsáveis e acompanhar a execução (parte do subprocesso Monitorar Riscos). A Figura 54 mostra o fluxo da atividade.
Figura 54. Atividade Implementar Respostas aos Riscos
SLTI – OE1:RM2
RESERVADO
Página 128 de 140
RESERVADO
Tarefas da atividade:
Tarefa 3.1: Iniciar e monitorar o tratamento de riscos. Depois de decididas e aprovadas as respostas aos riscos é necessário realizar ações para efetivar estas respostas. Cada risco deve ser selecionado para análise, um por vez. Para cada risco a ser tratado o Gestor de Riscos deve associar um Plano de Tratamento de Riscos (PTR) que aborde o risco. Um PTR pode abordar mais de um risco. Deve ser definido e comunicado um responsável pela elaboração de cada PTR. Tipicamente o responsável pelo PTR deve ser um Responsável por Unidade ou um Proprietário de Ativo. O Gestor de Riscos deve monitorar o estado da execução de cada PTR junto aos responsáveis designados. Ao ser comunicado do final da implementação de um PTR o Gestor de Riscos deve avaliar as evidências fornecidas pelo responsável pelo PTR e atualizar no o estado de implementação dos controles tratados no PTR usando a Ferramenta de Apoio à MGR-SISP. Responsável: Gestor de Riscos.
Tarefa 3.2: Elaborar e executar os Planos de Tratamento de Riscos (PTRs). O responsável designado para um PTR deve levantar informações sobre o risco a ser tratado (ativos, ameaças, opções de tratamento, controles a serem implementados, estimativas e restrições). Este responsável deve elaborar o PTR com o detalhamento das ações a serem tomadas e com estimativas, que podem ser refinadas caso necessário. O próprio designado para um PTR pode executar o tratamento, ou pode alocar esta responsabilidade a outros. O responsável pelo PTR deve avaliar periodicamente a execução tratamento e informar o progresso da implementação (em percentual realizado). Ao final da implementação do PTR, o responsável deve avaliar a correção dos controles estabelecidos por meio de verificações e testes e deve fornecer uma
SLTI – OE1:RM2
RESERVADO
Página 129 de 140
RESERVADO
descrição sobre as ações realizadas. Além disso, o responsável deve anexar uma evidência da correta implementação dos controles previstos no PTR. Responsável: Responsável por um Plano de Tratamento de Riscos (PTRs). Tipicamente será um Responsável por Unidade ou um Proprietário de Ativo.
Tarefa 3.3: Avaliar evidências do sucesso dos tratamentos e atualizar o estado dos controles. Ao ser comunicado do final da implementação de um PTR o Gestor de Riscos deve avaliar as evidências fornecidas pelo responsável pelo PTR. Caso o Gestor de Riscos não aprove o Tratamento do Risco e as evidências fornecidas, deve ser indicada ao responsável pelo PTR a necessidade de realizar ações adicionais. Isto ocorre até que o tratamento e as evidências sejam satisfatórias. O Gestor de Riscos deve atualizar o estado de implementação dos controles tratados no PTR usando a Ferramenta de Apoio à MGR-SISP. O Gestor de Riscos deve comunicar ao Representante da Alta Administração dos resultados do Tratamento de Riscos.
Responsável: Gestor de Riscos.
Tarefa 3.4: Avaliar estrategicamente informações e decisões sobre o tratamento dos riscos. O Representante da Alta Administração deve acompanhar o progresso do tratamento de riscos por meio da Ferramenta de Apoio à MGR-SISP. Caso necessário o Gestor de Riscos pode prover informações mais específicas sobre cada PTR. O Representante da Alta Administração (com respaldo da análise técnica feita pelo Gestor de Riscos e pelos Responsáveis por Unidades) é o responsável por decidir sobre se o tratamento de riscos realizado é suficiente, ou se outras ações são necessárias.
SLTI – OE1:RM2
RESERVADO
Página 130 de 140
RESERVADO
Neste ponto de decisão atividades de subprocessos anteriores podem ser reexecutadas, se o julgamento indicar a necessidade de realizar outras ações para tratar os riscos. Nestes casos, o Gestor de Riscos deve ser informado da necessidade de revisar decisões e devem ser fornecidas descrições das questões identificadas pela Alta Administração. Responsável: Representante da Alta Administração.
