Gestão de Riscos de TI - NBR 27005.pdf

Gestão de

Riscos de TI NBR 27005

Edson Kowask Bezerra

A RNP –

Rede Nacional de Ensino

e Pesquisa – é qualificada como uma Organização Social (OS), sendo ligada ao Ministério da Ciência, Tecnologia e Inovação (MCTI) e responsável pelo Programa Interministerial RNP, que conta com a participação dos ministérios da Educação (MEC), da Saúde (MS) e da Cultura (MinC). Pioneira no acesso à Internet no Brasil, a RNP planeja e mantém a rede Ipê, a rede óptica nacional acadêmica de alto desempenho. Com Pontos de Presença nas 27 unidades da federação, a rede tem mais de 800 instituições conectadas. São aproximadamente 3,5 milhões de usuários usufruindo de uma infraestrutura de redes avançadas para comunicação, computação e experimentação, que contribui para a integração entre o sistema de Ciência e Tecnologia, Educação Superior, Saúde e Cultura.

Ministério da

Cultura Ministério da

Saúde Ministério da

Educação Ministério da

Ciência, Tecnologia e Inovação

A RNP –

Rede Nacional de Ensino

e Pesquisa – é qualificada como uma Organização Social (OS), sendo ligada ao Ministério da Ciência, Tecnologia e Inovação (MCTI) e responsável pelo Programa Interministerial RNP, que conta com a participação dos ministérios da Educação (MEC), da Saúde (MS) e da Cultura (MinC). Pioneira no acesso à Internet no Brasil, a RNP planeja e mantém a rede Ipê, a rede óptica nacional acadêmica de alto desempenho. Com Pontos de Presença nas 27 unidades da federação, a rede tem mais de 800 instituições conectadas. São aproximadamente 3,5 milhões de usuários usufruindo de uma infraestrutura de redes avançadas para comunicação, computação e experimentação, que contribui para a integração entre o sistema de Ciência e Tecnologia, Educação Superior, Saúde e Cultura.

Ministério da

Cultura Ministério da

Saúde Ministério da

Educação Ministério da

Ciência, Tecnologia e Inovação

Gestão de



Gestão de



Rio de Janeiro Escola Superior de Redes 2013

Copyright © 2013 – Rede Nacional de Ensino e Pesquisa – RNP Rua Lauro Müller, 116 sala 1103 22290-906 Rio de Janeiro, RJ

Diretor Geral Nelson Simões Diretor de Serviços e Soluções José Luiz Ribeiro Filho

Escola Superior de Redes Coordenação Luiz Coelho Edição Pedro Sangirardi Coordenação Acadêmica de Segurança e Governança de TI Edson Kowask Bezerra Equipe ESR (em ordem alfabética) Celia Maciel, Cristiane Oliveira, Derlinéa Miranda, Elimária Barbosa, Evellyn Feitosa, Felipe Nascimento, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, Renato Duarte e Yve Abel Marcial. Capa, projeto visual e diagramação Tecnodesign Versão 2.0.1

Este material didático foi elaborado com ns educacionais. Solicitamos que qualquer erro encontrado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de conteúdo da Escola Superior de Redes, no e-mail [email protected]. A Rede Nacional de Ensino e Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas, a

pessoas ou bens, originados do uso deste material. As marcas registradas mencionadas neste material pertencem aos respectivos titulares. Distribuição

Escola Superior de Redes Rua Lauro Müller, 116 – sala 1103 22290-906 Rio de Janeiro, RJ

http://esr.rnp.br [email protected] Dados Internacionais de Catalogação na Publicação (CIP) B574g

Bezerra, Edson Kowask

Gestão de riscos de TI: NBR 27005 / Edson Kowask Bezerra. – Rio de Janeiro: RNP/ESR, 2013. 138 p. : il. ; 28 cm. Bibliograa: p.137. ISBN 978-85-63630-32-2

1. Tecnologia da informação - Técnicas de segurança. 2. Redes de computadores – Medidas de segurança. 3. Gestão de riscos de segurança da informação. I. Título. CDD 005.8

Sumário Escola Superior de Redes

A metodologia da ESR ix Sobre o curso

x

A quem se destina x Convenções utilizadas neste livro x Permissões de uso xi Sobre o autor xii

1. Introdução à Gestão de Riscos Introdução 1 Exercício de nivelamento 1 – Introdução à gestão de riscos 2 Conceitos fundamentais 2 Exercício de xação 1 – Conceitos fundamentais 5 Princípios da Gestão de Riscos 5 Normas de gestão de segurança e de riscos 7 Norma ABNT NBR ISO/IEC 27005:2008 9 Visão geral da gestão de riscos 10 Exercício de xação 2 – Visão geral 12 Exercício de xação 3 – PDCA 15 Fatores críticos para o sucesso 15 Áreas de conhecimento necessárias 16

iii

Roteiro de Atividades 1 19

Atividade 1.1 – Conhecendo os conceitos 19 Atividade 1.2 – Conhecendo a norma 19 Atividade 1.3 – Identicando o processo 20 Atividade 1.4 – Fatores críticos 20

2. Contexto da gestão de riscos Introdução 21 Exercício de nivelamento 1 – Contexto 21 Processo de gestão de riscos de segurança da informação 21 Contexto

22

Estabelecimento do contexto 23 Contexto da norma ABNT NBR ISO/IEC 27005 23 Denindo o contexto 24 Itens para identicação 24 Exercício de xação 1 – Denindo o contexto 25 Denindo escopo e limites 26 Exercício de xação 2 – Denindo o escopo e limites 27 Critérios para avaliação de r iscos 28 Critérios de impacto 28 Critérios para aceitação do risco

29

Exercício de xação 3 – Denindo os critérios 31 Organização para a gestão de riscos 32 Roteiro de Atividades 2 33

Anexo A – Descrição da empresa 36

3. Identifcação de riscos Introdução 41 Exercício de nivelamento 1 – Identicação dos riscos 41 Processo de análise de riscos de segurança da informação 41 Identicação de riscos 42 Identicando os ativos 43 Identicando os ativos primários 45

iv

Identicando os ativos de suporte e infraestrutura 46 Exercício de xação 1 – Identicando os ativos 46 Identicando as ameaças 47 Exercício de xação 2 – Identicando as ameaças 49 Identicando os controles existentes 49 Roteiro de Atividades 3 53

Anexo B – Infraestrutura 55

4. Análise de riscos: Vulnerabilidades e consequências Introdução

59

Exercício de nivelamento 1 – Vulnerabilidades e consequências 59 Processo de análise de riscos de segurança da informação 60 Identicando as vulnerabilidades 60 Exercício de xação 1 – Identicando vulnerabilidades 63 Identicação das consequências 63 Exercício de xação 2 – Identicando as consequências 65 Roteiro de Atividades 4 67

Anexo C – Problemas relatados 69

5. Análise de Riscos: Avaliação das consequências Introdução 83 Exercício de nivelamento 1 – Avaliação das consequências 83 Visão geral do processo de estimativa de r isco 83 Metodologias 84 Metodologia de análise qualitativa 85 Metodologia de análise quantitativa 85 Exercício de xação 1 – Metodologias 86 Estimativa de riscos 86 Avaliação das consequências 87 Roteiro de Atividades 5 89

v

6. Análise de riscos: avaliação da probabilidade Introdução 91 Exercício de nivelamento 1 – Avaliação da probabilidade 91 Visão geral do processo de avaliação de risco 92 Avaliação da probabilidade de ocorrência de incidentes 92 Exercício de xação 1 – Avaliação da probabilidade 94 Determinação do nível de risco 94 Roteiro de Atividades 6 97

7. Avaliação de riscos Introdução 101 Exercício de nivelamento 1 – Avaliação de riscos 101 Processo de avaliação de riscos de segurança da informação 101 Avaliação de riscos de segurança da informação 102 Exercício de xação 1 – Avaliação de risco 103 Roteiro de Atividades 7 105

8. Tratamento e aceitação de riscos Introdução 107 Exercício de nivelamento 1 – Tratamento e aceitação dos riscos 107 Visão geral do processo de tratamento do risco 107 Tratamento do risco 109 Riscos residuais 111 Modicação do risco 111 Retenção do risco 113 Ação de evitar o risco 113 Compartilhamento do risco 113 Exercício de xação 1 – Tratamento de risco 114 Visão geral do processo de aceitação do risco 114 Aceitando o risco 115 Roteiro de Atividades 8 117

vi

9. Comunicação e monitoramento dos riscos Introdução 121 Exercício de nivelamento 1 – Comunicação e consulta dos riscos 121 Processo de comunicação e consulta do risco de segurança da informação 122 Comunicação e consulta do risco de segurança da informação 123 Exercício de xação 1 – Comunicação e consulta dos riscos 124 Roteiro de Atividades 9 125

10. Monitoramento dos riscos Introdução 127 Exercício de nivelamento 1 – Monitoramento de riscos 127 Processo de monitoramento e análise crítica de riscos de segurança da informação 127 Monitoramento e análise crítica dos fatores de risco 129 Exercício de xação 1 – Monitoramento e análise crítica dos riscos 130 Monitoramento, análise crítica e melhoria do processo de gestão de riscos 130 Roteiro de Atividades 10 133

Conclusão 135

Bibliografa

137

vii

viii

Escola Superior de Redes A Escola Superior de Redes (ESR) é a unidade da Rede Nacional de Ensino e Pesquisa (RNP) responsável pela disseminação do conhecimento em Tecnologias da Informação e Comunicação (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competências em TIC para o corpo técnico-administrativo das universidades federais, escolas técnicas e unidades federais de pesquisa. Sua missão fundamental é realizar a capacitação técnica do corpo funcional das organizações usuárias da RNP, para o exercício de competências aplicá veis ao uso ecaz e eciente das TIC. A ESR oferece dezenas de cursos distribuídos nas áreas temáticas: Administração e Projeto de Redes, Administração de Sistemas, Segurança, Mídias de Suporte à Colaboração Digital e Governança de TI. A ESR também participa de diversos projetos de interesse público, como a elaboração e execução de planos de capacitação para formação de multiplicadores para projetos educacionais como: formação no uso da conferência web para a Universidade Aberta do Brasil (UAB), formação do suporte técnico de laboratórios do Proinfo e criação de um conjunto de cartilhas sobre redes sem o para o programa Um Computador por Aluno (UCA).

A metodologia da ESR A losoa pedagógica e a metodologia que orientam os cursos da ESR são baseadas na aprendizagem como construção do conhecimento por meio da resolução de problemas típicos da realidade do prossional em formação. Os resultados obtidos nos cursos de natureza teórico-prática são otimizados, pois o instrutor, auxiliado pelo material didático, atua não apenas como expositor de conceitos e informações, mas principalmente como orientador do aluno na execução de atividades contextualizadas nas situações do cotidiano prossional. A aprendizagem é entendida como a resposta do aluno ao desao de situações-problema semelhantes às encontradas na prática prossional, que são superadas por meio de análise, síntese, julgamento, pensamento crítico e construção de hipóteses para a resolução do pro blema, em abordagem orientada ao desenvolvimento de competências. Dessa forma, o instrutor tem participação ativa e dialógica como orientador do aluno para as atividades em laboratório. Até mesmo a apresentação da teoria no início da sessão de apren dizagem não é considerada uma simples exposição de conceitos e informações. O instrutor busca incentivar a participação dos alunos continuamente.

ix

As sessões de aprendizagem onde se dão a apresentação dos conteúdos e a realização das atividades práticas têm formato presencial e essencialmente prático, utilizando técnicas de estudo dirigido individual, trabalho em equipe e práticas orientadas para o contexto de atuação do futuro especialista que se pretende formar. As sessões de aprendizagem desenvolvem-se em três etapas, com predominância de tempo para as atividades práticas, conforme descrição a seguir: Primeira etapa: apresentação da teoria e esclarecimento de dúvidas (de 60 a 90 minutos).

O instrutor apresenta, de maneira sintética, os conceitos teóricos correspondentes ao tema da sessão de aprendizagem, com auxílio de slides em formato PowerPoint. O instrutor levanta questões sobre o conteúdo dos slides em vez de apenas apresentá-los, convidando a turma à reexão e participação. Isso evita que as apresentações sejam monótonas e que o aluno se coloque em posição de passividade, o que reduziria a aprendizagem. Segunda etapa: atividades práticas de aprendizagem (de 120 a 150 minutos).

Esta etapa é a essência dos cursos da ESR. A maioria das atividades dos cursos é assíncrona e realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dúvidas e oferecer explicações complementares. Terceira etapa: discussão das atividades realizadas (30 minutos).

O instrutor comenta cada atividade, apresentando uma das soluções possíveis para resolvê-la, devendo ater-se àquelas que geram maior diculdade e polêmica. Os alunos são convidados a comentar as soluções encontradas e o instrutor retoma tópicos que tenham gerado dúvidas, estimulando a participação dos alunos. O instrutor sempre estimula os alunos a encontrarem soluções alternativas às sugeridas por ele e pelos colegas e, caso existam, a comentá-las.

Sobre o curso O curso apresenta os conceitos de gestão de riscos a partir da norma NBR ISO 27005. Dene conceitos e trabalha a contextualização do ambiente, identicação e levantamento dos riscos através do conhecimento das ameaças, ativos, vulnerabilidades, probabilidade de ocorrência e impactos. São realizados a estimativa e o c álculo de risco e denido o tratamento mais adequado. Todo Todo o trabalho é baseado em um estudo de caso, visando consolidar o conhecimento teórico. teórico. Ao nal do curso o par ticipante estará apto a realizar uma análise de risco qualitativa no ambiente da sua organização.

A quem se destina Curso direcionado a gestores, técnicos e prossionais de informática ou áreas ans, que estão em busca do desenvolvimento de competências na realização de gestão e análise de riscos no ambiente de tecnologias da informação e comunicação (TIC). Prossionais de outras áreas podem participar desde que possuam conhecimentos de TIC, segurança da informação e normas ISO 27001 e 27002.

Convenções utilizadas neste livro As seguintes convenções tipográcas são usadas neste livro: Itálico

Indica nomes de arquivos e referências bibliográcas relacionadas ao longo do texto.

x

Largura constante

Indica comandos e suas opções, variáveis e atributos, conteúdo de arquivos e resultado da saída de comandos. Comandos que serão digitados pelo usuário são grifados em negrito e possuem o prexo do ambiente em uso (no Linux é normalmente # ou $, enquanto no Windows é C:\). Conteúdo de slide Indica o conteúdo dos slides referentes ao curso apresentados em sala de aula. Símbolo Indica referência complementar disponível em site ou página na internet. Símbolo Indica um documento como referência complementar. Símbolo Indica um vídeo como referência complementar. Símbolo Indica um arquivo de aúdio como referência complementar. Símbolo Indica um aviso ou precaução a ser considerada. Símbolo Indica questionamentos que estimulam a reexão ou apresenta conteúdo de apoio ao entendimento do tema em questão. Símbolo Indica notas e informações complementares como dicas, sugestões de leitura adicional ou mesmo uma observação.

Permissões de uso Todos os direitos reservados reservad os à RNP. Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. Exemplo de citação: BEZERRA, E. K. Gestão de Riscos de TI – NBR 27005. Rio de Janeiro: Escola Superior de Redes, Re des, RNP, 2013. 2013.

Comentários e perguntas Para enviar comentários e perguntas sobre esta publicação: Escola Superior de Redes RNP Endereço: Av. Lauro Müller 116 sala 1103 1103 – Botafogo B otafogo Rio de Janeiro – RJ – 22290-906 E-mail: [email protected]

xi

Sobre o autor Edson Kowask Bezerra é prossional da área de segurança da informação e governança

há mais de quinze anos, atuando at uando como auditor líder, pesquisador, gerente de pr ojeto e gerente técnico, em inúmeros projetos de gestão de riscos, gestão de segurança da informação, continuidade de negócios, PCI, auditoria e recuperação de desastres em empresas de grande porte do setor de telecomunicações, nanceiro, energia, indústria e governo. Com vasta experiência nos temas de segurança e governança, tem atuado também como palestrante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em segurança e governança. É professor e coordenador de cursos de pós-graduação na área de segurança da informação, gestão integrada, inovação e tecnologias web. Hoje atua como Coordenador Acadêmico de Segurança e Governança de TI da Escola Superior de Redes. PosPos sui a certicação CRISC da ISACA, além de diversas outras em segurança e governança.

xii

1 Introdução à Gestão de Riscos s o v i t e j b o

Conceituar e compreender ameaças, vulnerabilidades, probabilidade e riscos; conhecer e utilizar a norma de gestão de riscos; identicar as atividades do processo de gestão de riscos e os fatores críticos para o sucesso; identicar e denir as áreas necessárias para a gestão de r iscos. c o n c e i t o s

Ameaças, vulnerabilidades, probabilidade, riscos, segurança da informação e gestão de riscos.

Introdução 1

A ação e interação dos objetivos com as incertezas originam o r isco, que se apresenta no dia a dia de toda e qualquer atividade.

1 1

Muitas vezes, o risco não se apresenta visível, sendo necessárias ações para identicá-lo.

q

Outras vezes, o risco é f ruto de ações repentinas que fogem ao controle humano, como em eventos de causas naturais.

Nas fases do ciclo de vida de qualquer atividade humana planejada, convivemos com duas certezas básicas: daquilo que deve acontecer (os objetivos) e o que pode acontecer (as incertezas). A ação e interação dos objetivos com as incertezas dão origem ao risco, que se apresenta no dia a dia de toda e qualquer atividade desenvolvida. Muitas vezes, o risco não se apresenta visível, sendo necessárias ações para identicá-lo; em outras situações o risco é proveniente de ações repentinas que fogem ao controle do ser humano, como no caso de eventos de causas naturais. Diariamente vemos manchetes em publicações das mais diversas áreas que destacam, com ênfase, os problemas relacionados aos riscos tecnológicos de segurança da informação: roubos de mídias de backup e de notebooks, vazamento de números de cartões de crédito, manuseio impróprio de registros eletrônicos, roubo de identidade e quebra de propriedade intelectual. Este capítulo abordará os conceitos fundamentais para a Gestão de R iscos e apresentará a norma ABNT NBR ISO/IEC 27005:2008 - Tecnologia da Informação – Técnicas de segurança – Gestão de riscos de segurança da infor mação.

s o c s i R e d o ã t s e G à o ã ç u d o r t n I 1 o l u t í p a C

1

e

Exercício de nivelamento 1 Introdução à gestão de riscos

Como você avalia na sua organização o processo de gestão de riscos?

Existem riscos para os trabalhos e atividades da sua organização?

Conceitos fundamentais 1

Norma ISO Guide 73:2009 Ges tão de riscos – Vocabulário

q

2 Recomendações para uso em normas. 2 Apresenta as principais terminologias para uso nas atividades de gest ão de riscos. 1

Esta terminologia deve ser combinada com os termos apresentados nas normas:

2 ABNT NBR ISO/IEC 27001. 2 ABNT ISO/IEC 27002. 1

Termos apresentados nas normas:

2 Segurança da Informação. 2 Ameaça. 2 Vulnerabilidade. 2 Risco. 2 Riscos de segurança da informação. 2 Identicação de riscos. 2 Impacto. 2 Estimativa de riscos. 2 Modicação do risco. 2 Comunicação do risco. 2 Ação de evitar o risco. 2 Retenção do risco. 2 Compartilhamento do risco. 5 0 0 7 2 R B N I T e d s o c s i R e d o ã t s e G

2

É importante ter sempre em mente os seguintes conceitos: Segurança da Informação é a proteção da informação de vár ios tipos de ameaças, visando

garantir a continuidade do negócio, minimizar os r iscos que possam comprometê-lo, maximizar o retorno sobre os investimentos e as opor tunidades de negócio. A segurança da informação é obtida como resultado da implementação de um conjunto de controles, compreendendo políticas, processos, procedimentos, estruturas organizacionais e funções de hardware e software. A segurança da informação é obtida com a implementação de controles que deverão ser monitorados, analisados e continuamente melhorados, com o intuito de atender aos

objetivos do negócio, mitigando os riscos e garantindo os preceitos de segurança da organi zação: Condencialidade, Integridade, Disponibilidade e Autenticidade (CIDA).

1 1

Ameaça é todo e qualquer evento que possa explorar vulnerabilidades.

1

As ameaças podem ser classicadas em:

q

Causa potencial de um incidente indesejado, que pode resultar em dano para os sistemas, pessoas ou a própria organização.

2 Ameaças intencionais. 2 Ameaças da ação da natureza. 2 Ameaças não intencionais. São exemplos de ameaças:

1 1 1 1 1 1

Erros humanos; Falhas de hardware; Falhas de software; Ações da natureza; Terrorismo; Vandalismo, entre outras.

Vulnerabilidade é qualquer fraqueza que possa ser explorada para comprometer a segu-

rança de sistemas ou informações. Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

Para pensar Ameaça versus Vulnerabilidade

Entende-se que a ameaça é o evento ou incidente, enquanto a vulnerabilidade é a fragilidade que será explorada para que a ameaça se torne concreta. A meaças podem assumir diversas formas, como fur to de equipamentos, mídia e documentos, escuta não autorizada, incêndio, inundação e radiação eletromagnética, até fenômenos climáticos e sísmicos. Por exemplo, um computador cuja senha seja do conhecimento de todos, sofre ameaças como roubo, destruição ou alteração de informações; a vulnerabilidade que permite que estas ameaças se concretizem é justamente a senha ser conhe cida e compar tilhada por todos.

Tabela 1.1 Exemplos de vulnerabilidades

e ameaças.

Vulnerabilidade

Ameaça

Falta de treinamento de funcionários

Erros humanos

Interrupção no servidor por queima da fonte

Falha de hardware

Sistema aplicativo aceita qualquer valor nos seus campos

Falha de software

Inundação da sala em virtude das fortes chuvas

Ações da natureza

Explosão provocada intencionalmente no terminal de ônibus

Terrorismo

Máquina ATM virada e pichada

Vandalismo


3

Os conceitos a seguir dizem respeito às atividades após a identicação dos riscos e relacio nadas ao seu tratamento.

1

Risco: combinação da probabilidade (chance da ameaça se concretizar) de um evento

indesejado ocorrer e de suas consequências para a organização. É a incerteza resultante da combinação da probabilidade de ocorrência de um evento e suas consequências. A pergunta “ Qual o risco?” levanta dúv idas a respeito da ocorrência de algo incerto ou inesperado. Em segurança da informação, esta incerteza reside nos aspec tos tecnológicos envolvidos, nos processos executados e, principalmente, nas pessoas que em algum momento interagem com a tecnologia e se envolvem com os processos.

1

Riscos de segurança da informação: possibilidade de uma determinada ameaça explorar

vulnerabilidades de um ativo ou de um conjunto de ativos, assim prejudicando a organização.

1

Identicação de riscos: processo para localizar, listar e caracterizar elementos de r isco.

Por menor que seja a probabilidade de ocorrência de um risco, pode ser que determinada incerteza ocorra e explore uma v ulnerabilidade, concretizando uma ameaça. Para se preparar para isso é necessário conhecer os riscos de todo o ambiente, através da realização de um processo formalizado de identicação de riscos.

1

Impacto: mudança adversa no nível obtido dos objetivos de negócios. Consequência ava-

liada dos resultados com a ocorrência de um evento em par ticular, em que determinada vulnerabilidade foi explorada, uma ameaça ocorreu e o risco se concretizou. Qual foi o impacto deste evento n os negócios? Quanto se perdeu? A organização será responsabilizada? Haverá multas? Ações legais serão impetradas? Haverá danos de imagem? Imagine as seguintes situações hipotéticas: 1. Em uma faculdade, um usuário com acesso às informações dos alunos deixou sua senha escrita num papel após renová-la. O que pode ocorrer? Qual o impacto? 2. Em plena preparação para o vestibular de uma determinada instituição, as provas vazaram. Qual o impacto se este vazamento ocorreu seis meses antes da realização do vestibular? E se ocorreu nas 4 8 horas que antecedem a realização do vestibular? Exemplos de impactos: perdas nanceiras, paralisação de serviços essenciais, perda de conança dos clientes, pane no fornecimento de energia e falhas de telecomunicações, entre tantos outros.

1

Estimativa de riscos: processo utilizado para atribuir valores à probabilidade e conse-

quências de um risco. A estimativa de riscos permite quanticar ou descrever de forma qualitativa um risco, permitindo às organizações priorizar os r iscos de acordo com os critérios estabelecidos.

1

Ações de modicação do risco : ações tomadas para reduzir a probabilidade, as conse-

quências negativas, ou ambas, associadas a um risco. 5 0 0 7 2 R B N I T e d s o c s i R e d o ã t s e G

4

1

Comunicação do risco: troca ou compartilhamento de informações sobre o risco entre o

tomador de decisão e outras partes interessadas.

1

Ação de evitar o risco: decisão de não se envolver ou agir de forma a mitigar uma

situação de risco.

1

Retenção do risco: aceitação do ônus da perda ou do benefício do ganho associado a um

determinado risco.

1

Compartilhamento do risco: compartilhamento com outra entidade do ônus da perda

ou do benefício do ganho associado a um risco.

e

Exercício de fixação 1 Conceitos fundamentais

Durante uma apresentação sobre os conceitos de gestão de riscos para a alta direção da sua organização, você foi questionado sobre duas possíveis ameaças existentes e seus riscos. Como você responderia?

Em função da sua resposta para a alta direção, lhe pediram para explicar os possíveis impactos relacionados a estes riscos. Como você responder ia?

Princípios da Gestão de Riscos Princípios da gestão de riscos:

1 1 1 1 1 1 1 1 1 1 1

q

A gestão de riscos cria e protege valor. A gestão de riscos é parte integrante de todos os processos organizacionais. A gestão de riscos é parte da tomada de decisões. A gestão de riscos aborda explicitamente a incerteza. A gestão de riscos é sistemática, estruturada e oportuna. A gestão de riscos baseia-se nas melhores informações disponíveis. A gestão de riscos é feita sob medida. A gestão de riscos considera fatores humanos e culturais. A gestão de riscos é transparente e inclusiva. A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças. A gestão de riscos facilita a melhoria contínua da organização.

Para a gestão de riscos ser ecaz, convém que uma organização, em todos os níveis, atenda aos princípios descritos a seguir. a. A gestão de riscos cria e protege valor. A gestão de riscos contribui para a realização demonstrável dos objetivos e para a melhoria do desempenho, referente à segurança e saúde das pe ssoas, à conformidade legal e regulatória, à aceitação pública, à proteção do meio ambiente, à qualidade do produto, ao geren ciamento de projetos, à eciência nas operações, à governança e à reputação.


