GSIC302 Introducao Gestao Riscos Seguranca Informacao (1)

>> Gesto da Segurana da Informao e Comunicaes >> 2009-2011

Jorge Henrique Cabral Fernandes

INTRODUO GESTO DE RISCOS DE SEGURANA DA INFORMAO

GSI

C302

VERSO 1.2

Secretaria PedaggicaMarcelo Felipe Moreira Persegona

Ana Cristina Santos MoreiraEduardo Loureiro Jr.

Assessoria TcnicaRicardo Sampaio

Gabriel VelascoOdacyr Luiz Timm

Secretaria AdministrativaAdriana Rodrigues Pereira Moura

Gelsilane Cruvinel Menezes

Equipe de Produo MultimdiaAlex HarlenEstfano Pietragalla Lizane LeiteRodrigo Moraes

Equipe de Tecnologia da InformaoDouglas FerliniOsvaldo CorraMaicon Braga Freitas

Reviso de Lngua PortuguesaDavi Miranda

CEGSICCoordenao


Texto e Ilustraes


Capa e projeto grficoAlex Harlen

Diagramao Estfano Pietragalla

Desenvolvido em atendimento ao plano de trabalho do Programa de Formao de Especialistas para a Elaborao da Metodologia Brasileira de Gesto de Segurana da Informao e Comunicaes CEGSIC 2009-2011.

Jorge Armando FlixMinistro do Gabinete de Segurana Institucional

Antonio Sergio GeromelSecretrio Executivo

Raphael Mandarino JuniorDiretor do Departamento de Segurana da Informao e

Comunicaes

Reinaldo Silva SimioCoordenador Geral de Gesto da Segurana da

Informao e Comunicaes

Fernando HaddadMinistro da Educao

UNIVERSIDADE DE BRASLIAJos Geraldo de Sousa JuniorReitor

Joo Batista de SousaVice-Reitor

Denise Bomtempo Birche de CarvalhoDecana de Pesquisa e Ps-Graduao

Nora Romeu RoccoInstituto de Cincias Exatas

Priscila BarretoDepartamento de Cincia da Computao

Luiz Incio Lula da SilvaPresidente da Repblica

Este material distribudo sob a licena creative commonshttp://creativecommons.org/licenses/by-nc-nd/3.0/br/

>> CEGSIC 2009-2011 >> Introduo Gesto de Riscos de Segurana da Informao

3

Sumrio

[6] Currculo resumido do autor

[7] Resumo

[8] 1 Introduo

[9] 2 Fundamentos Gerais da Gesto e da Segurana

2.1. Organizaes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

2.2 Ordem e Caos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

2.3 Sistema Seguro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

2.4 Gesto e Gestores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

2.5 Controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

2.6 Controles de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

2.6.1 Controle de Segurana Operacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

2.6.2 Controle de Segurana Gerencial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

2.6.3 Controle de Segurana Tcnico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

2.6.4 Salvaguardas, Contramedidas ou Medidas de Segurana . . . . . . . . . . 12

2.6.5 Implementao de Controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

2.7 Eventos e Incidentes de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

2.7.1 Evento de Segurana da Informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

2.7.2 Incidente de Segurana da Informao . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

2.8 Risco e Risco de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2.8.1 Risco de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2.8.2 Perfil do Risco de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2.8.3 Cenrio de Incidentes de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2.8.4 Reduo do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

2.8.5 Iteratividade na Gesto do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

2.9 Paradoxo da Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

2.10 Concluso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

[17] 3 Conceitos de Gesto de Riscos

3.1 Ativos de Informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

3.1.1 Classificao de Ativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

3.1.2 Levantamento de A tivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

3.2 Anlises de Eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

3.2.1 Critrios ou Objetivos de Segurana da Informao . . . . . . . . . . . . . . . 20


4

3.2.2 Causalidade e Cadeias de Eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

3.2.3 Anlise de ameaas e vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

3.2.4 Anlise de Ameaas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

3.2.5 Anlise de Controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

3.2.6 Anlise de Vulnerabilidades e Controles . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

3.2.7 Anlise de Consequncias e Impactos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

3.2.8 Anlise de Consequncias Operacionais da Perda de Segurana . . . 25

3.2.9 Anlise de Impactos sobre Negcios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

[27] 4 O Processo de Gesto de Riscos

[30] 5 Definio do Contexto da GRSI

5.1 Descrio de Critrios Bsicos para GR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

5.1.1 Critrios para Avaliao de Riscos de Segurana da Informao . . . . 30

5.1.3 Critrios para Aceitao de RSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

5.2 Especificao do Escopo e Limites da Gesto de Riscos . . . . . . . . . . . . . . 32

5.3 Definio da Organizao para Operar a Gesto de Riscos . . . . . . . . . . . 33

[35] 6 Apreciao do Risco

6.1 Anlise do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

6.1.1 Identificao do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

6.1.1.1 Identificao de Ativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

6.1.1.2. Identificao de Ameaas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

6.1.1.3 Identificao de Controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

6.1.1.4 Identificao de Vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

6.1.1.5 Identificao de Consequncias e Cenrios de Incidentes . . . . . . . . 39

6.1.2 Estimativa do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

6.1.2.1 Avaliao do Impacto de Incidentes (Estimativa das Consequncias) 40

6.1.2.2 Estimativa da Probabilidade de Incidente . . . . . . . . . . . . . . . . . . . . . . . 41

6.1.2.3 Estimativa do Nvel do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

6.1.2.4 Mtodos de Estimativa de Risco Qualitativos . . . . . . . . . . . . . . . . . . . . 42

6.1.2.5 Mtodos de Estimativa Quantitativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

6.2 Avaliao do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

[44] 7 Tratamento dos Riscos

7.1 Um Guia Rpido para Reduo do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

7.1.1 Um catlogo de controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

7.1.2 Seleo de controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

7.1.3 Efeitos de controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

7.1.4 Investimentos, oportunidades e controles . . . . . . . . . . . . . . . . . . . . . . . . 46


5

7.1.5 Restries na seleo de controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

7.2 Guia Rpido de Reteno do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

7.3 Ao de Evitar o Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

7.4 Transferncia do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

[49] 8 Aceitao do Risco

[50] 9 Comunicao do Risco

[51] 10 Monitoramento e Reviso do Risco

10.1 Monitoramento e Reviso dos Fatores de Risco . . . . . . . . . . . . . . . . . . . . 51

10.2 Monitoramento, Reviso e Melhoria da Gesto de Riscos . . . . . . . . . . . 51

[53] 11 Introduzindo a Gesto de Riscos em Organizaes

11.1 O Planejamento da Gesto de Riscos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

11.2 Sistemas de Informao para a Gesto de Riscos . . . . . . . . . . . . . . . . . . . 54

[55] 12 Concluses

[56] Referncias


6

CURRCULO RESUMIDO DO AUTOR

Jorge Henrique Cabral FernandesJorge Henrique Cabral Fernandes Doutor e Mestre em Cincia da Computao pela Uni-

versidade Federal de Pernambuco (2000 e 1992). especialista em Engenharia de Sistemas pela Universidade Federal do Rio Grande do Norte (1998). Possui graduao em Cincias Bio-lgicas - Habilitao em Bioqumica pela Universidade Federal do Rio Grande do Norte (1986). Foi Agente Administrativo, Analista de Sistemas e Professor de Engenharia de Software pela Universidade Federal do Rio Grande do Norte. Atualmente Professor Adjunto do Departa-mento de Cincia da Computao da Universidade de Braslia e Professor da Ps-Graduao em Cincia da Informao no Departamento de Cincia da Informao da Universidade de Braslia. Presidente do Conselho de Informtica da UnB e Coordenador do Curso de Especia-lizao em Gesto de Segurana da Informao e Comunicaes. Tem experincia na rea de Engenharia de Software, Programao Orientada a Objetos, Cincia da Informao, Segurana da Informao, Gesto da Segurana da Informao, Sistemas de Inventrio de Ciclo de Vida de Produtos e Bancos de Dados.


7

ResumoO objetivo deste texto apresentar uma introduo conceitual gesto da segurana,

com base na gesto de riscos de segurana da informao. O modelo conceitual de seguran-a, apresentado no Captulo 2, desenvolvido pelo prprio autor. O modelo de gesto de riscos de segurana baseado na abordagem da norma ABNT NBR ISO/IEC 27005:2008 (ABNT, 2008) e apresentado nos captulos 3 a 10. A base para a apresentao da norma foi a verso draft (ISO/IEC, 2007) da norma produzida pela ISO/IEC. A monografia contm uma compila-o de vrios elementos descritos na referida norma e na verso brasileira da ISO/IEC (ABNT, 2008), mas no a substitui. Por fim, o texto apresenta algumas orientaes para a introduo da gesto de riscos nas organizaes, baseadas na Norma AS-NZS 4360 (Standards Australia and Standards New Zealand, 2004), da qual deriva a ISO/IEC 31000 (ISO/IEC, 2009). O texto foi produzido para suporte s atividades do CEGSIC 2009-2011, a partir de aprimoramento de material previamente desenvolvido em verses anteriores do CEGSIC. Comentrios, crticas, sugestes e propostas de correes para aprimoramento deste material devem ser encami-nhadas ao autor, que antecipa agradecimentos pelo retorno.


8

1 IntroduoRisco uma estimativa de incerteza1 e consequncias relacionadas ocorrncia de um

evento desejvel ou indesejvel. Segundo a Society for Risk Analysis2, o risco tem sido usado desde antes da Grcia antiga como fundamento para a tomada de decises.

Por exemplo, suponha que tenho que decidir entre fumar ou no fumar. H um risco de que, se eu adotar o hbito de fumar, desenvolva cncer de pulmo antes dos 50 anos. Tambm h um risco de que, se no fumar, desenvolva cncer de pulmo antes dos cinquenta anos! Qual dos riscos maior? Diz a cincia3 que se eu fumar terei um maior risco. Vrios fatores podem estar envolvidos da determinao do risco acerca dessa questo especfica sobre fumo e cncer, como idade, sexo, hbitos alimentares, profisso, condio familiar etc. Embora o exemplo acima seja aplicvel tomada de decises individuais, os mesmos princpios podem ser transpostos para a tomada de decises acerca de segurana nas organizaes.