Condição para início: Mapa de Riscos atualizado da atividade anterior. Informações necessárias: Escopo; Descrição de ações necessárias e controles a serem implementados; conhecimento técnico específico sobre a implementação de controles; Responsável pela execução; Estimativas para o tratamento de riscos. Condição para ser finalizada: É necessário que o Gestor de Risco valide o tratamento de risco. Informações produzidas: Mapa de Riscos atualizado com os Planos de Tratamento de Riscos que serão entregues aos responsáveis, contendo as justificativas e o tempo para que o tratamento de risco seja concretizado. Os subprocessos Comunicar Riscos e Monitorar Riscos também recebem informações inerentes a esta atividade.
Template e exemplo da atividade: A Figura 55 mostra um modelo de PTR – Plano de Tratamento de Riscos. Cada PTR possui um identificador e refere-se a um setor da organização. São identificados os responsáveis pela execução e pela elaboração do PTR. São listados os riscos a serem tratados no escopo do PTR, identificando Ativos, Ameaças, Descrição o Tratamento, Estimativas, e detalhamento de Ações. São fornecidas datas para acompanhamento do PTR.
SLTI – OE1:RM2
RESERVADO
Página 131 de 140
RESERVADO
A Figura 56 apresenta um exemplo. PTR – Plano de Tratamento de Riscos Unidade:
Identificador:
Responsáveis Responsável pela definição do PTR Nome: Telefone: e-mail:
Responsável pela execução do PTR Nome: Telefone: e-mail:
Ativo
Ameaça
Riscos a serem tratados Estimativas/Restrições Descrição do tratamento Custo Esforço Prazo Restrições a ser realizado (Cst) (Esf) (Prz) (Rst)
Datas Data Prevista para a Finalização:
Data de Início:
Ações para o tratamento
Data de Finalização:
Figura 55. Template do PTR - Plano de Tratamento de Riscos
Identificador: PTR RDA-1
PTR – Plano de Tratamento de Riscos Unidade: DMPS
Responsável pela execução do PTR Nome: Telefone: e-mail: Carlos 6623
[email protected]
Ativo Processo avaliação RDA Processo avaliação RDA Processo avaliação RDA
Ameaça Extravio do documento sigiloso RDAYZ.doc
Responsáveis Responsável pela definição do PTR Nome: Telefone: e-mail: Marcos 6123
[email protected]
Riscos a serem tratados Estimativas/Restrições Descrição do tratamento a ser Custo Esforço Prazo Restrições realizado (Cst) (Esf) (Prz) (Rst) 10.000 120 Médio X Conscientização R$ Dias “mesa limpa”
Sistema de apoio RDA-AB pouco confiável
Realizar teste sistemático de software
Acesso de não autorizados no ambiente físico RdaR
Implementar Política e procedimentos de controle acesso
15.000 R$
Alto
150 Dias
Equipe interna
3.000 R$
Médio
45 Dias
x
Ações para o tratamento Definir procedimento Treinamento Monitoramento
Treinamento Alocar recursos Planejar teste Executar teste
Definir procedimento Treinamento Monitoramento
Datas
Data de Início: 05/06/2015
Data Prevista para a Finalização: 19 /06/2015
Data de Finalização: 19 /06/2015
Figura 56. Exemplo de PTR - Plano de Tratamento de Riscos
SLTI – OE1:RM2
RESERVADO
Página 132 de 140
RESERVADO
8.6 Subprocesso Comunicar Riscos (CR) Este subprocesso define como será realizada a comunicação entre os atores que fazem parte do processo de GSRI. As atividades relacionadas a este subprocesso visam tornar a comunicação um procedimento eficaz. Este subprocesso se desenvolve simultaneamente com os demais subprocessos e as atividades são executadas durante todo o processo de gestão de riscos. A comunicação de riscos deve atender aos seguintes requisitos:
Fornecer garantia do resultado da gestão de risco da organização;
Coletar informações sobre o risco;
Compartilhar os resultados da análise e avaliação de riscos e apresentar os planos de tratamento de riscos;
Dar suporte ao processo decisório;
Dar aos tomadores de decisão e as partes interessadas um senso de responsabilidade sobre os riscos.