5

b. A gestão de riscos é parte integrante de todos os processos organizacionais. A gestão de riscos não é uma atividade autônoma separada das principais atividades e processos da organização. A gestão de riscos faz par te das responsabilidades da administração e é parte integrante de todos os processos organizacionais, incluindo o planejamento estratégico e todos os processos de gestão de projetos e gest ão de mudanças. c. A gestão de riscos é parte da tomada de decisões. A gestão de riscos auxilia os tomadores de decisão a fazer escolhas conscientes, priorizar ações e distinguir entre formas alternativas de ação. d. A gestão de riscos aborda explicitamente a incerteza. A gestão de riscos explicitamente leva em consideração a incerteza, a natureza dessa incerteza, e como ela pode ser tratada. e. A gestão de riscos é sistemática, estruturada e oportuna. Uma abordagem sistemática, oportuna e estru turada para a gestão de riscos contribui para a eciência e para os resultados consistentes, comparáveis e conáveis. f. A gestão de riscos baseia-se nas melhores informações disponíveis. As entradas para o processo de gerenciar riscos são baseadas em fontes de informação, t ais como dados históricos, experiências, retroalimentação das partes interessadas, obser vações, previsões e opiniões de especialistas. Entretanto, convém que os tomadores de decisão se informem e levem em consideração quaisquer limitações dos dados ou modelagem utilizados, ou a possibilidade de divergências entre especialistas. g. A gestão de riscos é feita sob medida. A gestão de riscos est á alinhada com o contexto interno e externo da organização e com o perl do risco. h. A gestão de riscos considera fatores humanos e culturais. A gestão de riscos reconhece as capacidades, percepções e intenções do pessoal interno e externo, que podem facilitar ou dicultar a realização dos objetivos da organização. i. A gestão de riscos é transparente e inclusiva. O envolvimento apropriado e oportuno de partes interessadas e, em p articular, dos tomadores de decisão em todos os níveis da organização assegura que a gest ão de riscos permaneça pertinente e atualizada. O envolvimento também permite que as partes interessadas sejam devidamente representadas e tenham suas opiniões levadas em consideração na determinação dos critérios de risco. 5 0 0 7 2 R B N I T e d s o c s i R e d o ã t s e G

6

j. A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças. A gestão de riscos continuamente percebe e reage às mudanças. À medida que acontecem eventos externos e internos, o contexto e o conhecimento modicam-se, o monitoramento e a análise crítica de riscos são realizados, novos riscos surgem, alguns se modicam e outros desaparecem.

k. A gestão de riscos facilita a melhoria contínua da organização. Convém que as organizações desenvolvam e implementem estratégias para melhorar a sua maturidade na gestão de riscos, juntamente com todos os demais aspectos da sua organização.

Estes princípios da gestão dos riscos devem ser os norteadores desta nobre atividade no dia a dia das organizações.

Normas de gestão de segurança e de riscos 1 1

Norma ABNT NBR ISO/IEC 27001:2006

q


A área de segurança da informação possui um conjunto de normas para serem utilizadas nas mais diversas organizações, a m de permitir uma p adronização dos requisitos e procedimentos para a implementação de um SGSI. ABNT


Fundada em 1940, a Associação Brasileira de Normas Técnicas é o órgão responsável pela normalização técnica

2 Tecnologia da Informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos

2 Apresenta e descreve os requisitos que devem ser implementados no estabelecimento de um Sistema de Gestão de Segurança da Informação (SGSI).

no país, fornecendo a base necessária ao desenvolvimento tecno-

1


2 Tecnologia da informação – Técnicas de segurança – Código de prática para a gest ão

lógico brasileiro. É uma entidade privada, sem

de segurança da informação

fins lucrativos.

2 Apresenta as melhores práticas para uma gestão adequada da segurança da informação. Podendo ser aplicadas a qualquer ambiente de uma organização (par ticularmente ao ambiente de TI), estas normas destacam a necessidade das organizações de possuírem uma gestão de riscos estruturada, com a padronização de processos e requisitos de gestão de riscos.

Saiba mais

l

As normas descritas acima são apresentadas no curso Gestão de Segurança da Informação – NBR 27001 e 27002, oferecido pela Escola

Superior de Redes.

Em 1995, a comissão de padronização da Austrália e Nova Zelândia lançou a primeira norma tratando do tema: AS/NZS 4360 – Gestão de Risco. Genérica, a norma estabelece um processo de gestão de riscos amplamente aceito, tendo sido atualizada em 1999 (AS/NZS 4360:1999). Em 1996, a International Organization for Standardization (ISO) criou um grupo de trabalho baseado na AS/NZS 4360 para criar um projeto de gestão de risco, que passou por diversos problemas e só foi concluído em 2009. ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes:

1 1

Norma que fornece os princípios e diretrizes genéricas para qualquer indústria ou setor. Criada para ser aplicada a qualquer ambiente ou organização.

ABNT ISO GUIDE 73:2009 Gestão de R iscos – Vocabulário:

1 1

Norma que apresenta as denições de termos genéricos relativos à gestão de riscos. Referência de conceitos ligados à gestão de risco.

q


7

ISO/IEC 31010:2009 Gestão de riscos – Técnicas de avaliação de riscos:

1

Norma que deve ser trabalhada em apoio à norma “ABNT NBR ISO 31000:2009 Gestão de Riscos – Pr incípios e diretrizes”.

1

Descreve as diversas técnicas e ferrament as de análise de risco, e não foi ainda traduzida pela ABNT.

q

Em 2009 é lançada pela ISO e imediatamente pela Associação Brasileira de Normas Técnicas (ABNT) a norma ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes. Esta norma fornece os princípios e diretrizes genéricas para qualquer indústria ou setor. No mesmo ano foi lançada a norma ABNT ISO GUIDE 73:2009 Gestão de Riscos – Vocabu lário. Ela apresenta as denições de termos genéricos relativos à gestão de riscos. Quando se pretende fazer referência a um conceito de gestão de riscos, deve ser utilizada a de nição da norma ABNT ISO GUIDE 73:2009 Gestão de Riscos – Vocabulário. Segundo a ABNT: “Este guia fornece as denições de termos genéricos relativos à gest ão de riscos. Destina-se a incentivar uma compreensão mútua e consistente, uma abordagem coerente na descrição das atividades relativas à gestão de riscos e a utilização de terminologia uniforme de gestão de riscos em processos e estruturas para gerenciar riscos”. Em 2012, foi lançada em português a norma “ABNT NBR ISO/IEC 31010:2012 Gestão de riscos – Técnicas para o processo de avaliação de riscos” deve ser trabalhada em apoio à norma “ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes”. A norma descreve as diversas técnicas e ferramentas de análise de r isco, fornecendo orientações sobre a seleção e aplicação de técnicas sistemáticas para o processo de avaliação de riscos. Este grupo de nor mas da série 31000 visa atender a qualquer tipo de ambiente de uma organização. Proporcionam, portanto, uma concepção ampla e genérica da gestão de riscos, sendo aplicadas para avaliar e tratar qualquer tipo de risco corporativo. Durante o desen volvimento destas normas, foi publicada em 20 08, pelo grupo de t rabalho especíco de tecnologia da informação, a norma “ABNT NBR ISO/IEC 27005: 2008 Tecnologia da Informação – Técnicas de Segurança – Gestão de riscos de segurança da informação”. Esta norma foi desenvolvida com base nos estudos da ISO 31000:2009, e portanto atende aos seus requisitos e ao seu processo de gestão de r isco. A ISO/IEC 27005 faz parte do conjunto de normas da série de 27000, sobre o Sistema de Gestão de Segurança da Informação (SGSI), onde são incluídas ainda as normas ISO/IEC 27001 e ISO/IEC 27002. Esta norma apresenta as melhores práticas e possibilita o aprofundamento em aspectos exclusivos da segurança da informação, enquanto a ISO 31000 é mais genérica e contempla todos os setores.

5 0 0 7 2 R B N I T e d s o c s i R e d o ã t s e G

8

O enfoque deste curso es tá na norma “ABNT NBR ISO/IEC 27005: 2008 Tecnologia da Informação – Técnicas de Segurança – Gestão de riscos de segurança da informação”. Os conceitos, processos e atividades apresent ados se adequam ao que propõe a norma “ABNT NBR I SO 31000:2009 Gestão de Riscos – Princípios e diretrizes”, podendo ser aplicados em qualquer outra área que não a de T I.

O quadro abaixo apresenta um resumo comparativo entre estas normas: Norma

Título

Objetivo

Observação

27001

Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos

Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado no contexto dos riscos de negócio globais da organização. Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou de suas partes. Cobre todos os tipos de organização (empreendimentos comerciais, agências governamen tais, organizações sem fins lucrativos, entre diversas outras).

Trata mais especificamente de diretrizes e princípios para um sistema de gestão de segurança da informação.

27002

Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação

Estabelece diretrizes e p rincípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação. Os objetivos definidos nesta norma estabelecem diretrizes gerais para as metas e melhores práticas para a gestão da segurança da informação.

Voltada para controles de segurança.

27005

Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação

Apresenta um sistema de gest ão de riscos de segurança da informação com foco em tecnologia da informação.

Esclarece como gerenciar riscos de segurança da informação.

31000

Gestão de riscos – Princípios e diretrizes

Norma que apresenta princípios e diretrizes básicas para a gestão de riscos em geral em qualquer tipo de ambiente.

Editada em 2009, deste ano em diante as demais normas de gestão de riscos devem estar alinhadas a ela.

31010

Gestão de riscos — Técnicas para o processo de avaliação de riscos

Descreve as diversas técnicas e ferramentas de análise de riscos.

Editada em 2012.

GUIDE 73

Gestão de risos – Vocabulário

Apresenta as def inições de termos genéricos relativos à gestão de riscos.

Editada em 2009.

Tabela 1.2 Resumo comparativo entre

as normas.

Norma ABNT NBR ISO/IEC 27005:2008 ABNT NBR ISO/IEC 27005:2008 – Tecnologia da Informação – Técnicas de Segurança – Gestão de riscos de segurança da informação

1 1

q

Apresenta as diretrizes para o gerenciamento dos riscos de segurança da informação. Emprega os conceitos da norma ABN T NBR ISO 27001:2005.

A norma “ABNT NBR IS O/IEC 27005:2008 – Tecnologia da Informação – Técnicas de Segurança – Gestão de riscos de segurança da informação” foi publicada em julho de 2008 e apresenta as diretrizes para o gerenciamento dos riscos de segurança da informação. Emprega os conceitos da norma ABNT NBR ISO 27001:2005, que especica os requisitos de sistemas de gestão da segurança da informação.


9

Esta norma descreve todo o processo necessário p ara a gestão de riscos de segurança da informação e as atividades necessárias para a perfeita execução da gestão. Apresenta práticas para gestão de riscos da segurança da infor mação. As técnicas nela descritas seguem o conceito, os modelos e os processos globais especicados na norma ABNT NBR IS O/IEC 27001, além de apresentar a metodologia de avaliação e tratamento dos riscos requeridos pela mesma norma. Partindo do princípio de que a gestão de riscos é um processo cíclico e contínuo, a norma está dividida em sessões e anexos. As sessões contêm as informações do processo e das atividades necessárias para a sua execução. Existem 12 sessões ao todo: as sessões de 1 a 4 tratam das referências e da estr utura da norma, e as sessões 5 e 6 apresentam a visão geral do processo de gestão de riscos. A s sessões a partir da 7 tratam especicamente do processo de gestão de riscos. Os seis anexos são identicados de A a F e trazem informações adicionais e exemplos. Nas sessões de 7 a 12 as atividades de gestão são apresentadas de acordo com a seguinte estrutura:

1 1 1

Entrada: refere-se aos insumos e premissas necessárias para a realização da atividade. Ação: descrição da ati vidade, sempre acompanhada do “convém”. Diretrizes para implementação: diretrizes necessárias para a realização da ação, isto é,

o detalhamento de como a ação pode ser realizada. Estas diretrizes devem ser adaptadas a cada tipo de organização. Também estão acompanhadas do “convém”.

1

Saída: apresenta os resultados que devem ser alcançados e que vão servir para gerar evidências.

Este curso utiliza o processo de ges tão de riscos normatizado contido na norma ABNT NBR ISO/IEC 27005.

Visão geral da gestão de riscos


10

1

É necessária uma abordagem sistemática de gestão de riscos que varia de organização para organização assim como o nível de risco aceitável de cada uma.

1

Risco aceitável é o grau de risco que a organização está disposta a aceitar para concretizar os seus objetivos.

1 1

Necessidade de aumentar a capacidade de gerir o risco e otimizar o retorno.

q

A abordagem de gestão de riscos de segurança da informação deve ser:

2 Contínua. 2 Realizada no tempo apropriado. 2 Repetitiva. 2 Própria ao ambiente da organização. 2 Ajustada ao processo de gest ão de riscos corporativos. 2 Alinhada com os requisitos de negócios. 2 Apoiada pela alta direção. Gestão de riscos são ativ idades formalizadas e coordenadas para controlar e dirigir um con junto de instalações e pessoas com relações e responsabilidades, entre si e externamente, no que se refere a riscos nos negócios sob a ótica da segurança da informação.

Denição do contexto;

1 1 1 1 1 1

Análise/Avaliação de riscos; Tratamento do risco; Aceitação do risco; Comunicação do risco; Monitoramento e análise crítica; Ciclo de melhoria contínua PDCA.

A Tabela 1.3 mostra as principais atividades de gestão de riscos da segurança da informação.

Tabela 1.3 Principais atividades de gestão de riscos da segurança da

Processo do SGSI

Processo de gestão de riscos de segurança da informação

PLANEJAR

1 Definição do contexto 1 Análise/Avaliação de riscos 1 Definição do plano de tratamento do r isco 1 Aceitação do risco

EXECUTAR

Implementação do plano de tratamento do risco

VERIFICAR

Monitoramento contínuo e análise crítica de riscos

AGIR

Manutenção e melhoria do processo de gestão de r iscos de segurança da informação

informação.

Saiba mais Dica de leitura:

BERNSTEIN, Peter. Desao aos deuses: a fascinante história do risco.

Editora Campus, 1997.

Em seu livro “Des ao aos deuses: a fascinante história do risco”, Peter Bernstein nos pre senteia com uma detalhada análise histórica da evolução do controle e prev isão dos riscos pela humanidade, desde a G récia antiga. Segundo o au tor, somos possuidores de elevado potencial técnico para a prevenção das perdas e ganhos, mesmo que o comportamento dos agentes seja imprevisível. Nas suas palavras: “ ... aconteça o que acontecer e apesar de todos os nossos esforços, os seres humanos não possuem o conhecimento completo sobre as leis que denem a ordem do mundo objetivamente existente”. Port anto, o autor nos desqualica como “previsores perfeitos” do futuro.

l

Bernstein diz ainda que “Quando inves tidores compram ações, cirurgiões realizam operações, engenheiros projetam pontes, empresários abrem seus negócios e políticos concorrem a cargos eletivos, o risco é um parceiro inevitável. Contudo, suas ações revelam que o risco não precisa ser tão temido: administrar o risco é sinônimo de desao e opor tunidade”. O risco faz parte de nosso cotidiano, de modo que precisamos conhecê-lo para poder tratá -lo e dele extrair novas oportunidades. É inquestionável a importância do papel que a tecnologia da informação exerce na socie dade para que esta alcance seus objetivos. A integração do ambiente tecnológico, caracte rizado pela complexidade e interdependência, produz contextos muitas vezes hostis que propiciam ataques cada vez mais frequentes à segurança da informação, exigindo respost as cada vez mais rápidas das organizações. A este quadro vêm somar-se novas obrigações legais, de proteção de privacidade e governança corporativa, gerando a necessidade das organizações gerenciarem mais efetivamente sua infraestrutura de tecnologia. Para enfrentar estas n ovas ameaças e demandas as organizações devem desenvolver uma atitude proativa, antecipando-se em conhecer suas fraquezas e vulnerabilidades. Isto pode ser obtido através da adoção de um processo formal de gerenciamento de riscos de segurança da informação, que permita à or ganização estabelecer um nível aceitável de risco.


11

Para isso é necessária uma abordagem sistemática de gestão de riscos, que irá var iar de acordo com o negócio de cada organização, assim como o nível de risco aceitável estabele cido pela direção de cada organização. Risco aceitável é o grau de risco que a organização está disposta a aceitar para a concretização dos seus objetivos estr atégicos.

Exercício de fixação 2 Visão geral

e

Na sua organização, qual seria o “risco aceitável” na realização das suas ati vidades? Explique.

Aumentar a capacidade de gerir o r isco e otimizar o retorno são ações integrantes de uma abordagem sistêmica, que proporciona um processo formal para a melhoria da c apacidade de identicação e avaliação dos riscos. Esta abordagem deve estar de acordo com os obje tivos da organização, atendendo às suas necessidades especícas de acordo com os re qui sitos de segurança da informação. Para isso, a abordagem de gestão de riscos de segurança da informação deve ser:

1 1 1 1 1 1 1

Contínua; Realizada no tempo apropriado; Repetitiva; De acordo com o ambiente da organização; Ajustada ao processo de gest ão de riscos corporativos; Alinhada com os requisitos de negócios; Apoiada pela alta direção.

Partindo do conceito amplo de que o processo de gestão é composto de atividades coordenadas e formalizadas para controlar e dirigir uma organização – formada por suas instalações e pessoal, com relações e responsabilidades entre si e com agentes externos –, pode-se inferir que a gestão de riscos é composta de atividades formalizadas e coordenadas para controlar e dirigir um conjunto de instalações e pessoas com relações e responsabilidades, entre si e com o ambiente externo, no que se refere a riscos nos negócios sob a ótica da segurança da informação.


12

A Figura 1.1 apresenta uma visão do processo de gestão de riscos de segurança da informação segundo a norma ABNT NBR ISO/IEC 27005.

DEFINIÇÃO DO CONTEXTO PROCESSO DE AVALIAÇÃO DE RISCOS O C S I R O D A T L U S N O C E O Ã Ç A C I N U M O C

IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS

AVALIAÇÃO DE RISCOS

PONTO DE DECISÃO 1

Não

Avaliação satisfatória

Sim TRATAMENTO DO RISCO PONTO DE DECISÃO 2

S O C S I R E D A C I T Í R C E S I L Á N A E O T N E M A R O T I N O M

Não

Tratamento satisfatório

Sim Figura 1.1 Processo de gestão de riscos de segurança da

ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES

informação.

O processo tem seis grandes grupos de ativ idades:

1 1 1 1 1 1

Denição do contexto; Análise/Avaliação de riscos; Tratamento do risco; Aceitação do risco; Comunicação do risco; Monitoramento e análise crítica.

Como pode ser visto na Figura 1.1, o ciclo de vida da gestão de riscos de segurança da informação é iterativo, onde a gestão se desenvolve de maneira incremental, através de uma sucessão de iterações, e cada iteração libera uma entrega (saída) para a seguinte, minimizando tempo e esforço.

Definição do contexto Dentro do processo, a denição do contexto é responsável pela denição do ambiente, escopo, critérios de avaliação, entre outr as denições.


13

Esta etapa é essencial para a equipe que realiza a gestão de r isco conhecer todas as informações sobre a organização.

Análise/Avaliação de riscos A próxima iteração é de análise e avaliação de risco, que permitirá a identicação dos riscos e a determinação das ações necessárias para reduzir o risco a um nível aceitável.

Tratamento do risco A partir dos resultados obtidos na análise e avaliação do risco são denidos os controles necessários para o tratamento do risco. A norma A BNT NBR ISO/IEC 27001 especica os controles que deverão ser implementados.

Aceitação do risco Assegura os riscos aceitos pela organização, ou seja, os riscos que por algum motivo não serão tratados ou serão tratados parcialmente. São os chamados riscos residuais, cujo enquadramento nesta categoria deverá ser justicado.

Comunicação do risco Nesta etapa é feita a comunicação do risco e da forma como será tratado, para todas as áreas operacionais e seus gestores.

Monitoramento e análise crítica São as atividades de acompanhamento dos resultados, implementação dos controles e de análise crítica para a melhoria contínua do processo de gestão de r iscos. Todas estas etapas serão detalhadas nas próximas sessões. A norma ABNT NBR ISO/IEC 27001 especica que os controles implementados no escopo, limites e contexto do Sistema de Gestão de Segurança da Informação (SGSI) devem estar baseados no risco. Este requisito deve ser atendido através da aplicação do processo de gestão de riscos de segurança da informação. No ambiente de um SGSI, a de nição do contexto, a análise e avaliação de riscos, o desen volvimento do plano de tratamento do risco e a aceitação do risco fazem parte da fase “Planejar” do ciclo de melhoria contínua PDCA. Já a fase “Executar” do SGSI é a implementação de controles para conduzir os riscos ao nível aceitável pela organização. A fase “ Vericar” do SGSI, por sua vez , inclui as ações de revisão. Finalmente, a fase “Agir” compreende as ações necessárias para execução, incluindo a reaplicação do processo de gestão de riscos de segurança da informação.


14

Podemos resumir da seguinte forma as principais atividades de Gest ão de riscos de segurança da informação: Processo do SGSI


PLANEJAR

Definição do contexto Análise/Avaliação de riscos Definição do plano de tratamento do r isco Aceitação do risco

EXECUTAR

Implementação do plano de tratamento do risco

Processo do SGSI


VERIFICAR

Monitoramento contínuo e análise crítica de riscos

AGIR

Manutenção e melhoria o processo de Gestão de Riscos de Segurança da Informação

P L A

N E J A R

I R

A G

Manutenção e melhoria do processo

Definição do contexto P

L

A

R

A

N

C

I

F

I

R

E

V

E

Análise/Avaliação de riscos

Implementar o plano de tratamento R

A

T U C

E X E

Figura 1.2 Processo de gestão de riscos e o

A

J

Monitoramento e análise crítica

Definição do plano de tratamento Aceitação do risco

R

P

L

A

N E J A

R

P L A N R A J E

modelo PDCA.

Exercício de fixação 3 PDCA

e

Explique como a fase planejar (PDCA) do pr ocesso do SGSI é executado no processo de gestão de riscos de segurança da informação.

Fatores críticos para o sucesso 1 1 1 1 1 1 1 1 1

Redução das surpresas operacionais e prejuízos. Identicação de oport unidades de crescimento e melhorias. Racionalização do capital estabelecendo uma ordem de prioridades de investimento. Prá-atividade com o uso dos recur sos computacionais nos negócios. Envolvimento e participação da alta direção no processo. Comunicação e treinamento. Denição de objetivos. Papéis e responsabilidades denidos. Integração com as atividades de gestão de segurança da informação.

q


15

A gestão de riscos de segurança da informação é implementada pelas organizações na busca por vantagens competitivas para os negócios. É fundamental demonstrar, para as partes interessadas, uma postura de segurança na gestão dos riscos relacionados à proteção dos ativos e informações. Os fatores críticos para o sucesso estão relacionados aos benefícios que devem ser alcançados pelas organizações, a depender da natureza de cada or ganização. Para atingir tais benefícios é preciso realizar as etapas que envolvem os fatores críticos para o sucesso. Como exemplos destes fatores podemos mencionar os listados a seguir.

Envolvimento e participação da alta direção no processo É essencial para o sucesso de qualquer projeto que a direção esteja envolvida e comprometida com o seu desenvolvimento e sucesso de acordo com os objetivos estratégicos denidos.

Comunicação e treinamento Todo o processo precisa ser comunicado a todas as partes envolvidas antes do seu início, durante o seu desenvolvimento e após sua conclusão, com a apresentação dos resultados alcançados e metas atingidas. Em um processo de gestão de r iscos todos os participantes devem ser envolvidos, e para isso é necessária a realização de campanhas de conscientização e treinamentos.

Definição de objetivos O estabelecimento de objetivos contribui decisivamente com o alcance das metas da gestão de riscos.

Papéis e responsabilidades definidas Todos os integrantes das partes envolvidas devem conhecer as suas atribuições e responsabilidades durante todo o processo de gestão de riscos de segurança da informação.

Integração com a gestão de segurança da informação As atividades de gestão de riscos devem estar totalmente integradas às atividades do SGSI. No desenvolvimento deste curso serão explorados os fatores crí ticos de sucesso pertencentes a cada etapa da gestão de riscos de segurança da informação.

Áreas de conhecimento necessárias Os prossionais envolvidos nas atividades de análise de risco possuem um per l com conhecimento em diversas áreas:


16

1 1 1 1

q

Técnico. Negócios. Legislação. Processos.

Para a melhor aplicação do processo de gestão de riscos, é importante que os prossionais envolvidos possuam um perl com conhecimento de áreas diversas, permitindo a identi cação das ameaças e v ulnerabilidades em qualquer ambiente organizacional. Na equipe encarregada da realização da análise de risco preferencialmente devem ser encontrados os seguintes pers:

1

Técnico: contribui no atendimento das demandas das diversas áreas técnicas da organi-

zação, incluindo as áreas de hardware, soft ware, sistemas operacionais, infraestrutura e aplicações web, entre outras.

1

Negócios: auxilia a equipe no entendimento preciso dos negócios da organização e seus

múltiplos processos, além de ter importância no cálculo dos impactos.

1

Legislação: perl voltado ao entendimento dos aspectos legais e normativos com os

quais a organização analisada necessita se alinhar.

1

Processos: permite a compreensão dos processos e através de sua análise identica pos -

síveis ameaças e vulnerabilidades, contribuindo com a elaboração de planos de gestão e tratamento de riscos. Estes são alguns exemplos de pers ou conhecimentos necessários para a análise de risco. O tipo da organização e seus objetivos de negócios indicarão os pers realmente importantes para compor a equipe de trabalho. Não existe a necessidade de um prossional para cada perl citado, pois os conhecimentos podem ser encontrados em um mesmo prossional. A quantidade de prossionais alocados será determinada pelo escopo da análise e prazo.

Leitura complementar

1 1

Sessões 4, 5 e 6 da norma ABNT NBR ISO/IEC 27005.

1

Enterprise Risk Management: Past, Present and Fu ture: http://www.casact.org/education/erm/2004/handouts/kloman.pdf

1

Interdisciplinary Risk Management: http://www.riskinfo.com/rmr/rmrjun05.htm

1

Quatro dicas para uma gestão de r iscos eciente: http://cio.uol.com.br/gestao/2009/07/03/quatro-dicas-para-a-boa-gestao-de-riscos/

1

AS/NZS 4360: http://www.standards.org.au/

1

História da AS/NZS 4360: http://www.riskinfo.com/rmr/rmrsept00.htm

Item 4 da Norma Complementar Gestão de Riscos de Segurança da Informação e Comunicações – GRSIC, do DSIC/GSI/PR: http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf


17


18

Roteiro de Atividades 1 Atividade 1.1 – Conhecendo os conceitos Para cada conceito a seguir, explique e apresente um exemplo baseado na organização em que você trabalha. Justique sua resposta: Conceito

Definição

Exemplo

Justificativa

Riscos de segurança da informação Identificação de riscos Impacto Compartilhamento do risco Evitar o risco Comunicação do risco Estimativa do risco Tratamento do risco Aceitação do risco

Atividade 1.2 – Conhecendo a norma Descreva como está organizada a norma ABN T NBR ISO/IEC 27005, citando suas sessões.

Explique como estão estruturadas as ativ idades das sessões 7 a 12 da norma ABNT NBR ISO/IEC 27005. s e d a d i v i t A e d o r i e t o R 1 o l u t í p a C

19

Atividade 1.3 – Identificando o processo Descreva a sequência das etapas do processo de gestão de riscos.

Atividade 1.4 – Fatores críticos O que é a gestão de riscos de segurança da informação e como ela se aplica na sua organização?

Quais são os fatores cr íticos de sucesso? Dê exemplos baseados na sua organização.

Em sua opinião qual a importância de entendermos a gestão de risco para o exercício das nossas atividades cotidianas?


20

O que foi aprendido

1 1 1

Conceito de gestão de risco. Visão geral da gestão de risco. Fatores críticos de sucesso.

q

2 Contexto da gestão de riscos s o v i t e j b o

Conceituar e denir o contexto do ambiente da gestão de riscos; identicar o escopo e as atividades de denição de critérios no processo de gestão de riscos.

c o n c e i t o s

Contexto, escopo, limites e critérios.