Vrios modelos e mtodos da gesto de riscos contempornea foram desenvolvidos na ltima dcada, como STONEBURNER, GOGUEN, FERINGA (2002), PELTIER (2001), Standards Australia and Standards New Zealand (2004), ISO/IEC (2007), ISO/IEC (2009), COSO (2004), AL-BERTS, DOROFEE (2002), MEULBROEK (2002), ASIS (2007), HHS (2005), BSI (2005), BS (2006) e CNSS (2005). Tais mtodos baseiam-se na construo de uma argumentao racional, que emprega fundamentos do mtodo cientfico para produzir medies quantitativas ou qua-litativas acerca do risco organizacional ou relacionado a projetos. Tais medies permitem a tomada de decises acerca da implementao de controles e outras aes de segurana. Por meio da gesto de riscos os fatores do risco so decompostos, recompostos e recalculados de forma iterativa, produzindo continuamente subsdios a decises satisfatrias para melhoria da segurana de uma organizao. O plano de gerenciamento de riscos o principal direcionador de um plano de segurana.

Este texto apresenta uma introduo conceitual gesto de riscos de segurana da infor-mao. O modelo de gesto de riscos de segurana baseado na abordagem descrita na ver-so International Draft da ISO/IEC 27005 (ISO/IEC, 2007), bem como na sua congnere nacional, a ABNT NBR ISO/IEC 27005:2008 (ABNT, 2008). A monografia contm uma compilao de vrios elementos descritos na referida norma, mas no a substitui.

O restante do texto est dividido em mais 11 sees. Na Seo 2 so apresentados funda-mentos gerais das organizaes e gesto da segurana. Na Seo 3 so apresentados concei-tos bsicos da gesto de riscos. Nas sees 4 a 10 so apresentados os elementos do processo de gesto de riscos de segurana da informao da ISO/IEC (2007). Na seo 11 so apresen-tadas recomendaes para a introduo da gesto de riscos em organizaes, baseadas na norma Neozelandesa-Australiana de Gesto de Riscos (Standards Australia and Standards New Zealand, 2004).

1 De acordo com o site http://www.businessdictionary.com, incerteza uma situao na qual o estado corrente de conhecimento tal que (1) a ordem ou natureza das coisas desconhecida, (2) as consequncias, extenso ou magnitude das circunstncias, condies ou eventos im-previsvel e (3) probabilidades crveis relacionadas aos resultados possveis no podem ser atri-budas. Embora um excesso de incerteza seja indesejvel, incerteza gerencivel prov liberdade para tomada de criativa de decises.

2 Kimberly M. Thompson, Paul F. Deisler, Jr., and Richard C. Schwing. Interdisciplinary Vision: The First 25 Years of the Society for Risk Analysis (SRA), 19802005. Risk Analysis, Vol. 25, No. 6, 2005.

3 http://www.cancer.gov/cancertopics/smoking


9

2 Fundamentos Gerais da Gesto e da Segurana

2.1. Organizaes

A humanidade vem aperfeioando ao longo da sua histria um tipo de empreendimen-to de durao indeterminada denominado organizao ou empresa. Uma organizao um sistema autorregulado, cujo ambiente interno composto por vrios agentes que executam processos organizacionais em um espao social segregado, buscando o alcance de objetivos de negcio ou metas coletivas.

Toda organizao assim como todo sistema relaciona-se com o ambiente externo. Esse relacionamento estabelecido por meio de uma interface com clientes, fornecedores, governo etc. So exemplos de interfaces de uma organizao com o meio externo as reas de recepo, call center, os vendedores, os compradores, os atendentes e demais agentes que interagem com clientes, fornecedores, governo e cidado.

2.2 Ordem e Caos

Nenhuma organizao consegue viver em isolamento. Vrios eventos ocorrem no entorno de qualquer organizao, tanto em seu ambiente externo quanto no interno, e no possvel adquirir-se o controle pleno sobre todos esses eventos. Um evento uma dinmica indivisvel do ponto de vista prtico, que ocorre em um lugar no espao e num instante do tempo. Tais eventos podem ser regulares ou caticos. Um evento regular ou ordenado um evento para o qual possvel alguma previso de ocorrncia. Um evento catico um evento que tem ocor-rncia to irregular e imprevisvel que se torna difcil ou impossvel prever quando e onde ele acontecer. H, portanto, um elevado grau de incerteza acerca de quando e onde um evento catico ocorrer. Muitos eventos so regulares, como a nossa respirao, e uma quantidade infinita de eventos catica, como a queda de uma estrela cadente. Situada entre a estrita ordem dos eventos completamente regulares e o completo caos dos eventos completamen-te incertos e imprevisveis reside uma infinitude de eventos para os quais possvel fazer-se uma estimativa de frequncia e consequncias, embora seja praticamente impossvel afirmar exatamente quando e quais sero as consequncias de um evento futuro. A gesto de riscos compartilha caractersticas com a futurologia4, ao buscar antever a ocorrncia desses eventos a fim de controlar suas consequncias e impactos sobre uma organizao.

2.3 Sistema Seguro

A gesto de riscos tem o efeito de tornar um sistema mais seguro. Um sistema seguro um sistema que possui um grau de garantia de que continuar a funcionar adequadamente conforme suas caractersticas estabelecidas, mesmo na presena de eventos negativos decor-rentes da interao com agentes maliciosos ou na ocorrncia de eventos decorrentes de aci-dentes ou desastres de origem natural ou ambiental. Para uma organizao, segurana signifi-ca continuar a cumprir seus objetivos de negcio, mesmo em face do sinistro.

4 http://en.wikipedia.org/wiki/Futurology


10

2.4 Gesto e Gestores

O controle ou regulao sistematicamente efetuada nas organizaes realizado por um sub-sistema dentro da prpria organizao, denominado sistema de gesto ou simplesmente gesto.

Um dos efeitos que a gesto produz sobre uma organizao a atuao na reduo dos eventos que contribuem para produzir efeitos negativos, bem como a atuao para aumentar eventos que contribuem para produzir efeitos positivos. A forma sistemtica como a gesto atua surge por meio do uso de controles.

A gesto mobiliza as pessoas e outros agentes que atuam na organizao, especialmente por meio de controles de gesto, com vistas a reduzir efeitos negativos e produzir efeitos po-sitivos que garantam o alcance das metas coletivas dessa organizao diante da ocorrncia de eventos incertos.

2.5 Controles

Depreende-se da discusso anterior que os controles aumentam a previsibilidade do fun-cionamento da organizao e, dessa forma, so vistos como estabilizadores dos processos e sistemas nas organizaes.

De forma geral, controle pode ser referir ao ato ou processo de controlar, como:

a. [Controle] intervir numa situao, pessoa (ou grupo de pessoas) e fazer com ela(s) realize(m) o que voc quer (LOGMAN, 1993);

b. [Controle] intervir sobre um processo, sistema etc, de modo que ele funcione adequadamente e no cause problemas (LOGMAN, 1993);

c. [Controle] intervir sobre mquinas, equipamentos ou veculos usando suas mos, ps, ferramentas etc (LOGMAN, 1993);

d. [Controle] o poder de direo e comando (PEARSALL; THUMBLE, 1996);

e. [Controle] ter responsabilidade sobre uma atividade ou grupo de pessoas (LOG-MAN, 1993).

Controle tambm pode ser referir aos objetos que controlam, especialmente quando usa-do no plural, como:

a. [Controles] so mtodos, leis etc que so usados para controlar uma situao (LOGMAN, 1993);

b. [Controles] so chaves e outros dispositivos por meio dos quais uma mquina ou um veculo controlado (PEARSALL; THUMBLE, 1996);

c. [Controle] uma pessoa ou grupo que controla algo (PEARSALL; THUMBLE, 1996).

Em auditoria, o termo controle mais empregado no sentido de exame e verificao, con-forme as seguintes definies:

a. [Controle] examinar ou verificar algo (LOGMAN, 1993);

b. [Controle] uma das funes gerenciais, da mesma forma que planejamento, organizao, recursos humanos e direo. Compreende a definio de padres, medio do desempenho real e tomada de aes corretivas (WIKIPEDIA, 2009);

c. [Controle] significa conhecer a realidade, compar-la com o que deveria ser, to-mar conhecimento rpido das divergncias e suas origens e tomar medidas para sua correo (ELISEU, 1995 apud PAULA, 1999, p. 21);

d. [Controle] abrange os vrios processos nos quais a administrao determina seus objetivos, delineia os planos para alcanar esses objetivos, organiza e su-pervisiona as operaes necessrias para a implementao dos planos e desem-penhos esperados (ELISEU, 1995 apud PAULA, 1999, p. 21);


11

e. [Controle] Controle um processo que compara a realidade com o planejado e toma medidas para correo dos desvios encontrados;

f. [Controle] um processo que possui um papel ativo na estabilizao de outro processo.

Todo controle um estabilizador e, dessa forma, possui todas as caractersticas gerais de um estabilizador, como reduo de caos (e aumento de estabilidade) em face da ocorrncia de eventos se aplicam a um controle.

2.6 Controles de Segurana

Controles em funcionamento que tenham por objetivo neutralizar eventos potencialmente negativos que venham a ocorrer numa organizao so chamados de controles de segurana.

A adoo de controles de segurana depende de aes de planejamento (quais os riscos da organizao? quais controles devem ser implementados?), monitoramento (como os con-troles esto funcionando?) e controle (os controles esto funcionando a contento? que aes corretivas ou aperfeioadoras devem ser tomadas?). Em suma, a adoo de controles, tanto de gesto como de segurana, parte essencial da autorregulao realizada pela gesto da organizao.

O NIST (NIST, 2006; NIST, 2009) oferece a seguinte definio para controle de segurana:

Um controle de segurana uma salvaguarda ou contramedida de na-tureza gerencial, operacional ou tcnica, prescrita para um sistema de informaes, de modo a proteger a confidencialidade, integridade e disponibilidade do sistema de sua informao.

Os controles de segurana podem se dividir entre gerenciais, operacionais ou tcnicos, com as seguintes definies (NIST, 2006):

2.6.1 Controle de Segurana Operacional

Conforme NIST (2006), um controle de segurana operacional um controle de segurana (salvaguarda ou contramedida) para um sistema de informao que primariamente imple-mentado e executado por pessoas (em oposio a sistemas).

