FRAMEWORK PARA GERENCIAMENTO DE RISCOS EM PROCESSOS DE ...abepro.org.br/biblioteca/enegep2009_TN_STP_098_661_13268.pdf · Na implantação da gestão de segurança da informação

FRAMEWORK PARA

GERENCIAMENTO DE RISCOS EM

PROCESSOS DE GESTÃO DE

SEGURANÇA DA INFORMAÇÃO

BASEADO NO MODELO DMAIC

Maria Angélica Figueiredo Oliveira (UFSM)

[email protected]

Cristiane Ellwanger (UFSM)

[email protected]

Raul Ceretta Nunes (UFSM)

[email protected]

Francisco Carlos Vogt (UFSM)

[email protected]

O processo de gerenciamento de riscos se refere ao planejamento,

monitoramento e controle baseado nas informações produzidas pela

atividade de análise de riscos. Entretanto, muitas vezes esse processo é

considerado longo, complexo e onerosoo, contribuindo para que

projetos da área de Tecnologia da Informação (TI) e principalmente de

segurança da informação falhem por não priorizarem esta tarefa. Uma

das formas de se minimizar esta realidade é a adoção de uma

metodologia que contemple aspectos que sejam realmente relevantes

para as organizações, como a usabilidade. Para atender a este anseio

o presente artigo apresenta um framework baseado no modelo DMAIC.

Cinco fases compreendem o framework proposto, as quais servem de

base à demonstração de procedimentos e ferramentas necessários para

orientar todo o processo de condução da gestão de riscos. A atribuição

de conceitos de usabilidade ao framework proposto permite às

organizações gerenciar os riscos, relacionados à segurança da

informação e à infra-estrutura de TI, de maneira organizada, simples,

econômica e eficaz.

Palavras-chaves: DMAIC, gestão, segurança, informação, riscos

XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUÇÃO A Engenharia de Produção e o Desenvolvimento Sustentável: Integrando Tecnologia e Gestão.

Salvador, BA, Brasil, 06 a 09 de outubro de 2009

XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO A Engenharia de Produção e o Desenvolvimento Sustentável: Integrando Tecnologia e Gestão


2

1. Introdução

De fato, hoje, as organizações estão convencidas de que a informação é um ativo de grande

valor. Deste modo, a crescente preocupação pela proteção desses ativos vem sendo cada dia

maior, haja vista o surgimento de novas ameaças, sejam elas tecnológicas ou humanas,

demandando que novas ações sejam tomadas para mitigar os riscos que são gerados por essas

ameaças.

Em projetos de implantação de gestão de segurança da informação a prática de gerenciar

riscos tem um papel fundamental, necessitando que este processo seja feito de forma clara e

estruturada. O gerenciamento de riscos é um dos fatores decisivos para o sucesso na

implantação de segurança da informação. No entanto, segundo Baccarini, Geoff, Love (2004)

muitos projetos da área de TI pecam pela ineficácia e acabam falhando por não priorizarem a

etapa de análise de riscos. Esta não priorização deve-se muito a idéia de que a gestão de riscos

seja um processo longo, oneroso e complexo o que acaba resultando em problemas e

ineficiência nos projetos de segurança da informação, gerando frustração por parte da

organização. Por esta razão, características como estas mencionadas, podem ser minimizadas

com uma metodologia que atenda um dos fatores essências aos olhos das organizações para a

tarefa de gerenciar os riscos: a usabilidade (LICHTENSTEIN, 1996).

Conduzir um processo que seja de simples compreensão e de fácil utilização pode ser uma

maneira eficaz para reduzir não somente os fracassos de projetos de TI, mas como também a

elevar o nível de proteção que são exigidos no momento atual. Neste sentido, tendo em vista

às recomendações da norma que estabelece as melhores práticas para a gestão da segurança da

informação (NBR ISO/IEC 17799:2005), no que se refere ao atendimento dos controles para a

prática de gerenciamento de riscos e nas considerações de Lichtenstein (1996), o presente

artigo apresenta um framework para gerenciamento dos riscos relacionados à segurança da

informação. O framework é baseado no modelo DMAIC, considerado um modelo simples e

objetivo, e contribui para as definições de ações que auxiliam na tarefa de melhor gerenciar os

riscos de maneira simples e a um baixo custo.

O artigo está organizado da seguinte maneira: a seção 2 revisa os principais conceitos de

Gestão da Segurança da Informação; a seção 3 apresenta uma visão da Gestão de Riscos; a

seção 4 trata do método DMAIC; a seção 5 descreve a proposta de gerenciamento dos riscos;

a seção 6 faz um comparativo com os trabalhos relacionados e o Framework proposto; e

finalmente a seção 6 relata as considerações finais.