Introdução Ao iniciar qualquer tipo de trabalho, a primeira atividade a ser feita é conhecer o ambiente em que o trabalho será desenvolvido, as pessoas que de alguma forma irão interagir, o que será desenvolvido; em resumo, “conhecer o terreno” para saber conduzir o andamento dos trabalhos. Nas atividades que envolvem gestão de riscos de segurança da informação a denição do con texto é a parte inicial e tem como objetivo permitir o conhecimento do ambiente da organização.

Exercício de nivelamento 1 Contexto

e

No seu entendimento qual o contex to atual da sua organização?

Processo de gestão de riscos de segurança da informação 1 1

Conhecer a sequência das fases da gestão de riscos. Ter acesso a toda a documentação da organização.

Na sessão anterior foi apresentada a visão geral do processo de gest ão de riscos. É necessário que o conhecimento da sequência das fases do processo faça parte do dia a dia dos prossionais envolvidos com a gestão de riscos.

q

s o c s i r e d o ã t s e g a d o t x e t n o C 2 o l u t í p a C

21



ANÁLISE DE RISCOS


PONTO DE DECISÃO 1

Não


Sim TRATAMENTO DO RISCO


Não

PONTO DE DECISÃO 2 Tratamento satisfatório

Sim ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES Para realizar esta atividade, os prossionais deverão ter acesso a toda documentação sobre a organização, permitindo assim o amplo conhecimento sobre as especicidades da organização.

Contexto É necessário entender o signicado conceitual de “contexto” e sua aplicação na gestão de riscos. Ao buscar o seu signicado nos dicionários, encontra-se, entre outras denições, que contexto é um substanti vo masculino que signica “inter-relação de circunstâncias que acompanham um fato ou uma situação”.


22

Assim, ao nos referirmos a “contexto” queremos na verdade tratar da totalidade de circunstân cias que possibilitam, condicionam ou determinam a realização de um texto, projeto, atividade ou mesmo de um evento de segurança da informação. Em outras palavras, contexto é o conjunto de circunstâncias que se relacionam de alguma forma com um determinado aconteci mento. É a situação geral ou o ambiente a que está sendo referido um determinado assunto. Chamamos de contextualização a atividade de mapear todo o ambiente que envolve o evento em análise. No processo de gestão de riscos esta é a primeira atividade a ser desempenhada.

Figura 2.1

Denição do contexto.

Segundo a norma ABNT NBR ISO 31000:2009 o contexto pode ser analisado sob dois aspectos:

1

Contexto Externo: é o ambiente ex terno no qual a organização se situa e busca atingir seus objetivos (ambiente cultural, nanceiro, regulatórios, tecnológico, econômico, competitivo, entre outros).

1

Contexto Interno: é o ambiente interno no qual a organização busca atingir seus objetivos (governança, estrutura organizacional, políticas, objetivos, capacidades, sistemas de informação, cultura organizacional, normas, diretrizes, entre outras).

Estabelecimento do contexto De acordo com a norma ABNT NBR ISO/IEC 31000, no momento em que a organização estabelece seu contexto ela:

1 1 1

q

q

Articula seus objetivos. Dene parâmetros internos e externos. Dene o escopo e os critérios de r isco para todo o processo de gestão de riscos.

De acordo com a norma ABNT NBR ISO/IEC 31000, no momento que a organização estabelece seu contexto ela articula seus objetivos, denindo parâmetros internos e externos que devem ser levados em consideração para gerenciar o risco, e dene o escopo e os critérios de risco para todo o processo de gestão de r iscos.

Contexto da norma ABNT NBR ISO/IEC 27005 Seção 7 da ABNT NBR ISO/IEC 27005: trata as atividades desenvolv idas durante a fase de contexto da gestão de riscos.

1 1 1

q

Apresentações da organização. Entrevistas. Questionários:

2 Seção 7.1 – Considerações iniciais. 2 Seção 7.2 – Critérios básicos. 2 Seção 7.3 – Escopo e limites. 2 Seção 7.4 – Organização para gestão de riscos de segurança da informação. 1

Anexo A – Informativo.

A seção 7 da norma ABNT NBR ISO/IEC 27005 trata das atividades que devem ser desenvolvidas durante a fase de contexto da gest ão de riscos. Essas atividades devem ser desenvolvidas pela equipe responsável pela gestão de r iscos, sendo realizadas por meio de interações com os prossionais da organização avaliada através de:

1 1 1

Apresentações da organização; Entrevistas com diretores, gerentes, técnicos e usuários; Questionários.

A seção 7 desta norma está organizada da seguinte forma:

1 1

Seção 7.1 – Considerações iniciais: nalidade de realizar a contextualização; Seção 7.2 – Critérios básicos: critérios de avaliação;


23

1

Seção 7.3 – Escopo e limites: importância da denição do escopo e os limites da gestão de riscos;

1

Seção 7.4 – Organização para gestão de riscos de segurança da informação: organização e responsabilidades do processo de gestão de riscos;

1

Anexo A – Informativo: detalhes para a denição do escopo e restrições que podem impactar nos trabalhos.

Definindo o contexto 1 1 1 1

Suporte a SGSI.

q

Conformidade legal. Plano de continuidade de negócios. Plano de resposta a incidentes.

Ao iniciar o trabalho de gestão de riscos deve- se primeiramente fazer um levantamento de todas as informações relevantes sobre o ambiente onde será executada a análise de riscos. Deve estar claro ainda o entendimento sobre as ativ idades da organização e os propósitos que a levaram à gestão de riscos de segurança da informação. São exemplos destes propósitos:

1

Suporte a SGSI: a organização optou por implementar um SGSI e para isso deve realizar

a gestão de risco de segurança da informação como requisito obrigatório.

1

Conformidade legal: atendimento a uma determinação legal ou normatizadora.

Ex: bancos, operadoras de cartão de crédito.

1

Plano de Continuidade de Negócios : necessário para a preparação do plano que visa

estruturar o modo como a organização enfrentará um evento catastróco. Para que não ocorra um impacto signicativo ao negócio é necessária a realização do processo de gestão de riscos.

1

Plano de resposta a incidentes : para que a organização possa ter seu plano de res-

postas a incidentes é necessário o conhecimento de seus riscos e vulnerabilidades. De modo geral, o entendimento dos propósitos da implantação da gestão de riscos possibi lita uma visão da importância des ta atividade para os negócios da organização. Na norma ABNT NBR ISO/IEC 27005 o propósito faz parte das diretrizes para implementação da ativ idade de denição do contexto: vide 7.1 – Considerações gerais.

Itens para identificação


24

Ao analisar o ambiente da organização, a equipe de analistas deve identicar os elementos que caracterizam a organização e contribuem p ara o seu desenvolvimento. Na análise da organização devem constar pelo menos os seguintes itens:

Tabela 2.1 Itens para análise

da organização.


Exemplo de questionamentos

Propósito principal da organização

Qual a finalidade da empres a? Quais seus objetivos?

O negócio

Qual o seu negócio? Qual a finalidade do que é produzido / desenvolvido?

A missão

Qual a sua missão? Para que ela existe? O que ela se propõe a fazer? Para quem?


Exemplo de questionamentos

A visão de futuro

Qual sua visão de futuro? O que se espera dela no tempo?

Os valores

Quais os seus valores? Como eles são evidenciados?

A estrutura organizacional

Como ela está organizada e estrut urada? E a segurança das informações? E as responsabilidades pela segurança?

O organograma

Qual o seu organograma? “Quem é quem e em que setor t rabalha”? Há área de segurança da informação?

As estratégias

Quais são as suas principais estratégias de negócios? E de segurança da informação?

Os produtos

Quais são os seus produtos? Qual o principal produto de alavancagem dos negócios?

Os parceiros

Quem são seus parceiros? Como são escolhidos? Como contribuem? Como é o relacionamento da segurança da informação com eles? Quais as obr igações da segurança da informação?

Os terceiros

Quem são os terceiros? Como são escolhidos? Como contribuem? Como é o rela cionamento da segurança da informação com eles? Como é o contrato? Quais as obrigações da segurança da informação?

As instalações

Como está dividida a organização? Onde estão os servidores? Há algum mecanismo de prevenção de incêndio? Como é feita a proteção física? Como são os acessos?

Os funcionários

Como são contratados? Há treinamento de segurança da informação? Como são contratados?

Exercício de fixação 1 Definindo o contexto

e

Qual a nalidade da sua organização? Explique.

Qual deve ser um dos propósitos que devem levar a gestão de riscos de segurança da informação na sua organização? Justique.


25

Definindo escopo e limites 1

Escopo é descrição dos limites do projeto, sua abrangência, seus resultados e entregas. É a nalidade da gestão de riscos.

1

Devem ser considerados:

2 Os objetivos e políticas da organização. 2 Estrutura e funções da organização. 2 Processos de negócios. 2 Ativos. 2 Expectativas. 2 Restrições. 1

As restrições afetam a organização e determinam o direcionamento da segurança da informação.

1

Algumas destas restr ições podem causar impactos no escopo e a equipe tem que estar preparada para identicá- las e determinar a inuência que terão no escopo. Exemplos de restrições:

2 Restrições técnicas. 2 Restrições nanceiras. 2 Restrições ambientais. 2 Restrições temporais (tempo é um fator determinante). 2 Restrições organizacionais. 1 1


26

O anexo A da norma ABNT NBR ISO/IEC 27005 apresenta e detalha estas restrições. Exemplos de escopo e limites:

2 Uma aplicação de TI. 2 A infraestrutura de TI. 2 Um processo de negócio. 2 O departamento de TI. 2 Uma lial. 2 O sistema de internet banking de uma inst ituição nanceira. 2 O serviço de e-mail da organização. 2 O processo de controle de acesso físico da organização. 2 O datacenter da organização. 2 A infraestrutura que atende aos serv iços ADSL de uma operadora. 2 O serviço de callcenter. 2 O sistema logístico de distribuição de provas de concurso público nacional. 2 A intranet da organização. Para lidar com a complexidade da denição do escopo, é recomendável escrevê-la por tópicos, tendo a certeza de que todos os pontos foram incluídos e que não existem dúvidas, principalmente entre o entendimento da equipe de gestão de riscos e a organização.

q

É importante que a organização dena o escopo e os limites da gestão de riscos de segurança da informação. Mas o que é escopo? Escopo é a maneira como são descr itos os limites do projeto, sua abrangência, seus resul tados e suas entregas. É a nalidade, o alvo, o intento ou propósito da gestão de r iscos. Se o escopo for nebuloso, ou deixar margem para interpretação, será difícil para a equipe de gestão de riscos identicar os limites do seu trabalho. Port anto, o escopo deve ser claro, bem denido e entendido pela equipe de trabalho e pela organização. Dest a forma, com o escopo e os limites identicados, a equipe de análise e a organização est arão aptos a levantar os ativos, pessoas, processos e inst alações que serão envolvidas na atividade de análise e avaliação dos riscos. Ao denir o escopo, a organização deverá levar em conta os objetivos que devem ser alcançados com a análise/avaliação (propósitos). Para isso devem ser considerados:

1 1 1 1 1 1

Os objetivos e políticas da organização; Estrutura e funções da organização; Processos de negócios; Ativos; Expectativas; Restrições.

É importante considerar as restrições que afetam a organização e determinam o direcionamento da segurança da informação. Algumas destas restrições podem c ausar impactos no escopo, de modo que a equipe precisa estar preparada para identicá-las e determinar a inuência que terão no escopo. Alguns exemplos de restrições:

1 1 1 1 1

Restrições técnicas; Restrições nanceiras; Restrições ambientais; Restrições temporais (tempo é um fator determinante); Restrições organizacionais.

Existem muitas outras restrições, que irão variar em função do tipo ou do negócio da organização, assim como também irá variar a inuência destas restrições na gest ão de riscos. O anexo A da norma ABNT NBR ISO/IEC 27005 apresenta e detalha estas restrições, sendo uma leitura obrigatória para um melhor entendimento. Estes são apenas alguns exemplos bem objetivos. É preciso avaliar a complexidade do escopo e fazer um detalhamento dos seus objetivos, para que não haja dúvida a respeito da sua amplitude.

e

Exercício de fixação 2 Definindo o escopo e limites

Quais propósitos devem ser considerados na sua organização para denição do escopo? Justique.


27

Cite uma restrição técnica e uma restrição organizacional possível de existir na sua organização? Justique.

Critérios para avaliação de riscos 1 1

Os critérios fazem parte do método da gestão de riscos.

q

Os critérios são a forma e o valor (pesos) com que os riscos e impactos serão valorados.

A palavra critério, do grego kritérion pelo latim critério, signica est abelecer um padrão que serve de base para que coisas e pessoas possam ser comparadas e julgadas. Os critérios para avaliação de riscos servem para avaliar os riscos de segurança e devem considerar:

1 1 1 1 1

O valor estratégico do processo; A criticidade dos ativos; O histórico de ocorrências de eventos de segurança; O valor do ativo para o processo; A probabilidade de ocorrências e out ros, de acordo com a organização e escopo.

Os critérios também serão utilizados para denir as prioridades para o tratamento dos riscos. Exemplo:

Em um ambiente que possui uma sala usada como depósito de papel e com um precário sistema de prevenção e combate a incêndios, o risco de um incêndio pode ser A LTO. No desenvolvimento dos critérios é importante que: 1. Denir a quantidade de níveis necessários para o critér io; 2. Denir o nome do nível; 3. Denir os valores de cada nível; 4. Fazer uma descrição detalhada de cada nível. Colocar o máximo de informações do que abrange aquele nível a m de permitir que qualquer outra pessoa possa entender cada nível do critério e aplica-lo de forma igualitária e uniforme. 5 0 0 7 2 R B N I T e d s o c s i R e d o ã t s e G

28

Critérios de impacto Impacto é a mudança adversa no nível obtido nos objetivos de negócios. Os critérios de impacto servem para mensurar o montante dos danos ou custos à organização causados pela ocorrência de um evento de segurança da informação. Geralmente estão relacionados a perdas nanceiras. Devem considerar, entre outros:

1 1 1

O comprometimento das operações; O descumprimento de prazos; Os danos de reputação e imagem;

1 1 1 1

Violações de requisitos legais e regulatórios; Severidade e criticidade; O comprometimento da condencialidade, integridade e disponibilidade; Outros, de acordo com a organização e escopo.

Exemplo Se na ocorrência de um incêndio os prejuízos foram apenas locais, restritos a uma sala, o impacto pode ser classicado como BAIXO. Na situação do incêndio ter se alastrado, e não ter sido possível controlá-lo, de modo a ter destruído di versas salas, equipamentos e documentos importantes, o impacto pode ser classicado como ELEVADO.

Critérios para aceitação do risco Servem para a or ganização denir o seu nível ou a sua escala de aceitação dos r iscos. Dependem das políticas, metas e objetivos da organização, sendo denidos com a par ticipação da alta direção da organização. Devem considerar:

1 1 1 1 1 1 1 1

Aspectos legais e regulatórios; Finanças; Aspectos sociais; Repercussão na imagem; Aspectos operacionais; Negócios; Tecnologias. Outros, de acordo com a organização e planejamento futuro dos negócios.

Exemplo:

A empresa deniu que todo risco MUITO BAIXO que possuir IMPACTO BAIXÍSSI MO ou que possa causar perdas nanceiras abaixo de R$ 10 mil será classicado como RI SCO ACEITÁVEL e não será tratado com prioridade. Exemplos de critérios: Nível

Definição

Frequente

> 0,92

Provável

> 0,65 e < = 0,92

Ocasional

> 0,39 e < = 0,65

Remoto

> 0,15 e < = 0,39

Improvável

> = 0 e < =0,15

Valor

Definição

1

Apenas na rede local.

Tabela 2. 3 Exemplo de critério

2

Restringe-se ao setor, departamento ou gerência.

de abrangência.

3

Atinge parte do site onde está o ativo.

Tabela 2.2 Exemplo de critério

de probabilidade.


29

Valor

Definição

4

As consequências incidem sobre todo o site/filial onde está o ati vo.

5

O ativo tem consequências sobre toda a organização.

Nível de risco

Valor

Descrição

Extremo

5

De acordo com a organização

Altíssimo

4


Alto

3


Médio

2


Baixo

1


Irrelevante

0,5


Figura 2.4 Exemplo de critério

de nível de risco.

Outro ponto importante é a denição dos critérios (7.2 Critérios básicos). Os critérios fazem parte do método com o qual será feita a gestão de riscos. Em outras palavras, os critérios são a forma e o valor (pesos) com que serão valorados os riscos e os impactos. Para identicar o maior ou menor risco, e o mais alto ou mais baixo impacto, é preciso denir os critérios. Critério é um padrão que serve de base para que coisas e pessoas possam ser comparadas e julgadas. A denição de critérios de r isco envolve decidir sobre:

1

A natureza e os tipos de consequências a serem incluídos e a forma como serão medidos.

1 1 1 1 1

A maneira pela qual as probabilidades serão representadas.

q

O modo como um nível de risco será determinado. Os critérios que nortearão a decisão pelo tratamento do risco. Os parâmetros para denir quando um risco é aceitável e/ou tolerável. Se as combinações de riscos serão tomadas em consideração.

Os critérios podem ser baseados em fontes como:


30

1 1 1 1

Os objetivos acordados do processo;

1 1 1

O apetite de risco da organização;

Os critérios identicados no caderno de encargos; As fontes de dados; Critérios geralmente aceitos pela indústria, como níveis de integridade, segurança (melhores práticas);

Os requisitos legais cumpridos pela organização; Outros através de informações técnicas de equipamentos especícos ou aplicações.

Os critérios a serem adotados devem ser determinados em comum acordo entre a equipe de gestão de riscos e a or ganização. Caso a organização já possua critérios para outros sistemas de gestão, estes poderão ser adaptados a depender da demanda, facilitando o entendimento dos critérios de gestão de r iscos por parte da organização, pois serão semelhantes aos já utilizados por outros sistemas de gestão implementados.

N í v e l d e r i s co

Valor

Des criç ão

1 Não ocorrem lesões, mortes na força de trabalho e/ou de pessoas D e s p r e zí v e l

Levemente prejudicial

1

2

externas à empresa. Podem ocorrer casos de pr imeiros socorros ou tratamento médico (sem afastamento). 1 Sem danos ou com danos insignificantes aos equipamentos e/ou instalações. 1 Os sistemas de TI f icaram fora de operação por até 5 minutos.

1 Lesões leves na força de trabalho, ausência de lesão. 1 Danos leves aos equipamentos ou instalações, controláveis e/ou de baixo custo de reparo. 1 Os sistemas de TI f icaram fora de operação por até 30 minutos.

1 Lesões de gravidade moderada na força de trabalho ou em pessoas Prejudicial

3

externas à empresa. 1 Lesões leves em pessoas externas à empresa. Danos severos a equipamentos e/ou instalações. 1 Os sistemas de TI f icaram fora de operação acima de 30 minutos. Emissão de nota fiscal por sistema alternativo. Necessidade de recuperar backup.

1 Provoca morte ou lesões graves em uma ou mais pessoas (na força d Extremamente prejudicial

Tabela 2.5 Exemplos de critérios de

impacto.

5

e trabalho e/ou em pessoas externas à empresa). 1 Danos irreparáveis a equipamentos ou ins talações (reparação lenta ou impossível). 1 Acionado site alternativo. Perda de dados e informações. Clientes sem atendimento total.

Cabe ressaltar que estes exemplos provavelmente não se aplicam a qualquer qualquer tipo de organização, mas àquelas para as quais quais foram desenvolvidos. Entretanto, fornecem uma ideia sobre a criação de critérios aplicados às atividades de gestão de riscos. No decorrer deste curso serão desenvolvidos critér ios durante a realização das atividades.

Exercício de fixação 3 Definindo os critérios

e

Que critérios já existem atualmente na sua organização? Justique.

Considerando o ambiente da sua organização, faça a descrição dos níveis “baixo” e “altíssimo” da Tabela 2.5? Justique.


31

Organização para a gestão de riscos

1

A denição dos papéis e responsabilidades é importante p ara o sucesso do processo de gestão de riscos.

1

Devem ser denidos:

q

2 O processo de gestão de r isco adequado à organização. 2 As partes interessadas. envolv idas, internas e externas à organização. 2 Os papéis e responsabilidades das partes envolvidas, 2 As relações necessárias entre a organização, suas par tes interessadas e outros projetos.

2 A cadeia de comunicação e de decisões. 2 Os registros que devem ser mantidos. 2 Outros registros que atendam a par ticularidades especícas de cada tipo de organização.

1

Todas estas atividades devem gerar evidências para a aplicação dos processos de gestão de riscos.

A denição dos papéis e responsabilidades é um fator import ante para o sucesso do processo de gestão de riscos. Para tal isto deve estar formalmente denida, comunicada, documentada e aprovada pelos gestores da alta administração. Deve car claro para todos os envolvidos que o conjunto dest as atividades deve gerar evidências que auxiliem para uma aplicação adequada dos processos de gestão de riscos. Sendo assim, é importante que todas as informações e dados sejam documentados para o caso de uma futura auditoria.


1 1 1


32

Sessão 7 da norma ABNT NBR ISO/IEC 27005. Sessões 5, 6 e 7 da norma ABNT NBR ISO/IEC 27002. Capítulo 5 do livro “O risco de TI” (D esenvolvendo o processo de governança de risco), risco), de George Westerman e Richard Hunter: Harvard Business School Press, 2008.

Roteiro de Atividades 2 Visão geral da atividade Serão realizadas as atividades necessárias para a “Denição do contexto”. A gura a seguir apresenta gracamente a localização destas atividades no p rocesso de gestão de riscos.



ANÁLISE DE RISCOS


PONTO DE DECISÃO 1

Não




Não

PONTO DE DECISÃO 2 Tratamento satisfatório

Sim Figura 2.2 Atividades para

ACEITAÇÃO DO RISCO

a “Denição do contexto”.

FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES A realização desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivência e experiência em sua organização. Para esta atividade, o aluno deve se valer do Anexo A (Descrição da Empresa), que permitirá a criação de uma empresa ctícia ou ainda auxiliar em algumas observações sobre sua orga nização. A planilha desta atividade é composta de perguntas básicas para o entendimento do contexto organizacional. A sequência das atividades será: 1. Leitura da Seção 7 e do Anexo A da norma ABNT NBR ISO/IEC 27005; 2. Leitura do Anexo A (Descr ição da Empresa) deste caderno de atividades;

s e d a d i v i t A e d o r i e t o R 2 o l u t í p a C

3. Explicação e demonstração demonstração pelo instrutor da planilha de análise de risco. 33

4. Execução das das atividades da planilha: planilha: a. Exercícios da guia “Denir Contexto” O objetivo desta atividade é, através de respostas a algumas perguntas, desenvolver no aluno o entendimento do que deve ser pensado, planejado e vericado ao denirmos o contexto. Devem ser respondidas as perguntas que permitirão que a equipe de análise de risco identique e compreenda o contexto do ambiente onde será desenvolvida a análise. Para cada tópico deverão ser colocadas à direita as observações ou justicativas corresponden tes. Só passe para a guia seguinte após concluir concluir.. b. Exercícios da guia “Restrições” Esta atividade conduz ao entendimento da importância impor tância da identicação das restrições existentes. Nesta guia serão inseridas as restr ições aplicáveis à organização, de acordo com o Anexo A da ABNT NBR ISO/IEC 27005. A coluna “Restrições” apresenta uma lista baseada na norma, cabendo ao aluno escolher as que se aplicam e escrever a justicativa.

Figura 2.3 Análise das

restrições.

Existem restrições que afetam a organização e restrições que afetam o escopo da gestão de riscos. Só passe para a guia seguinte após concluir concluir.. a. Exercícios da guia “Escopo” O objetivo desta atividade é, através de respostas a algumas perguntas, desenvolver no aluno o entendimento do que deve ser pensado, planejado e vericado ao de nirmos o escopo e seus limites. Esta guia apresenta exercícios para que a equipe de análise tenha um perfeito entendimento do escopo e seus limites. Para cada tópico deverão ser colocadas à direita as observa ções correspondentes. Só passe para a guia seguinte após concluir concluir.. 5 0 0 7 2 R B N I T e d s o c s i R e d o ã t s e G

34

b. Exercícios da guia “Critérios” Esta guia apresenta um e xercício para permitir a denição dos critérios que serão traba lhados durante toda a análise de risco. Aqui a equipe de análise de risco da organização onde é realizado o trabalho, denirá os cri térios que conduzirão os trabalhos durante todo o processo. É importante que estes critérios sejam factíveis e válidos para o ambiente do escopo da gestão de riscos e para a organização.

Critérios a serem denidos:

1 1 1

Probabilidade – representa o percentual de chance de um evento ocorrer;

1

Impacto – índice para mensurar o montante dos danos ou cus tos à organização causados pela ocorrência de um evento de segurança da informação;

1

Critério de risco – dene o nível ou sua escala de aceitação dos riscos e depende das políticas, metas e objetivos da organização.

Relevância do ativo – import ância do ativo para os negócios/serviços da organização; Severidade das consequências – grau das consequências sofridas por um ativo em relação aos serv iços/negócios (disponibilizados pelo ativo ou que passam por ele) ao ser atacado ou parar de funcionar;

IMPACTO

Tabela 2.6

Denição de critérios.

Nível

Descrição

Desprezível

De acordo com a organização - DEFINA

Baixo


Significativo


Importante

Afetam a imagem da organização e causam interrupção de 12 horas nos negócios. A empresa deixa de funcionar/produzir por 12 horas.

Desastre


Cada critério é composto por nível e descr ição. Para cada um deles a equipe de análise deverá denir seus critérios. Para a atividade, as descrições que possuem a palavra DEFINA deverão ser completadas pela equipe e alguns níveis poderão ser alterados. Os cri térios denirão as demais atividades no decorrer do curso. 5. Vericação e correção pelo instrutor. Ao concluir o Roteiro de Atividades 2, a equipe de análise conhecerá o ambiente da organização. O escopo da análise estará denido, assim como os critérios de análise que nortearão todos os trabalhos da gestão de risco.


35

Anexo A – Descrição da empresa A empresa Com sede na cidade de Brasília, um escritório comercial situado em Campinas e outro escritório no Rio de Janeiro, a KWX Indústr ia Gráca e Serviços LTDA atua no mercado desde 1998. Atualmente conta com aproximadamente 230 funcionários. Possui equipamentos de alta tecnologia e o objetivo de produzir e distr ibuir produtos e serv iços com padrão de qualidade internacional, atendendo ao mercado de empresas do setor educacional. A empresa detém uma pequena fatia do mercado nacional, com um faturamento médio de R$ 45 milhões anuais. Tendo como meta dobrar sua participação de mercado em três anos, a KWX planeja a reestruturação de seus processos internos e também a reformulação de sua cultura, visando a Segurança da Informação e a preparação para a certicação ISO 27001. Atualmente possui a certicação ISO 9001, obtida há dois anos.