2.6.2 Controle de Segurana Gerencial

Conforme NIST (2006), um controle de segurana gerencial um controle de segurana (salvaguarda ou contramedida) para um sistema de informao que foca a gesto do risco e a gesto da segurana do sistema de informao.

2.6.3 Controle de Segurana Tcnico

Conforme NIST (2006), um controle de segurana tcnico um controle de segurana (sal-vaguarda ou contramedida) para um sistema de informao que primariamente executado e implementado pelo sistema de informao, atravs de mecanismos contidos nos componen-tes de hardware, software ou firmware presentes no sistema.


12

2.6.4 Salvaguardas, Contramedidas ou Medidas de Segurana

O termo salvaguarda tambm empregado como um sinnimo de controle, contrame-dida ou medida de segurana. Conforme NIST (2006),

Salvaguardas so medidas de proteo prescritas para alcanar requi-sitos de segurana (confidencialidade, integridade e disponibilidade) que foram especificadas para um sistema de informao. Salvaguar-das podem incluir caractersticas de segurana, restries gerenciais, segurana de pessoal e segurana de estruturas fsicas, reas e dispo-sitivos. Salvaguardas so sinnimos de controles e contramedidas de segurana.

Controles de natureza operacional ou tcnica, como criptografia, so difceis de caracte-rizao como processos. O termo medida de segurana se aplica melhor aos casos em que controles no so facilmente caracterizados como processos, isto , quando so objetos ou artefatos quaisquer.

2.6.5 Implementao de Controles

A norma ABNT NBR ISO/IEC 27002:2005 (ABNT, 2005) contm um guia de implementao de 133 controles de segurana tipicamente usados nas organizaes. A norma ABNT NBR ISO/IEC 27001:2006 (ABNT, 2006) descreve um processo sistemtico de introduo de controles de segurana em organizaes. No cerne do processo, proposto pela ABNT (2006), reside a gesto de riscos. A Seo 8 deste texto apresenta um pouco mais de detalhes sobre a norma ISO/IEC 27002 (ABNT, 2005).

2.7 Eventos e Incidentes de Segurana

Eventos negativos para a segurana da informao so mais comumente chamados de incidentes de segurana da informao. H, no entanto, diferenas entre os conceitos de even-tos e incidentes, e a ABNT (2005) oferece definies para eventos e incidentes de segurana.

2.7.1 Evento de Segurana da Informao

Um evento de segurana da informao, segundo a ABNT (2005), uma ocorrncia identi-ficada de um sistema, servio ou rede que indica uma possvel violao da poltica de seguran-a da informao ou falha de controles, ou uma situao previamente desconhecida que possa ser relevante para a segurana da informao.

2.7.2 Incidente de Segurana da Informao

Um Incidente de Segurana da Informao, segundo a ABNT (2005), indicado por um simples evento ou uma srie de eventos de segurana da informao indesejados ou inespera-dos, que tenham grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao.

Incidentes de segurana da organizao:

a. provocam obstruo ou erro na execuo de um ou mais processos organizacionais;

b. a obstruo ou erro decorre de dificuldades na ao dos agentes organizacionais humanos ou computacionais, no desempenho de suas atividades;


13

c. provocam queda no desempenho de uma ou mais funes organizacionais;

d. impactam o alcance de metas organizacionais;

Dado que alguns eventos de segurana so classificados como incidentes, quanto mais eventos ocorrerem, maior a chance de incidentes serem provocados. A gesto de riscos de segurana da informao busca mapear o risco de ocorrncia dos incidentes de segurana da informao.

2.8 Risco e Risco de Segurana

Risco um evento hipottico, cuja ocorrncia pode afetar de forma positiva ou negativa uma organizao. Ele possui chance de ocorrncia futura que no nula e apresenta impacto ou oportunidade significante.

2.8.1 Risco de Segurana

Um risco de segurana um evento possvel e potencialmente danoso a uma organiza-o, isto , um evento hipottico, que possui chance de ocorrncia futura que no nula e que apresenta impacto negativo significante.

Sem chance de ocorrncia futura, um evento hipottico no se configura como risco. Sem impacto negativo significante, um evento hipottico no se configura como risco. tambm importante destacar que, mesmo que um evento futuro negativo tenha 50% de chance de ocorrer e impacto negativo valorado, haver sempre uma incerteza associada a tal estimativa. Isto , podemos ter baixa, mdia ou alta confiana de que o evento tem 50% de chance de ocorrer, bem como podemos ter baixa, mdia ou alta confiana de que o impacto negativo real ser do valor que estimamos.

Dessa forma, um risco poderia, de modo abstrato, ser obtido pela frmula abaixo:

Risco de Segurana = Chance de ocorrncia * Impacto negativo estimado * Incerteza re-lacionada com as medidas.

2.8.2 Perfil do Risco de Segurana

Ao conjunto de riscos de segurana aos quais est sujeito uma organizao d-se o nome de perfil do risco de segurana.

Perfil do Risco de Segurana = {Risco de segurana 1 + Risco de segurana 2 + ... + Risco de segurana n}

2.8.3 Cenrio de Incidentes de Segurana

A descrio fictcia e textualmente enriquecida de um conjunto de incidentes que po-dem potencialmente ocorrer com uma organizao chamada de cenrio de incidentes. O conjunto de cenrios de incidentes uma forma empregada para facilitar a compreenso do perfil de riscos de uma organizao. A partir do cenrio de incidentes podem ser construdos vrios riscos.


14

2.8.4 Reduo do Risco

A reduo gerenciada de um risco obtida por meio da introduo de controles, pro-duzindo um novo tipo de risco, chamado de risco residual. De forma abstrata, poderamos expressar a reduo do risco, ou risco residual, por meio de uma frmula como a seguir:

Risco residual = Risco original / Controles de Segurana

2.8.5 Iteratividade na Gesto do Risco

Cada controle de segurana implementado para reduzir um ou mais riscos incorre em um custo, bem como aumenta a chance de que outros eventos, de natureza positiva, tambm sejam reduzidos e que, com isto, a organizao perca alguma flexibilidade e deixe de inovar. Dessa forma, o gestor de segurana precisa encontrar um ponto de equilbrio entre o ganho no aumento da segurana em comparao com as perdas decorrentes de investimentos em controles e aquelas relacionadas perda de flexibilidade organizacional.

preciso tambm compreender que cada novo controle introduzido para tratar um risco especfico produz um risco residual e pode introduzir surgimento ou desaparecimento de novos riscos. Diante desse cenrio mutvel e complexo para a segurana, mais especificamente, a ges-to da segurana organizacional contm pelo menos trs atividades, executadas nesta ordem:

a. levantamento do perfil de riscos de segurana da organizao;

b. adoo de controles de segurana compatveis com o perfil de riscos da organizao;

c. reavaliao.

A ordem na qual essas atividades devem ser realizadas a apresentada acima. um des-perdcio de recursos a adoo de controles de segurana sem que haja compreenso do perfil de riscos ao qual a organizao est sujeita. As atividades de levantamento do perfil de riscos e de adoo de controles so realizadas no mbito da Gesto de Riscos de Segurana, que vem a ser o cerne da Gesto da Segurana.

A implementao da segurana em uma organizao, fundamentalmente baseada em controles, depende da compreenso da natureza do conjunto de eventos potencialmente ne-gativos a essa organizao, os quais podem no possuir relao direta com a natureza do pro-cesso em si que est sendo executado.

A falta de energia, por exemplo, um evento que no possui relao direta com o pro-cesso de ensino de uma universidade. O uso de senhas no uma caracterstica inerente a um sistema de controle de rendimento escolar. No entanto, um conjunto genrico de eventos pode impactar um grande nmero de processos de uma organizao, e essencial saber quais so eles e do que eles dependem para funcionar.

Como h uma quantidade finita de recursos para implementao de controles de segu-rana, para o alcance de uma situao de equilbrio necessrio estabelecer prioridades, iden-tificando quais atividades so essenciais atuao da organizao e at que ponto elas so in-fluenciadas por riscos de segurana. Todas as aes de segurana devem ser prioritariamente guiadas para a preservao da continuidade do desempenho dessas atividades e alcance das metas a elas associadas.

2.9 Paradoxo da Segurana

A segurana um processo que envolve o emprego de uma quantidade considervel de recursos no diretamente relacionados satisfao das necessidades de uma organizao. Tais recursos so empregados para analisar eventos, processos e sistemas, bem como para conce-ber, implementar, operar e aprimorar controles.


15

Por ser uma consumidora de recursos no relacionada realizao das atividades fim de uma organizao, a segurana cria um aparente paradoxo.

Por um lado, existe uma quantidade infinita de eventos negativos que podem ocorrer, e a adoo de controles de segurana para neutralizar cada um destes eventos levaria uma organi-zao a comprometer todos os seus recursos, levando-a morte por esgotamento de recursos.

A segurana excessiva no garante a continuidade da vida.

Por outro lado, a inexistncia de quaisquer controles de segurana, onde a organizao observa e aproveita apenas os eventos positivos para a realizao de negcios, conduz tal or-ganizao exposio a situaes que a levaro morte prematura.

A falta de segurana garante que a vida ser descontinuada. A preocupao com seguran-a aumenta na medida em que uma organizao vive mais.

Na prtica, maior investimento de recursos em segurana garante a sobrevivncia em si-tuaes difceis (eventos danosos), enquanto investimentos de recursos na busca ou aprovei-tamento de eventos para a satisfao de necessidades bsicas esto relacionados ao prprio desfrute da existncia ou realizao de objetivos de negcio.

O alcance da segurana efetiva exige uma situao de equilbrio na aplicao de recursos, em ambas as situaes.

O processo de encontro do ponto de equilbrio entre a segurana e a realizao de objeti-vos de negocio iterativo, reflexivo e virtualmente infinito.

O processo iterativo porque so necessrios vrios ciclos para o alcance de uma situao adequadamente equilibrada. Ora os controles de segurana so excessivos e a organizao perde oportunidade para realizao de negcios; ora os controles de segurana so insuficien-tes, e a sobrevivncia da organizao ameaada.