2. Gestão de Segurança da Informação

A Segurança da Informação é obtida através da implementação de controles, processos,

políticas e procedimentos, que juntos fortalecem os objetivos de negócio com a minimização

dos seus riscos e a promoção da segurança da organização (NBR ISO/IEC 17799:2005).

Garantir a proteção da informação é um princípio base para que qualquer organização forneça

um serviço de credibilidade, organizado e controlado independente do meio de

armazenamento da informação sendo ela eletrônica ou em papel. Para se implantar um projeto

centrado na segurança da informação é preciso atender os três pilares básicos:

confidencialidade, integridade e disponibilidade, que conforme NBR/ISO IEC 17799:2005

são os princípios primordiais para garantir a segurança da informação:

Confidencialidade: a informação somente pode ser acessada por pessoas explicitamente



3

autorizadas;

Integridade: a informação deve ser encontrada em sua forma original desde o momento em

que foi armazenada mantendo a proteção dos dados ou informações contra modificações

intencionais ou acidentais não-autorizadas;

Disponibilidade: toda informação deve estar disponível em qualquer momento que for

necessário.

Para obter sucesso na implantação da gestão segurança da informação, fatores críticos devem

ser muito bem trabalhados para que de fato se produza uma filosofia voltada a segurança da

informação na organização. Ela precisa ser vista pelos gestores não como um conjunto de

ações com um objetivo final traçado, mas como um conceito que projete uma nova cultura de

preservação e comprometimento voltado para a proteção da informação. Estes conceitos

podem ser alcançados através de definições de políticas de segurança da informação

(FERREIRA & ARAÚJO, 2006), documento este que deve ser claro, conciso e que aborde as

verdadeiras necessidades da organização estando alinhada com os objetivos do negócio.

Para Nakamura & Geus (2007) a política de segurança da informação deve ser composta por

diretrizes, normas e procedimentos. As diretrizes são os elementos que orientam as ações

dentro do ambiente organizacional e as implementações futuras de uma maneira global,

enquanto as normas descrevem situações, ambientes e processos específicos dando uma

orientação ao uso adequado de informações. Os procedimentos são utilizados para que os

usuários possam cumprir o que foi definido no documento da política. Entretanto, para que a

política seja de fato efetiva, ela precisa ser direcionada aos riscos da organização, evitando

que esforços sejam gastos a problemas ou riscos que não sejam prioritários para organização

(OLIVEIRA, 2008).

2.1 Normas de Segurança da Informação

Na implantação de projetos de gestão de segurança da informação existem algumas normas

que buscam atender as necessidades das organizações no que diz respeito ao contexto da

segurança da informação. A norma NBR/ISO 17799:2005 é um código internacional de

práticas para a gestão da segurança da informação, estabelecendo diretrizes e princípios gerais

para iniciar, manter e melhorar os níveis de segurança relacionados à informação. Os

controles por ela recomendados visam atender os requisitos essenciais para uma análise de

riscos (FERNANDES & ABREU, 2006).

Desenvolvida a partir da norma NBR/ISO 17799:2005 a norma NBR/ISO 27001: 2006 foi

adaptada ao contexto brasileiro no intuito de prover um modelo de implantação de Sistema de

Gestão de Segurança da Informação (SGSI) e adota o ciclo de melhoria contínua denominada

PDCA (Plan-Do-Check-Act). Proposto por Deming (1990), esta metodologia proporciona a

estruturação dos processos na implantação de um SGSI. A especificação de um SGSI nas

organizações ou em um de seus setores específicos é influenciada pelas suas reais

necessidades, objetivos e requisitos de segurança, cabendo a organização definir o que será de

fato implantado. Situações simples requerem soluções simples (NBR/ISO 27001: 2006).

Para a organização ter ciência do que é necessário ser trabalhado com prioridade, tanto a

NBR/ISO 17799:2005 quanto a NBR/ISO 27001: 2006 recomendam a prática de gestão de

riscos como um meio de se alcançar uma gestão de segurança da informação mais eficaz,

sendo está prática caracterizada como um importante papel na condução de todo processo de

implantação da segurança da informação (OLIVEIRA, 2008).



4

3. Gestão de Riscos

Na implantação da gestão de segurança da informação a gestão de riscos é fundamental para o

processo de decisão, sendo ela a responsável por definir o escopo e a priorização dos ativos

que serão protegidos (LICHTENSTEIN, 1996). A NBR ISO/IEC 17799:2005 define um ativo

como todo qualquer recurso, seja ele tecnológico, físico ou humano, que agregue valor para a

organização. Portanto, para uma boa gestão, eles devem passar por um mapeamento que

revele o quanto cada ativo é importante para o cenário organizacional.