Visão A alta administração visa aper feiçoar a maneira de trabalhar, reduzindo custos e procurando preservar e investir em seu ativo intelec tual e parque tecnológico, trabalhando em busca da melhoria contínua e da excelência operacional, para se rmar cada vez mais como uma marca de sucesso. A KW X tem como visão ser uma marca de expressão nacional, conquistando o público através de produtos inovadores, relações éticas com parceiros e a comunidade, e a prática constante de responsabilidade social, tendo como prioridade a preservação ecológica. Apesar de tudo isso, a KWX também aposta no fator humano e na satisfação dos seus funcio nários e colaboradores. “A satisfação pessoal é algo que buscamos oferecer aos nossos funcionários. Queremos que eles sejam mais que simples trabalhadores, mas que venham para a KWX com satisfação e orgulho de serem parte desta empresa”, arma o diretor presidente.

Estrutura organizacional

Diretor Presidente

Diretor Operacional


Diretor Administrativo/ Financeiro

Diretor Comercial

Gerente de Pesquisa & Desenvolvimento

Gerente de Recursos Humanos

Gerente de Vendas

Gerente de Produção

Gerente Financeiro

Coordenação Atendimento ao Cliente

Gerente de Logística

Gerente Compras/ Materiais

Gerente de Manutenção

Coordenação de Plaejamento de Produção

Gerente de Manutenção Gerente de Marketing

Gerente de Segurança, Saúde e Meio Ambiente Gerente de Infraestrutura Corporativa

Gerente de Tecnologia de Informação Coordenação Segurança de Informação

Figura 2.4 Organograma

da KWX.

36

Diretoria Operacional Pesquisa e Desenvolvimento

A KWX está sempre em b usca de novas tendências e tecnologias para ser uma referência no mercado nacional de cursos apostilados. A elaboração de novos cursos e produtos, alinhada às tendências de mercado e a concorrência, são de vital impor tância para o sucesso da empresa. É neste depart amento que novas ideias, materiais e produtos são concebidos, além de melhorias no processo de fabricação de produtos existentes. Todas as análises de novos cursos e apostilas são feitas neste depar tamento, que é o principal capital intelect ual da empresa, por isso devendo ser protegido de todas as formas. Produção

O planejamento de produção é realizado com base nas informações recebidas pela área de atendimento ao cliente, e também no histórico de produção dos últimos dois anos. Para o bom funcionamento do planejamento, é necessária uma grande interação com as áreas de atendimento ao cliente, compras, vendas, controle de materiais (almoxarifado) e principalmente com as áreas de chão de fábrica. A área de planejamento gera uma programação de produção para os próximos 5 dias, embora essa programação seja revisada e atualizada diariamente. Almoxarifado

Responsável pelo recebimento dos materiais, além do estoque de produtos considerados essenciais para o funcionamento do processo fabril. Materiais de escritório também cam no almoxarifado. Logística

Área responsável por toda a movimentação de produtos dentro e fora da companhia, denindo a estratégia de distribuição dos produtos para os clientes. Garante que o produto seja entregue no destino nal, dentro dos prazos e especicações corretos. Controla ainda a movimentação dos produtos e materiais no chão de fábrica. Manutenção

Engloba a manutenção elétrica e mecânica. O time da manutenção trabalha durante o horário administrativo, com um funcionário alocado em cada turno para acompanhar e resolver eventuais problemas no processo de produção. A manutenção tem a responsabilidade de manter todas as máquinas em funcionamento, além da parte elétrica, ar-condicionado, alarmes e catracas da fábrica, cuidando ainda de manutenções preventivas. Segurança, Saúde e Meio Ambiente

A área de segurança ambiental engloba os seguintes elementos: Saúde Ocupacional, Segurança Patrimonial e Meio Ambiente, além da integridade dos funcionários. É responsável pelas normas de meio ambiente, pelo relacionamento com órgãos ambientais, pela aplicação de ferramentas e procedimentos de segurança, realização de mapa de riscos das áreas da empresa, e ainda pela denição e aprovação dos EPIs utilizados pelos funcionários.


37

Esta área também é responsável pela denição dos treinamentos e da conscientização dos funcionários sobre a importância de se trabalhar com segurança. É, ainda, de responsabilidade desta área a investigação de acidentes e incidentes ocorridos na empresa, e também por tomar ações corretivas para evitar uma nova ocorrência. Esta é uma área de vital importância para a K WX, uma vez que a conformidade com as leis e a proteção ambiental são prioridades para a organização. Fortes investimentos foram feitos nesta área, ajudando a tornar a KWX uma referência no aspecto socioambiental.

Diretoria Administrativo-Financeira Recursos Humanos

Tem a responsabilidade da contratação e demissão de pessoal, organização de treinamentos internos e externos, gerenciamento da folha de pagamento, controle de ponto, refeições e benefícios. Também é de responsabilidade do RH a pesquisa por médias salariais de mercado, programas de promoção de funcionários e controle do programa de participação nos lucros. Finanças

Departamento que engloba a parte nanceira: tesouraria, área scal, custos, contas a pagar e a receber, controladoria e ativo  xo. Por se tratar de uma área de grande sensibilidade e importância, a área nanceira é supor tada por uma série de sistemas e aplicações que garantem o bom funcionamento da empresa e a conabilidade nos números e p lanos de conta apresentados. Compras e Materiais

Este setor tem a responsabilidade por todo o processo de compras, desde a negociação com os fornecedores até a compra nal dos produtos. Informam preços médios de mercado a funcionários especícos, para que possam fazer uma requisição de compras. Funcionários que não sejam da área de compras não podem ter contato com fornecedores. Os contratos também são negociados pela área de compras.

Diretoria Comercial Vendas

Área responsável por planejar o volume de vendas a realizar no mês, através de dados recebidos do pessoal de planejamento de produção, e também encarregada de estimar os pedidos dos clientes. A área de vendas é responsável por todo o processo de vendas dos produtos da empresa, e também pelo relacionamento com os clientes, que são as instituições de ensino que comercializam a linha KWX. Esta área também fornece o supor te técnico aos consumidores nais, além de informações para a manutenção do website da empresa. 5 0 0 7 2 R B N I T e d s o c s i R e d o ã t s e G

38

Marketing

Área responsável por desenvolver toda a es tratégia de comercialização e divulgação dos produtos da linha KW X. Coordena campanhas publicitárias em diferentes mídias, além de desenvolver e manter atualizado o website da companhia.

Infraestrutura

Figura 2.5 Planta atual da KWX

– fábrica.


39

Figura 2.6 Planta atual da KWX – escritório

comercial.

O que foi aprendido 5 0 0 7 2 R B N I T e d s o c s i R e d o ã t s e G

40

1 1 1 1

Descrição do contexto. Denição do escopo. Identicação das restrições. Denição dos critérios.

q

3 Identificação de riscos s o v i t e j b o

Compreender o processo de identicação de riscos e identicar ativos, ameaças e controles existentes.

Análise e identicação de riscos, ameaças e controles.

c o n c e i t o s

Introdução Após as fases de identicação do contexto e denição do escopo, a próxima fase é a de análise/avaliação de riscos, composta por duas grandes et apas de trabalho:

1 1

Análise de riscos; Avaliação de riscos.

Nesta sessão de aprendizagem, iniciaremos o estudo da etapa de análise de riscos.

Exercício de nivelamento 1 Identificação dos riscos

e

No seu entendimento o que é identicação dos riscos?

Processo de análise de riscos de segurança da informação A fase de processo análise de riscos identica e valora ativos, ameaças e v ulnerabilidades, sendo composta pelas seguintes etapas:

1

Identicação de riscos – onde são determinados os eventos que p odem causar perdas potenciais.

1 1

Análise de riscos – onde é determinada a probabilidade de ocorrência dos eventos. Avaliação de riscos ordena os riscos de acordo com os critérios de avaliação estabelecidos na denição de contexto.

q

s o c s i r e d o ã ç a c f i t n e d I 3 o l u t í p a C

41

Após a identicação do contexto e a denição do escopo, com o perfeito entendimento de todo ambiente, é iniciado o processo de análise/avaliação de riscos de segurança da informação. Veja em destaque na gura a seguir as atividades no processo de gestão de riscos.



ANÁLISE DE RISCOS


PONTO DE DECISÃO 1

Não




Não


Sim Figura 3.1 Posição da fase de análise de riscos no processo de gestão

ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES

de riscos.

Neste capítulo serão apresentados os detalhes da identicação de riscos. Recomendamos o seu acompanhamento com a leitura do item 8.2.1 da norma ABNT NBR ISO/IEC 27005.

Identificação de riscos


42

1

Realizada para que se possa conhecer e determinar os possíveis eventos com potencial de causar perdas, e fazer o levantamento de como isso pode acontecer.

1

Os resultados desta etapa serão os dados de entrada da etapa de estimativa de riscos.

q

É importante que qualquer or ganização identique as suas fontes de risco, suas causas e consequências. A nalidade é gerar uma list a abrangente de riscos baseada em eventos que possuam capacidade de criar, aumentar, evitar, reduzir, acelerar ou atrasar a conquista dos seus objetivos. Na fase de análise de risco, a primeira etapa é a identicação de riscos. Esta identicação é realizada para que se possa conhecer e determinar os possíveis eventos que tenham um potencial de causar perdas, assim como levantar de que forma isso pode acontecer. As atividades de identicação de riscos são as mostradas na gura 3. 2:

PROCESSO DE AVALIAÇÃO DE RISCOS IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS Figura 3.2

Identicação de


riscos na fase de

análise de riscos.

As atividades de identicação de riscos são mostradas na gura abaixo: Identificação de Riscos Identificação dos ativos

Identificação das ameaças

Identificação dos controles existentes

Identificação das vulnerabilidades

Identificação das consequências Figura 3.3 Atividades de

identicação de riscos.

Avaliação de Riscos

Identificando os ativos 1

Ativo é qualquer elemento com valor para a organização que necessite de proteção.

q

2 Entrada: resultados da etapa de denição do escopo. 2 Ação: desenvolvimento da atividade de identicação dos ativos. 1

Nível de detalhamento que permita o fornecimento de informações adequadas e sucientes para a análise e avaliação de riscos.

1 1

A primeira informação sobre cada ativo é “quem é o seu responsável?” Identicação de ativos:

2 Ativos primários. 2 Ativos de suporte e infraestrutura.


43

Identificação de Riscos Identificação dos ativos




Identificação das consequências Figura 3.4

Identicação dos ativos.


De posse das informações levantadas durante a fase de denição de contexto, como escopo, lista de componentes e responsáveis, entre outras, inicia-se a identicação dos ativos.

Ativo é qualquer elemento de valor para a organização, isto é, qualquer item tangível (como hardware) ou intangível (por exemplo, propriedade intelectual), recurso ou habilidade que tenha valor ou seja crítico para a existência da organização, e que por consequência necessite de proteção. Na atividade de identicação dos ativos:

1 1

Entrada: contempla os resultados da et apa de denição do escopo. Ação: desenvolvimento da atividade de identicação dos ativos. A identicação dos

ativos deve ser feita em um nível de detalhamento que permita o fornecimento de informações adequadas e sucientes para a análise e avaliação de riscos. Como o processo dene a necessidade de diversas iterações, o det alhamento pode ser aprofundado em cada iteração.

1

Saída: lista dos ativos considerados sensíveis para a organização e também uma lista dos

negócios relacionados a estes ativos. 5 0 0 7 2 R B N I T e d s o c s i R e d o ã t s e G

44

Entrada Escopo Lista de Componentes Responsáveis Localidade Função Estrutura Organizacional Missão, Objetivos

Ação

Saída

Identificação dos ativos

(8.2.2 da ABNT NBR ISO/IEC 27005)

Lista de Ativos Lista de negócios Figura 3.5

Identicação dos ativos.

A primeira informação sobre cada ativo é “quem é o seu responsável?”. Este prossional tem responsabilidade sobre a produção, desenvolvimento, manutenção, ut ilização e segurança do ativo; possui a maioria das informações sobre o ativo e frequentemente será a pessoa mais adequada para determinar o valor do ativo. Dois tipos de ativos podem ser identicados:

1 1

Ativos primários; Ativos de suporte e infraestrutura.

Identificando os ativos primários

1 1

Os ativos primários são processos e ativ idades de negócios e a informação.

q

Tipos de ativos primários:

2 Processos ou subprocessos. 2 Atividades de negócio. 1

A informação primária pode compreender:

2 Informação vital para o exercício das atividades da organização. 2 Informação de caráter pessoal, como as denidas em leis nacionais de privacidade. Os ativos pr imários são processos e ativ idades de negócios e as informações relacionadas. A melhor forma de identicar estes ativos é através de entrevistas com um grupo hete rogêneo de prossionais que represente o processo, como gestores, especialistas nos sistemas de informação e usuários. É importante a par ticipação de representantes de todos os níveis da organização. Normalmente, os ativos primários são os principais processos e informações das ativ idades incluídas no escopo. Os ativos primários podem ser de dois tipos:

1

Processos ou subprocessos e ativ idades do negócio. Por exemplo:

2 Processos cuja interrupção (mesmo que parcial) impossibilita a organização de prosseguir com seu negócio;

2 Processos que contêm procedimentos secretos ou que envolvam tecnologia proprietária. 1

A informação primária pode compreender:

2 Informação vital para o exercício das atividades da organização; 2 Informação de caráter p essoal, como as denidas em leis nacionais sobre pr ivacidade. Normalmente as informações para a identicação detalhada dos ativos primários são obtidas no nível gerencial e da alta direção da organização. Estes ativos serão considerados sensíveis para a organização. Cabe ressaltar que existirão processos e infor mações que não serão sensíveis, mas que frequentemente herdarão controles para a proteção de processos e informações sensíveis.


45

Identificando os ativos de suporte e infraestrutura

1

Os ativos de suporte e infraestru tura são compostos por:

q

2 Elementos físicos (hardware) que suportam os processos 2 Programas (software) que contribuem para a operação de um sistema 2 Aplicações de negócios 2 Dispositivos de telecomunicações (redes) 2 Recursos humanos 2 Instalações físicas 2 Estrutura organizacional 1

Normalmente todas as informações necessárias à equipe de análise de riscos não serão obtidas numa primeira entrevista.

1

A realização de outras iterações e de entrevist as nos níveis gerencial, técnico e com usuários, somadas às observações in loco na organização permitirão que sejam obtidas informações sucientes para a identicação dos ativos. O anexo B da norma ABNT NBR ISO/IEC 27005 em seu item B.1.2 apresenta em detalhes exemplos de ativos de suporte e infraestrutura.

É importante salientar a importância do detalhamento destas informações sobre os ativos. Normalmente todas as informações necessárias à equipe de análise de riscos não serão obtidas numa primeira entrevista. A realização de outr as iterações e de entrevistas nos níveis gerencial, técnico e de usuários, somadas às observações in loco na organização, permitirão que sejam obtidas informações sucientes para a identicação dos ativos. Para a atividade de identicação dos ativos, a equipe de análise terá como saída uma lista dos ativos considerados sensíveis para a organização e também uma lista dos negócios relacionados a estes ativos.

e

Exercício de fixação 1 Identificando os ativos

Cite dois ativos primários da sua organização e justique.


46

Cite dois ativos de suporte e infraestrutura da sua organização e justique.

Identificando as ameaças 1

Ameaça é qualquer evento que explore vulnerabilidades, com potencial de causar incidentes indesejados, que podem resultar em dano para um sistema ou organização.

1

Na identicação das ameaças são realizadas ações para identicar dentro do escopo as ameaças existentes na organização.

q

2 Entrada: as informações do histórico e de incidentes passados, das observações dos responsáveis e usuários dos ativos, e ainda de catálogos extern os de ameaças.

2 Ação: identicação das ameaças e suas fontes. 2 Saída: lista de ameaças identicadas por tipo e fonte. 1

Identicação da fonte da ameaça e de seu agente

2 A ameaça tem o potencial de comprometer os ativos e as organizações e devem ser identicadas.

2 O agente da ameaça é uma entidade com potencial para criar uma ameaça, explorando ou evidenciando alguma v ulnerabilidade.

2 O ser humano é um dos pr incipais e mais perigosos agentes da ameaça. 2 As ameaças podem ser intencionais, acidentais ou de origem natural e ambiental. 2 Entrevistas, visitas ao local e checklists ajudam nas ações de identicação de ameaças. 1

É comum as ameaças afetarem mais de um ativo.

2 Nesses casos, a equipe de análise deve considerar que as ameaças podem afetar cada ativo de maneira diferente.

1

É importante lembrar o cuidado com os dados e as informações recebidas, pois tratam de dados condenciais e sensíveis da organização e como tal devem ser tratados. Identificação de Riscos Identificação dos ativos




Figura 3.6

Identicação das ameaças.

Identificação das consequências

Como foi visto, ameaça é qualquer evento que explore vulnerabilidades, com potencial de causar um incidente indesejado, que pode resultar em dano para um sistema ou organização. Na atividade de Identicação das Ameaças serão realizadas ações para levantar e identicar, dentro do escopo estabelecido, as ameaças e xistentes na organização.


47

Desta atividade de identicação das ameaças, a equipe de análise terá como:

1

Entrada: informações de seu histórico, obtidas de incidentes ocorridos, de observações

apresentadas pelos responsáveis e usuários dos ativos, e ainda informações coletadas de catálogos externos de ameaças.

1

Ação: identicação das ameaças e suas fontes. A fonte da ameaça está relacionada ao seu

agente, entidade que pode provocar uma ameaça explorando ou evidenciando alguma vulnerabilidade. Um dos principais e mais perigosos agentes da ameaça é o ser humano.

1

Saída: uma lista de ameaças com a identicação do tipo e da fonte das ameaças.

Entrada Informações Análise crítica de incidentes Informação dos Responsáveis Catálogo de ameaças

Ação Identificação das ameaças (8.2.3 da ABNT NBR ISO/IEC 27005)

Saída

Lista de Ameaças Tipo e fonte das ameaças

As ameaças podem ser intencionais, acidentais ou de origem natural e ambiental. O anexo C da norma ABNT NB R ISO/IEC 27005 apresenta uma lista com 43 exemplos de ameaças que abrangem vários tipos. Neste anexo também consta uma tabela com a origem de ameaças representadas por seres humanos e suas motivações e consequências. As ameaças têm o potencial de comprometer os ativos e as organizações, e por isso devem ser identicadas. Durante a atividade de identicação é necessária a criação de um catálogo das ameaças à organização. Neste catálogo deve constar a categoria de ameaça: se é interna (origem dentro da organização), externa (origem de fora da organização) ou interna e externa simultaneamente. Durante as ações de identicação de ameaças, deverão ser realizadas entrevist as, observa ções no local e checklists, com os níveis gerenciais, técnicos e também com usuários, para obter o máximo possível de informações. Assim podem ser obtidas informações como: dados de incidentes ocorridos, quantidade de ocorrências, aspectos culturais e de ambiente dos ativos, exper iências em ocorrências anteriores, avaliações e outras informações cole tadas nas reuniões. Todas estas informações devem ser registradas e compiladas em um documento para posterior utilização como evidências, caso seja necessário. É comum algumas ameaças afetarem mais de um ativo. Nesses casos a equipe deve ter a visão de que est as ameaças podem atuar de forma diferente em cada ativo, afetando -os de maneira diferente.


48

É importante lembrar o cuidado com os dados e as informações recebidas, pois tratam de dados condenciais e sensíveis da organização e como tal devem ser tra tados por todos os envolvidos na análise de riscos.

Figura 3.7

Identicação das ameaças.

e

Exercício de fixação 2 Identificando as ameaças

Utilizando a norma, cite três ameaças existentes na sua organização e justique sua resposta.

Identificando os controles existentes 1

Controle é qualquer mecanismo administrativo, físico ou operacional capaz de tratar os riscos da ocorrência de um incidente de segurança.

1

O objetivo é identicar no ambiente do escopo os controles planejados para implementação e os controles existentes, já implementados e em uso.

q

2 Entrada: documentações dos controles já implementados e os planos de implementação de controle para o tratamento do risco.

2 Ação: identicação dos controles implementados e planejados. 2 Saída: lista de todos os controles existentes e planejados, sua implementação e status de utilização.

1

Objetivos da identicação de controles:

2 Evitar custos e retr abalho com duplicação de controles. 2 Assegurar que os controles existentes es tejam funcionando de forma adequada e tratando o risco de forma desejada.

1

Atividades da identicação de controles:

2 Reuniões com os responsáveis pela segurança da informação. 2 Entrevistas com usuários para identicação dos controles existentes. 2 Analisar de forma crítica a documentação sobre os controles existentes. 2 Realizar questionários e checklists. 2 Fazer inspeções físicas, visitas e observações nos locais. 1 1 1

Controles complementares podem ser necessários para o tratamento efetivo do risco. Controles inecazes ou insucientes devem ser removidos e substituídos. Controles planejados devem ser avaliados se realmente serão capazes de sanar os riscos a que se referem quando forem implementados. s o c s i r e d o ã ç a c f i t n e d I 3 o l u t í p a C

49



Identificação dos controles existentes Figura 3.8 Fase de


identicação dos controles existentes no processo de


identicação de riscos.

Controle é qualquer mecanismo administrativo, físico ou operacional capaz de tratar os riscos da ocorrência de um incidente de segurança. Exemplos de controles incluem polí ticas, procedimentos, estruturas organizacionais, antivírus, patches, fechaduras, extintor e backups, entre outros. Na atividade de identicação dos controles existentes o objetivo é identicar no ambiente do escopo os controles que estão planejados para implementação, e os controles já implementados e em uso corrente. Nesta ati vidade:

1

Entrada: documentações dos controles existentes e planos de implementação de con-

trole para tratamento de riscos.

1 1

Ação: identicação dos controles implementados e planejados. Saída: lista de todos os controles existentes e planejados, sua implementação e

status de utilização. Entrada

Ação Identificação dos


50

Saída

Documentação dos controles

controles existentes

Lista de Controles existentes e planejados

Figura 3.9

Planos de Implementação

(8.2.4 da ABNT NBR ISO/IEC 27005)

Sua implementação e status de utilização

dos controles

Os objetivos desta ati vidade são evitar retrabalho e custos adicionais com a duplicação de controles e assegurar que os controles existentes estejam funcionando de forma adequada, tratando efetivamente o risco. Uma forma de realizar est a atividade é analisando relatórios de auditorias no SGSI, os relatórios de análise crítica pela direção e os indicadores de e cácia dos controles. Caso estas informações não estejam disponíveis, é altamente recomendada a realização de:

1 1 1

Reuniões com os responsáveis pela segurança da informação; Entrevistas com usuários para levantamento dos controles existentes; Análise crítica da documentação sobre os controles existentes;

Identicação existentes.

1 1

Questionários e checklists; Inspeções físicas e visitas aos locais.

Uma observação importante é sobre a ecácia e eciência dos controles existentes e plane jados. Um controle controle pode não atender atender plenamente plenamente e falhar falhar no tratamento do do risco. risco. Assim con con-troles complementares podem ser necessários para o tratamento efetivo do risco. Outro ponto é sobre controles inecazes ou insucientes. Nestes casos pode ser necessário que o controle seja removido e substituído por outro. Estes pontos devem constar na análise dos controles existentes, realizada pela equipe de análise. Controles planejados devem ser avaliados se realmente serão capazes de sanar os riscos a que se referem quando forem implementados.


1 1 1

Sessão 8.1, 8.1, 8.2.1, 8.2.1, 8.2.2 e 8.2. 3 da norma ABNT NBR ISO/IEC 27005. Sessão B.1 do anexo B da norma ABNT NBR I SO/IEC 27005. Anexos C e D da norma ABNT NBR ISO/IEC 27005.


51


52

Roteiro de Atividades 3 Visão geral da atividade Após identicar o ambiente, delimitar o escopo e denir os cr itérios, a equipe de análise de risco já está em condições de iniciar a etapa de identicação dos r iscos, executando as ativi dades necessárias à “Identicação de riscos: ameaças, ativos e controles existentes”. A gura a seguir apresenta gracamente a localização destas atividades no processo de gestão de riscos:



ANÁLISE DE RISCOS


PONTO DE DECISÃO 1

Não




Não


Sim Figura 3.10 Atividades do processo de gestão

de riscos.

ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES A realização desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivência e experiência em sua organização. Para esta atividade o aluno deve se valer do Anexo B (Infraestrutura), que permitirá o levantamento dos equipamentos, processos, pessoas e tecnologias da empresa KW X. Sequência das atividades: 1. Leitura das seções 8.1, 8.2 e ainda B.1 do Anexo A da ABNT NBR ISO/IEC 27005;


2. Leitura do Anexo B (Infraestrutura) deste caderno de ativ idades; 53

3. Explicação e demonstração da planilha de análise de riscos pelo instrutor; 4. Execução das atividades da planilha: Na guia Sessão de atividades 3 da Planilha encontram-se três guias:

q

1º) A guia “Ativos” 2º) a guia “Ameaças” 3º) a guia “Controles Existentes” a. Exercício da guia “Ativos” – Identicação dos ativos do escopo da análise de riscos Neste exercício a equipe de análise listará todos os ativos da organização que estejam dentro do escopo da análise de riscos, dividindo- os em dois grupos: Ativos Primários e Ativos de Suporte e Infraestr utura. Cada ativo listado deverá ser justicado. Deverão ser listados 20 ativos, sendo 10 primários e 10 de suporte e infraestrutura. Só passe para a guia seguinte após concluir. b. Exercício da guia “Ameaças” – Identicação das ameaças aos ativos. Com os ativos já identicados e conhecidos a equipe de análise agora identicará TODAS as ameaças às quais está sujeito cada um dos ativos levantados. Para a realização do exercício, deverão ser listadas apenas duas ameaças para cada ativo, mas lembre-se de que em uma ativ idade prática real todas as ameaças deverão ser listadas. Como meio auxiliar para isso, será utilizado o Anexo C (Exemplos de ameaças comuns) da norma ABNT NBR ISO/IEC 27005. Na nossa planilha, os ativos listados na atividade anterior são copiados automaticamente para a guia “Ameaças”, aparecendo ao lado uma lista de ameaças para que sejam selecio nadas as ameaças que podem vir a afetar cada ati vo. Não se esqueça de justicar as suas escolhas. Só passe para a guia seguinte após concluir. c. Exercício da guia “Controles Existentes” – Identicação dos controles existentes ou com implementação planejada. Com os ativos e ameaças já identicados pela equipe de análise, a próxima atividade é identicar os controles existentes e os que estão em processo de implementação. Para cada ameaça identicada e para cada ativo, a equipe de análise de risco deverá identicar se já existem controles implementados ou que estão planejados para ser implementados. Isto é feito com o objetivo de evitar que estes controles sejam recomendados novamente no futuro.


54

Neste exercício deverão ser apresentados dois controles para cada ameaça identicada, CASO EXISTAM. Para cada ativo devem ser identicados pelo menos quatro controles. Na realidade este número pode ser variável para cada ativo. Estes controles não precisam necessariamente ser referentes às ameaças listadas na etapa anterior. Se não existir controle implementado ou a ser implementado, basta colocar a resposta “Não existe”. As respostas das guias anteriores são copiadas para esta guia. Para cada tópico deverão ser colo cadas à direita as justicativas correspondentes. Só passe para a guia seguinte após concluir. 5. Vericação e correção pelo instrutor. Ao concluir o Roteiro de Atividades 3, a equipe de análise terá uma listagem contendo os ativos, as ameaças que afetam ou podem v ir a afetar cada ativo e os controles atualmente existentes ou previstos para serem implementados.