O processo de segurana reflexivo porque a adoo de controles de segurana diante dos eventos negativos possveis influencia a futura ocorrncia desses e de outros eventos, fa-zendo com que os prprios ambientes externo e interno se ajustem medida que os controles so adotados.

Por fim, o alcance do ponto de equilbrio um processo virtualmente infinito, com du-rao para toda a vida. As organizaes que atuam em um espao modificam-se contnua e imprevisivelmente conforme a ao das demais. Quando combinada com a caoticidade da natureza e dos sistemas artificiais, inclusive de natureza tecnolgica, essa situao conduz a uma contnua busca e coevoluo, sendo parcialmente encerrada quando a organizao mor-re, mas continuada pelos descendentes possivelmente gerados.

O alcance do ponto de equilbrio entre a aplicao de controles de segurana e a realiza-o de negcios encontrado apenas por meio de um processo iterativo, reflexivo e virtual-mente infinito.

A segurana, embora consistindo na adoo planejada de controles, necessita ponderar a necessidade e suficincia dos controles de segurana, em face do conjunto de eventos poten-ciais negativos que possam ocorrer no futuro.

2.10 Concluso

Esta seo comps um arcabouo conceitual geral sobre segurana, por meio do qual ser efetuada uma apresentao do processo de gesto de riscos. Eis uma smula dos conceitos discutidos na seo:

a. organizaes esto sujeitas ocorrncia de eventos incertos que podem deses-tabilizar suas atividades e processos. Tais eventos so denominados riscos;

b. gestores precisam controlar as atividades e processos organizacionais, isto , controlar riscos. Para tal, despendem recursos organizacionais na implementa-o de controles;


16

c. controles de segurana so aqueles voltados reduo de potenciais eventos de impacto negativo (riscos de segurana), e so usualmente enquadrados em classes de controle operacional, gerencial ou tcnico;

d. a reduo do risco de segurana um processo iterativo, que depende do levan-tamento do perfil de riscos de segurana que afetam uma organizao, da imple-mentao de controles de segurana para mitigar esses riscos e da reavaliao do perfil de riscos diante das mudanas inevitveis provocadas pelos controles.

O prximo captulo introduz a abordagem da ABNT NBR ISO/IEC 27005:2008 gesto de riscos.


17

3 Conceitos de Gesto de RiscosA gesto de riscos de segurana um processo sistemtico da gesto organizacional que

determina a aplicao equilibrada de controles de segurana nessa organizao, diante do seu perfil de riscos de segurana.

A ISO/IEC 27005, norma base usada para apresentao de um modelo de gesto de riscos, tem as finalidades de ser (ISO/IEC, 2007):

a. uma descrio de um processo genrico para a gesto do risco de segurana da informao;

b. um guia para gesto do risco que pode ser usado em empresas, projetos, ciclos de melhoria contnua etc;

c. um guia para desenvolvimento de mtodos e metodologias que atendam s necessidades de gesto de riscos apontadas na norma ABNT NBR ISO/IEC 27001:2006;

d. uma norma de consenso entre diversas outras normas e metodologias de gesto de riscos em nvel mundial.

Segundo (FERNANDEZ; SCHAUER, 2007), a ISO/IEC (2007) deriva de vrias outras normas como:

a. A norma inglesa BS-7799-3 (BS, 2006), que funcionalmente similar 27005;

b. AS/NZS 4360 (Standards Australia and Standards New Zealand, 2004), que possui um modelo de processo de grande similaridade com o da 27005;

c. ISO/IEC 27001 - Sistemas de gesto de segurana da informao requisitos (ABNT, 2006), que pertence mesma famlia da 27005 e articula-se explicitamen-te com essa norma.

d. ISO 31000:2009 - Risk management -- Principles and guidelines (ISO/IEC, 2009) apresenta um arcabouo conceitual similar ao da norma AS/NZS 4360.

Figura 1 Mapa Conceitual sobre Gesto de Riscos de Segurana.


18

O mapa da Figura 2 apresenta o arcabouo conceitual geral sobre o qual se apoia a 27005, e alguns de seus elementos so definidos na lista a seguir.

a. [Organizao] uma entidade que possui um conjunto de ativos (de informa-o) (ISO/IEC, 2007);

b. [Ativo] Qualquer coisa que tenha valor para a organizao (ISO/IEC, 2007). Um ativo uma parte da organizao, podendo ser um elemento tangvel como um de seus subsistemas, ou intangvel como uma marca comercial ou segredo in-dustrial;

c. [Evento de Segurana da Informao] uma ocorrncia identificada de um es-tado de sistema, servio ou rede, indicando uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao (ISO/IEC, 2007);

d. [Consequncia de um Evento de Segurana] uma variao negativa no nvel de um objetivo de segurana devido a um evento (ISO/IEC, 2007). So os princi-pais objetivos de segurana a confidencialidade, integridade, disponibilidade e autenticidade;

e. [Impacto] uma mudana adversa no nvel de objetivos de negcios alcana-dos. (ISO/IEC, 2007);

f. [Ameaa] a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao (ISO/IEC, 2004).

g. [Vulnerabilidade] uma fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas (ISO/IEC, 2004);

h. [Risco de Segurana da Informao] o Potencial que uma ameaa explore vul-nerabilidades de um ativo ou conjunto de ativos e desta forma prejudique uma organizao. Um risco mensurado em termos de probabilidade de materializa-o do risco e seus impactos (ISO/IEC, 2007);

i. [Evitar o Risco] a Deciso de no se envolver ou de sair de uma situao de risco (ISO/IEC, 2007);

j. [Comunicar o Risco] a Troca ou compartilhamento de informao sobre risco entre um tomador de deciso e outros interessados (ISO/IEC, 2007);

k. [Estimar o Risco] o Processo de atribuir valores s probabilidades e consequn-cias de um risco (ISO/IEC, 2007);

l. [Identificar o Risco] o Processo de encontrar, listar e caracterizar elementos do risco (ISO/IEC, 2007);

m. [Reduzir o Risco] um conjunto de aes adotadas para reduzir a probabilidade de ocorrncia ou as consequncias negativas, ou ambas, associadas a um risco (ISO/IEC, 2007);

n. [Reter o Risco] a aceitao do encargo da perda ou benefcio do ganho advin-dos de um risco em particular (ISO/IEC, 2007);

o. [Transferir o Risco] compartilhar com outro parceiro o encargo da perda ou o benefcio do ganho, associado a um risco (ISO/IEC, 2007).

A partir das definies acima, pode-se inferir, entre outras coisas, que o conceito de ativo fundamental para a gesto de riscos de segurana da informao, embora seja digno de nota que a norma AS/NZS 4360 (Standards Australia and Standards New Zealand, 2004), norma ge-ral de gesto de riscos, no se fundamenta na existncia de ativos para a gesto do risco.

Note-se ainda que a determinao de um risco de segurana da informao envolve a coleta de dados sobre vrios elementos ou fatores de risco: ativos, ameaas, vulnerabilidades, probabilidades, consequncias e impactos.


19

A prxima seo aprofunda o entendimento do conceito de ativo de informao e as for-mas de levantamento de inventrios de ativos.

3.1 Ativos de Informao

Devido natureza intangvel de muitos ativos de informao, a ABNT (2008) bastante genrica no que se refere a quais seriam estes ativos. Em seu Anexo B, a ABNT (2008) faz uma classificao primria dos ativos entre primrios e de suporte. Os ativos primrios apoiam-se nos ativos de suporte.

3.1.1 Classificao de Ativos

So ativos primrios de uma organizao (ISO/IEC, 2007):

a. [Processos e Atividades do Negcio] so executados visando o desempenho das funes da organizao. Processos so os elementos que mais agregam valor organizao;

b. [Informaes] so usadas no apoio execuo desses processos, alm das de carter pessoal, estratgicas ou com alto custo de aquisio.

Alm dos ativos primrios, o Anexo B da 27005 (ISO/IEC, 2007) sugere uma classificao de ativos de suporte, composta por seis classes:

a. [Hardware] Constituda todos os elementos fsicos que suportam a execuo au-tomtica de processos;

b. [Software] Constituda pelos programas de computador de sistema operacional, de suporte, software empacotado e aplicativos de negcio padronizados ou es-pecficos da organizao;

c. [Rede de Computadores] Constituda por todos os dispositivos de redes e tele-comunicaes que interconectam os dispositivos e elementos dos sistemas de informao, como redes telefnicas, redes de computadores de longa distncia, metropolitanas, locais e ad hoc, roteadores, bridges, hubs e outras interfaces de comunicao;

d. [Pessoal] Constituda por grupos enquadrados entre: tomadores de deciso, usu-rios, pessoal de manuteno e operao e desenvolvedores de software;

e. [Stio] Constituda por todos os lugares que agregam os demais ativos sob es-copo, bem como os meios para operar este stio, como: (i) espaos exteriores, (ii) permetros defensivos, (iii) zonas dentro do permetro (escritrios, zonas se-guras), (iv) servios essenciais para operao de equipamentos, (v) servios de comunicao, e (vi) utilidades para suprimento de energia eltrica, gua, esgoto, condicionamento do ar etc;

f. [Estrutura Organizacional] Constituda por (i) autoridades (conselhos e comits), (ii) subunidades da organizao (departamentos, divises, sees), (iii) projetos e (iv) subcontratados e fornecedores.

3.1.2 Levantamento de Ativos

O levantamento dos ativos baseado na ABNT (2008) compreende a catalogao dos ativos nas categorias descritas.

A catalogao fragmentada de ativos enquadrados nas categorias propostas pela 27005, embora seja uma forma prtica de tratamento do grande volume de informaes necess-rias ao inventrio de ativos de uma organizao, prope a separao dos ativos em hardware,


20

software, rede, pessoal, stio e estrutura organizacional. opinio do autor que tal separao torna difcil a identificao precisa da interdependncia entre as partes que constituem a exe-cuo dos processos e sistemas de informao.