A análise dos riscos é uma das fases da gestão de riscos e consiste em se verificar a

probabilidade de haverem perdas causadas por uma ameaça contra um bem específico. No

âmbito da tecnologia da informação, a análise de riscos está associada com a possibilidade de

haver perda de algum dos princípios (disponibilidade, integridade e confidencialidade)

relacionados à segurança da informação (MARTINS, 2003).

A análise de riscos é parte integrante do processo de gerenciamento de risco e sua condução é

dividida em seis etapas distintas (Scudere, 2006): 1- Planejamento e estratégia, que se

caracteriza pelo planejamento de ações e criações de estratégias de avaliação; 2- Identificação,

onde são criados procedimentos que visam uma correta identificação dos riscos; 3-

Qualificação, que qualifica riscos decorrente de uma vulnerabilidade; 4- Quantificação, que

pontua o nível de risco; 5- Impactos e respostas, que cria procedimentos que determinam o

impacto de um determinado risco e a resposta que deverá ser utilizada; e 6- Monitoramento e

Controle, que define procedimentos para um constante acompanhamento dos riscos e ações

realizadas para minimizá-los.

Uma das partes principais no processo de gerenciamento dos riscos, segundo Jacobson (2002)

e Alberts & Dorofee (2004) são as estratégias ou respostas que serão dadas aos riscos que

forem identificados. Steinberg et al. (2004) define 4 estratégias:

1. Evitar - não se adota tecnologia ou processos que ofereçam riscos ao negócio. A forma de

tratar estes riscos pode gerar um novo risco maior do que o benefício que ele pode vir a

trazer, desta forma opta-se por evitar;

2. Transferir - é transferido o tratamento desses riscos a terceiros ou a outro setor sendo uma

alternativa viável quando o seu tratamento onera o custo de implantação do projeto;

3. Reduzir - são adotados mecanismos ou controles que tenham a ação de mitigar o risco

identificado;

4. Aceitar - consiste em não se tomar nenhuma ação e assumir o risco.

As ações ou conjunto de ações que serão escolhidas em resposta aos riscos identificados irão

depender da natureza do negócio e dos seus objetivos. Dentre as estratégias para responder

aos riscos (evitar, transferir, reduzir e aceitar) a opção por redução do risco implicará na

determinação de um conjunto de medidas a serem implantadas a partir de um nível de

prioridade que é definido pela própria organização. Este nível de prioridade pode variar, como

por exemplo, riscos que possuem um maior impacto serão tratados primeiro. Muitas vezes o

tratamento de determinado risco pode vir a desencadear outros, sendo, portanto uma decisão

que necessita de avaliação, pesando os pós e contras (CAMPOS, 2007). Observa-se que a

definição de medidas precisa ser compreendida como um processo dinâmico, adaptando-se as

mudanças geradas na organização, sendo concretizável tanto pelo lado financeiro ou temporal.



5

Como visto em Scudere (2006) a atividade de gestão de riscos envolve o alinhamento de

ações através de uma metodologia consistente, onde em cada etapa deve-se garantir que ações

consistentes possam ser realizadas. Portanto, é essencial que a gestão de riscos reúna alguns

fatores que permitam a execução de um processo estruturado: fases bem definidas

(simplicidade), objetivos concretos e sustentabilidade. Neste sentido o presente artigo utiliza o

modelo DMAIC, discutido na próxima seção, como base do framework de gerenciamento de

riscos proposto (seção 5).

4. O modelo DMAIC

Existem muitas referências na literatura sobre o DMAIC, sendo que é muito comum encontrar

denominações caracterizando-o como uma metodologia de solução de problemas (AGUIAR,

2006). Pande et al. (2001) definem o DMAIC como sendo uma ferramenta que tem como

fundamentos: identificar, quantificar e minimizar as fontes de variação de um processo, assim

como sustentar e melhorar o desempenho do processo. Snee (2007) define o DMAIC como

um método que auxilia na resolução de problemas de um modo mais rápido, produzindo uma

infra-estrutura de melhoria na organização. Por outro lado Pyzdek (2003) e Blauth (2003)

mencionam o DMAIC como um modelo sistematizado de melhoria contínua de processos.

Deste modo, havendo inúmeras denominações, para fins de padronização, neste artigo o

DMAIC é referenciado como um modelo.

Na concepção de Snee (2007) o DMAIC é o melhor meio para alcançar a qualidade, sendo

considerado um recurso que prevê menos desperdícios, pois trabalha em função dos fatores

chaves para o processo, resultando assim em uma maior eficiência para o alcance das metas.