Anexo B – Infraestrutura Infraestrutura física A segurança física é mantida por uma equipe formada por prossionais relacionados à Segurança Patrimonial. A segurança física/patrimonial da KW X contempla os seguintes ativos:

1

Portaria/Guarita: duas catracas para controle de acesso (sem funcionamento), 5 guardas terceirizados da empresa GuarFull24;

1 1 1 1

Estacionamentos: portões eletrônicos (dois sem funcionar) e cercas elétricas; Data Center: controle de acesso através de chaves, sprinkler s e racks destrancados; Não há sala cofre; Estações de trabalho sem controles especícos.

Infraestrutura tecnológica A área de TI encontra-se atualmente subordinada ao diretor administrativo-nanceiro. É também a responsável pela recém-criada área de Segurança da Informação. Aloca dois prossionais em funções multitarefa, que se revezam nas tarefas do dia a dia, como por exemplo help desk, administração da rede, criação e exclusão de contas de usuário, entre outras.

Ativos de tecnologia A estrutura suport ada pela área de TI da KWX atualmente é composta por:

1 1 1 1 1 1 1 1 1 1 1 1 1 1

750 usuários com acesso à rede e e-mail;

1

1 PABX contendo ramais digitais (total de 400 ramais, todos com identicador de cha madas para o escritório);

1 1 1 1

7 salas reuniões com rede wireless, videoconferência e projetor;

800 máquinas (sendo 550 notebooks); 25 impressoras; Redes Windows; Redes Linux; 1 servidor de e- mail Windows Exchange; 6 servidores de arquivos; 6 servidores de backup; 1 servidor web para suporte ao ambiente de comércio eletrônico via internet; 1 servidor DNS; 5 rewalls; 3 roteadores para acesso à internet (um em cada sede); 4 switches core para suporte à infraestrutura de acesso à internet; 1 PABX contendo ramais analógicos e digitais (total de 1200 ramais, sendo 300 com identi cador de chamadas para a fábrica);

1 servidor dedicado para o sistema ERP; Servidor de e-mail/antivírus (Linux Debian);


Servidor de Proxy (Linux Debian); 55

1 1 1 1 1 1 1 1 1 1 1 1 1 1

Servidor ADM/Intranet (Windows 2000 Server/IIS); Servidor Unix Criação (AIX 4); 10 estações de trabalho (Windows 2003); 35 estações de trabalho ( Windows 8 Professional); 20 estações de trabalho (W indows 7 Professional); 15 estações de t rabalho (Macintosh); 100 estações de trabalho rodando Ubuntu 12; 10 notebooks (para diretoria, totalmente liberados); 6 switch (3 com 12 portas); 4 hubs (3 com 24 port as); 3 roteador (Cisco); 1 Access Point Wirelles (D-Link); Link com internet (1 GB) em cada sede; 3 links ADSL de 10 MB inoperantes por falta de uso.

Sistemas de suporte aos negócios Os seguintes sistemas são suportados pela área de TI:

1

ERP: controla processos nanceiro-contábeis, de fabricação, gerenciamento de materiais e logística;

1

Sistemas de RH (folha de pagamento, controle de ponto): terceirizado com um fornecedor externo;

1 1

Segurança patrimonial: sistema leitor de crachás para acesso a áreas controladas/restritas;

1

Intranet: local onde estão contidas as notícias internas da K WX, sua visão e missão, bem como todas as políticas, procedimentos e regras da empresa;

1

Sistemas de produção: aplicações especícas de cada uma das áreas produtivas que trabalham de maneira integrada entre si, suportando, assim, os processos de produção e planejamento da KWX ;

1

Sistemas de catracas/acessos: controles dos acessos, bases de dados e logs das catracas, data center e sala cofre;

1

Sistema de CFTV.

Site e-commerce da K WX: site institucional e de comércio eletrônico B2B para relacionamento com clientes e fornecedores;

Situação atual da Segurança da Informação na empresa 5 0 0 7 2 R B N I T e d s o c s i R e d o ã t s e G

56

Subordinada a área de TI, a área de Segurança da Informação conta com um prossional que atua na função de coordenador de segurança da informação, sendo responsável pela elaboração e gerenciamento de políticas e práticas de segurança. Trabalha em conjunto com o pessoal de TI e também executa periodicamente auditorias internas, além de trabalhos de conscientização junto aos funcionários. O poder de decisão deste prossional não é muito grande, estando ele subordinado ao gerente de TI .

Buscando maior competitividade, credibilidade e segurança, a KW X contratou uma equipe de consultores de segurança de informação. Essa ação foi tomada com base em uma pesquisa feita por uma consultoria de mercado realizada junto a outras empresas do mesmo segmento, motivada pelo objetivo de internacionalização da marca no futuro. Foi denido, na contratação, um trabalho de levantamento da atual situação da empresa em termos de segurança da informação, entendimento dos processos, análise dos riscos, propostas de melhorias, tudo isso dentro de um escopo denido com a alta gerência.

O que foi aprendido

1 1

Visão geral da identicação de riscos.

q

Metodologia e atividades para identicar os riscos.


57


58

4 Análise de riscos: Vulnerabilidades e consequências s o v i t e j b o

Identicar vulnerabilidades e suas consequências.

c o n c e i t o s

Vulnerabilidades e suas consequências.

Introdução 1 1 1 1

A análise de risco é um processo formal de identicação de ameaças e vulnerabilidades.

q

A partir da identicação do risco é planejado o tratamento necessário. Identicação dos ativos, ameaças e controles existentes e a implementar. Identicação das vulnerabilidades e consequências se forem exploradas.

A análise de risco é um processo formal para identicar ameaças e vulnerabilidades, e a partir desta identicação categorizar o risco envolvido e estabelecer o tratamento adequado. Na sequência deste processo, após o conhecimento do contexto do ambiente onde será realizada a análise de risco, devem ser identicados os ativos, ameaças, além dos controles existentes e também aqueles que precisam ser implementados. O próximo passo é identicar as vulnerabilidades e as consequências que podem ser provocadas caso as vulnerabilidades sejam exploradas. Esta sessão aborda as atividades de identi cação das vulnerabilidades e identicação das consequências.

e

Exercício de nivelamento 1 Vulnerabilidades e consequências

No seu entendimento, o que são vulnerabilidades e consequências?

s a i c n ê u q e s n o c e s e d a d i l i b a r e n l u V : s o c s i r e d e s i l á n A 4 o l u t í p a C

59

Processo de análise de riscos de segurança da informação Esta etapa de identicação do risco possui cinco atividades, conforme a gura abaixo: Identificação de Riscos Identificação dos ativos




Identificação das consequências Figura 4.1

Identicação das vulnerabilidades e


consequências.

Cada atividade deve ser executada na sequência. Estas atividades permitirão, ao nal da etapa, que os riscos tenham sido identicados.

Identificando as vulnerabilidades 1

A atividade de identicação das v ulnerabilidades tem por objetivo criar uma lista com as vulnerabilidades associadas aos ativos, ameaças e controles.

1

Vulnerabilidade é qualquer fraqueza que possa ser explorada e comprometa a segu rança de sistemas ou informações.

2 Entrada: as listas de ameaças conhecidas, de ativos e de controles existentes, e todas saídas das atividades anteriores.

2 Ação: atividade de identicação das vulnerabilidades que possam ser exploradas por ameaças e assim comprometer os ativos da organização.

2 Saída: lista de cenários de incidentes com suas consequências associadas aos ativos e processos do negócio. 5 0 0 7 2 R B N I T e d s o c s i R e d o ã t s e G

60

1

Durante o desenvolvimento da atividade, as seguintes áreas deverão ser observadas para a identicação de vulnerabilidades:

2 Organização. 2 Processos e procedimentos. 2 Rotinas de gestão e documentação. 2 Recursos humanos (incluindo terceiros e prestadores de ser viços). 2 Ambiente físico e instalações prediais.

q

2 Conguração dos sistemas de informação ( incluindo os sistemas operacionais

q

e aplicativos).

2 Hardware, software e equipamentos de comunicação. 2 Dependências de entidades externas. 1

Métodos proativos:

2 Ferramentas automatizadas de procura e identicação de v ulnerabilidades. 2 Avaliação e testes de segurança. 2 Teste de invasão. 2 Análise crítica de código. Vulnerabilidade é qualquer fraqueza que possa ser explorada e comprometa a segurança de sistemas ou informações. É uma fragilidade de um ativo ou grupo de ativos que pode ser explorada para concretizar uma ou mais ameaças. Identificação de Riscos Identificação dos ativos





Figura 4.2

Identicação das vulnerabilidades.

A atividade de identicação das vulnerabilidades tem por objetivo cr iar uma lista com as vulnerabilidades associadas aos ativos, ameaças e controles. Nesta atividade, a equipe de análise terá como:

1

Entrada: listas de ameaças conhecidas, listas de ativos e de controles existentes, além de

todas as saídas das atividades anteriores.

1

Ação: atividade de identicação das vulnerabilidades que possam ser exploradas por

ameaças com a possibilidade de comprometer os ativos.

1

Saída: lista de cenários de incidentes com suas consequências associadas aos ativos e

processos do negócio.


61

Entrada

Lista de ameaças Lista de ativos Lista de controles existentes

Ação

Identificação das Vulnerabilidades (8.2.5 da ABNT NBR ISO/IEC 27005)

Saída Lista de vulnerabilidades associadas aos ativos, às ameaças e aos controles Lista de vulnerabilidades que não se referem a nenhuma ameaça identificada

Figura 4.3

Identicação das vulnerabilidades.

Na realização da atividade de identicação de vulnerabilidade, a equipe deve trabalhar através de dois olhares: de fora para dentro e de dentr o para fora. No olhar de dentro para fora, é a visão interna, com diver sos privilégios, sendo conável. Que vulnerabilidades podem existir ou podem ser exploradas? Como os sistemas podem ser comprometidos pelo pessoal interno? Na segunda, de fora para dentro, os sistemas tentarão ser comprometidos de fora. O que pode ser acessado externamente que possa comprometer os ativos e informações da organização? O que pode ser explorado para conferir pri vilégios não permitidos? Esta é a visão de um atacante que tenta invadir o sistema: endereços IP publicamente roteáveis, sistemas na DMZ (DeMilitarized Zone – zona desmilitarizada), interfaces ex ternas do rewall etc. Há diferenças notáveis entre estes dois tipos de avaliação de vulnerabilidades. A equipe de análise deve ter em mente que a existência de vulnerabilidades por si só não produz prejuízos, pois para isso é preciso que haja uma ameaça. Mesmo assim é necessário monitorar a vulnerabilidade, para o caso de identicar mudanças em sua conguração. Uma boa prática para esta atividade é a equipe de análise percorrer todas as dependências abrangidas pelo escopo e realizar as entrevistas no próprio ambiente de trabalho dos entre vistados, facilitando a formulação de questionamentos a partir das observações no ambiente. É uma forma de observar vulnerabilidades e a partir delas identicar outras. Outra prática que pode ser empregada é a identicação de vulnerabilidades através do uso de métodos proa tivos de testes, apesar do custo mais elevado. Entre os métodos podem ser citados:

1

Ferramentas automatizadas de procura e identicação de vulnerabilidades:

softwares criados para testes de segurança e descobertas de v ulnerabilidades de forma automática, gerando relatórios detalhados dos problemas e vulnerabilidades identi cados no sistema. As ferramentas automatizadas são capazes de cruz ar informações, analisá-las e testar as vulnerabilidades encontradas de maneira eciente. Tais ferra mentas têm amadurecido, catalogando em suas bases de conhecimento a maioria das vulnerabilidades existentes, embora ainda possuam um custo relativamente alto.

1 5 0 0 7 2 R B N I T e d s o c s i R e d o ã t s e G

62

Avaliação e testes de segurança: avaliação de vulnerabilidade é um primeiro passo de

vericação de vulnerabilidades. Os resultados e informações obtidos através das avalia ções serão utilizados para a realização dos testes. A avaliação verica vulnerabilidades potenciais e os testes de segurança tentam explorá-las.

1

Teste de invasão: tem como objetivo a vericação da resistência do ativo em relação aos

métodos de ataque conhecidos.

1

Análise crítica de código: identicação de v ulnerabilidades em códigos-fonte.

Em resumo, os resultados destes tipos de testes de segurança ajudam na identicação das vulnerabilidades de um sistema.

d O anexo D da norma ABNT NBR ISO/IEC 27005 apresenta uma lista com diversos exemplos de vulnerabilidades, suas ameaças relacionadas e métodos para avaliação de vulnerabilidades

técnicas.

e

Exercício de fixação 1 Identificando vulnerabilidades Cite três vulnerabilidades, sob a visão interna, da sua organização? Justique.

Cite três vulnerabilidades, sob a visão de fora para dentro, da sua organização? Justique.

Identificação das consequências 1

Entende-se por consequência o resultado de um incidente ou evento que pode ter um impacto nos objetivos da organização. Na análise de riscos uma consequência pode ser:

2 A perda da ecácia no funcionamento operacional dos sistemas. 2 Instabilidade no funcionamento de sistemas. 2 Condições adversas de operação. 2 Perda de oportunidade de negócios. 2 Imagem e reputação afetadas. 2 Violação de obrigações regulatórias. 2 Prejuízo nanceiro. 2 Perda de dados e informações. 2 Perda de vidas humanas. 2 Perda de competitividade. 1

Um cenário nada mais é do que a descrição de uma ameaça explorando uma ou mais vulnerabilidades em um incidente de segurança da informação.

1

Exemplos de consequências operacionais:

2 Oportunidade perdida. 2 Saúde e segurança dos prossionais envolvidos. 2 Tempo de investigação e tempo de reparo. 2 Tempo de trabalho perdido. 2 Custo nanceiro para reparar o prejuízo. 2 Imagem e reputação.

q


63






Figura 4.4

Identicação das consequências.

Entende-se por consequência o resultado de um incidente ou evento que pode ter um impacto nos objetivos da organização. Nesta par te da análise de riscos, uma consequência pode ser, por exemplo:

1 1 1 1 1 1 1 1 1 1 1

A perda da ecácia no funcionamento operacional dos sistemas; Instabilidade no funcionamento de sistemas; Condições adversas de operação; Perda de oportunidade de negócios; Imagem e reputação afetadas; Violação de obrigações regulatórias; Prejuízo nanceiro; Perda de dados e informações; Perda de vidas humanas; Perda de competitividade, Entre diversas outras, de acordo com os negócios da organização. Entrada Lista de vulnerabilidades associadas aos ativos, às ameaças e aos controles


64

Lista de vulnerabilidades que não se referem a nenhuma ameaça identificada

Ação

Identificação das consequências (8.2.6 da ABNT NBR ISO/IEC 27005)

Saída

Lista de cenários de incidentes e suas consequências associadas aos ativos e processos do negócio

Esta atividade v isa identicar as consequências ou prejuízos para a organização que podem decorrer de um cenário de incidentes, fruto das vulnerabilidades identicadas. A conguração de um cenário de incidentes é considerada uma falha de segurança.

Figura 4.5

Identicação das consequências.

Um cenário nada mais é do que a descrição de uma ameaça que explora uma ou mais vulnera bilidades em um incidente de segurança da informação, podendo afetar um ou mais ativos ou apenas parte de um ativo, de acordo com os critérios estabelecidos na Denição do Contexto. Como exemplos de consequências operacionais citam-se:

1 1 1 1 1 1

Oportunidade perdida; Saúde e segurança; Tempo de investigação e tempo de reparo; Tempo de trabalho perdido; Custo nanceiro para reparar o prejuízo; Imagem e reputação.

e

Exercício de fixação 2 Identificando as consequências Apresente uma consequência para três vulnerabilidades respondidas nos exercícios de xação 1? Justique.


1 1 1

Sessão 8.2.5 e 8.2.6 da ABNT NBR ISO/IEC 27005.

1

SANS The Top Cyber Security Risks – Twenty Critical Secur ity Controls for Eective Cyber Defense: http://www.sans.org /

1 1 1

Anexo D da ABNT NBR ISO/IEC 27005. Norma Complementar Gestão de R iscos de Segurança da Informação e Comunicações – GRSIC, do DSIC/GSI/PR: http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf

Security F ocus Vulnerabilities: http://www.securityfocus.com/ CERT.br Security Related Links: http://www.cert.br/links/ CAIS Centro de Atendimento a Incidentes de Segurança – RNP: http://www.rnp.br/cais/alertas/


65


66

Roteiro de Atividades 4 Visão geral da atividade Com os ativos, ameaças e controles já levantados e identicados pela equipe de análise, os próximos passos são a identicação das v ulnerabilidades e as consequências caso essas vulnerabilidades sejam exploradas pelos agentes para concretização das ameaças. A gora serão realizadas as atividades necessárias para a “Análise de riscos – identicação de riscos: vulnerabilidades e consequências”. A gura a seguir apresenta gracamente a localização destas atividades no processo de gestão de riscos:



ANÁLISE DE RISCOS


PONTO DE DECISÃO 1

Não




Não


Sim Figura 4.6 Atividades no processo de gestão

de riscos.

ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES A realização desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivência e experiência em sua organização. Para esta atividade o aluno deve se valer do Anexo C (Problemas relatados e obser vados) que permitirá o levantamento dos problemas da empresa KWX.


67

A sequência das atividades será: 1. Leitura das Seções 8.2.1.5, 8.2.1.6 e do Anexo D da ABNT NBR ISO/IEC 27005; 2. Leitura do Anexo C (Problemas relatados e obser vados) deste caderno de atividades; 3. Explicação e demonstração da planilha de análise de risco pelo instrutor; 4. Execução das atividades da planilha; Na guia Sessão 4 da Planilha encontram-se dois botões:

q

1º) Identique as Vulnerabilidades – abre a guia “Vulnerabilidades” 2º) Identique as Consequências – abre a guia “Consequências” a. Exercício da guia “Vulnerabilidades” – Identicação das vulnerabilidades não atendidas pelos controles existentes Nesta atividade a e quipe de análise identicará e listará as vulnerabilidades existentes para cada ativo da organização. Com os ativos, ameaças e controles já levantados e identicados pela equipe de análise, a próxima atividade é identicar as vulnerabilidades e fraquezas existentes nes tes ativos e que podem ser exploradas pelos agentes para concretizarem as ameaças. Para cada vulnerabilidade deve ser apresentada a evidência (Justicativa). Para o exercício prático, para cada ativo devem ser identicadas até oito vulnerabilidades, quatro para cada ameaça identicada. Na realidade este número é variável para cada ativo e para cada ameaça. Para auxiliar a atividade, o Anexo C deste caderno de atividades apresenta fotograas tiradas do ambiente da organização, que revelam diversas vulnerabilidades. Além disso, na planilha existe uma guia denominada “Vulnerabilidades e Controles”. Este material serve apenas como apoio para a realização desta atividade. A planilha permite a edição apenas das células de vulnerabilidades e da justicativa. Só passe para a guia seguinte após concluir. b. Exercício da guia “Consequências” – Identi cação das consequências das vulnerabilidades levantadas Nesta atividade a equipe de análise vai identicar as consequências para cada vulnerabili dade caso ela ocorra. Essas consequências podem variar para cada tipo de ativo e cada t ipo de ameaça. Para cada consequência deve ser apresentada a evidência ( Justicativa).


68

Para o exercício, para cada vulnerabilidade identicaremos apenas uma consequência de uma lista pré-denida. Essa lista é composta por:

1 1 1 1 1 1

Perda ou degradação da condencialidade; Perda ou degradação da integridade; Perda ou degradação da disponibilidade; Perda ou degradação da autenticidade; Prejuízo nanceiro por retrabalho; Afeta imagem e reputação.

Esta lista é apenas para a realização exercício. Normalmente estas consequências são espe cícas para cada tipo de organização. Assim como a quantidade de consequências para cada vulnerabilidade é também um número variável. As respostas das guias anteriores são copiadas para esta g uia. Só passe para a guia seguinte após concluir. 5. Vericação e correção pelo instrutor. Ao concluir o Roteiro de Atividades 4, a equipe de análise terá uma listagem dos ativos, ameaças que afetam ou podem vir a afetar cada ativo, os controles existentes ou com previsão de implementação, as vulnerabilidades de cada ativo e as consequências caso estas vulnerabilidades sejam exploradas pelos agentes da ameaça.

Anexo C – Problemas relatados

Situação do ambiente de trabalho no almoxarifado de Brasília.

A conexão entre duas áreas da mesma empresa apresenta instabilidade. Os técnicos já utilizaram todas as ferramentas tecnológicas disponíveis, porém não identicaram o motivo da instabilidade na linha de produção, que não consegue salvar as informações na base de dados.


69

Vista da parte lateral da sede em Campinas (SP).

Recentemente o departamento de informática da empresa identicou sérios problemas de instabilidade elétrica em sua rede. A surpresa dos técnicos é que na sala de servidores não ocorreu nenhum problema. O problema somente aconteceu na área de estoque da organização. Os técnicos estão desconados da falta de conhecimento dos operadores do estoque (fonte: http://www.arqcoop.com/patologias-da-construcao/).


70

A equipe responsável pela área de TI da organização tem sido surpreendida com a falta de link com a internet. Eles estão buscando o que pode estar ocorrendo uma vez que os os que entram no prédio por parte da operadora estão cortados e parte desses os foi roubada (fonte: http://brazil.indymedia.org/content/2007/02/373244.shtml).

A contabilidade da organização e o setor de contas a pagar tiveram problemas na impressão dos boletos, e o depart amento de recursos humanos da organização não consegue emitir a folha de pagamento. Após a análise na impressora, percebeu-se que não havia problema com ela, mas o problema ocorria na conexão de rede. Técnicos estão trabalhando no local para identicar o motivo. Ultimamente tem ocorrido interrupção na conexão das máquinas da empresa com o servidor de impressão. Os técnicos já reinstalaram o software e reini cializaram o serv iço de impressão. Porém, o problema permanece (fonte: http://sfsonline. wordpress.com/2009/03/08/victor-konder/).


71

Já aconteceu do lho do dono da empresa entrar na sala de equipamentos da organização e colocar seu pendrive no ser vidor de banco de dados. Houve uma parada no ser viço e toda a linha de produção teve suas atividades interrompidas por duas horas. A equipe técnica ainda está pesquisando por que o problema pode ter acontecido e o que pode ser feito para impedir que se repita.

A equipe responsável do link de internet da or ganização foi surpreendida com a reinicialização do roteador da operadora após terem nalizado o chamado para o acerto do mesmo e o reestabelecimento da conexão com a internet. Ao chegar na sala de equipamentos perceberam que o rack estava aberto. 5 0 0 7 2 R B N I T e d s o c s i R e d o ã t s e G

72

Após interrupção na sala de conferência da organização durante reunião entre a diretoria e a presidência, os técnicos de TI (terceirizados) foram acionados para identicar o que tinha ocorrido. Os técnicos levaram 5 horas para responder à diretoria. Por este motivo tiveram o seu contrato nalizado. E a organização optou pela contratação de outra empresa para o fornecimento do suporte de TI.

Este emaranhado de os atrapalha o bom andamento e a agilidade na solução de pro blemas. A organização, preocupada com este cenário, contratou uma rma terceirizada para resolver o problema.


73

A situação dos equipamentos de energia e telefonia tem se mostrado sem cuidado e os equipamentos são constantemente encontrados abertos. Não existe qualquer controle de acesso aos equipamentos.


74

Certa vez, ao chegarem para trabalhar, os funcionários foram surpreendidos pela queda de parte do teto por causa das fortes chuvas que ocorreram. A equipe técnica de redes teve sérios problemas para resolver a conexão dos equipamentos de toda a empresa para que os mesmos pudessem trabalhar em rede e dar supor te ao restante da organização.

No passado, parte da empresa teve sua estrutura abalada por for tes ventos e chuvas. A equipe de suporte do provedor de internet da localidade teve sua rede isolada da internet por todo o período em que ocorreram as chuvas na região.

Tem havido instabilidade na conexão de rede do prédio entre os equipamentos dos diferentes departamentos da empresa e a sala de servidores, ocasionando parada ao longo do dia nos serviços e a insatisfação dos usuários com a rede. O que pode estar gerando es ta instabilidade está sendo avaliado pelos técnicos responsáveis de TI. s e d a d i v i t A e d o r i e t o R 4 o l u t í p a C

75

Foi vericado pela equipe de T I que existem pessoas utilizando os equipamentos da orga nização para jogos eletrônicos durante o expediente, o que vai contra a política organiza cional. O administrador de sistemas da organização utiliza o seu “per l” para habilitar jogos durante o período de trabalho e passa parte do dia jo-gando. O responsável de TI está buscando uma forma de educar o administrador para que evite esta prática durante o seu período de trabalho


76

Situação dos cabos no rack do almoxarifado.

Visão do cabeamento na p arte traseira dos equipamentos do datacenter.

Uma visão na lial da organização.

No escritório do diretor encontram-se expostos lembretes das senhas de diversos sistemas. Segundo este diretor a “empresa não tem problemas de segurança. Aqui todo mundo é de conança”.


77

É comum encontrar funcionários utilizando suas t abuletas para acessar jogos durante o expediente via rede sem o da organização.

Situação encontrada em um notebook em uso por gerente.


Situação da documentação dos visitantes na por taria onde o sistema de vigilância e a catraca não funcionam há seis meses. 78

Tem sido encontrado um grande número de f uncionários utilizando tabuletas e smartphones para acessar a rede sem o da empresa.

Depósito de material ao lado do depósito de material inamável.


Sala de guarda de documentação de soft ware e sistemas.

79

Foi encontrada uma visitante fotografando a tela de um computador com seu celular.

Inltração na sala de servidores em Campinas.


80

Inltração na sala de serv idores no Rio de Janeiro (fonte: http://estadodeminas.lugarcerto. com.br/app/noticia/noticias/2008/12/06/interna_noticias,28526/sinais-de-inltracao.shtml).

O que foi aprendido

1 1

Visão geral da identicação de riscos.

q

Metodologia e atividades para identicar vulnerabilidades e consequências.


81


82

5 Análise de Riscos: Avaliação das consequências s o v i t e j b o

Realizar a avaliação das consequências. c o n c e i t o s

Estimativa de riscos, metodologias de estimativa qualitativa e quantitativa, avaliação das consequências.

Introdução Após a realização do processo de identicação de riscos, é necessário um processo de atribuir valores para os ativos, ameaças, vulnerabilidades e consequências. Isso possibilita colocar os riscos em ordem de prioridade, para tratá-los de acordo com sua urgência ou criticidade. Estes valores seguem os mesmos critérios denidos na fase de denição do contexto.

e

Exercício de nivelamento 1 Avaliação das consequências

No seu entendimento o que é avaliação das consequências?

Visão geral do processo de estimativa de risco 1

A etapa de es timativa de riscos é a realização de uma estimativa de v alores para cada um dos itens identicados, para uma ordenação do nível de criticidade do risco e a sua posterior mitigação.

1

Pode ser realizada com diferentes graus de detalhamento, a depender do risco, do objetivo da análise, e das informações, dados e recursos disponíveis.