Como no h consenso entre as metodologias de gesto de riscos sobre qual a melhor for-ma de proceder ao inventrio de ativos, que constitui o conjunto de elementos delimitados pelo escopo de GRSI, bem como no papel de uma norma internacional como a 27005 apresentar uma metodologia especfica para levantamento de ativos, outras abordagens devem vir em au-xlio, como a metodologia Octave (ALBERTS; DOROFEE, 2002), por exemplo, que aborda de forma mais precisa a gesto de riscos em ativos de Tecnologia da Informao, e apresenta um modelo propositivo para levantamento dos ativos de TI. O levantamento feito por meio da realizao de workshops de elicitao de conhecimento, empregando-se tcnicas como entrevistas e brains-torm, onde os participantes selecionados das reas de negcios da organizao focam os seus trabalhos e identificam os ativos relacionados ao desempenho de suas atividades.

3.2 Anlises de Eventos

Para que se possa ter eficcia na descoberta das consequncias para os ativos e dos pos-sveis impactos sobre os negcios da organizao, faz-se necessrio identificar mais precisa-mente quais os eventos poderiam levar a essas perdas. Tal anlise evita esforo desnecessrio na anlise de consequncias e impactos, uma vez que, se no forem encontrados quaisquer eventos que poderiam afetar um ativo, no h necessidade de empregar muitos recursos na identificao de consequncias e impactos.

So exemplos de eventos de segurana da informao:

a. o funcionrio X no est usando crach;

b. o firewall X no est bloqueando a porta 1521 na mquina Y;

c. a senha do usurio X fraca;

d. um curto-circuito ocorreu no estabilizador na tarde de hoje;

e. faz 2 meses que o backup do banco de dados Z no realizado;

f. a chave da sala de servidores sumiu;

g. faltou energia no bloco C hoje tarde;

h. a cerca foi rompida na noite de ontem;

i. o alarme de deteco de intrusos disparou trs vezes seguidas;

j. o alarme de deteco de intrusos est quebrado.

A compreenso dos eventos que ocorrem no ambiente de uma organizao essencial para que os riscos sejam avaliados com maior preciso. No caso especfico da GRSI, os eventos esto relacionados aos ativos. Dessa forma, aps o levantamento de ativos, possvel uma melhor estimativa dos eventos possveis que podero estar associados a cada ativo crtico.

3.2.1 Critrios ou Objetivos de Segurana da Informao

Disponibilidade, integridade e confidencialidade so os trs principais critrios de segu-rana da informao para uso nas organizaes em geral, sendo tambm utilizados outros como a autenticidade, o no repdio, a contabilizao, a confiana e a conformidade. Alm dos critrios ou objetivos citados, a informao tambm apresenta como critrios de mensurao de consequncias a efetividade e a eficincia, entre outros:

a. [Confidencialidade] propriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou processos no autorizados (ABNT, 2006);


21

b. [Integridade] propriedade de salvaguarda da exatido e completeza de ativos (ABNT, 2006);

c. [Disponibilidade] propriedade de que (um sistema de) informao esteja acess-vel e utilizvel sob demanda por uma entidade autorizada (ABNT, 2006);

d. [Autenticidade] Garantia da identidade ou veracidade do emissor de uma men-sagem, como sendo genuno e que possa ser verificado quanto sua confiana (ITGI, 2007);

e. [No repdio] Mecanismo para garantia autoria de determinadas aes, impe-dindo o repdio (negao) da mesma (ITGI, 2007);

f. [Contabilizao (accountability)] Habilidade de um sistema em determinar as aes e comportamentos de um nico indivduo dentro de um sistema, e identi-ficar aquele indivduo em particular (ITGI, 2007);

g. [Confiana (reliability)] a segurana de que um sistema pode ser usado para o cumprimento de uma determinada atividade demandada por um usurio (ITGI, 2007);

h. [Conformidade] a garantia de que a informao gerida conforme os regula-mentos e leis aplicveis (ITGI, 2007);

i. [Efetividade] a garantia de que a informao relevante e pertinente aos pro-cessos de negcio e entregue ao usurio de forma correta, tempestiva, consis-tente e usvel (ITGI, 2007);

j. [Eficincia] a garantia de que a informao produzida com o uso otimizado de recursos, isto , da forma mais produtiva e econmica (ITGI, 2007).

Esses critrios de segurana so a base para as anlises dos fatores de risco, conforme aprofunda o restante desta seo.

3.2.2 Causalidade e Cadeias de Eventos

No h uma forma simples de anlise de eventos, pois os mesmos usualmente ocorrem em cadeias complexas. Um evento de segurana de grande severidade usualmente decor-rncia de vrios eventos de menor severidade que formam uma cadeia.

A eficcia de sistemas automatizados de monitoramento da segurana depende forte-mente da anlise de correlaes entre eventos.

Os eventos que se situam entre a pura regularidade (inevitabilidade) e entre o caos (im-previsibilidade) esto correlacionados a um ou mais eventos passados bem como tem elevada chance de provocar um ou mais eventos futuros. O estudo das relaes entre os eventos, cha-mado de causalidade, feito no domnio da filosofia h pelo menos 3.000 anos5. importante para um gestor de segurana desenvolver a habilidade de analisar a causalidade entre even-tos, porque por meio dessa habilidade que se desenvolve melhor capacidade de prever os eventos e model-los na forma de riscos.

5 http://en.wikipedia.org/wiki/Causality


22

Figura 2 Diagrama espinha de peixe.Fonte: http://en.wikipedia.org/wiki/Causality.

Vrias so as teorias e modelos desenvolvidos para explicar como um evento produz ou-tro, e na rea da gesto da qualidade foi desenvolvido o diagrama de causa-efeito, conheci-do como diagrama de Ishikawa ou de espinha de peixe. Um exemplo ilustrado na Figura 2, onde a ocorrncia de um problema ou do efeito de um problema descrita por meio da anlise de suas causas-raiz, que so falhas relacionadas a equipamentos, processos, pessoas, materiais, ambiente e gesto.

A Figura 2 ilustra como um evento de segurana hipottico pode ser resultante de uma srie de outros eventos de menor severidade.

3.2.3 Anlise de ameaas e vulnerabilidades

A anlise de eventos de segurana da informao pode ser dividida em vrias etapas que compreendem anlise de fatores de risco como ameaas, vulnerabilidades, controles, conse-quncias operacionais e impactos sobre negcios.

As principais anlises que so reconhecidas como tal so a anlise de ameaas e a anlise de vulnerabilidades.

Uma ameaa uma causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao (ISO/IEC, 2004).

Uma vulnerabilidade uma fragilidade de um ativo ou grupo de ativos que pode ser ex-plorada por uma ou mais ameaas (ISO/IEC, 2004).

Em ambos os casos, ameaas e vulnerabilidades podem ser representaes de eventos passveis de ocorrncia em um ambiente de uma organizao.

Para fins de racionalizao de esforos na busca por ameaas e vulnerabilidades, os m-todos de GRSI propem que a identificao de ameaas seja feita antes da identificao de vulnerabilidades, porque seria proibitivo o custo para identificao de vulnerabilidades em todos os ativos existentes, independentemente da existncia de ameaas correspondentes.


23

3.2.4 Anlise de Ameaas

Conforme a 27005, uma fonte de ameaas um agente ou condio que exercita amea-as. Ameaas podem ter como fonte seres humanos e o ambiente, sendo que seres humanos podem agir deliberadamente ou acidentalmente. Desta forma, quanto origem, as ameaas podem ser classificada em:

a. humanas deliberadas (D);

b. humanas acidentais (A); e

c. ambientais (E - Environmental)

Conforme a 27005, as ameaas tambm podem ser organizadas quanto ao tipo:

a. [Dano fsico] Incidente com equipamento, instalao, mdia ou substncia que foi comprometido;

b. [Eventos naturais] Incidentes com fontes de gua, do solo e subsolo ou do ar;

c. [Paralisao de servios essenciais] Incidentes em servio de energia eltrica, gua encanada, esgoto, condicionamento de ar etc;

d. [Distrbio causado por radiao] Incidentes causados por radiao trmica ou eletromagntica;

e. [Comprometimento da informao] Interceptao, destruio, furto, cpia inde-vida, adulterao de hardware ou software;

f. [Falhas tcnicas] Falha, defeito, saturao ou violao das condies de uso de equipamento de informtica;

g. [Aes no autorizadas] Uso, cpia ou processamento ilegal de dados;

h. [Comprometimento de funes] Erro em uso, abuso de direitos, forjamento de direitos, repdio de aes, indisponibilidade de pessoas.

O Anexo C da 27005 apresenta um catlogo de ameaas tpicas, classificadas quanto ao tipo e origem.

A 27005 indica que ateno especial deve ser dada s fontes de ameaas intencionais e hu-manas, com suas correspondentes motivaes. Para tanto a norma tambm apresenta uma tabe-la de fontes de ameaas humanas intencionais, associadas s possveis motivaes dessas fontes.

O uso das informaes do Anexo C prov auxlio identificao de eventos possveis que se constituam em ameaas aos ativos catalogados durante a GRSI.

3.2.5 Anlise de Controles

Na 27005 proposta uma etapa de identificao de controles existentes e planejados} efetuada possivelmente antes da identificao de vulnerabilidades, mas aps a identificao de ameaas. Ao se detectar os controles atualmente existentes na organizao, bem como aqueles planejados, pode-se descobrir uma srie de vulnerabilidades potenciais, j que cada vulnerabilidade pode ser descrita por uma correspondente ausncia de controles, bem como cada controle usualmente corresponde reduo de uma vulnerabilidade.

3.2.6 Anlise de Vulnerabilidades e Controles

Uma vulnerabilidade uma fragilidade de um ativo ou grupo de ativos que pode ser ex-plorada por uma ou mais ameaas (ISO/IEC, 2004).

Vulnerabilidades tm origem no ambiente interno dos ativos, sejam eles processos, docu-mentos, pessoas, software, hardware, redes, instalaes e estruturas organizacionais.


24

A 27005 apresenta um catlogo de vulnerabilidades classificadas quanto ao tipo de ativo secundrio qual se aplicam:

a. vulnerabilidades de hardware;

b. vulnerabilidades de software;

c. vulnerabilidades de rede;

d. vulnerabilidades de pessoal;

e. vulnerabilidades de instalaes e

f. vulnerabilidades da estrutura organizacional.