Segundo Lynch, Bertolino & Cloutier (2003) o DMAIC é análogo a um funil, ou seja,

apresenta uma grande oportunidade para a organização ter seu escopo gradativamente

estreitado através de definições iniciais que são feitas. O resultado produzido pela adoção do

modelo possibilita revelar problemas que podem ser entendidos de forma clara (com um foco

bem definido) e que poder ser correlacionados a variáveis chaves do processo, contribuindo

com a simplicidade do processo (Werkema, 2004).

As fases do DMAIC são (FERNANDES E ABREU, 2006):

1. Definir: tem como objetivo conhecer os processos e definir pontos críticos para a

organização, indicando quais processos são mais relevantes;

2. Medir: tem como objetivo avaliar o desempenho dos processos, descobrindo mais sobre os

pontos em que a organização necessita melhorar;

3. Analisar: identifica o que será melhorado e priorizado, desenvolvendo soluções para

atender esses pontos que foram resultadas da fase de medição;

4. Implementar ou Melhorar: tem por objetivos implementar melhorias que venham atender

requisitos que foram identificados e medidos nas fases anteriores afim de obter a solução

ou a minimização do problema;

5. Controlar: controla e avalia as ações que foram tomadas para atender as melhorias, sendo

nesta fase realizado o recomeço do ciclo do processo de melhoria DMAIC.

A divisão em cinco fases bem definidas torna simples a condução do modelo, que pode ser

considerado de fácil utilização ou compreensão. Na próxima seção cada fase do modelo será

detalhada com sugestões de procedimentos e ferramentas que poderão ser utilizadas para

melhor condução da atividade de gestão de riscos.



6

5 Proposta de Framework para Gerenciamento de Riscos

Como já discutido, muitos projetos da área de Tecnologia da Informação pecam pela

ineficácia e acabam falhando por não priorizarem a etapa de gestão de riscos, o que é

reconhecido inclusive pela NBR ISO/IEC 17799:2005. No entanto, é importante destacar que

muitas metodologias de gestão da segurança da informação (MARTINS & SANTOS, 2005)

(BROOKS & WARREN, 2006) (VERMEULEN & SOLMS, 2002) preocupam-se com o

gerenciamento de riscos, sendo que cada metodologia o trata de forma diferente. Algumas dão

enfoque na gestão de riscos desde a fase inicial, enquanto outras limitam-se a incluí-la em

uma fase intermediária. Porém observa-se que o fracasso deve-se principalmente ao

relaxamento no processo de gestão de riscos, com a justificativa de que ele gera perda de

produtividade e aumento de custo, condicionando a organização a uma idéia de que esta fase

pode ser de certa forma concisa (forma de reduzir a complexidade).

Partindo de um pressuposto diferente, o de que a usabilidade é um fator decisivo para o

gerenciamento de riscos, este artigo explora este conceito para prover um framework de

gerenciamento de risco que minimize a complexidade do processo de gestão. O framework

está baseado nas etapas do modelo DMAIC e orienta todo o processo de condução da gestão

de riscos de forma simples, econômica e eficaz.

A seguir são detalhadas cada uma das etapas do framework com indicação dos procedimentos

e ferramentas a serem utilizados.

5.1 Definir

A etapa definir deve estabelecer o ambiente ou o cenário alvo através do entendimento do

negócio, identificando as características e as funções principais do setor ou organização, bem

como definir pontos críticos para a organização, indicando quais processos/ativos são mais

relevantes. O fluxograma é um recurso simples que pode ser utilizado como auxílio para esta

etapa sendo percebido como uma representação esquemática de um processo, servindo como

uma ferramenta importante na ilustração de todos os meandros operacionais relacionado com

o negócio a ser tratado (AGUIAR, 2006).

O entendimento da representatividade do setor ou área em que se está implantando a gestão da

segurança da informação também é uma das tarefas desta etapa. Para tal, basta prospectar

impactos financeiros e operacionais (interrupção do serviço) possivelmente gerados por

incidentes de segurança. Também é necessário identificar os riscos vistos pelos responsáveis

da área ou por outras pessoas que fazem parte do ambiente e que são inerentes ao processo.

Estas tarefas podem ser resolvidas através de práticas simples de brainstorming (CSILLAG,

1995), onde as lacunas existentes e passíveis de melhoria deverão aflorar com certa facilidade.

Finalmente, é importante relacionar os recursos utilizados no processo, tais como sistemas,

hardware, software e formulários, enfim todos os ativos que são fundamentais para o negócio,

e produzir um conhecimento de todos os ativos vitais para a organização.