1 1

Pode ser qualitativa, quantitati va ou a combinação das duas. Desenvolvida de acordo com os dados identicados nas atividades das etapas anteriores.

q

s a i c n ê u q e s n o c s a d o ã ç a i l a v A : s o c s i R e d e s i l á n A 5 o l u t í p a C

83

1

Estimativa de valores para cada um dos itens identic ados para que seja possível uma ordenação do nível de criticidade, do risco e o t ratamento posterior para a mitigação dos riscos.

q

A análise de riscos pode ser realizada com diferentes graus de detalhes, dep endendo do risco, do objetivo da análise, e das informações, dados e recursos disponíveis. Os fatores que afetam a probabilidade e consequências devem ser identicados. Esta análise pode ser qualitativa, quantitativa ou a combinação das duas, dependendo das circunstâncias. A estimativa de r iscos é realizada de acordo com os critérios de risco denidos pela equipe de análise durante o início dos trabalhos. É importante considerar a interdependência dos diferentes riscos e suas fontes. A gura seguinte apresenta o p osicionamento da etapa de estimativa de riscos dentro do processo de gestão de riscos.



ANÁLISE DE RISCOS


PONTO DE DECISÃO 1

Não




Não


Sim 5 0 0 7 2 R B N I T e d s o c s i R e d o ã t s e G

84

ACEITAÇÃO DO RISCO

Figura 5.1 Etapa de estimativa

FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES

Metodologias Duas metodologias podem ser usadas p ara a análise dos riscos:

1 1

Análise qualitativa de riscos. Análise quantitativa de riscos.

de riscos.

q

Metodologia de análise qualitativa

1

Estimativa através de atributos qualicadores e descri tivos que avaliam a intensidade das consequências e a probabilidade de ocorrência do risco.

1

Não são atribuídos valores nanceiros aos ativos, consequências e controles, mas escalas de atributos, através de valores descriti vos relativos.

1

Estimativa considerada muito subjetiva.

q

A análise qualitativa se baseia na avaliação, através de atributos qualicadores e descritivos, da intensidade das consequências e probabilidade de ocorrência do risco identicado. Na metodologia qualitativa, não se atr ibuem valores nanceiros aos ativos, consequências e controles, mas são utilizadas escalas de atributos através de valores descritivos relativos. Esta estimativa é considerada muito subjetiva, sendo ideal para uma veri cação inicial dos riscos, quando não estão disponíveis dados numéricos em quantidade suciente. Exemplos de uso da análise qualitativa: Para Probabilidade:

1 1 1 1 1 1 1

Alta, Média e Baixa; Raro, Improvável, Possível, Provável e Quase Cer to; Remotamente possível, Ocasionalmente, Frequentemente, Várias vezes ao mês; Improvável, Provável e Certo; Pequena, Média e Grande; Baixa, Média, Alta, Muito Alt a e Elevada; Improvável, Remoto, Ocasional, Provável, Frequente.

Para Consequências (Impactos):

1 1 1 1 1

Alto, Médio e Baixo; Irrelevante, Negligenciável, Marginal, Crítico, Extremo e Cat astróco; Extremo, Alto, Médio, Baixo e Desprezível; Grande, Médio, Pequeno e Irr isório; Perturbações muito graves, Graves, Limitadas, Leves e Muito Leves; Os critérios citados acima são apenas exemplos para uso didático. O desenvolvimento destes critérios deve levar em conta o tipo de organização, suas informações e dados existentes. As escalas devem ser construídas e adaptadas para as diferentes organizações e riscos a elas associados.

Metodologia de análise quantitativa

1

Escala de valores numéricos para calcular valores numéricos para cada um dos componentes coletados durante a etapa de identicação de r iscos.

1

Estimativa que utiliza dados históricos, exatos e auditáveis, sem os quais torna-se falsa.

q

Na metodologia da análise quantitativa é utilizada uma escala de valores numéricos com objetivo de tentar calcular valores numéricos para cada um dos componentes coletados durante as atividades de identicação de riscos. A abordagem quantitativa é adotada quando há um cenário que permita denir os valores nanceiros, mesmo que aproximados,


85

dos ativos priorizados, assim como dos impactos. Por exemplo, estima-se o valor real de cada ativo em termos do custo de sua substituição, ou do custo associado à perda de produtividade, e outros valores de acordo com o tipo da organização. Esta mesma maneira para calcular pode ser empregada para o levantamento estimado do custo dos controles e outros valores identicados na etapa anterior. A análise quantitativa deve utilizar dados históricos e dados exatos e auditáveis. Caso não existam tais dados, este tipo de estimativa torna-se falsa. Exemplos de uso desta análise quantitativa:

Para Probabilidade:

1 1 1

50 %; 0,2; 0,75

Para Consequências (Impactos):

1 1 1 1 1

Valor de substituição do ativo: R$ 12 mil; Valor da manutenção do ativo; Custo de implantação do controle;

l Complemente seu aprendizado estu-

Valor da multa por não cumprimento do contrato;

dando o item 8.3.1 da

Prejuízo pelas horas paradas.

Exercício de fixação 1 Metodologias

norma ABNT NBR ISO/

IEC 27005.

e

Explique as diferenças entre a metodologia qualitativa e a metodologia quantitativa.

Qual a metodologia que melhor se aplica a sua organização? Justique.


86

Estimativa de riscos

1 1

Realizada após a etapa de identicação de riscos. Composta por três atividades:

2 Avaliação das consequências. 2 Avaliação da probabilidade dos incidentes. 2 Estimativa do nível de r isco.

q

A etapa de estimativa de riscos é realizada logo após a identicação de riscos, quando já se possui levantado e identicado, dentro do escopo acordado, os ativos, as ameaças, as vulne rabilidades e suas consequências. A gura abaixo ilustra, didaticamente, a sequência das atividades: Identificação dos Riscos

Análise dos Riscos Avaliação das consequências

Avaliação da probabilidade

Determinação do Nível de Risco Figura 5.2 Atividades da estimativa de


riscos.

Avaliação das consequências

1

Objetivo de avaliar os impactos sobre os negócios da organização levando-se em conta as consequências de uma v iolação da segurança da informação.

1

A ordenação dos ativos pode ser feit a de duas formas:

q

2 Através do valor de reposição do ativo. 2 Através das consequências ao negócio. 1

A valoração dos ativos e sua classicação pela criticidade são fatores importantes para a determinação do impacto de um cenário de incidente.

2 O incidente pode afetar mais de um ativo, em v irtude da interdependência dos ativos. 1 1

As consequências poderão ser expressas em função de critérios nanceiros, técnicos, humanos, do impacto nos negócios, entre outros critérios. Elaboração de lista de consequências avaliadas referentes a um cenário de incidente, em relação aos ativos e critérios de impacto. Análise de Riscos



Figura 5.3 Avaliação das

consequências.

Determinação do Nível de Risco


87

A atividade de avaliação das consequências tem como objetivo avaliar os impactos sobre os negócios da organização, levando em conta as consequências de uma violação da segur ança da informação, como, por exemplo: perda ou degradação da disponibilidade dos ativos, perda da condencialidade ou perda da integr idade. Para esta avaliação, a equipe de análise levará em conta os critérios e fatores denidos e adotará uma das metodologias de estima tiva: qualitativa ou quantitativa. Entrada Lista de cenários de incidentes, incluindo ativos afetados, vulnerabilidades e consequências para os ativos e negócios

Ação Avaliação das consequências (8.3.2 da ABNT NBR ISO/IEC 27005)

Saída Lista de consequências avaliadas

Figura 5.4 Avaliação das

consequências.

1 1

Entrada: resultados da etapa de identicação dos r iscos. Ação: exatamente o desenvolv imento da atividade de avaliação das consequências sobre

o negócio da organização.

1

Saída: lista de consequências referentes a um cenário de incidente, estando relacionada

aos ativos e critérios de impacto. Uma das primeiras ações é a ordenação dos ativos de acordo com a sua criticidade e impor tância para a realização dos objetivos de negócio da organização. É possível realizar isto de duas formas:

1

Através do valor de reposição do ativo : onde se determina o custo nanceiro da

recuperação ou reposição do ativo e também do v alor da informação que ele contenha. Por exemplo: um servidor de e -mail de uma determinada empresa queimou e tem o seu custo de reposição estimado em R$ 5 mil. Na metodologia qualitativa o valor é ALTO e na metodologia quantitativa o valor é R$ 5 mil.

1

Através das consequências ao negócio : o valor é determinado pelo impacto das conse-

quências nos negócios. Normalmente este valor é mais signicativo que somente o valor do ativo. Prosseguindo no exemplo do servidor de e-mail queimado do item anterior, identicamos que a empresa trabalha com vendas de material esportivo ar tesanal, e que suas vendas são realizadas via e-mail, inclusive o processo de pagamento. O servidor levou cinco dias para ser reposto e congurado, e o proprietário es tima que deixou de vender aproximadamente R$ 20 mil por cada dia parado. Na metodologia qualitativa o valor é ELEVADO e na metodologia quantitativa o valor é de R$ 100 mil (5 dias parado x R$ 20 mil por dia). 5 0 0 7 2 R B N I T e d s o c s i R e d o ã t s e G

88

A valoração dos ativos e sua classicação pela criticidade são importantes para a determi nação do impacto de um cenário de incidente, pois o incidente pode ainda afetar mais de um ativo, em vir tude da interdependência dos ativos. Assim, a avaliação das consequências está fortemente relacionada à valoração dos ativos. Lembre-se de que as consequências poderão ser expressas em função dos critér ios monetários, técnicos, humanos, do impacto nos negócios ou outros critérios importantes para a organização.


1

Sessão 8.3.2 da norma ABNT NBR I SO/IEC 27005.

Roteiro de Atividades 5 Visão geral da atividade Após a equipe ter as listagens de ati vos, ameaças, vulnerabilidades e consequências, tem início o trabalho de estimativa dos riscos. Aqui a equipe avalia a relevância dos ativos e a severidade das consequências, com as atividades n ecessárias para a “Análise de r isco – estimativa de riscos”. A gura a seguir apresenta gracamente a localização destas atividades no processo de gestão de riscos:



ANÁLISE DE RISCOS


PONTO DE DECISÃO 1

Não




Não



de riscos.

ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES A realização desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivência e experiência em sua organização. Para esta atividade o aluno deve se valer das observações sobre a empresa KWX. A sequência das atividades será: 1. Leitura da Seção 8.3.2 e do Anexo E da ABNT NBR ISO/IEC 27005;


2. Explicação e demonstração da planilha de análise de risco pelo instrutor; 89

3. Execução das atividades da planilha; Na guia Sessão 5 da planilha encontram-se duas guias:

q

1º) a guia “Aval. Qual. dos Ativos” 2º) a guia “Aval. Qual. da Severidade” a. Exercício da guia “Aval. Qual. dos Ativos” – Avaliação da relevância dos ativos Neste exercício a equipe de análise identicará a relevância de cada ativo para os negócios da organização. Para cada relevância de cada ativo deve ser apresentada a evidência ( Justicativa). Os critérios de relevância foram denidos no Roteiro de Atividades 2 e agora serão aplicados. Para o exercício, os critérios serão escolhidos de uma lista que apresentará os critérios anteriormente denidos. A planilha permite a edição apenas das células de relevância e da justicativa. Só passe para a guia seguinte após concluir. b. Atividade da guia “Aval. Qual. da Severidade” – Avaliação da severidade das consequências. Nesta atividade a equipe de análise identicará a severidade de cada consequência anteriormente levantada sobre determinado ativo e sua relevância para o negócio da organização. A resposta será dada por um dos níveis do critério “Se veridade das Consequências” denido no Roteiro de Atividades 2 na guia de “Critérios”. Para cada consequência a equipe de análise denirá a severidade das consequências sobre aquele ativo. Para cada severidade de cada consequência deve ser apresentada a ev idência (Justicativa). Para o exercício, os critérios serão escolhidos de uma lista que apresentará os critérios anteriormente denidos. A planilha permite a edição apenas das células de severidade e da justicativa. Só passe para a guia seguinte após concluir. 4. Vericação e correção pelo instrutor.


90

Ao concluir o Roteiro de Atividades 5, a equipe de análise terá uma listagem contendo os ativos, as ameaças que afetam ou podem v ir a afetar cada ativo, os controles existentes ou com previsão de implementação, as vulnerabilidades que existem em cada ativo e as consequências caso estas v ulnerabilidades sejam exploradas pelos agentes da ameaça. Já terá determinado ainda a relevância de cada ativo para os negócios da organização e a severi dade das consequências.

O que foi aprendido

1 1 1

Metodologias qualitativa e quantitativa. Como realizar a estimativa dos riscos. Como realizar a avaliação das consequências.

q

6 Análise de riscos: avaliação da probabilidade s o v i t e j b o

Realizar a avaliação da probabilidade e determinar o nível de risco.

Probabilidade, avaliação da probabilidade e nível de risco.

c o n c e i t o s

Introdução Nesta etapa da análise de risco, que faz p arte do processo de análise de risco, são tratadas as atividades de identicação das probabilidades de ocorrência e a determinação do nível de risco. Estas duas atividades irão compor a conclusão do processo de análise de risco.

Exercício de nivelamento 1 Avaliação da probabilidade

e

O que é probabilidade em um processo de gestão de riscos?

e d a d i l i b a b o r p a d o ã ç a i l a v a : s o c s i r e d e s i l á n A 6 o l u t í p a C

91

Visão geral do processo de avaliação de risco Conforme foi visto, o processo de avaliação de risco é composto por três ati vidades básicas. Nesta sessão serão abordadas duas, como mostra a gura abaixo:

PROCESSO DE AVALIAÇÃO DE RISCOS

Análise de Riscos Avaliação das consequências



ANÁLISE DE RISCOS



Figura 6.1 Estimativa e

avaliação de riscos.

Avaliação da probabilidade de ocorrência de incidentes 1 1

Avaliação da probabilidade de ocorrência de incidentes em cada cenário e seus impactos.

q

Para a estimativa da probabilidade será necessário:

2 Estudo do histórico de ocorrências de incidentes de segurança. 2 Relatório de frequência de ocorrência das ameaças e dos níveis de possibilidade de exploração das vulnerabilidades identicadas.

1

Para a estimativa da probabilidade a equipe de análise deverá levar em conta:

2 A experiência passada e as estatísticas históricas aplicáveis à determinada ameaça. 2 As vulnerabilidades, individualmente e em conjunto. 2 Os controles existentes e a eciência e ecácia com que reduzem as vulnerabilidades. 1

Metodologias de análise:

2 Qualitativa 2 Quantitativa Análise de Riscos


Avaliação da probabilidade 5 0 0 7 2 R B N I T e d s o c s i R e d o ã t s e G

92


Figura 6.2 Avaliação da

probabilidade.

Após a identicação dos cenários de incidentes e da avaliação das consequências, é necessário realizar a avaliação da probabilidade de riscos em cada cenário e dos impactos correspondentes. Nesta atividade é impor tantíssimo o uso do histórico de ocorrências de incidentes de segurança.

Na atividade de avaliação da probabilidade de incidentes:

1

Entrada: listas de cenários de incidentes identicados como relevantes na atividade de

avaliação das consequências.

1 1

Ação: avaliação da probabilidade de ocorrência de incidentes de segurança. Saída: probabilidade dos cenários de incidentes no método quantitativo ou qualitativo.

Entrada Lista de cenários de incidentes, incluindo ativos afetados, vulnerabilidades exploradas e consequências para os ativos e negócios

Figura 6.3 Avaliação da probabilidade dos

incidentes.

Ação Avaliação da probabilidade (8.3.3 da ABNT NBR ISO/IEC 27005)

Saída

Probabilidade dos cenários de incidentes

Para esta avaliação são usadas metodologias de análise quantitativa e qualitativa. Para a equipe estimar a probabilidade é necessário realizar o estudo do histórico de ocorrências, da frequência da ocorrência das ameaças e da facilidade com que as vulnerabilidades podem ser exploradas. Como exemplo considere os seguintes depoimentos em entrevistas:

1

Histórico: “consta que há cerca de três anos ocorreu uma indisponibilidade do servidor por falha de hardware.”

1

Frequência: “tem havido falhas de software e ‘travamento’ do servidor de e -mail, que logo depois volta a f uncionar. Isto já ocorreu umas cinco vezes nos últimos dois meses.”

1

Facilidade: “o servidor de e-mail tem cado na sala do almoxarifado. Assim ca mais fácil despachar os pedidos. O pessoal acessa diretamente o ser vidor de e-mail. Não se trata de um ambiente fechado, pois cerca de nove pessoas trabalham ali.”

Na estimativa da probabilidade, a equipe de análise deverá considerar a experiência passada e as estatísticas históricas aplicáveis à determinada ameaça.

1

Fontes de ameaças intencionais:

2 Motivação para explorar, como conitos com superiores e insatisfação prossional. 2 Competências e conhecimento: determinadas vulnerabilidades só podem ser explo radas se o atacante tiver elevado conhecimento técnico; para explorar outras vulnerabilidades basta desligar a energia.

2 Conhecimento da vulnerabilidade, pois nem todos conseguem perceber a existência da vulnerabilidade, embora alguns já saibam onde a senha é guardada.

2 Poder de atração do ativo: para um atacante motivado em causar um grande prejuízo, um servidor de e- mail não é o bastante; já para outro atacante com objetivo de provocar pequenos problemas repetidamente, tirar o serv idor do ar é suciente.

1

Para as fontes de ameaças acidentais:

2 Proximidade de lugares insalubres e que possam danicar os equipamentos; 2 Eventos climáticos como temporais, inundações e vendavais; 2 Fatores facilitadores, que permitem que um erro humano acidental (como manuseio por pessoas tecnicamente despreparadas) acarrete em mau funcionamento (por exemplo, rede elétrica instável). As vulnerabilidades devem ser analisadas tanto individualmente quanto em conjunto, assim como os controles existentes e a eciência e ecácia com que estão reduzindo as vulnerabilidades.


93

Assim, ao analisar um determinado ativo de acordo com os fatores mencionados, a equipe de análise pode ter o seguinte resultado, baseado em duas metodologias de estimativa:

1

Qualitativa: alta probabilidade de ocorrer uma falha de disponibilidade, pois o equipa-

mento está localizado em área de grande umidade;

1

Quantitativa: probabilidade de 75% de ocorrer uma falha de disponibilidade, pois o equi-

pamento está localizado em uma área de grande umidade.

e

Exercício de fixação 1 Avaliação da probabilidade

Como você avaliará a probabilidade na sua organização? Explique.

Determinação do nível de risco

1

A determinação do nível de risco é uma ati vidade na qual a equipe de análise vai mensurar o nível de risco com o uso dos resultados obtidos nas et apas anteriores.

1 1

Nesta atividade serão conferidos valores para a probabilidade e consequências do risco.

q

Esta atividade é o início da construção da tabela de análise dos riscos.




Figura 6.4 Determinação do

nível do risco.

A determinação do nível de risco é uma ati vidade na qual a equipe de análise vai mensurar o nível de risco com o uso dos resultados obtidos nas etapas anteriores. Nes ta atividade serão dados valores para a probabilidade e consequências do risco. Nesta atividade de determinação do nível de risco: 5 0 0 7 2 R B N I T e d s o c s i R e d o ã t s e G

94

1

Entrada: são as listas de cenários de incidentes identicados com suas consequências e

probabilidades na atividade de avaliação da probabilidade.

1 1

Ação: determinação do nível de risco para todos os incidentes considerados. Saída: uma lista de riscos com níveis de valores.

Entrada

Figura 6.5 Determinação do

nível de risco.

Lista de cenários de incidentes com suas consequências associadas aos ativos, processos de negócios e suas probabilidades

Ação Determinação do nível de risco (8.3.4 da ABNT NBR ISO/IEC 27005)

Saída

Lista de riscos com níveis de valores designados

Esta atividade é o início da construção da tabela para analisar os riscos. O item E.2 do anexo E da norma ABNT NBR ISO/IEC 27005 detalha os métodos existentes para esta estimativa. A escolha do método ideal é fruto do tipo da organização e de sua estrutura para a gestão dos riscos. A equipe de análise deve escolher o método que melhor atenda às necessidades de negócio da organização e que seja facilmente entendido pelos seus integrantes.

Para pensar Leia atentamente o Anexo E. Após a leitura, escolha o método que você considera que melhor se adaptar ia à sua organização. Após a escolha comece a trabalhar com este modelo.


1 1 1

Sessão 8.3.3 da norma ABNT NBR I SO/IEC 27005. Sessão 8.3.4 da norma ABNT NBR ISO/IEC 27005. Anexo E da norma ABNT NBR ISO/IEC 27005.


95


96

Roteiro de Atividades 6 Visão geral da atividade Neste roteiro, serão realizadas as atividades necessárias para a “Análise de r isco – probabilidade e estimativa de riscos”. A gura a seguir apresenta gracamente a localização destas atividades no processo de gestão de riscos:



ANÁLISE DE RISCOS


PONTO DE DECISÃO 1

Não




Não



de riscos.

ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES A realização desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivência e experiência em sua organização. Para esta atividade o aluno deve se valer das observações da empresa KWX. A sequência das atividades será: 1. Leitura das Seções 8.3.2, 8.3.3 e 8.3.4 da ABNT NB R ISO/IEC 27005; 2. Explicação e demonstração da planilha de análise de risco pelo instrutor;


3. Execução das atividades da planilha;

97

Na guia Sessão 6 da planilha encontram-se três guias:

q

1º) a guia “Aval. Qualitativa Probabilidade” 2º) a guia “Estimativa” 3º) a guia “Res. Estimativa Qualitativa” a. Exercício da guia “Aval. Qualitativa Probabilidade” – Avaliação da probabilidade Neste exercício a equipe de análise identicará e denirá a probabilidade das vulnerabilidades serem exploradas e das consequências acontecerem. Com uma visão mais ampla das vulnerabilidades e consequências, a equipe denirá a probabilidade de ocorrência destes eventos. O s critérios de probabilidades foram de nidos durante o Roteiro de Atividades 2 e serão agora aplicados. Para cada vulnerabilidade a equipe analisará e denirá sua probabilidade. Para cada proba bilidade de cada vulnerabilidade dos ativos deve ser apresentada a evidência (Jus ticativa). Para o exercício, os critérios de probabilidade serão escolhidos de uma lista que apresentará os critérios anteriormente denidos. A planilha permite a edição apenas das células de probabilidade e da justicativa. Só passe para a guia seguinte após concluir. b. Exercício da guia “Estimativa” – Denição das estimativas ( pesos). Neste exercício a equipe de análise já conhecerá todo o ambiente, seus ativos, vulnerabilidades e probabilidade de ocorrência, e assim denirá os pesos para a denição e cálculo do risco. A inserção de pesos em cada critério v isa facilitar o cálculo dos riscos e assim permitir que sejam ordenados por criticidade. Os critérios foram denidos no Roteiro de Atividades 2. A gora será feita apenas a inserção dos pesos em cada critério. Note que nesta atividade não será feita nenhuma alteração nos critérios anteriormente denidos. Caso se identique a necessidade de alterar os critér ios durante o processo de gestão de risco, será necessário volt ar para a atividade de cr itérios e refazê-la, revisando todo o trabalho a partir daí. Para o exercício, a guia “Estimativa” apresenta os critér ios anteriormente denidos, acres cidos da coluna “Peso”. Nesta coluna será colocado o peso denido pela equipe de análise de risco a partir de sua visão da organização. A planilha já apresenta os pesos com valor “0 ” e a equipe deverá substituí- los pelos valores que julgar válidos. Por exemplo:


98

1 1 1 1

1, 2, 3, 4 e 5; 1, 3, 5,7 e 9; 1, 2, 3, 6 e 10; 1, 2, 4, 6 e 8.

Estes pesos podem ser alterados para que possam represent ar a realidade da organização. A equipe dene estes pe sos pela sua experiência com a organização. Cada valor de peso deve ter uma justicativa p ara o seu valor. Ao lado dos critérios de risco, aparece a pontuação de cada critério, c alculada automaticamente a partir dos pesos dados pela equipe, além da priorização de tratamento dos riscos aceita pela equipe.

A planilha permite a edição apenas das células de peso e de aceitação. Só passe para a guia seguinte após concluir.

1

Atividade da guia “Res. Estimativa Qualitativa” – Result ado das estimativas.

Nesta atividade a equipe de análise analisará o resultado das estimativas para identicar se ela está realmente atendendo as necessidades do negócio da organização. A equipe deve analisar detalhadamente os resultados. Para o exercício, analise cada resultado e apresente sua justicativa informando se atendem ou não aos requisitos da organização. Para facilitar o entendimento, volte para a atividade anterior e altere os pesos, vericando o que acontece com os resultados. Na sua visão de analista de riscos, qual resultado atende melhor aos requisitos de negócios?

Analise todos os resultados da estimativa, e em caso de dúvida pergunte ao instr utor. A planilha permite a edição apenas das células da justicativa. Só passe para a guia seguinte após concluir. 4. Vericação e correção pelo instrutor. Ao concluir o Roteiro de Atividades 6, a equipe de análise terá uma visão ampla dos resultados da análise de risco, podendo identicar o impacto de cada consequência caso as vulnerabilidades sejam exploradas pelo agente da ameaça.

O que foi aprendido

1 1

Conceito de probabilidade e estimativa de riscos.

q

Cálculo da probabilidade de um risco ocorrer.


99


100

7 Avaliação de riscos s o v i t e j b o

Conceituar, denir e executar a avaliação de r iscos. c o n c e i t o s

Avaliação de risco.

Introdução Com os resultados obtidos nas fases anteriores, a equipe de análise já possui dados su cientes para iniciar a fase de avaliação de riscos, fase responsável por ordenar os riscos por prioridade, de acordo com os cri térios de avaliação de riscos denidos. Este capítulo deve ser realizado com consulta à norma ABN T NBR ISO/IEC 27005.

Exercício de nivelamento 1 Avaliação de riscos

e

Quais as informações você já possui para iniciar a avaliação de riscos? Explique.

Processo de avaliação de riscos de segurança da informação A fase de avaliação de riscos é auxiliar nas decisões tendo como base os resultados da análise de riscos. Esta fase da gestão de riscos tem por objetivo comparar os níveis de riscos identicados na fase anterior com os critérios de avaliação e aceitação de riscos. Estes critérios são denidos durante a denição do contexto e deverão estar alinhados aos objetivos da organização. Da fase de avaliação de riscos:

1 1 1

Entrada: lista de riscos com os níveis de valores e critérios para avaliação de riscos. Ação: comparação do nível dos riscos com os critérios de avaliação. Saída: lista de riscos ordenados por prioridade, segundo os critérios de avaliação de riscos.

s o c s i r e d o ã ç a i l a v A 7 o l u t í p a C

101



ANÁLISE DE RISCOS


PONTO DE DECISÃO 1

Não




Não


Sim ACEITAÇÃO DO RISCO Figura 7.1

Avaliação de riscos.

FIM DA PRIMEIRA OU DAS DEMAIS ITERA ÕES

Avaliação de riscos de segurança da informação 1

Comparação dos riscos estimados com os cri térios de avaliação denidos na fase de contexto.

2 A organização deverá tomar as decisões desta fase com base no nível de r isco aceitável. 1


102

É importante que a organização considere também:

2 As propriedades da segurança da infor mação (CIDA): 3 Condencialidade. 3 Integridade. 3 Disponibilidade. 3 Autenticidade. 2 A importância do processo de negócios ou da ativ idade suportada por um determinado ativo ou conjunto de ativos.