Essas vulnerabilidades esto ainda associadas a possveis ameaas, possibilitando a cons-truo de cenrios de incidentes sobre os ativos inventariados.

O catlogo de vulnerabilidades da 27005 possui uma natureza genrica e pouca aplicabili-dade sobre vulnerabilidades especficas de ativos tecnolgicos, como computadores e software.

Dessa forma, para o caso de anlise de vulnerabilidades de ativos tecnolgicos, bem como de sistemas especficos, a 27005 (ISO/IEC, 2007) recomenda o uso de mtodos, tcnicas e ferramentas especficas, algumas das quais so:

a. [Ferramenta automatizada de anlise de vulnerabilidade] Aplica-se anlise de redes de computadores e busca identificar portas abertas em hosts e vulnerabili-dades associadas a essas portas. Nessus uma das ferramentas mais comumente utilizadas para anlise de vulnerabilidades em redes;

b. [Teste e avaliao de segurana] Baseada na elaborao e execuo de scripts de teste;

c. [Teste de penetrao] Tcnica amplamente varivel e aplicvel a vrios canais, como artefatos tecnolgicos (ex: stios web, redes de telecomunicao, redes sem fio, prdios, permetros e reas militares) e pessoas (tentativas de fraude, engenharia social, reas vigiadas por humanos). Um exemplo de metodologia aplicvel a ISECOM (2008);

d. [Reviso de Cdigo] Tcnica aplicvel a software, onde o cdigo-fonte de um programa inspecionado visualmente por programadores (ou por meio de sof-twares parcialmente eficientes) a fim de se identificar vulnerabilidades a ataques como SQL injection, buffer overflow, stack overflow, cross site-script etc. A reviso de cdigo parte de abordagens como as descritas em Howard e Lipner (2006);

e. [Entrevistas] Aplicveis a colaboradores e usurios;

f. [Questionrios] Para coleta de grandes volumes de dados;

g. [Inspeo fsica] Visitas ao stio;

h. [Anlise de documentos], por exemplo: anlise de registros de incidentes.

3.2.7 Anlise de Consequncias e Impactos

Uma vez levantados ou elicitados os ativos de informao de uma organizao, estes pre-cisam ser valorados, isto , ordenados dos mais crticos ao menos crticos, segundo o julga-mento dos analistas, que deve ser o menos subjetivo possvel.

Na GRSI, essa valorao inicialmente estabelecida em dois passos:

a. levantamento de consequncias operacionais da perda de segurana em ativos;

b. estimativa de impacto sobre negcios relacionados perda de proteo para cada ativo.


25

3.2.8 Anlise de Consequncias Operacionais da Perda de Segurana

Um levantamento preliminar de ativos deve considerar quais so os ativos e quais as con-sequncias operacionais relativas a perdas de proteo sobre estes ativos.

Um levantamento pode ser guiado por respostas a perguntas como:

a. quais so os ativos que voc quer proteger, por exemplo, devido a leis e regula-mentos?

b. quais so os ativos mais importantes e de quais outros ativos eles dependem?

c. qual a justificativa para que X seja um ativo?

d. voc ampliou o seu escopo de anlise para o nvel da organizao inteira?

A perda de segurana em um ativo decorre de eventos de segurana relacionados ao ati-vo. Tal perda tecnicamente chamada de {bf brecha de segurana}, e apresenta consequncias operacionais para a organizao. Os eventos possveis so descritos em cenrios de incidentes, resultantes da combinao entre ameaas e vulnerabilidades. Sem entrar no mrito de quais seriam os eventos de segurana que podem afetar um ativo, as consequncias operacionais devem ser estimadas em termos de queda na disponibilidade, integridade e confidencialidade da informao relacionadas a um ou mais ativos impactados pelo evento.

Uma vez que so conhecidos como os incidentes reduzem o alcance dos objetivos de segurana relacionados aos ativos, possvel estimar as consequncias operacionais dessas re-dues. Em outras palavras, deve-se traduzir perda de confidencialidade, integridade e dispo-nibilidade em termos como perda de servios, pagamento de multas e infraes contratuais.

A 27005 apresenta, no seu Anexo B, um conjunto de critrios que podem ser empregados para atribuio de valores de criticidade aos ativos na ocorrncia de eventos em geral. A reco-mendao que se defina uma base comum de anlise, e duas formas so indicadas:

a. pela anlise das consequncias operacionais resultantes da perda de confiden-cialidade, integridade, disponibilidade, no repdio, contabilizao, autenticida-de ou confiabilidade dos ativos ;e

b. de forma mais simples, pela avaliao direta dos impactos sobre os negcios da organizao (ver Seo Impactos), em decorrncia do comprometimento dos ati-vos.

Acerca da primeira abordagem, algumas consequncias operacionais a considerar so (ISO/IEC, 2007):

a. violao da legislao, regulamentos ou contratos;

b. reduo no desempenho de negcios;

c. perda de confiana e reputao de clientes e sociedade;

d. vazamento de informao pessoal;

e. aumento de perigos para os colaboradores;

f. efeitos adversos no cumprimento da lei;

g. brechas de confidencialidade;

h. brechas na ordem pblica;

i. perdas ou custos financeiros;

j. riscos e crises ambientais;

k. crise governamental;

l. interrupo de servios;

m. perda de vantagem competitiva.


26

Abordagens qualitativas so usualmente adotadas para avaliar as consequncias de com-prometimento dos ativos, uma vez que a atribuio de valores financeiros a ativos nem sempre possvel. Uma escala de pelo menos trs valores pode ser usada: alta, mdia e baixa.

O estabelecimento das dependncias entre os ativos importante para uma correta valo-rao de consequncias aos mesmos. Quanto mais processos de negcio dependerem de um certo ativo, mais crtico o ativo. Por exemplo, se trs grandes sistemas de comrcio eletrnico dependem de um servidor de banco de dados e de uma conexo de rede, esses dois ativos devem tambm ser crticos.

Conforme a 27005, o resultado do levantamento de ativos deve conter uma lista dos ati-vos, com a correspondente valorao das consequncias relativas para:

a. perda de confidencialidade (divulgao indevida);

b. perda de integridade, autenticidade, no repdio e contabilizao (modificao indevida);

c. perda de disponibilidade e confiabilidade (indisponibilidade e destruio); e

d. custos de substituio.

3.2.9 Anlise de Impactos sobre Negcios

A estimativa das consequncias da perda de segurana para um ativo na eventualidade de incidentes permite apenas a descoberta dos valores operacionais dos ativos para a orga-nizao, mas no indica precisamente como essas perdas podero impactar os negcios da organizao em si.

Conforme a 27005, impacto uma mudana adversa no nvel de objetivos de negcios alcanados. H que se considerar que um nico incidente pode afetar vrios ativos simultane-amente. Em vez de estar diretamente relacionado ao ativo, o impacto decorre dos efeitos de um incidente que pode afetar vrios ativos de forma agregada e da mudana adversa sobre os negcios da organizao. Essa mudana adversa pode se dar imediatamente (operacional-mente) bem como no futuro, por meio de perdas financeiras e de mercado.

A 27005 prope, para a avaliao do impacto operacional direto e indireto, a considerao dos seguintes efeitos:

a. custo financeiro de substituio de um ativo;

b. custo de aquisio, configurao e instalao de um novo ativo ou de seu {\it backup};

c. custo de operaes suspensas devido ao acidente, at que o servio seja restau-rado;

d. resultados devido a brechas na segurana da informao;

e. violao de obrigaes;

f. violao de cdigos de conduta, entre outros.

Uma vez feita uma valorao do impacto sobre negcios, um nvel de impacto ou critici-dade deve estar relacionado a cada ativo, e pode empregar escalas qualitativas, usando valores como muito alto, alto, mdio, baixo e muito baixo.


27

4 O Processo de Gesto de RiscosA seo anterior apresentou os principais elementos conceituais que so articulados no

processo da 27005. A Figura 4 apresenta o fluxograma geral do processo de gesto de riscos de segurana da informao, GRSI, adotado pela 27005.

Figura 4. O processo de gesto do risco da ISO 27005:2008.Fonte: Adaptado de ISO/IEC (2007).

O Processo de gesto dos riscos um processo contnuo e iterativo e suas atividades e fases so apresentadas nas clusulas 7 a 12 da norma, compreendendo as seguintes (ISO/IEC, 2007):

a. [Definio do contexto] Fase de preparao para implementao da gesto de riscos, que envolve principalmente a definio de trs aspectos: (i) critrios b-sicos para GRSI, (ii) escopo e limites do SGRSI; e (iii) organizao que vai operar a GRSI;

b. [Apreciao do Risco] A Apreciao do Risco a fase mais intensa do processo de GRSI no que concerne coleta e tratamento de informaes. Envolve a Anlise do Risco e a Avaliao do Risco. A Anlise do Risco compreende a Identificao do Risco e a Estimativa do Risco. A Identificao do Risco o processo de encontrar, listar e caracterizar os elementos ou fatores dos riscos. Durante a identificao, vrias anlises so efetuadas, e pode ser empregado um amplo arcabouo de tcnicas. A Estimativa do Risco determina a magnitude ou nvel de cada risco individual, e pode empregar mtodos qualitativos e (ou) quantitativos. Atribui nveis para as probabilidades e consequncias de cada risco. A Avaliao do Risco compreende a priorizao de cada risco dentro do conjunto dos riscos estima-dos, conforme os critrios de avaliao e os objetivos de segurana relevantes para a organizao;

c. [Tratamento do risco] Fase que envolve a deciso entre reter, evitar, transferir (compartilhar) ou reduzir os riscos;


28

d. [Aceitao do risco] fase que compreende o registro formal da deciso pelo acei-te dos riscos residuais existentes na organizao;

e. [Comunicao do risco] conjunto de atividades continuamente executadas e que envolve a troca de informaes sobre riscos entre os tomadores de deciso e todos os envolvidos na organizao (stakeholders);

f. [Monitoramento e reviso do risco] conjunto de atividades continuamente exe-cutadas e que envolve o monitoramento dos diversos fatores de caracterizao do risco, a fim de identificar quaisquer mudanas no contexto da organizao, atualizar o panorama de riscos da organizao e aprimorar o processo de gesto de riscos da organizao.