5.2 Medir

A etapa de medição tem o objetivo de quantificar a situação do processo. Nesta etapa é

importante identificar o nível de dependência em tecnologia que o negócio possui. Ferreira &

Araujo (2006) cita três níveis que podem ser utilizados para balizar esta determinação:

Moderado: onde a área depende pouco do processamento de dados, realizando diversas



7

atividades manualmente;

Abrangente: onde área depende de tecnologia para a maioria das atividades que são

desenvolvidas; e

Dominante: onde área realiza todas as atividades com o uso da tecnologia.

De posse do levantamento de todos os ativos fundamentais para a organização (resultado da

etapa Definir) nesta etapa deve-se coletar os riscos inerentes ao processo. Para tal, analisa-se

como eles (os riscos) ocorrem e qual o seu efeito sobre o negócio, para então identificar as

reais causas e traçar uma estratégia de solução. Uma ferramenta que auxilia neste processo é o

FMEA (Failure Mode and Effect Analyses) que é usualmente utilizado para descobrir,

visualizar e priorizar as causas de problemas a serem tratados (AGUIAR, 2006).

A ferramenta identifica todos os possíveis modos potencias de falha, determinando o efeito de

cada um sobre o desempenho do processo ou produto. Segundo Helman & Andery (1995) o

FMEA é considerado um método analítico padronizado para realizar a detecção e eliminação

de problemas que são potenciais ao negócio de forma sistemática e completa. A ferramenta é

reconhecida como um dos recursos mais difundidos entre as empresas com o intuito de

colaborar na determinação de prioridades no processo de gerenciamento de riscos

(MADDOX, 2005). Sua característica principal é ter uma dinâmica que preza pela

documentação formal, permitindo padronizar documentos, fazer registros históricos de análise

que poderão auxiliar numa etapa posterior e desta forma facilitar outras revisões do processo

(escopo definido) para o encaminhamento de ações corretivas e selecionar e priorizar ações de

melhoria que devem ser conduzidos. Através do FMEA pode-se estabelecer quatro índices

para a análise do risco:

1. Índice de Gravidade: dimensiona a gravidade do efeito da falha sobre o processo (o

quanto pode prejudicar o desempenho do processo). O índice varia de 1 a 10 e pode ser

adaptado conforme a situação.

2. Índice de Ocorrência: é uma estimativa das probabilidades combinadas do quanto ocorre

uma dada falha. O índice varia de 1 a 10 e determina o nível de ocorrência da falha a ser

tratada.

3. Índice de Detecção: dimensiona o quanto uma dada falha pode ser detectada antes de

prejudicar o funcionamento do processo. É estipulado através de uma variação de índice

que 1 a 10.

4. Índice de Risco: registra o produto dos índices de ocorrência, gravidade e detecção. Esse

índice é também conhecido com NPR - Número de Prioridade do Risco.

O resultado gerado pelo índice de risco define uma maneira mais precisa de hierarquizar os

riscos e com isso priorizar ações mais urgentes para saná-los ou mitigá-los. A figura 1

exemplifica a aplicação da ferramenta FMEA em um projeto de implantação de gestão de

segurança da informação.

5.3 Analisar

Nesta fase é necessário identificar os recursos de segurança existentes que são utilizados na

organização. O formulário FMEA continua sendo usado nesta etapa, pois com a informação

resultante do NPR pode-se determinar os problemas que obtiveram os mais altos níveis de

prioridade. Com esse valor é necessário analisar a estratégia a ser usada, verificando o ônus

que implicará para a organização a resolução destes riscos. Para Ferreira (2006) em alguns



8

casos o tratamento de determinados riscos podem gerar outros, vindo a onerar a concretização

da solução. Deste modo, é preciso estabelecer o que devidamente é mais prioritário para a

organização ou setor que está sendo avaliado, determinando estratégias de tratamento mais

adequadas para o risco.

5.4 Implementar

Ao finalizar a etapa anterior com as definições de estratégias mais adequadas para a

organização, é na fase Implementar que essas estratégias são transformadas em ações,

possibilitando assim a implantação das melhorias. Umas das ferramentas recomendadas para

esta fase é a 5W1H (AGUIAR, 2006).

A 5W1H, também chamada de plano de ação ou planejamento, é capaz de orientar as diversas

ações que deverão ser implementadas. A sua nomenclatura advém do objetivo da ferramenta

reunido pelas expressões “What (o que), Who (Quem), When (Quando), Where (Onde), why

(Porque)”, o que somadas resulta em 5W, mais a denominação H que se refere a expressão

“How (Como)”, formando a sigla 5W1H. A ferramenta serve como referência às decisões,

favorecendo um acompanhamento do desenvolvimento das ações e também servindo de

documento, uma vez que ela divide de forma organizada as ações, responsabilidades e o

tempo pela execução de cada tarefa (Aguiar, 2006).