2 A agregação de riscos pequenos e médios que podem resultar em um risco total signicativo, para assim tratá-lo.

2 A consideração aos requisitos contratuais, regulatórios e legais. 3 Atividade a ser concluída em conjunto com a organização, pois somente ela tem a visão completa dos objetivos estratégicos de seu negócio.

q

Nesta fase as equipes de análise juntamente com a organização devem comparar os riscos estimados (métodos no Anexo E da norma) com os critérios de avaliação denidos durante a fase de contexto. A organização deverá tomar as decisões desta fase com base no nível de risco aceitável. Porém, fatores como consequências, probabilidade e conança também deverão ser considerados para melhor orientar as tomadas de decisão. Durante esta avaliação é importante que a organização considere:

1

As propriedades da segurança da informação (Condencialidade, Integridade, Disponibilidade, Autenticidade – CIDA): se uma destas propr iedades não for importante para a organização, ela poderá considerar como de baixo valor os riscos que provocam vulnerabilidades ligadas a esta propr iedade, e assim enquadrá-los como r iscos aceitáveis.

1

A importância do processo de negócios ou da atividade suportada por determinado ativo ou conjunto de ativos: se um processo ou atividade é avaliado pela organização como de baixa importância, os riscos associados a ele devem ser também levados menos em consideração do que os riscos que causam impactos em processos ou atividades mais importantes.

Exercício de fixação 1 Avaliação de risco

e

Explique a importância das propriedades da segurança da informação para a sua organização?

Outro ponto importante a ser considerado durante a avaliação de riscos é a agregação de vários riscos considerados riscos pequenos ou médios para, através desta agregação, que resulta em um risco total bem mais signicativo, poder trat á-lo adequadamente. Nesta fase é import ante que as equipes de análise avaliem os requisitos contratuais, regulatórios e legais. Esta atividade deve ser realizada em conjunto com a organização, pois somente ela tem a visão completa dos seus objetivos es tratégicos de negócio. Entrada Uma lista de riscos com níveis de valores e critérios para avaliação de riscos

Figura 7.2 Fase de avaliação

de riscos.

Ação Avaliação de Riscos (8.4 da ABNT NBR ISO/IEC 27005)


1 1 1

Sessão 8.4 da norma ABNT NBR ISO/IEC 27005. Anexo E da norma ABNT NBR ISO/IEC 27005. Item 5.4.4 da norma ABNT NBR ISO 31000.

Saída Lista de riscos ordenados por prioridade segundo os critérios de avaliação

s o c s i r e d o ã ç a i l a v A 7 o l u t í p a C

103


104

Roteiro de Atividades 7 Visão geral da atividade Nesta atividade, serão realizadas as atividades necessárias para a “Análise de riscos – avaliação de riscos” numa avaliação qualitativa. A gura a seguir apresenta gracamente a localização destas atividades no processo de gestão de riscos:



ANÁLISE DE RISCOS


PONTO DE DECISÃO 1

Não




Não



de riscos.

ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES A realização desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivência e experiência em sua organização. Para esta atividade o aluno deve se valer das observações da empresa KWX. A sequência das atividades será: 1. Leitura da Seção 8.4 da ABNT NBR ISO/IEC 27005; 2. Explicação e demonstração da planilha de análise de risco pelo instrutor;


3. Execução das atividades da planilha; 105

Na guia Sessão 7 da Planilha encontram-se duas guias:

q

1º) a guia “Calcular o Risco” 2º) a guia “Avaliar o Risco” a. Exercício da guia “Calcular o Risco” – Cálculo do risco. Nesta atividade a e quipe de análise irá realizar o cálculo do risco. Com as atividades anteriores já realizadas, o trabalho nesta ati vidade é de acompanhamento e análise dos resultados com a aplicação dos critérios. Para ns de exercício, a equipe deve analisar criteriosamente os resultados e vericar se há concordância com os resultados de risco apresentados. Para facilitar a compreensão, volte para as atividades dos Roteiros 5 e 6 e altere suas respostas, obser vando o que acontece com os resultados neste Roteiro 7. Comente suas impressões sobre os resultados.

Nesta análise de riscos, qual a quantidade de riscos “extremos ”? E de riscos considerados “Altos”? E de riscos “Baixos”?

A planilha não permite a edição de nenhuma das células. Só passe para a guia seguinte após concluir. b. Exercício da guia “Avaliar o risco” – Avaliação do risco. Após a equipe de análise ter calculado o risco e com o conhecimento de todo o ambiente e de seus problemas, ela deverá fazer uma avaliação dos riscos e de seus resultados, denindo a prioridade de mitigação destes riscos. Para ns de exercício, a prioridade será escolhida da lista denida na guia “Estimativa” da Sessão 6. Para cada prioridade denida a equipe de análise deve apresentar a evidência (Justicativa). A planilha permite a edição apenas das células de Avaliação de risco (prioridade) e da justicativa. Só passe para a guia seguinte após concluir. 4. Vericação e correção pelo instrutor. 5 0 0 7 2 R B N I T e d s o c s i R e d o ã t s e G

106

Ao concluir o Roteiro de A tividades 7, a equipe de análise est ará com uma listagem dos ativos e riscos para cada vulnerabilidade. Esta listagem permite a denição dos maiores riscos, colocando-os em ordem de prioridade e denindo os controles que devem ser empregados para tratá-los.

O que foi aprendido

1 1

Compreender o processo de avaliação de riscos. Realizar a avaliação de riscos.

q

8 Tratamento e aceitação de riscos s o v i t e j b o

Conceituar e denir tratamento de riscos; desenvolver e aplicar o plano de trat amento de riscos; compreender e aplicar as formas de tratamento de riscos; denir o risco aceitável e o risco residual; e executar a aceitação de riscos.

c o n c e i t o s

Tratamento e aceitação de riscos, r isco residual e risco aceitável.

Introdução O trabalho realizado pela equipe de análise até este momento foi basicamente de coleta de informações, avaliação dos riscos e ordenação dos r iscos por prioridade. Mas como tratar estes riscos? Como selecionar os controles necessários? Estas dú vidas serão sanadas na fase de tratamento do risco de segurança da informação. Este capítulo deve ser realizado com consulta à norma NBR IS O/IEC 27005.

e

Exercício de nivelamento 1 Tratamento e aceitação dos riscos Como são executados o tratamento e a aceitação de riscos na sua organização? Explique.

Visão geral do processo de tratamento do risco 1 1

Fase posterior às fases de denição do contexto, análise de riscos e avaliação de riscos.

1

Se a avaliação for considerada satisfatória, a equipe prossegue em seus trabalhos e inicia a fase seguinte, de tratamento do risco.

q

Ao nal destas três fases, a equipe faz uma análise crítica dos resultados e da situ ação dos trabalhos desenvolvidos.

A fase de tratamento de risco é realizada após as fases de denição do contexto, análise de riscos e avaliação de riscos. Ao nal destas três fases, a equipe faz uma análise crítica dos resultados e verica a situação dos trabalhos desenvolvidos.

s o c s i r e d o ã ç a t i e c a e o t n e m a t a r T 8 o l u t í p a C

107

Caso esta avaliação seja considerada insatisfatória ou incompleta, a e quipe retorna aos traba lhos a partir da denição do contexto, buscando solucionar as dúvidas que porventura tenham surgido, ou seja, refaz os trabalhos desde o início, buscando um aprofundamento maior. Se a avaliação for considerada satisfatória, a equipe prossegue em seus trabalhos e realiza a fase seguinte, de tratamento do risco. A gura abaixo apresenta o posicionamento desta fase:



ANÁLISE DE RISCOS


PONTO DE DECISÃO 1

Não




Não


Sim ACEITAÇÃO DO RISCO

Figura 8.1 Tratamento

FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES

do risco.

No tratamento do r isco a equipe de análise terá como:

1 1

Entrada: lista de riscos ordenados por prioridade, associados aos cenários de incidentes. Ação: identicação dos controles para reduzir, reter, evitar ou transferir os riscos e a

denição do plano de tratamento.


108

Saída: plano de tratamento dos riscos e dos riscos residuais. Este plano estará sujeito à

aprovação dos gestores da organização. Entrada

Lista de riscos ordenados por prioridade

Ação

Saída

Tratamento do Risco

Plano de tratamento do risco e dos riscos residuais, sujeito a aprovação

(9 da ABNT NBR ISO/IEC 27005)

Figura 8.2 Tratamento

do risco.

A gura a seguir apresenta as ati vidades do processo de tratamento do risco.

RESULTADOS DA AVALIAÇÃO DE RISCOS

AVALIAÇÃO SATISFATÓRIA Ponto de Decisão 1 Tratamento do risco OPÇÕES DE TRATAMENTO DO RISCO

MODIFICAÇÃO DO RISCO

RETENÇÃO DO RISCO

AÇÃO DE EVITAR O RISCO

COMPARTILHAMENTO DO RISCO

RISCOS RESIDUAIS

Figura 8.3 Atividades do tratamento

TRATAMENTO SATISFATÓRIO Ponto de Decisão 2

do risco.

Tratamento do risco 1 1

O tratamento de risco é ut ilizado para responder aos riscos identicados. As escolhas e decisões tomadas devem levar em conta:

2 A avaliação do tratamento de risco proposto já realizado. 2 A viabilidade técnica e nanceira. 2 A ecácia dos controles. 2 A eciência do tratamento. 2 Decisão se os níveis de risco residual são toleráveis. 2 As características do negócio da organização. 1

q

A fase de tratamento do risco possui quatro opções, que não são mutuamente exclusivas:

2 Modicação do risco. 2 Retenção do risco. 2 Ação de evitar o risco . 2 Compartilhamento do risco.


109

1

Para a decisão de remoção de controles, é imprescindível que a equipe tenha noção da interdependência dos ativos e seus controles, para que est a decisão não provoque a redução da segurança como um todo.

1 1

A equipe deverá montar um plano de tratamento.

1

Uma forma de identicar os controles é seguindo a nor ma NBR ISO/IEC 27002.

q

O plano aborda os índices de redução do risco com a implementação de cada controle, permitindo aos gestores uma decisão pautada em indicadores e metas bem denidas.

O tratamento de risco é ut ilizado para responder aos riscos identicados. Existem diferentes opções para tratar e responder ao r isco. As escolhas e decisões tomadas pela equipe de análise, em conjunto com a direção da organização, devem levar em conta:

1 1 1 1 1 1

A avaliação do tratamento de risco proposto já realizado; A viabilidade técnica e nanceira, isto é, os custos de implementação do controle; A ecácia dos controles; A eciência do tratamento; Decisão se os níveis de risco residual são toleráveis; As características do negócio da organização (viabilidade econômica).

Após esta análise sobre os controles necessários para o tr atamento dos riscos, a equipe deve selecionar a melhor opção para reduzir o risco a um ní vel aceitável ou ao mínimo possível. A fase de tratamento do r isco possui quatro opções que não são mutuamente exclusivas, ou seja, que podem ser combinadas entre si:

1 1 1 1

Modicação do risco; Retenção do risco; Ação de evitar o risco; Compartilhamento do risco.

Estas opções são denidas pela equipe de análise levando em conta tudo o que foi identi cado no processo de análise. Na denição dos controles necessários, a equipe vai desen volvendo uma visão geral de todos os controles, tanto os identicados como necessários quanto os identicados como implementados. Desta maneira permite o levantamento dos controles redundantes e desnecessários, passíveis de remoção. Para a decisão de remoção de controles, é imprescindível que a equipe tenha uma noção precisa da interdependência dos ativos e dos seus controles, para que a decisão não pro voque a redução da segurança como um todo. Durante esta fase, todas as restrições levantadas na denição do contexto deverão ser levadas em consideração durante o processo de tratamento do risco. 5 0 0 7 2 R B N I T e d s o c s i R e d o ã t s e G

110

Após a decisão do tratamento necessário, a equipe deverá montar um plano de tratamento. O plano é uma ordenação dos riscos e controles a serem implementados de acordo com o seu grau de impacto nos negócios. Em princípio os riscos de maior impacto devem ser os primeiros a serem tratados. Entretanto, pelo custo e pela demora de implementação dos controles para os riscos mais críticos, pode ser mais interessante começar pelos controles de custo mais baixo e mais rápidos de serem implementados. Esta pode ser uma boa opção caso se queira apresentar resultados rápidos para apoiar uma política de conscientização e treinamento em segurança da informação. Lembre-se, entretanto, de que isto não signica esquecer os demais controles.

Uma forma de identicar os controles é seguir a norma NBR ISO/IEC 27002. A aprovação do plano de tratamento cabe aos gestores da organização. Por isso é extremamente importante que o plano aborde os índices de redução do risco. A implementação de cada controle permitirá aos gestores uma decisão pautada em indicadores e metas bem denidas. Selecionar a opção mais adequada de tratamento de riscos envolve equilibrar os custos e os esforços necessários de implementação de um lado e do outro, os benef ícios decorrentes levando-se em conta os requisitos legais, regulatórios ou quaisquer outros. É import ante que o plano identique de forma clara a ordem de pr ioridade em que cada tratamento e controle deva ser implementado.

Riscos residuais 1

Riscos residuais são aqueles que restam após a implantação de controles para evit ar, transferir ou mitigar riscos.

1

Após a implementação de um controle, pode ser que o risco não tenha sido totalmente mitigado.

q

2 Esta diferença é o risco residual. 1 1

Riscos residuais devem ser tratados através da implementação de controles.

1

Entre os riscos residuais incluem-se também os riscos sem importância.

Caso o risco esteja acima do nível de aceitação de r iscos estabelecido pela organização, pode ser necessária nova iteração.

Uma vez que a equipe deniu o p lano de tratamento, ela precisa determinar os riscos residuais que restam após a implementação de controles para evit ar, transferir ou mitigar riscos. Isto é, após a implementação de um determinado controle, é possível que ele não seja suciente para mitigar totalmente um risco. A diferença, isto é, a possibilidade restante de ocorrência do risco, após a implementação do controle para mitigá-lo, caracteriza o risco residual. Em outras palavras, são os riscos que restam após a tomada de medidas para evitá-los, transferi -los ou mitigá-los. O risco residual deve ser identicado e trat ado através da implementação de controles. Caso determinado risco esteja acima do nível de aceitação de riscos estabelecido pela orga nização, pode ser necessário realizar uma nova iteração. Incluem-se também como riscos residuais aqueles sem importância, ou seja, que precisam ser aceitos.

Modificação do risco 1

A modicação ou mitigação do risco é a ação de implementar controles para reduzir os riscos a um nível aceitável.

1

Tipos de proteção:

2 Correção. 2 Eliminação. 2 Prevenção. 2 Minimização do impacto. 2 Dissuasão. 2 Detecção.

q


111

2 Recuperação. 2 Monitoramento. 2 Conscientização. 1

Leva em consideração os custos de aquisição, implementação, administração, operação, monitoramento e manutenção dos controles em relação ao valor do ati vo que será protegido.

1

Deve-se evitar a escolha de controles de custos mais elevados que os custos do ativo ou dos serviços gerados com a sua implementação.

1

É necessário ter atenção à “falsa sensação de segurança”.

q

A forma de tratamento do r isco chamada de modicação ou mitigação dos riscos é a ação de implementar controles que busquem reduzir os riscos a um nível aceitável p ela organização. A escolha destes controles deve levar em conta os critér ios da organização para a aceitação do risco, tais como: requisitos legais, regulatórios, contratuais, cult urais e ambientais e aspectos técnicos, além de custos e prazos para a implementação de controles. De forma geral, a escolha destes controles de ve fornecer, quando aplicados e implementados, um ou mais tipos de proteção:

1

Correção: atividades através da implementação de controle realizadas a m de corrigir

qualquer anormalidade;

1

Eliminação: aplicação de controles com a nalidade de excluir possíveis erros e vulne -

rabilidades ou fontes de erros e vulnerabilidades, sem no entanto eliminar o risco mas apenas reduzindo-o;

1

Prevenção: implementação de controles a m de prevenir e impedir a e xploração de

qualquer vulnerabilidade;

1

Minimização do impacto: implementação de controles que buscam reduzir ou limitar os

danos caso ocorra um incidente de segurança;

1

Dissuasão: ação, atividade ou medida de controle organizada e realizada a m de fazer

mudar de opinião, intenção ou ideia;

1

Detecção: atividades de implementação de controles realizadas com a nalidade de

descobrir erros ou anormalidades;

1

Recuperação: atividade de implementação de controle realizada a m de volt ar a situ -

ação de normalidade;

1

Monitoramento: atividade de aplicação de controles para acompanhar, observar, acom-

panhar desvios e perceber os sinais de aler ta de vulnerabilidades, ameaças e riscos, tudo com a nalidade de antecipadamente tomar providências;


112

Conscientização: aplicação de controles e atividades de ensino que tem como objetivo

orientar sobre a segurança da informação, a m de que todos os usuários saibam aplicar os conhecimentos mostrados em sua rotina pessoal e prossional. Na denição e seleção de controles, a equipe de análise deve levar em consideração os custos de aquisição, implementação, administração, operação, monitoramento e manutenção dos controles em relação ao valor do ativo que será protegido. Isto permitirá que se evite a escolha de controles cujos custos serão mais elevados que o custo do ativo ou dos serviços gerados nele.

A equipe deverá ainda estar atent a à “falsa sensação de segurança”. A implementação de l O anexo F da norma ABNT NBR ISO/IEC 27005 apresenta em detalhes as restrições que afetam a redução

do risco.

alguns controles pode dar a falsa sensação de segurança, pois, dev ido à sua complexidade ou falta de conhecimento do usuário, este pode achar alternativas para bur lar os controles, ludibriando os esforços dos administradores em proteger a segurança da informação. Nas ações de redução do risco também devem ser consideradas as restrições existentes na organização, que afetarão a escolha e a implementação dos controles.

Retenção do risco 1 1 1

A retenção do risco signica “correr o r isco”.

1 1 1

Decisão da alta direção e embasada.

q

A retenção do risco inclui ainda os riscos não identicados. Deve ser feita de acordo com os critérios para aceitação de riscos estabelecidos pela organização.

Neste caso não é necessária a implementação de controles. Deve ser elaborado um registro dos r iscos aceitos, com a justicativa da razão de terem sido aceitos, e a relação dos responsáveis pela aprovação da retenção do risco.

A retenção do risco é a aceitação do risco de uma perda, ou seja, “correr o risco”, incluindo ainda os riscos que não tenham sido identicados. Deve ser feita de acordo com os critérios de aceitação de riscos denidos pela organização, neste caso não sendo necessária a imple mentação de controles. É uma decisão consciente da alta direção e deve bem embasada e registrada. É importante que seja criado um reg istro dos riscos aceitos, com a justicativa de seu aceite e a relação dos responsáveis pela sua aprovação.

Ação de evitar o risco 1

Eliminação da atividade ou processo gerador do risco através de mudanças na forma de sua ocorrência.

1

Quando a equipe de análise identica riscos elevados, cujos custos de implementação de controles excedem os benefícios, é possível decidir que o r isco deve ser totalmente evitado.

1

Após as mudanças necessárias deverá ser feita uma nova iteração de análise de riscos.

q

Quando a equipe de análise identica riscos extremamente elevados, e os cus tos para a implementação de controles excedem os benefícios do próprio serviço ou negócio, é pos sível decidir que o risco deve ser 100% evit ado. Isto é feito através da eliminação da atividade ou processo, via mudanças na forma de ocorrência da atividade ou processo passível de produzir o risco. Outra forma de evitar o risco é através da remoção da fonte de risco. Algumas mudanças poderão ser necessárias, após as quais deve ser realizada nova iteração de análise de riscos.

Compartilhamento do risco O compartilhamento do risco envolve a transferência ou compartilhamento dos riscos com uma entidade externa. Uma forma de compartilhamento do risco é o uso de seguros que cubram as consequências da ocorrência de um incidente de segurança da informação. Outra forma de transferência é a utilização de serv iços de parceiros (outsourcing) para a gestão de eventos de segurança da informação. Apesar de ser possível a transferência das operações com algum risco, a responsabilidade legal pelas consequências não será transferida.


113

Exercício de fixação 1 Tratamento de risco

e

Qual a forma de tratamento que você ut ilizaria para tratar o risco “roubo/extravio de documentos classicados”? Justique.

Qual a forma de tratamento que você ut ilizaria para tratar o risco “falta constantes de energia elétrica”? Justique.

Explique a diferença entre risco aceitável e r isco residual.

Visão geral do processo de aceitação do risco 1 1 1

Esta fase trata do aceite formal do plano de tratamento pela direção da organização.

q

Entrada: plano de tratamento do risco e a análise do risco residual. Ação: decisão formal de aceitação do plano pela direção da organização.

Após a denição do plano de tratamento e este ser julgado satisfatório, tem início a fase de aceitação do risco. Esta fase trata do aceite formal do plano de tratamento pela direção da organização.


114

A gura abaixo apresenta a fase de aceitação do risco.



ANÁLISE DE RISCOS


PONTO DE DECISÃO 1

Não




Não


Sim ACEITAÇÃO DO RISCO Figura 8.4

Aceitação do risco.

FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES Nesta fase de tratamento do r isco:

1 1 1

Entrada: plano de tratamento do risco e a análise do risco residual. Ação: decisão formal de aceitação do plano pela direção da organização. Saída: lista de riscos aceitos e uma justicativa p ara aqueles que não satiszeram

os critérios denidos.

Aceitando o risco 1 1 1

Análise criteriosa do plano de tratamento de r iscos.

1

Este documento formal fará parte da chamada “Declaração de Aplicabilidade”, em que a organização apresenta os controles não aplicáveis e justica o fato de não serem contemplados em seu SGSI.

1

Vide norma ABNT NBR ISO/IEC 27001.

Elaborada pela equipe, denirá em documento formal os riscos que serão aceitos. Decisão que cabe aos gestores da organização, pois seus critérios são complexos e envolvem as estratégias de negócio da organização.

q


115

Nesta fase, a direção da organização analisará criteriosamente o plano de trat amento de riscos elaborado pela equipe, denindo em documento formal os riscos que serão aceitos. A decisão cabe aos gestores da organização, pois os critérios da decisão são complexos e envolvem as estratégias de negócio da organização. Este documento formal fará parte da chamada “Declaração de Aplicabilidade”, na qual a organização apresenta os controles que não são aplicáveis e justica porque eles não serão contemplados em Sistema de Gest ão da Segurança da Informação (SGSI), de acordo com a norma ABNT NBR ISO/IEC 27001.

Lembre-se de que o r isco devidamente calculado e tratado é um ingrediente importante do negócio.

Entrada Plano de tratamento do risco e análise dos riscos residuais

Ação Aceitação do Risco (10 da ABNT NBR ISO/IEC 27005)

Saída Lista de riscos aceitos e

justificativas

Figura 8.5 Fase de aceitação

do risco.


1 1 1 1


116

Sessão 9 da norma ABNT NBR ISO/IEC 27005. Sessão 10 da norma ABNT NBR ISO/IEC 27005. Anexo F da norma ABNT NBR ISO/IEC 27005. Item 5.5 da norma ABNT NBR ISO 31000.

Roteiro de Atividades 8 Visão geral da atividade Nesta atividade, serão realizadas as atividades necessárias para a “Análise de Risco – tratamento e aceitação de riscos”. A gura a seguir apresenta gracamente a localização destas atividades no processo de gestão de riscos.



ANÁLISE DE RISCOS


PONTO DE DECISÃO 1

Não




Não



de riscos.

ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES A realização desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivência e experiência em sua organização. Para esta atividade o aluno deve se valer das observações sobre a empresa KWX. A sequência das atividades será: 1. Leitura das Sessões 9 e 10 da ABNT NBR ISO/IEC 27005; 2. Explicação e demonstração da planilha de análise de risco pelo instrutor;



117

Na guia Sessão 8 da Planilha encontram-se quatro guias:

q

1º) a guia “Tratamento” 2º) a guia “Controles do Plano” 3º) a guia “Riscos Residuais” 4º) a guia “Aceitação do Risco” a. Exercício da guia “Tratamento” – Denição de tratamento dos riscos. Neste exercício a equipe de análise denirá a forma de tratamento que determinado risco deverá receber. Para isto a equipe de risco escolherá uma dentre as formas de tratamento:

1 1 1 1

Modicação do risco; Retenção do risco; Ação de evitar o risco; Compartilhamento do risco.

Para cada forma de tratamento dos riscos deve ser apresentada a evidência (Justicativa). Para o exercício, as formas de tr atamento serão escolhidas de uma lista. A planilha permite a edição apenas das células de tratamento e da justicativa. Só passe para a guia seguinte após concluir. b. Exercício da guia “Controles do plano” – Denição dos controles Neste exercício a equipe denirá os controles que devem ser implementados para mitigar os riscos encontrados. Com sua experiência e conhecimento do ambiente, a equipe selecionará os melhores controles que realmente serão e cazes e ecientes no trat amento dos riscos. Estes controles fazem parte do Plano de Tratamento dos Riscos, que é um dos resultados de uma análise de riscos. A pergunta chave aqui é: Q uais controles precisam ser aplicados sobre as vulnerabilidades para mitigar os riscos provocados por elas? Para o exercício, deverão ser identicados dois controles que permitam a mitigação dos riscos no menor prazo possível. Para ns de aprendizagem, recomenda-se iniciar com os controles da NBR ISO/IEC 27002. Ao nal da planilha, a guia “Vulnerabilidades e Controles” pode ser usada para auxiliar na denição de alguns controles para certos tipos de vulnerabilidades. A equipe de análise neste exercício deverá analisar cada vulnerabilidade e seus riscos e decidir os melhores controles, apresentando suas justicativas. A planilha permite a edição apenas das células de controles e da justicativa. 5 0 0 7 2 R B N I T e d s o c s i R e d o ã t s e G

118

Só passe para a guia seguinte após concluir. c. Exercício da guia “Riscos Residuais” – Levantamento dos riscos residuais. Neste exercício a equipe de análise identicará e denirá os riscos residuais após a aplicação dos controles. Esta é uma atividade v ital, pois permitirá que se ver ique se os riscos real mente diminuíram e chegaram até o nível aceitável pela organização. Além de vericar os riscos residuais, a equipe deverá, caso o risco ainda permaneça acima do nível aceitável, propor novos controles ou ainda controles compensatórios, de tal forma que o nível de risco seja reduzido o máximo possível e o mais próximo do aceitável. Caso isso não seja possível, um novo ciclo de análise de risco deverá ser executado.