Uma caracterstica geral da 27005 que todas as suas fases e atividades so organizadas na forma de processos, que contm entradas, aes, guias para implementao e sadas bem caracterizadas, mas de forma genrica.

Conforme a 27005, os benefcios decorrentes da adoo de uma abordagem de gesto de riscos aderente norma compreendem:

a. riscos so identificados;

b. riscos so apreciados em termos de consequncias e chances de ocorrncia;

c. as chances e consequncias de riscos so comunicadas e compreendidas;

d. uma ordem de prioridade para tratamento de riscos estabelecida;

e. uma ordem de prioridade para reduo dos riscos estabelecida;

f. os intervenientes so envolvidos em decises sobre riscos e mantidos informa-dos sobre o status da gesto de riscos;

g. o monitoramento dos riscos efetivo;

h. os riscos e o processo de gerncia de riscos so monitorados e revistos regular-mente;

i. captura-se informao que permite a melhoria da abordagem de gesto de ris-cos;

j. os gerentes e o staff so educados sobre riscos e aes tomadas para mitig-los.

A Figura 5 apresenta numa viso esquemtica de como ocorre o fluxo da informao num processo organizado segundo o modelo da 27005.


29

Figura 5. Fluxo de informaes na Gesto de Riscos aderente ISO/IEC (2007).Fonte: Autor.

Conforme ilustra o fluxo de dados da Figura 5, para a Definio do Contexto necessria toda a informao disponvel, inclusive as produzidas por execues anteriores de qualquer fase, os resultados das apreciaes insatisfatrias e os planos de tratamento do risco que no foram aceitos, bem como dados do monitoramento e reviso da GRSI. A Apreciao do Risco composta pelas fases de Identificao, Estimativa e Avaliao. A Identificao e a Estimativa compreendem a Anlise.

Existem dois pontos de controle importantes em um processo de gesto de riscos aderente 27005, que atuam imediatamente aps a Apreciao e aps o Tratamento do Risco. No caso dos resultados da Apreciao ou do Tratamento serem insatisfatrios, faz-se necessrio repetir a execuo de passos anteriores do processo. O Tratamento produz um plano que contm uma estimativa de riscos residuais, que devem ser aceitos pela alta gesto. O processo completa-do pela fase de Aceitao, que compreende a aceitao do plano de tratamento de riscos, que por sua vez indica os riscos residuais da organizao.

As sees seguintes descrevem em mais detalhes os aspectos de cada fase.


30

5 Definio do Contexto da GRSIA fase de Definio do Contexto cria ou ajusta o contexto para execuo da GRSI. Recebe

como entrada todas as informaes sobre a organizao relevantes para a definio do con-texto, e produz como sada: (i) a especificao dos critrios bsicos para GR; (ii) a especificao do escopo e limites cujos riscos sero geridos e (iii) uma organizao preparada para operar a gesto de riscos. As aes realizadas na fase so as capazes de produzir os resultados espera-dos, e so detalhadas a seguir.

5.1 Descrio de Critrios Bsicos para GR

Os Critrios Bsicos para GR so estabelecidos preferencialmente sob superviso direta da alta gesto e subdividem-se em:

a. [Critrios para Avaliao de RSI] Que consideraes devem ser usadas para ava-liar os riscos?

b. [Critrios para Determinao do Impacto de Incidentes] Que consideraes de-vem ser usadas para determinar o impacto de incidentes de segurana para o alcance dos objetivos de negcio da organizao?

c. [Critrios para Aceitao de RSI] Que consideraes sero usadas pela alta gesto para aceitar os riscos residuais da organizao?

Abordagens para a descrio de cada um desses critrios so definidas a seguir.

5.1.1 Critrios para Avaliao de Riscos de Segurana da Informao

Os critrios para avaliao de RSI so usados na fase de Avaliao, que compreende a or-denao dos riscos quanto prioridade para tratamento. O estabelecimento de critrios deve considerar (ISO/IEC, 2007):

a. [Valor Estratgico] Qual o valor Estratgico para a organizao dos processos de negcio que tratam com informao? Qual o valor dos processos responsveis pelo tratamento da informao em sua organizao?

b. [Criticalidade dos ativos de informao] Quo crtico para o alcance dos objetivos de negcio da organizao so os ativos de informao envolvidos?

c. [Requisitos legais, regulatrios e contratuais] A quais aspectos legais, regulat-rios e contratuais est sujeito o tratamento da informao na sua organizao?

d. [Importncia da disponibilidade, confidencialidade e integridade] Qual a impor-tncia da disponibilidade, confidencialidade e integridade para a operao e para os negcios? Qual a importncia absoluta e relativa destes critrios?

e. [Expectativas e percepes] Quais as expectativas e percepes dos envolvidos, alm de consequncias negativas para a boa f e reputao destes e da organiza-o? Todos os envolvidos manifestaram suas percepes?

f. [Prioridades] Quais as prioridades para tratamento de riscos? Quais as aes prio-ritrias de tratamento?

Durante o estabelecimento de critrios para avaliao de riscos de segurana da informa-o, uma descrio formal que responda s questes acima precisa ser formalizada. Tal descri-o ser usada como base para vrias etapas do processo de GRSI.

5.1.2 Critrios para Determinao do Impacto de Incidentes


31

A quais eventos de segurana est sujeita a organizao? Que impactos esses eventos podem causar? O desenvolvimento e a especificao de critrios de determinao de impacto devem descrever o grau de danos ou custos para a organizao, causado por eventos de segu-rana, e deve considerar os seguintes aspectos (ISO/IEC, 2007):

a. [Nveis de classificao] Quais os nveis de classificao de segurana dos ativos de informao impactados? Como os eventos impactam ativos de informao de diversos nveis?

b. [Brechas de segurana da informao] Brechas de segurana da informao en-volvem perda de confidencialidade, integridade e disponibilidade. Quais so as brechas que podem ocorrer?

c. [Operaes obstrudas] Quais podem ser as operaes obstrudas, sejam elas internas ou com terceiras partes? Que operaes podem ser interrompidas por eventos?

d. [Perda de negcios e valores financeiros] Como a organizao pode perder neg-cios e valor financeiro com os eventos?

e. [Rompimento de planos e prazos] Como os planos da organizao podem ser afetados ou completamente obstrudos? Como os prazos de sua organizao po-dem ser afetados por eventos?

f. [Danos reputao] Quais os danos que podem ocorrer reputao da organi-zao?

g. [Infrao de requisitos] Que infraes de requisitos legais, regulatrios ou contra-tuais podem ocorrer? Como a sua organizao pode infringir leis, normas, regula-mentos ou contratos em decorrncia de eventos de segurana?

Durante o estabelecimento de critrios para determinao do impacto de incidentes, uma descrio formal que responda s questes acima precisa ser elaborada, e ser usada como base para vrias etapas do processo de GRSI.

5.1.3 Critrios para Aceitao de RSI

Que consideraes sero usadas pela alta gesto para aceitar os riscos da organizao na fase de Aceitao? Essas consideraes devem ser definidas na forma de critrios para aceita-o de riscos de segurana da informao. Tais critrios guiaro os analistas de risco na prepa-rao de anlises e avaliaes preliminares de riscos, de modo que o trabalho do analista de riscos possa ser aceito pela gesto da organizao. Uma organizao deve desenvolver escalas prprias para nveis de aceitao de riscos, considerando os seguintes aspectos (ISO/IEC, 2007):

a. [Mltiplos nveis de disparo] como so alcanados os nveis de risco alvo que so desejados pelos gestores? Quais os nveis e gatilhos de risco de sua organizao?

b. [Proviso para aceitao] Como a alta gesto poder aceitar riscos acima dos n-veis estabelecidos? Sob quais circunstncias definidas? Que condies especiais possibilitam a aceitao de riscos que, em condies normais, seriam inaceit-veis?

c. [Custos e benefcios] Qual a relao entre o benefcio estimado (ex: financeiro) e risco de dano estimado?

d. [Diferentes nveis de risco] Quais so os diferentes nveis de risco aceitveis con-forme as classes de risco? Qual a tolerncia a riscos de no conformidade com legislao comparativamente tolerncia a riscos de quebra de contrato?

e. [Aceitao condicionada] Como aceitar condicionalmente o risco, sujeito apro-vao de tratamentos futuros dentro de um determinado perodo? Quais os ris-cos que voc aceita hoje, condicionados tomada de aes de controle futuras?


32

f. [Tempo para existncia do risco] O risco aceito est relacionado a uma atividade de curto prazo ou de longo prazo?

g. [Critrios de negcio] Como o seu negcio diferente dos demais?

h. [Aspectos legais e regulatrios] Como os aspectos legais e regulatrios se apli-cam ao negcio da organizao?

i. [Operaes] Em que tipos de operaes a organizao est envolvida?

j. [Tecnologias] Quais as tecnologias empregadas pela organizao?

k. [Finanas] Quais os impactos financeiros dos riscos organizao?

l. [Fatores sociais e humanitrios] Fatores sociais e humanitrios se aplicam sua organizao e podem influenciar a aceitao dos riscos?

A Tabela 1 apresenta um exemplo de escala de mensurao de riscos. Um exemplo de critrio a ser referendado pela alta gesto de um rgo seria aceitar, sem justificativas, apenas os riscos cujo valor seja baixo (entre 0 e 2).

Tabela 1. Uma escala para mensurao do risco. Fonte: (ISO/IEC, 2007)

5.2 Especificao do Escopo e Limites da Gesto de Riscos

Todo sistema possui um escopo e limites que demarcam esse escopo; tal escopo precisa dessa delimitao para que tenha convergncia a gesto de riscos. Segundo a ISO/IEC (2007) preciso, com a especificao do escopo e limites, produzir um documento que responda s seguintes questes:

a. qual o escopo da GRSI a ser adotado?

b. quais os ativos relevantes que sero considerados, e que formaro o escopo?

c. quais ativos so pouco relevantes?

d. como voc delimita os elementos do escopo? Por meio de limites fsicos? Limites legais? Limites tecnolgicos? Limites contratuais? Limites organizacionais?

e. em que ambiente a organizao opera? Qual a relevncia do ambiente para a GRSI? A sua organizao opera em um ambiente controlado? Em um ambiente hostil? Com muitas ameaas?