Figura 1 - Formulário FMEA

6.5 Controlar

Nesta fase acontece a monitoração ou acompanhamento do trabalho que foi realizado,

identificando se as estratégias que foram definidas estão sendo executadas. Avaliar as

medidas ou soluções implantadas são necessários para que ocorra a verificação e o

gerenciamento das atividades e com isso detectar se elas estão correspondendo ao que foi



9

proposto, garantindo assim o controle dos riscos.

Como instrumento de auxilio a esta fase, é fundamental aderir a um plano de controle ou a um

recurso tipo checklist, o qual pode ser a ferramenta FMEA utilizada na fase Medir e Analisar.

A finalidade é manter o gerenciamento de todos os riscos e consequentemente das soluções

que foram elaboradas no plano de ações, sendo possível revê-las caso os resultados não

tenham sido positivos e propor com isso alterações, facilitando o monitoramento de todas as

atividades de uma forma mais estruturada, prezando a organização de todo o processo.

Todas as etapas de gerenciamento do risco proposto neste artigo pode ser melhor visualizadas

na Figura 2, onde é ilustrada uma síntese das principais ações propostas, relacionando-as com

cada fase do modelo DMAIC.

Figura 2 – Síntese do framework de gerenciamento de riscos baseado no modelo

DMAIC

6. Trabalhos Relacionados

Assim como a proposta deste artigo traz um framework para o gerenciamento dos riscos

voltado para o contexto da segurança da informação, alguns estudos apresentam métodos e

metodologias que visam gerenciar os riscos neste processo.

O estudo de Karabacak & Sogukpinar (2005) propõe um método, denominado ISRAM

(Information Security Risk Analysis Method), o qual se baseia em uma abordagem quantitativa

para analisar riscos em segurança da informação. No método proposto, os autores utilizam

instrumentos matemáticos e estatísticos para garantir uma análise mais determinística,

principalmente, tomando como base as reais necessidades da organização. Para os autores

uma análise de riscos pode ser realizada através do desenvolvimento de seis etapas: 1-

conhecimento do problema, tendo a ciência sobre o que está sendo tratado; 2- listagem e o

peso dos fatores que envolvem o risco; 3- conversão dos fatores que provocam o risco em

questões, determinando valores para as respostas; 4- preparação da tabela de riscos com base

nas respostas da etapa anterior; 5- preparação de fórmulas e atribuição de valores aos riscos e,

finalmente, 6- a análise dos resultados.

-Visão Geral do negócio

-Entendimento do processo

-Mensurar o nível de

Dependência de TI

-Quantificar os riscos

-Identificar os recursos

de segurança da

informação existentes

-Determinar estratégias

de tratamento do risco

-Elaborar um plano

de ações

-Executar as

estratégias

-Monitorar as ações

-realizar o check list

pelo FMEA

-Propor melhorias



10

Coleman (2004) em seu trabalho discute a utilização da metodologia Octave (CARALLI et al.

2007) com uma alternativa para o processo de gerenciamento de riscos. Os princípios que

regem o gerenciamento de riscos segundo esta metodologia são compostos por quatro etapas:

1- identificação dos ativos críticos de informação; 2- das ameaças que afetam os ativos

críticos; 3- das vulnerabilidades associadas com tais ativos; e 4- os níveis atuais de risco

referentes aos ativos críticos. Esta metodologia auxilia a organização a entender melhor os

resultados de suas avaliações de risco, de modo a desenvolver ou refinar, de forma mais

adequada, as estratégias de segurança, visando estabelecer formas de proteção dos ativos e

planos para a mitigação de riscos de acordo com os requisitos de segurança relacionados a

cada ativo.

Em Misra, Kumar & Kumar (2007) apresentam uma abordagem orientada a agentes para o

gerenciamento de riscos, utilizando os conceitos da linguagem UML – Linguagem de

Modelagem Unificada (BEZERRA, 2002) para modelar o processo. A proposta é explorar a

representação dos problemas mediados pelos diagramas fornecidos pela linguagem UML

como forma de entender as origens estruturais dos riscos nos projetos de segurança da

informação, possibilitando assim à verificação das causas reais de sua ocorrência.