Para isso, as seguintes atividades são executadas no decorrer de um processo de Gestão de Risco:
Atividade 1 - Mapear e estabelecer comunicação com as partes interessadas. Atividade realizada uma única vez no inicio do subprocesso estabelecer contexto. O Gestor de riscos estabelece os procedimentos de comunicação com as partes interessadas.
Atividade 2 - Compartilhar com os tomadores de decisão informações, resultados e saídas de todas as atividades que envolvam a GRSI. Esta atividade é realizada pelo Gestor de Riscos em grande parte dos subprocessos. Ela tem por objetivo coletar informações de todas as atividades dentro de um subprocesso e reporta-las às partes interessadas.
Atividade 3 - Avaliar e validar informações estratégicas.
SLTI – OE1:RM2
RESERVADO
Página 133 de 140
RESERVADO
Algumas atividades requerem que o Representante da Alta Administração avalie e valide as informações que foram produzidas de forma que, caso seja necessário, a atividade seja reexecutada. As atividades em que ocorre este tipo de comunicação são as seguintes:
Atividade definir os objetivos, o escopo e as restrições;
Atividade realizar pré-análise da organização;
Atividade realizar pré-análise das unidades da organização;
Atividade definir critérios;
Atividade classificar riscos;
Atividade definir sobre alternativas de resposta aos riscos;
Atividade implementar respostas aos riscos.
SLTI – OE1:RM2
RESERVADO
Página 134 de 140
RESERVADO
A Figura 57 mostra o fluxo do subprocesso.
Figura 57. Subprocesso Monitorar Riscos
SLTI – OE1:RM2
RESERVADO
Página 135 de 140
RESERVADO
8.7 Subprocesso Monitorar Riscos (MR) O subprocesso Monitorar Riscos tem por objetivo monitorar os resultados após a análise de riscos. Novas ameaças, novas vulnerabilidades e novos ativos, podem alterar ou ampliar os riscos anteriormente avaliados, tornando necessário o monitoramento. Também faz parte desse subprocesso o acompanhamento do tratamento dos riscos, para assegurar que as medidas de resposta aos riscos planejadas sejam adequadamente implementadas. Como
no
subprocesso
anterior,
este
subprocesso
se
desenvolve
simultaneamente com os demais subprocessos e as atividades são executadas durante todo o processo de gestão de riscos, sendo assim, as seguintes atividades fazem parte deste subprocesso:
Atividade 1 – Monitorar a implementação do Tratamento de Riscos. Monitorar os riscos que estão em processo de tratamento, ou seja, se o PTR está sendo seguido. Isto inclui: o
Se o PTR está dentro do prazo estabelecido para a implementação;
o
Se o PTR foi finalizado, verificar se foram realizados testes para aferir a efetividade do controle.
Essas informações precisam ser coletadas pelo Gestor de Riscos.
Atividade 2 – Monitorar riscos. Monitorar os riscos de modo geral, ou seja, todos os riscos que compõem o Mapa de riscos precisam ser monitorados. Isto inclui: o
No caso de riscos aceitos (retidos), avaliar periodicamente se há alterações que justifiquem outro tratamento.
o
No caso de riscos reduzidos, ou transferidos, avaliar periodicamente a efetividade dos controles implementados pela execução dos PTRs.
Essas informações precisam ser coletadas pelo Gestor de Riscos.
SLTI – OE1:RM2
RESERVADO
Página 136 de 140
RESERVADO
Atividade 3 – Monitorar alterações que impactam no resultado da análise de riscos. Monitorar procedimentos e novas informações que possam impactar ou alterar os resultados da Análise Risco de modo geral. A atividade abrange todas as informações que possam alterar o contexto geral da avaliação dos riscos. Isto inclui: o
Novos ativos, substituídos ou descartados;
o
Restrições ou escopo que foram modificados;
o
Alterações na valoração dos ativos;
o
Novas ameaças e vulnerabilidades;
o
Incidentes de segurança que podem ocorrer após a análise de risco.