Alm desses aspectos, deve-se considerar, tambm segundo ISO/IEC (2007), que a delimi-tao do escopo pode ser influenciada pelos:

a. objetivos estratgicos, estratgias e polticas de negcios e servios da organizao;

b. processos de negcios;


33

c. funes e estruturas organizacionais;

d. requisitos legais, regulatrios e contratuais aplicveis;

e. poltica de segurana da informao da organizao;

f. abordagem geral de gesto de riscos da organizao;

g. ativos de informao;

h. quantidade de stios fsicos da organizao e suas caractersticas geogrficas;

i. restries afetando a organizao;

j. expectativas dos intervenientes e outras partes interessadas;

k. ambiente sociocultural;

l. interfaces (ex: de troca de informao com o meio ambiente).

Devem ser providas justificativas para quaisquer excluses de ativos do escopo indicado.

O resultado da atividade uma declarao preliminar de escopo de gesto de riscos, um documento formal.

5.3 Definio da Organizao para Operar a Gesto de Riscos

A definio da organizao para operar a gesto de riscos (GR) o ultimo aspecto na fase de Definio do Contexto. Uma organizao com responsabilidades pela GRSI deve ser criada e mantida. Essa organizao forma um subsistema, que poderia ser chamado de Sistema de Gesto de Riscos de Segurana da Informao. A Figura 5 apresenta o escopo desse sistema de forma abstrata e suas relaes com o restante da organizao.

Figura 5 Arcabouo de um SGRSI - Sistema de Gesto de Riscos de Segurana da Informao.

Fonte: o autor.

Segundo a (ISO/IEC, 2007), so papis e responsabilidades dessa organizao:

a. desenvolvimento de um processo de GRSI adequado para a organizao;

b. identificao e anlise dos intervenientes e partes interessadas;


34

c. definies de papis e responsabilidades por todos os parceiros na GRSI, tanto internos quanto externos organizao;

d. estabelecimento dos relacionamentos requeridos entre o SGRSI e os intervenien-tes, bem como das interfaces com as funes de gerenciamento de riscos de alto nvel da organizao (ex: gesto de riscos operacional), bem como com outros projetos e atividades relevantes;

e. definio dos caminhos de escalao de deciso;

f. especificao dos registros a serem mantidos;

O SGRSI deve ser aprovado pelos gestores de nveis adequados na organizao, e um importantes recursos que atendem aos requisitos da 27001 (ISO/IEC, 2006).


35

6 Apreciao do RiscoA Apreciao do Risco o processo responsvel por identificar, estimar e avaliar o risco.

Envolve vrias anlises e avaliaes que so agrupadas sobre os processos de Anlise do Risco e de Avaliao do Risco. A apreciao do risco um processo iterativo que, segundo a ABNT (2008), deve ser executada em pelo menos duas iteraes. Tal abordagem devida inter-dependncia entre os vrios elementos levantados durante a identificao (ativos, ameaas, controles, vulnerabilidades, probabilidades, consequncias, impactos e magnitude de riscos).

A Apreciao recebe como entradas os critrios bsicos, escopo e limites, bem como a organizao responsvel pelo processo de GRSI, definidos na fase de definio dos conceitos.

A sada da apreciao uma lista de riscos avaliados e priorizados conforme os critrios estabelecidos na fase anterior.

A seguir so detalhadas a anlise e a avaliao dos riscos.

6.1 Anlise do Risco

A Anlise do Risco a composio dos processos de Identificao do Risco e de Estimativa do Risco. A identificao do risco o processo de encontrar, listar e caracterizar os elementos ou fatores do risco. O propsito da Avaliao do Risco priorizar os riscos contra critrios de avaliao (estabelecidos na Definio do Contexto) e objetivos relevantes para a organizao.

6.1.1 Identificao do Risco

O propsito da identificao do risco , segundo ISO/IEC (2007), determinar o que pode acontecer para causar uma perda potencial, ou ganhar percepo sobre como, onde e porque a perda pode acontecer. A identificao do risco decompe o risco em cinco fatores e os anali-sa individualmente. As atividades so:

a. identificao de ativos;

b. identificao de ameaas;

c. identificao de controles;

d. identificao de vulnerabilidades;

e. identificao de consequncias,

Essas atividades so detalhadas a seguir.

6.1.1.1 Identificao de Ativos

A atividade de Identificao de Ativos recebe como entradas: (i) a declarao do escopo e limites da GR; e (ii) uma lista preliminar de ativos da organizao, com indicao do respons-vel por cada um, alm das localizaes, funes e outras caractersticas dos ativos. O objetivo da atividade identificar quais dos ativos esto no escopo a ser gerenciado, produzindo como sada uma lista de ativos cujos riscos devem ser gerenciados, associado a uma lista de proces-sos de negcio relacionados com os ativos e a relevncia desses relacionamentos.

Alguns aspectos importantes devem ser considerados na identificao de ativos so (ISO/IEC, 2007):

a. sistemas de informao so mais que hardware e software;

b. o nvel de detalhamento dos ativos deve ser suficiente para permitir as fases sub-sequentes, especialmente a avaliao;


36

c. deve-se ter em mente que o nvel de detalhamento das descries dos ativos ser refinado em iteraes posteriores;

d. para cada ativo identificado, um responsvel ou proprietrio tambm deve ser identificado. Esse pessoal deve ser responsvel pela produo, desenvolvimento, manuteno, uso e segurana do ativo. Ela a principal fonte de informaes sobre o ativo;

e. o responsvel pelo ativo a pessoa mais indicada para determinar o valor do ativo para a organizao;

f. a coleta de dados no deve ultrapassar o escopo da gesto de riscos.

Tabela 2 Exemplo de lista de ativos e suas relaes com processos de negcio.

A Tabela 2 apresenta um esboo do que seria uma lista de ativos identificados, produzida ao final dessa atividade.

6.1.1.2. Identificao de Ameaas

A atividade de Identificao de Ameaas recebe como entradas informaes sobre amea-as, obtidas por meio: (i) da reviso dos registros de incidentes e eventos de segurana; (ii) dos responsveis pelos ativos, dos usurios; e (iii) de outras fontes, incluindo catlogos externos de ameaas. O objetivo que ameaas e suas fontes sejam identificadas. A atividade produz como sada uma lista de ameaas, com a identificao do tipo e fonte da ameaa, como a Tabela 3.

Tabela 3. Exemplo de tabela de identificao de ameaas.


37

Alguns aspectos importantes devem ser considerados na identificao de ativos, confor-me a 27005:

a. uma ameaa pode afetar mais de um ativo e os impactos de uma mesma ameaa podem ser diferentes, conforme o ativo;

b. fontes de ameaa acidental e deliberada devem ser identificadas;

c. ameaas podem ter origem fora e dentro da organizao;

d. a fim de tornar o trabalho limitado, ameaas devem ser identificadas generica-mente e por tipo. Posteriormente, onde apropriado, ameaas individuais dentro das classes genricas devem ser identificadas;

e. considerar que as ameaas esto em constante modificao, especialmente quando negcios e sistemas de informao se modificam;

Por fim, devem-se empregar, para a anlise de ameaas, vrias fontes de informao, como: (i) responsveis pelos ativos; (ii) usurios dos ativos; (iii) {\it staff } da organizao; (iv) gestores de instalaes; (v) especialistas de segurana da informao; (vi) especialistas em se-gurana fsica; (vii) pessoal da rea jurdica; (viii) agncias de regulao e outras organizaes civis; (ix) meteorologistas; (x) seguradoras; (xi) autoridades do governo; e (xii) catlogos e esta-tsticas obtidas em Normas; sociedades de indstria, comrcio e servios; governo; organiza-es jurdicas e seguradoras.

6.1.1.3 Identificao de Controles

A atividade de Identificao de Controles recebe como entradas a documentao dos controles e planos de implementao de tratamento de risco, se existentes. O objetivo da identificao de controles que os controles existentes e planejados sejam identificados. A atividade produz como sada uma lista de todos os controles existentes e planejados, com seu status de implementao e uso.

So aspectos importantes que devem ser considerados na identificao dos controles, conforme a 27005 (ISO/IEC, 2007):

a. a identificao dos controles existentes evita trabalhos e custos desnecessrios, com possvel duplicao de controles;

b. controles que no funcionam adequadamente podem causar vulnerabilidades;

c. ao se identificar um controle, deve-se medir a efetividade do mesmo. A consulta a resultados de auditorias porventura existentes reduz o esforo na medio des-sa eficcia (este um dos principais trabalhos dos auditores);

d. como os controles existentes reduzem as vulnerabilidades de forma efetiva? A efetividade de um controle pode ser estimada atravs da estimativa do quanto ele reduz: (i) a chance de a ameaa ocorrer (ii) facilidade de explorao de uma vulnerabilidade por uma ameaa; ou (iii) impacto do evento de segurana;

e. controles com implementao planejada devem ser tratados da mesma forma que controles existentes;

f. a estimativa de eficcia dos controles uma boa oportunidade para ajustes nos mesmos;

g. Um controle pode ser identificado como: (i) efetivo, (i) no efetivo, (iii) no sufi-ciente ou (iv) no justificado. Nos casos (iii) controle no suficiente e (iv) controle no justificado, devem ser adotadas medidas para: (a) remoo; (b) substituio; ou (c) manuteno do controle (devido a razes como custo). s vezes mais econmico manter um controle implementado, mesmo que ele seja ineficaz.


38

So atividades recomendadas pela ISO/IEC (2007), quando da identificao de controles:

a. a reviso de documentos contendo informaes sobre controles, por exemplo, planos de tratamento de riscos;

b. a reviso do status de implementao dos controles, no caso de um sistema de gesto de segurana da informao j implementado;

c. a verificao, junto a responsveis pela segurana da informao e usurios dos controles, acerca do status real de implementao dos controles relativos ao es-copo sob anlise;

d. a conduo de reviso de controles fsicos nas instalaes da organizao em escopo, comparando com a lista dos controles que deveriam estar presentes e verificao de que os implementados esto funcionando corretamente e efeti-vamente.

6.1.1.4 Identific

Documents

GSIC302 Introducao Gestao Riscos Seguranca Informacao (1)