Embora estas metodologias e métodos sejam bem fundamentados, elas incluem um grau de

complexidade não desprezível, dificultando a compreensão e conseqüentemente a sua

utilização em empresas de médio e pequeno porte. Karabacak & Sogukpinar (2005) faz uso

do emprego de algumas fórmulas que são necessárias para o cálculo da análise de riscos,

Misra, Kumar & Kumar (2007) adotam a linguagem técnica UML, e Coleman (2004) fornece

um processo que pode vir a ser muito longo e confuso para o seu entendimento, podendo ser

exigido à orientação de um especialista em gestão de projetos para conduzir as análises. Ao

mesmo tempo, nenhuma destas metodologias consideram um requisito que pode ser essencial

para as organizações: a usabilidade.

Neste sentido, o framework proposto neste artigo contribui fornecendo um guia para o

processo de gerenciamento de riscos de forma simples, sem a necessidade de cálculos

complexos, ou o despendimento de tempo muito longo ou mesmo a necessidade de orientação

de especialista. Todas as etapas compostas pelo framework proposto são mediadas por

procedimentos e ferramentas de simples compreensão e fácil aplicabilidade, resultando em

um processo de baixo custo, liberando a organização para investimentos maiores nas

implementações das soluções para os riscos que forem identificados.

7 Considerações Finais

A necessidade de implantar um processo que vise estabelecer uma gestão de segurança da

informação é um fato reconhecido por muitas organizações, o que faz da gestão de riscos uma

prática necessária e impreterível neste campo. Entretanto, a gestão de riscos é vista muitas

vezes como uma tarefa penosa, demorada e às vezes onerosa. Para que estas características

não sejam um empecilho à realização da tarefa de gerenciar os ricos, um fator que pode ser

inegavelmente um indicador positivo em todo processo é a usabilidade. Este conceito vem a

ser o quanto a metodologia é de fácil compreensão e conseqüentemente de fácil

aplicabilidade.

Este artigo propôs um framework que tem sua base operacional fundamentada no modelo

DMAIC, dividido em cinco fases (Definir, Medir, Analisar, Implementar e Controlar), e que

aponta mecanismos que primam pela usabilidade. Cada uma das fases do DMAIC é composta

por procedimentos e ferramentas de fácil compreensão e de simples utilização, não havendo a



11

necessidade de treinamento, o que faz com que todo o processo seja gerado a um custo baixo,

uma vez que não são exigidos especialistas ou muitos recursos para condução do trabalho.

O framework proposto neste artigo foi aplicado nas Unidades de Terapia Intensiva e

Cardiologia Intensiva do Hospital Universitário de Santa Maria (HUSM), onde a gestão de

riscos foi umas das etapas que precisaram ser cumpridas dentro do projeto de gestão da

segurança da informação que estava sendo empregado nas unidades. A aplicação do

framework trouxe ganhos positivos no hospital, principalmente, no que se refere à adesão de

funcionários das mais diversas especialidades para condução do gerenciamento dos riscos, o

que atesta as características de usabilidade presentes no framework, ou seja, de fácil

aplicabilidade e simples compreensão.

O processo de gerenciamento de riscos continua em andamento nas duas unidades, uma vez

que este é um dos princípios do modelo DMAIC, ou seja, sustentabilidade através de um ciclo

de melhoria contínua. Para que este gerenciamento dos riscos seja de certa forma duradoura,

no hospital foi formada uma comissão composta por diferentes áreas a qual tem a meta de

supervisionar o trabalho para que ele ganhe mais sustentabilidade.

Referências Bibliográficas

AGUIAR, Silvio. Integração das Ferramentas da Qualidade ao PDCA e ao Programa Seis Sigma. Nova Lima:

INDG Tecnologia e Serviços Ltda., 2006.

BACCARINI, David; GEOFF. S.; LOVE, Peter E.D. Management of risks in information technology

projects. Industrial Management & Data Systems. Volume 104, Number 4, pp. 286, 2004.

BEZERRA, Eduardo. Princípios de análise e projetos de sistemas com UML. Rio de Janeiro: Campus, 2002.

BLAUTH , Regis. Seis Sigma: Uma estratégia para melhorar resultados. Revista FAE Business, n.5, abr. 2003.

Disponível em: <http://www.est.ipcb.pt/psi/psi_OG/>. Acesso em 10 Abr. 2008.

BROOKS, Warren; WARREN, Matthew. A Metodology of Health information Security Evaluation. Health

Care and Informatics Review Online. 2006.

CAMPOS, André. Sistema de Segurança da informação: Controlando os Riscos. 2.ed. Florianópolis: Visual

Books, 2007.

CARALLI, R. A.; STEVENS, J. F.; YOUNG, L.R.; WILSON, W.R. Introducing OCTAVE Allegro:

Improving the Information Security Risk Assessment Process. Technical Report. Carnegie Mellon University,

2007.