Essas informações precisam ser repassadas para o Gestor de Riscos.
A Figura 61 mostra o fluxo do subprocesso.
Figura 58. Subprocesso Monitorar Riscos
SLTI – OE1:RM2
RESERVADO
Página 137 de 140
RESERVADO
9 Considerações Finais Este documento apresentou a proposta de metodologia denominada “Metodologia de Gestão de Riscos de Segurança da Informação do SISP”, ou MGR-SISP. Esta metodologia visa a sistematizar e padronizar a gestão de riscos na Administração Pública Federal – APF. Almeja-se contribuir para a implantação de boas práticas de Segurança da Informação e para a racionalização de investimentos nesta área. A MGR-SISP é composta pelos subprocessos: Estabelecer Contexto; Identificar Riscos; Estimar Riscos; Avaliar Riscos; Tratar Riscos; Comunicar Riscos e; Monitorar Riscos. Cada subprocesso é formado por atividades e tarefas que visam atingir objetivos parciais específicos no processo de gestão de riscos. A metodologia incorpora práticas eficazes e bem sucedidas, apresentando características de modelos como ISO/IEC 27005, ISO/IEC 27002, ISO 31000, IT-Grundschutz Methodology - BSI Standard 100-2, NIST 800-39, e NIST 800-30. A
MGR-SISP
é
compatível
com
a
Norma
Complementar
nº
04/IN01/DSIC/GSIPR, que estabelece diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações e busca contemplar os aspectos
de
segurança,
conceitos
e
práticas,
tratados
em
Normas
Complementares, Instruções Normativas, decretos e portarias do Governo Brasileiro. Em qualquer iniciativa de desenvolvimento de metodologias, é fundamental a realização de ajustes. Espera-se que a MGR-SISP descrita neste documento, evolua no sentido de se tornar efetivamente adequada às necessidades da APF. Para tanto são previstas ações, tais como: A avaliação com especialistas nas áreas envolvidas e a realização de projetos-piloto. Importante destacar também que a especificação e o desenvolvimento da ferramenta de apoio à MGR-SISP permitirá o detalhamento de alguns pontos práticos da aplicação da metodologia.
SLTI – OE1:RM2
RESERVADO
Página 138 de 140
RESERVADO
10 Referências ABNT ISO GUIA 73: 2009, “Gestão de riscos – Vocabulário”. (Canongia e outros, 2010): Claudia Canogia, Admilson Gonçalves Júnior, Raphael Mandarino Junior (organizadoress) "Guia de referência para a Segurança das Infraestruturas Críticas da Informação. Versão 01 – Nov./2010." Presidência
da
República.
Disponível
em:
http://dsic.planalto.gov.br.
Consultado em Maio, 2015. ISO/IEC 27005, “Information technology – Security techniques – Information security risk management”, ISO/IEC 2011. ISO/IEC 27002, “Information technology – Security techniques – Code of pratice for information security management”, ISO/IEC 2013. ISO 31000, “Risk management – Principles and guidelines”, ISO 2009. ISO 31010, “Risk management – Risk assessment guidelines”, ISO 2009. “IT-Grundschutz Methodology, BSI Standard 100-2”, Version 2.0, Maio 2008, www.bsi.bund.de National Institute of Standards and Technology – NIST (EUA). NIST 800-39 – “Managing
Information
Security
Risk.”
Disponível
em:
. Consultado em Maio, 2015. (NIST 800-30, 2011). National Institute of Standards and Technology – NIST (EUA). “NIST 800-30 – Guide for Conducting Risk Assessment”, Setembro, 2011. Disponível em: . Consultado em Maio, 2015.
SLTI – OE1:RM2
RESERVADO
Página 139 de 140
RESERVADO
(Yoo e outros, 2007) Dong-Young Yoo, Jong-Whoi Shin, Gang Shin Lee, and Jae-I Lee. “Improve of Evaluation Method for Information Security Levels of CIIP (Critical Information Infrastructure Protection)”, International Scholarly and Scientific Research & Innovation 1(12), 2007, World Academy of Science, Engineering and Technology.
SLTI – OE1:RM2
RESERVADO
Página 140 de 140