A resposta será dada por um dos níveis do critério “Severidade das Consequências” denido na Sessão 2 na guia “Critérios”. Para o exercício, serão preenchidas as seguintes colunas: 1. “Existem riscos residuais?” – para cada r isco e os controles implementados a equipe deverá responder (sim ou não); 2. “Quais? Descreva” – a equipe deverá informar os r iscos e vulnerabilidades que ainda não foram tratados (riscos residuais); 3. “Justicativa/Ev idência” – a equipe deverá apresentar as ev idências do risco residual; 4. “Nova severidade” – caso exist am riscos residuais, a equipe deverá analisá-los e denir a nova severidade, escolhendo da lista semelhante da Sessão 5. Ao escolher o item da list a, automaticamente aparece o peso desta severidade na coluna ao lado; 5. “Nova probabilidade” – depois de preenchida a coluna da nova severidade, deverá ser preen chida a nova probabilidade, escolhendo da lista semelhante ao feito na Sessão 6. Ao escolher da lista, automaticamente aparece o peso desta probabilidade na coluna ao lado. Ao preencher estas colunas surgirá o novo valor do r isco residual. Caso ainda esteja acima do nível aceitável aparecerá uma mensagem de erro ao lado. A planilha permite a edição apenas das células das colunas citadas. Só passe para a guia seguinte após concluir. d. Exercício da guia “Aceitação do Risco” – Aceitação dos riscos. Nesta atividade a e quipe de análise e a organização, como partes interessadas, conduzirão as atividades necessárias para a aceitação dos riscos. Esta aceitação é um documento formal que informa que o risco será aceito, uma justica tiva para isso e o responsável pela tomada da decisão. Normalmente, quem tem o poder para tomar esta decisão faz par te da alta direção. Esta aceitação somente será feita p ara os riscos que ainda estejam acima do nível aceitável. Para o exercício serão preenchidas três colunas: 1. “Decisão” – qual a decisão de aceitação do r isco? A escolha deve ser feita a partir de uma lista de opções; 2. “Justicativa” – just icativa a para tomada da decisão; 3. “Responsável” – nome do responsável pela tomada a decisão. Caso o risco não seja aceito a célula deve ser deixada em branco. A planilha permite a edição apenas das células das colunas citadas. Só passe para a guia seguinte após concluir. 4. Vericação e correção pelo ins trutor. Ao concluir o Roteiro de Atividades 8, a equipe de análise terá praticamente terminado a análise de risco. Nesta etapa ela terá percorrido todas as atividades da gest ão de riscos, tendo pleno conhecimento dos ativos críticos, suas ameaças e vulnerabilidades, o tratamento e os controles que precisam ser implementados e, uma vez implementados, identi car os riscos residuais que ainda podem existir.


119

Observe a gura no início de cada Roteiro de Atividades e veri que a execução de todas as etapas do processo de gestão de riscos.

O que foi aprendido

1 1 1


120

Conceito de tratamento do r isco. Formas de tratar o r isco. Como realizar a aceitação do risco.

q

9 Comunicação e monitoramento dos riscos s o v i t e j b o

Compreender a execução do processo de comunicação e consulta dos riscos. c o n c e i t o s

Comunicação.

Introdução 1

Existem duas fases que se desenvolvem simultaneamente com as demais fases:

q

2 Comunicação do risco. 2 Monitoramento e análise crítica de riscos. 1

Estas duas fases são permanentes durante todo o processo de ges tão de riscos.

Durante todo o trabalho da equipe de análise de riscos, existem duas fases que se desenvolvem simultaneamente às demais fases: a comunicação do risco e o monitoramento e análise crítica de riscos. Durante todo e qualquer tipo de trabalho, a comunicação é uma atividade de grande importância. É através dela que são tr ansmitidas informações sobre o desenvolvimento das atividades e os resultados alcançados. Outra fase de suma impor tância e que se desenvolve paralelamente a todas as demais fases é a de monitoramento e análise crítica de riscos. Esta é uma fase em que a equipe realiza o monitoramento e a análise crítica dos riscos e do seu trabalho. Uma característica dest as duas fases é que são permanentes durante todo o processo de gest ão de riscos.

e

Exercício de nivelamento 1 Comunicação e consulta dos riscos Existe algum processo de comunicação na sua organização? Explique.

s o c s i r s o d o t n e m a r o t i n o m e o ã ç a c i n u m o C 9 o l u t í p a C

121

Processo de comunicação e consulta do risco de segurança da informação Comunicação do risco é uma troca interativa de informações, conhecimentos e percepções sobre como os riscos devem ser gerenciados.

1

É uma atividade crítica para o sucesso dos trabalhos, realizada entre a equipe envolvida e as partes interessadas nas decisões do processo de análise de riscos.

1

Fase que se desenvolve durante todo o processo de análise de riscos, desde a primeira atividade da equipe de análise de riscos.

q

A comunicação e consulta do risco é uma fase que se desenvolve durante todo o processo de análise de riscos, desde a primeira atividade da equipe de análise de riscos. Trata-se de uma troca interativa, documentada formalmente, contínua e intencional, de informações, conhecimentos e percepções sobre como os r iscos devem ser gerenciados. A comunicação é realizada entre a equipe envolvida e as par tes interessadas nas decisões do processo de análise de riscos, sendo uma atividade crítica para o sucesso dos trabalhos. A Figura 9.1 apresenta a fase dentro do contexto do processo de gestão de riscos.



ANÁLISE DE RISCOS


PONTO DE DECISÃO 1

Não




122

PONTO DE DECISÃO 2


Não


Sim ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES

Figura 9.1 Fase de comunicação e consulta do risco no contexto do processo de gestão

de riscos.

Na fase de comunicação e consulta do risco a equipe de análise e a organização terão como:

1 1

Entrada: TODAS as informações sobre os riscos e atividades desenvolv idas. Ação: troca e/ou compartilhamento destas informações entre a equipe, o tomador de

decisão e as partes interessadas.

1

Saída: entendimento contínuo do processo de gestão de riscos e dos resultados obtidos.

É importante que a comunicação seja executada durante todo o processo de gestão de riscos para manter as partes interessadas, internas e externas, de forma bidirecional, para que decisões bem informadas possam ser tomadas sobre o nível de risco e a necessidade de tratamento.

Comunicação e consulta do risco de segurança da informação 1

Deve conter o máximo de detalhes sobre os riscos encontrados, como:

q

2 A existência da ameaça, vulnerabilidade e risco 2 A natureza e a forma de atuação 2 A estimativa de probabilidade 2 Sua severidade e consequências possíveis 2 Tratamento e aceitação dos riscos. 1

A comunicação permite a rápida tomada de decisão para a implementação de controles de risco a m de evit ar maiores danos.

1

Permitirá ainda um trabalho de conscientização sobre a gestão dos riscos e a segu rança da informação.

1

A equipe pode contar com um prossional da organização como ponto focal, cabendo a ele o acompanhamento dos trabalhos e as ações iniciais de comunicação.

1

A equipe também pode realizar reuniões regulares de acompanhamento com os gestores da organização, para apresentação dos resultados obtidos até o momento.

1

Comunicar é também dar um retorno (status) sobre a gestão dos riscos para a equipe, para a direção da organização e demais partes interessadas.

2 A criação de relatórios permite que as informações reunidas sejam divulgadas e usadas na tomada de decisão. As atividades des ta fase são executadas durante todo o processo de análise de riscos, devendo conter o máximo possível de detalhes sobre os riscos encontrados, tais como:

1 1 1 1 1

A existência da ameaça, vulnerabilidade e risco; A natureza e forma de atuação; A estimativa de probabilidade; Sua severidade e consequências possíveis; Tratamento e aceitação dos riscos.

A comunicação vai permitir o entendimento adequado e a maior agilidade na tomada de decisões para a implementação de mecanismos de controle de riscos, a m de ev itar danos mais signicativos. Além disso, irá permitir uma melhor percepção dos riscos e dos benef í cios do seu rápido tr atamento, assim como realizar um trabalho de conscientização sobre a gestão dos riscos e a segurança da informação.

s o c s i r s o d o t n e m a r o t i n o m e o ã ç a c i n u m o C 9 o l u t í p a C

123

Uma das formas de realizar esta comunicação é integrando à equipe um pr ossional da organização como ponto focal, cabendo a ele o acompanhamento dos trabalhos e as ações iniciais de comunicação. Outra forma é a equipe realizar regularmente (semanal, quinzenal, dependendo do escopo da análise) uma reunião de acompanhamento com os gestores da organização e apresentar os resultados até aquele momento.

e

Exercício de fixação 1 Comunicação e consulta dos riscos Durante o processo de análise de risco, ao identicar uma vulnerabilidade grave e de alto risco, qual será a sua atitude com esta informação? Justique.

Comunicar é também dar um retorno (status) sobre a gestão dos riscos para a equipe, para a direção da organização e todas as partes interessadas. A cr iação de relatórios é uma forma de comunicação que permite que as informações reunidas sejam divulgadas e usadas na tomada de decisões. A seção 11 da norma ABNT NBR ISO/IEC 27005 apresenta outros detalhes da comunicação do risco. Entrada

TODAS as informações sobre os riscos obtidas nas atividades

Ação Comunicação do risco (11 da ABNT NBR ISO/IEC 27005)

Saída Entendimento contínuo do precesso de gestão de riscos

Figura 9.2 Comunicação

do risco.


1 1


124

Sessão 11 da norma ABNT NBR ISO/IEC 27005. Sessão 12 da norma ABNT NBR IS O/IEC 27005.

Roteiro de Atividades 9 Visão geral da atividade Nesta atividade, serão realizadas as atividades necessárias para a “Análise de risco – comunicação dos riscos”. A gura a seguir apresenta gracamente a localização destas atividades no processo de gestão de riscos:



ANÁLISE DE RISCOS


PONTO DE DECISÃO 1

Não




Não



de riscos.

ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES A realização desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivência e experiência em sua organização. Para esta atividade o aluno deve se valer das observações da empresa KWX. A sequência das atividades será: 1. Leitura da Seção 11 da ABNT NBR ISO/IEC 27005; 2. Explicação e demonstração da planilha de análise de risco pelo instrutor;



125

Na guia Sessão 9 da planilha encontra-se um botão:

q

1º) Comunicação dos Riscos – abre a guia “Comunicação dos Riscos” a. Atividade da guia “Comunicação dos Riscos” – Comunicação dos riscos. Nesta atividade a equipe de análise realizará as atividades necessárias para a comunicação durante o processo de gestão dos riscos. Esta atividade é realizada durante toda a gestão de riscos. Em cada atividade realizada a equipe deverá realizar a comunicação de uma forma planejada. Para ns de exercício, a equipe de análise de risco responderá a uma sequência de perguntas que visam mostrar um encadeamento das comunicações durante toda a gestão de riscos na organização, para assim permitir um perfeito entendimento desta importante atividade. A comunicação permitirá orientar e conscientizar sobre a importância da gestão de riscos. A planilha permite a edição apenas das células azuis. Só passe para a guia seguinte após concluir. 4. Vericação e correção pelo ins trutor. Ao concluir o Roteiro de A tividades 9, a equipe de análise terá conhecimento e compreensão dos procedimentos adotados para realizar a comunicação durante toda a gestão de riscos.

O que foi aprendido

1 1 1


126

Conceito de comunicar os riscos. O que deve ser comunicado. Como fazer a comunicação dos riscos.

q

10 Monitoramento dos riscos s o v i t e j b o

Executar o monitoramento e a análise de riscos. c o n c e i t o s

Monitoramento de riscos e análise crítica.

Introdução Paralelamente às etapas da análise de risco ocorre também uma etapa importantíssima para a vericação e controle dos resultados do trabalho: a etapa do Monitoramento. A execução desta etapa durante toda a realização do projeto permitirá que a organização e a equipe acompanhem a eciência dos resultados e a ecácia dos controles.

Exercício de nivelamento 1 Monitoramento de riscos

e

Como é realizado o monitoramento na sua organização? Explique.

Processo de monitoramento e análise crítica de riscos de segurança da informação 1

Monitoramento é a observação contínua e o registro regular das atividades e ações da gestão de riscos.

1

Processo rotineiro de coleta de informações da gestão de riscos em todos os seus aspectos.

1

Monitorar é vericar e acompanhar o progresso das ativ idades da gestão de riscos.

2 É uma observação sistemática, regular e com propósito de vericar o desenvolvimento da gestão de riscos.

q

s o c s i r s o d o t n e m a r o t i n o M 0 1 o l u t í p a C

127

1

A análise crítica é uma avaliação geral e criteriosa sobre os resultados e ações da gestão de riscos com relação a requisitos pré-est abelecidos.

q

2 Objetivo da análise crítica é levantar e identicar problemas e pontos de melhoria. 1 1

A análise crítica ocorre simultaneamente às demais fases da gestão de riscos. Durante esta fase são executadas duas ativ idades:

2 Monitoramento e análise crítica dos fatores de risco. 2 Monitoramento, análise crítica e melhoria do processo de gestão de riscos.



ANÁLISE DE RISCOS


PONTO DE DECISÃO 1

Não




Não


Sim ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES


128

O monitoramento pode ser denido como a observação contínua e o registro regular das atividades e ações da gestão de r iscos. É um processo rotineiro de coleta de informações da gestão de riscos em todos os seus aspectos. Monitorar é ver icar e acompanhar o progresso das atividades da gestão de r iscos, ou seja, uma observação sistemática, regular e com pro pósito de vericar o desenvolvimento da gest ão de riscos. A análise crítica é uma avaliação geral e criteriosa sobre os resultados e ações da gest ão de riscos com relação a requisitos pré-estabelecidos, com o objetivo de fazer o levantamento e a identicação de problemas e pontos de melhoria, para com isso solucionar os problemas e aprimorar continuamente o processo de gestão de riscos.

Figura 10.1 Fase de monitoramento e

análise crítica de riscos no processo

da gestão de riscos.

Esta fase ocorre simultaneamente às demais fase da gestão de riscos. Durante todo o processo de gestão de riscos, a equipe de análise estará também realizando atividades de monitoramento e análise crítica, a m de fazer as correções necessárias o quanto antes. Durante esta fase são executadas duas atividades:

1 1

Monitoramento e análise crítica dos fatores de risco; Monitoramento, análise crítica e melhoria do processo de gestão de riscos.

Monitoramento e análise crítica dos fatores de risco 1

O monitoramento é a atividade de identicar e de assegurar o controle do risco, monitorando riscos residuais e identicando novas ameaças e vulnerabilidades, assegurando a execução dos planos de tratamento do risco e avaliando sua eciência e ecácia na redução dos riscos.

1 1

A equipe deve estar atenta e preparada para lidar com o dinamismo dos riscos e ameaças.

1

A contratação de ser viços de terceiros para este monitoramento pode representar um ganho de eciência no atendimento às novas ameaças que surgirem.

1

O monitoramento deve ser feito para garantir que:

q

O acompanhamento do dinamismo dos riscos e ameaças deve ser feito através do monitoramento dos ativos, vulnerabilidades e probabilidades, para que seja possível a rápida identicação de qualquer mudança.

2 O tratamento do risco está sendo implementado conforme planejado. 2 Novos ativos foram incluídos no escopo da gestão de riscos. 2 Os controles selecionados como de resposta ao risco ainda estão ecazes. 1

O monitoramento deve ser feito ainda para vericar se:

2 As hipóteses de cenários de incidentes e probabilidades ainda são válidas. 2 Surgiu um novo agente de ameaça capaz de explorar novos r iscos. 2 As políticas e procedimentos estão sendo executados de forma adequada. 2 Tem havido incidentes relacionados à segurança da informação. 2 Surgiram novos riscos não identicados anteriormente. 2 Surgiram novos riscos que elevaram as consequências e impactos a um nível de risco inaceitável.

1

A análise crítica deve ser feita pela alta direção da organização no nível es tratégico, para vericar se a gestão de riscos está atendendo aos objetivos de negócio da organização.

O monitoramento é a atividade de identicar e de assegurar o controle do risco, monitorando riscos residuais e identicando novas ameaças, vulnerabilidades e riscos, assegurando a exe cução dos planos de tratamento do risco e avaliando sua eciência e ecácia na redução dos riscos. A equipe deve estar atenta ao dinamismo dos riscos e ameaças. Bons procedimentos de monitoramento e análise crítica do risco fornecem informações que suportam as tomadas de decisão ecazes em relação ao surgimento de novas ocorrências dos riscos. Da atividade de monitoramento e análise crítica, a equipe de análise terá como:

1 1

Entrada: TODAS as informações sobre os riscos obtidos e ativ idades desenvolvidas; Ação: é a realização de procedimentos de monitoramento e análise crítica para a identi -

cação de eventuais mudanças no contexto e manutenção de uma visão geral dos r iscos.

s o c s i r s o d o t n e m a r o t i n o M 0 1 o l u t í p a C

129

1

Saída: o alinhamento contínuo da gestão de riscos com os objetivos de negócios e com os

critérios de aceitação do risco. O acompanhamento do dinamismo dos riscos e ameaças deve ser feito através do monitoramento dos ativos, vulnerabilidades, probabilidades, entre outros, para que seja possível a rápida identicação de qualquer mudança. Neste tipo de ati vidade, a contratação de serviços de terceiros para o monitoramento pode representar para a organização um ganho de eciência no atendimento às novas ameaças que surgirem. Os resultados do monitoramento serão utilizados como dados de entrada para a realização de uma análise crítica, que deve ser feit a pela alta direção da organização no nível estr atégico, para vericar se a gest ão de riscos está atendendo aos objetivos de negócio da orga nização. No processo de análise de riscos, a equipe de análise deve identicar problemas e pontos de atenção que necessitam de melhorias. Entrada


Ação Monitoramento e análise crítica dos fatores de risco (12.1 da ABNT NBR ISO/IEC 27005)

Saída Alinhamento contínuo da gestão de riscos com os objetivos de negócio e com os critérios de risco

Figura 10.2 Atividade de monitoramento e

análise crítica.

e

Exercício de fixação 1 Monitoramento e análise crítica dos riscos O que é monitoramento e análise crítica dos riscos? Explique sua nalidade.

Monitoramento, análise crítica e melhoria do processo de gestão de riscos 1

Garante que o processo de gestão de riscos atende aos requisitos estratégicos do negócio da organização.

2 Entrada: TODAS as informações obtidas sobre os riscos e atividades desenvolvidas.

2 Ação: monitoramento, análise crítica e melhoria do processo de gestão de riscos 5 0 0 7 2 R B N I T e d s o c s i R e d o ã t s e G

130

de segurança da informação.

2 Saída: a garantia permanente da relevância do processo de gestão de riscos de segu rança para os objetivos de negócio da organização ou a atualização do processo.

1

Permite que a organização analise seu processo de gestão de r iscos e execute as melhorias necessárias ao processo.

1

O trabalho da equipe de análise nesta ati vidade é ter realizado a atividade anterior e ter passado os resultados para a organização, para que es tes sejam utilizados como subsídios para o monitoramento, análise crítica e melhorias do processo de gestão de riscos para toda a organização.

q

1

q

O monitoramento e análise da organização permitirão:

2 A vericação da disponibilidade dos recursos necessários à gestão e t ratamento do risco.

2 A vericação da necessidade de mudanças nos critérios, na metodologia ou nas ferramentas utilizadas. Esta atividade tem por objetivo garantir que o processo de gestão de riscos esteja realmente atendendo aos requisitos estratégicos do negócio da organização. Na atividade de monitoramento, análise crítica e melhoria do processo de gestão de riscos:

1 1

Entrada: são TODAS as informações sobre os r iscos obtidos e atividades desenvolvidas Ação: monitoramento, análise crítica e melhoria do processo de gestão de riscos de segu-

rança da informação.

1

Saída: a garantia permanente da relevância do processo de gestão de r iscos de segu-

rança para os objetivos de negócio da organização ou a atualização do processo. Esta atividade permite que a organização analise seu processo de gestão de riscos e a possibilidade de execução das melhorias necessárias ao processo. Nesta atividade, o trabalho da equipe de análise é ter realizado a atividade anterior e ter passado os resultados para a organização, para que sejam utilizados como subsídios para o monitoramento, análise crítica e melhoria do processo de gestão de riscos, para toda a organização. O monitoramento permite que a organização verique se todos os recursos necessários à gestão e tratamento do r isco estão disponíveis, e também a vericação da n ecessidade de mudanças nos critérios, na metodologia ou nas ferramentas utilizadas. Entrada Figura 10.3 Atividade de monitoramento,


análise crítica e melhoria do processo de gestão

de riscos.

Ação Monitoramento, Análise crítica e Melhoria do processo (12.2 da ABNT NBR ISO/IEC 27005)

Saída Garantia permanente do processo de gestão de riscos para os objetivos de negócios ou atualização do processo


1 1

Sessão 12.1 da norma A BNT NBR ISO/IEC 27005. Sessão 12.2 da norma ABNT NBR I SO/IEC 27005. s o c s i r s o d o t n e m a r o t i n o M 0 1 o l u t í p a C

131


132

Roteiro de Atividades 10 Visão geral da atividade Nesta atividade, serão realizadas as atividades necessárias para a “Análise de risco – monitoramento dos riscos”. A gura a seguir apresenta gracamente a localização destas atividades no processo de gestão de riscos:



ANÁLISE DE RISCOS


PONTO DE DECISÃO 1

Não




Não



de riscos.

ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES A realização desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivência e experiência em sua organização. Para esta atividade o aluno deve se valer das observações da empresa KWX. A sequência das atividades será: 1. Leitura da Seção 12 da ABNT NBR IS O/IEC 27005; 2. Explicação e demonstração da planilha de análise de risco pelo instrutor;

s e d a d i v i t A e d o r i e t o R 0 1 o l u t í p a C


133

Na guia Sessão 10 da Planilha encontram-se duas guias:

q

1º) a guia “Monitoramento dos Riscos” 2º) a guia “Monitoramento_Melhoria_Processo” a. Exercício da guia “Monitoramento dos Riscos” – Monitoramento e análise crítica dos r iscos de segurança da informação. Neste exercício, a equipe de análise realizará as atividades necessárias para o monitoramento e análise crítica dos riscos. Estas atividades na realidade são desenvolvidas desde a primeira atividade do processo de gestão de riscos. Esta atividade v isa fazer o monitoramento e a análise crítica dos riscos encontrados. A equipe está encontrando os r iscos? Está deixando de observar alguma coisa? Para o exercício, a equipe de análise de risco responderá a uma sequência de perguntas que visam mostrar um processo lógico de monitoramento e análise crítica de riscos durante toda a gestão de riscos, para permitir um perfeito entendimento desta import ante atividade da organização. O monitoramento e a análise crítica de riscos permitirão orientar e aper feiçoar a execução dos trabalhos da equipe de análise da gestão de riscos. A planilha permite a edição apenas das células azuis. Só passe para a guia seguinte após concluir. b. Exercício da guia “Monitoramento_Melhoria_Processo” – Monitoramento, análise crítica e melhoria do processo de gestão dos riscos. Neste exercício, a equipe de análise realizará juntamente com a organização as ati vidades necessárias para o monitoramento, análise crítica e melhoria do processo de gestão dos riscos. Estas atividades são desenvolv idas com o objetivo de identicar se a gestão dos riscos está sendo eciente, ecaz e atendendo aos requisitos dos negócios. Esta atividade v isa fazer o monitoramento do processo de gestão dos riscos e a análise crítica para a melhoria contínua da gestão dos riscos. O processo de gestão dos riscos está funcionando? O que é necessário melhorar no processo de gestão dos r iscos? Para o exercício, a equipe de análise de risco responderá a uma sequência de perguntas que visam mostrar um processo lógico do monitoramento, análise crítica e melhoria do processo da gestão dos riscos na organização, visando o aper feiçoamento contínuo do processo e das atividades que o compõem. A planilha permite a edição apenas das células azuis. 4. Vericação e correção pelo instrutor. 5 0 0 7 2 R B N I T e d s o c s i R e d o ã t s e G

134

Ao concluir o Roteiro de A tividades 10, a equipe de análise terá concluído todo um ciclo da gestão dos riscos. O s próximos passos serão:

1

A confecção de um relatório contendo os resultados (ativos, ameaças, vulnerabilidades, consequências, impactos e riscos priorizados);

1

Confecção de um plano de tratamento contendo os controles que devem ser implementados para a mitigação dos riscos.

Observe a guia “Grácos_Exemplos” na qual constam alguns exemplos de grácos que podem ser realizados para ilustrar a apresentação dos result ados e servirem de comparação com outras análises de r isco realizadas.

É importante que todo o trabalho seja feito baseado nas normas de seg urança da informação que formam a base da gestão da segurança da informação.

O que foi aprendido

1 1 1 1

Conceito de monitoramento, análise crítica e melhoria do processo.

q

Razões para a realização do monitoramento. Atividades para realização do monitoramento. Razões para executar a análise crítica e a melhoria contínua.

Conclusão Visão geral da gestão de riscos Neste curso foram vistos todos os aspectos da gest ão dos riscos, de acordo com a NBR ISO/ IEC 27005. A gura a seguir apresenta gracamente a localização destas atividades no pro cesso de gestão de riscos.



ANÁLISE DE RISCOS


PONTO DE DECISÃO 1

Não




Não



de riscos.

ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES Os objetivos de proporcionar conhecimento sobre a gestão dos riscos e fornecer um ferra mental para a realização da gestão de riscos foram detalhados e praticados em c ada sessão de aprendizagem deste curso. É importante s aber que ao realizar um primeiro ciclo de gestão de riscos, este processo passa a ser cíclico e contínuo.

s e d a d i v i t A e d o r i e t o R 0 1 o l u t í p a C

135

A gestão de riscos é um processo que sempre irá trazer benefícios para a organização. A melhoria das condições de segurança da informação passa obrigatoriamente pelo conhecimento das fraquezas e vulnerabilidades que podem ser exploradas para que as ameaças se concretizem. E, indiscutivelmente, a melhor forma de fazer isso é através da gestão de riscos.


136

Bibliografia 1 1

AS/NZS 4360 – Ges tão de riscos – Princípios e diretrizes.

1

CERIAS – The Center for Education and Research in Information Assurance and Security: http://www.cerias.purdue.edu/ (acesso em julho de 2013).

1

Cert.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil: http://www.cert.br/links/ (acesso em julho de 2013).

1

DE CICCO, Francesco; FANTAZZINI, Mario Luiz. Tecnologias consagradas de gestão de riscos. São Paulo: Risk Tecnologia Editora, 2003.

1

Enterprise Risk Management: Past, Present and Future: http://www.casact. org/education/erm/2004/handouts/kloman.pdf (acesso em julho de 2013).

1

Interdisciplinary Risk Management:, http://www.riskinfo.com/rmr/rmrjun05.htm (acesso em julho de 2013).

1

Marcos Sêmola – website Gestão de Riscos da Informação: http://www.semola.com.br/conceitos.html (acesso em julho de 2013).

1 1

NBR Guia 73 – Ges tão de riscos – Vocabulário

1

NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação.

1

NBR ISO/IEC 27005 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação.

1 1 1

NBR ISO/IEC 31000 – Gestão de riscos – Princípios e diretrizes.

BERNSTEIN, Peter L. Desao aos deuses: a fascinante história do risco. 23ª ed., Editora Campus, 1997.

NBR ISO/IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos.

PELTIER, Thomas R. Information Security Risk Analysis. CRC Press, 2005. SANS – The Cyber Security Risks: http://www.sans.org/top-cyber-security-risks/?ref=top20 (acesso em julho de 2013).

1

Security Focus – Vulnerabilities: http://www.securityfocus.com/ (acesso em julho de 2013).

1

WESTERMAN, George; HUNTER, Richard. O risco de TI. Harvard Business School Press, 2008.

a f a r g o i l b i B

137


138

Edson Kowask Bezerra é

profssional

da área de segurança da informação e governança há mais de quinze anos, atuando como auditor líder, pesquisador, gerente de projeto e gerente técnico, em inúmeros projetos de gestão de riscos, gestão de segurança da informação, continuidade de negócios, PCI, auditoria e recuperação de desastres em empresas de grande porte do setor de telecomunicações, fnanceiro, energia, indústria e

governo. Com vasta experiência nos temas de segurança e governança, tem atuado também como palestrante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em segurança e governança. É professor e coordenador de cursos de pós-graduação na área de segurança da informação, gestão integrada, inovação e tecnologias web. Hoje atua como Coordenador Acadêmico de Segurança e Governança de TI da Escola Superior de Redes. Possui a certifcação CRISC da ISACA, além de diversas

outras em segurança e governança.

Gestão de Riscos de TI - NBR 27005.pdf

Recommend Documents