CHANG. Ching-Liang; LIU, Ping-Hung; WEI, Chiu-Chi. Failure mode and effects analysis using grey

theory. Integrated Manufacturing Systems 12/3 [2001] 211- 216

COLEMAN, J. Assessing information security risk in healthcare organizations of different scal.Disponível on

line: www.ics-elsevier.com, 2005.

CSILLAG, João Mario. Análise do Valor. São Paulo: Atlas, 1995.

DEMING, W. E. Qualidade: A Revolução da Administração. Rio de Janeiro: Marques Saraiva, 1990.

FERREIRA, F. N. F.; ARAÚJO, M. T. Política de Segurança da Informação: Guia Prático para

Implementação e Elaboração. Rio de Janeiro: Editora Ciência Moderna Ltda., 2006.

KARABACAK, B.; SOGUKPINAR, I. ISRAM: information security risk analysis method. Computers &

Security, 147 e 159, 2005.

GERBER, M., SOLMS, R.V. Management of risk in the information age. Computers & Security, 16-30, 2005

HELMAN, Horacio; ANDERY, P. R. P. Análise de Falhas (Aplicação dos métodos de FMEA – FTA).

http://www.ics-elsevier.com/



12

Fundação Christiano Ottoni, Belo Horizonte, 1995.

LICHTENSTEIN, Sharman. Factors in the selection of a risk assessment method. Information Mamagement

& Security, 1996. Disponível em: <http://www.emeraldinsight.com.> Acesso em 10 de fev. 2008.

MADDOXX, M.E. Error apparent. Industrial Engineer, v.37, n.5, p. 40-44, 2005.

MARTINS, A. B.; SANTOS. C.A.S. Uma Metodologia para implantação de um Sistema de Gestão de

Segurança da Informação. Revista de Gestão e Tecnologia e Sistema de Informação. Vol. 2, No. 2, 2005, pp.

121-136.

MARTINS. J. C. C. Gestão de Segurança da Informação. Brasport, 2003.

MISRA, S. C.; KUMAR, V.; KUMAR, U. A strategic modeling technique for Information security risk

assessment. Computer Security Vol. 15 No.1, pp. 64-77, 2007.

NAKAMURA, Emilio T.; GEUS, P. L. D. Segurança de Redes em Ambientes Cooperativos. São Paulo:

Novatec Editora, 2007.

NBR ISO/IEC 17799:2005 – Tecnologia da Informação. Código de Prática para Gestão da Segurança da

Informação. Associação Brasileira de Normas Técnicas. Rio de Janeiro, 2005.

NBR ISO/IEC 27001:2006 – Tecnologia da Informação. Sistema de Gestão da Segurança da Informação.

Associação Brasileira de Normas Técnicas. Rio de Janeiro, 2006.

OLIVEIRA, M. A. F; CERETTA, R. N.; AMARAL, E. H.; ZEN, E.; NUNES; S.P. Uma Metodologia de

Gestão de Segurança da Informação direcionada a riscos baseado na abordagem Seis Sigma. XXVIII Encontro

Nacional de Engenharia de Produção ENEGEP, Rio de Janeiro, 2008.

PANDE, Peter S.; NEUMAN, Robert P.; CAVANAGH, Roland R. Estratégia Seis Sigma: como a GE, a

Motorola e outras grandes empresas estão aguçando seu desempenho. 1 ed. Rio de Janeiro: Qualitymark, 2001.

SCUDERE, L. Risco Digital. Rio de Janeiro: Elsivier, 2006.

SNEE, Ronald. 3.4 Per Million: Use DMAIC to Make Improvement Part of ‘The Way We Work’. Quality

Progress. Set.2007 Disponível em: <http://www.asq.org/qic/display-item/index.html?item=21249>. Acesso em

10 Abr. 2008.

STEINBERG, Richard M. et. al. Enterprise Risk Management Framework (DRAFT). Comittee of Sponsoring

Organizations of the Tradeway Commission (COSO). 2004.

VERMEULEN, Clive; SOLMS, R.V. The information security management tollbox – taking the pain out of

security management. Information Management & Computer Security.10/3, pp. 119-125, 2002.

WERKEMA, M. C. C. Criando a Cultura Seis Sigma. Nova Lima, MG: Werkema Ed., 2004.

http://www.emeraldinsight.com/

Documents

FRAMEWORK PARA GERENCIAMENTO DE RISCOS EM PROCESSOS DE ...abepro.org.br/biblioteca/enegep2009_TN_STP_098_661_13268.pdf · Na implantação da gestão de segurança da informação