Pedro Jorge

8/13/2019 Pedro Jorge

1/77

UNIVERSIDADE DE BRASLIA -UNB

DEPARTAMENTO DE CINCIAS DA COMPUTAO

ANLISE/AVALIAO DE RISCOS DE SEGURANA DAINFORMAO PARA A ADMINISTRAO PBLICA

FEDERAL:UM ENFOQUE DE ALTO NVEL BASEADO NAISO/IEC27005

PEDRO JORGE SUCENA SILVA

MONOGRAFIA DE CONCLUSO DO CURSO DE ESPECIALIZAO EM CINCIASDA COMPUTAO:GESTO DA SEGURANA DA INFORMAO E

COMUNICAES

Orientador: Prof. Dr. Jorge Henrique Cabral Fernandes


2/77

II

Braslia, 29de maio de 2009.

ANLISE/AVALIAODERISCOSDESEGURANA

DAINFORMAOPARAAADMINISTRAOPBLICAFEDERAL:UMENFOQUEDEALTONVELBASEADONAISO:IEC27005

Trabalho de concluso de curso apresentadocomo parte das atividades para obteno dottulo de Especialista em Cincias daComputao do curso de Especializao emCincias da Computao: Gesto daSegurana da Informao e Comunicaes doDepartamento de Cincias da Computao daUniversidade de Braslia.

Prof orientador: Jorge Henrique Cabral Fernandes

Braslia, 2009


3/77

III

Autoria:Pedro Jorge Sucena Silva

Ttulo:Anlise/avaliao de riscos de segurana da informao para a Administrao PblicaFederal: um enfoque de alto nvelbaseado na ISO:IEC 27005.

Trabalho de concluso de curso apresentadocomo parte das atividades para obteno dottulo de Especialista em Cincias daComputao do curso de Especializao emCincias da Computao: Gesto da Seguranada Informao e Comunicaes doDepartamento de Cincias da Computao daUniversidade de Braslia.

Os componentes da banca de avaliao, abaixo listados,

consideram este trabalho aprovado.

Nome Titulao Assinatura Instituio

1 Jorge Henrique Cabral Fernandes Doutor Universidade de Braslia

2 Jacir Luiz Bordim Doutor Universidade de Braslia

3 Edgard Costa Oliveira Doutor Universidade de Braslia

Data da aprovao:____ de _____________________ de ________.


4/77

IV

RESUMO

Este trabalho apresenta um modelo preliminar de anlise/avaliao de riscos de seguranada informao, capaz de identificar os riscos com alto potencial de impacto em umaorganizao pblica. A anlise/avaliao de riscos uma atividade do processo de gesto deriscos em que so identificados os riscos e seus componentes ativos, ameaas,

vulnerabilidades e conseqncias. A probabilidade de ocorrncia do cenrio de risco e suasconseqncias so avaliadas, resultando em um nvel de risco. Esse risco ento avaliadosegundo critrios pr-definidos que determinaro a sua importncia para a organizao. Anorma ISO/IEC 27005 recomenda iniciar o processo de gesto de riscos com umaanlise/avaliao comum enfoque de alto nvel, isto , uma abordagem mais global que viseos principais riscos que envolvem o negcio. uma abordagem simplificada que considera osaspectos tecnolgicos de forma independente das questes de negcio. A partir dos resultadosdessa primeira iterao possvel definir as prioridades, os riscos que precisam ser detalhadosem uma segunda iterao e uma cronologia para a execuo de aes. Este trabalho propeum modelo com essas caractersticas, tendo como base a Norma ABNT ISO/IEC 27005 econsiderando algumas especificidades da Administrao Pblica Federal.

Palavras-chave: segurana da informao, gesto de riscos,administrao pblica.


5/77

V

SUMRIO

1 Introduo........................................................................................................1 2 Requistos Pr-pesquisa.................................................................................32.1 Objetivos..................................................................................................................... 32.1.1 Objetivo Geral......................................................................................................................32.1.2 Objetivos Especficos...........................................................................................................32.2 Justificativa ................................................................................................................. 32.3 Metodologia ................................................................................................................ 53 Reviso de literatura e fundamentos.............................................................73.1 Gesto de riscos: norma ISO/IEC 27005................................. ................................ .... 73.1.1 Conceitos ............................................................................................................................83.1.2 O processo de gesto de riscos .........................................................................................123.1.3 Definio do contexto........................................................................................................143.1.3.1 Critrios bsicos ................................................................................................................143.1.3.2 Definio do escopo e limites.............................................................................................153.1.3.3 Organizao para gesto de riscos ....................................................................................153.1.4 Anlise/avaliao de riscos ................................................................................................163.1.4.1 Anlise de riscos................................................................................................................163.1.4.2 Avaliao de riscos ............................................................................................................223.1.5 Tratamento do risco...........................................................................................................233.1.6 Aceitao do risco.............................................................................................................273.1.7 Comunicao do risco.......................................................................................................273.1.8 Monitoramento e anlise crtica de riscos...........................................................................283.2 Administrao pblica ..................... ........................................ ................................ .. 303.2.1 Princpios da administrao pblica ...................................................................................324 instrumentos para anlise/avaliao de risco enfoque de alto nvel .....374.1 Definio do contexto................................................................................................ 384.1.1 Definio do escopo..........................................................................................................384.1.1.1 Especificidades da Administrao Pblica Federal .............................................................404.1.2 Critrios de risco................................................................................................................424.2 Anlise/avaliao de riscos ............................... ......................................... ............... 464.2.1 Anlise de riscos................................................................................................................46


6/77

VI

4.2.1.1 Identificao de riscos.......................................................................................................464.2.1.2 Estimativa de riscos...........................................................................................................494.2.2 Avaliao de riscos ............................................................................................................514.3 Tratamento do risco................................................................................................... 515 Exemplo de aplicao...................................................................................536 Concluso e trabalhos futuros.....................................................................67Referncias bibliogrficas......................................................................................69


7/77

1

1 INTRODUO

Em um levantamento sobre a governana de tecnologia da informao (TI) na

Administrao Pblica Federal1 (APF), o Tribunal de Contas da Unio constatou que a

segurana da informao no consta na agenda da maioria dos rgos pblicos. O

levantamento apontou que 64% deles no possuem uma poltica da segurana da informao

nem uma rea especfica para lidar com a segurana da informao. Alm disso, 75% no

fazem anlise de risco de TI, 80% no classificam as informaese 88% no possuemplano

de continuidade de negcio.

Diante desses dados possvel afirmar que a gesto de risco de segurana da informao

(GRSI) no uma prtica comum na APF. H vrios fatores que podem explicar essa

situao. Primeiramente a aplicao da gesto de risco segurana da informao um

produto recente, considerando que a APF normalmente absorve as mudanas ou novasferramentas de gesto de modo mais lento do que a iniciativa privada. Em segundo lugar, a

GRSI precisa do apoio da direo do rgo, visto que um processo transversal que perpassa

diversas fraes da organizao e necessita do apoio especializado de muitas delas. Vale

destacar ainda que os mtodos de anlise/avaliao de riscos normalmente so complexos,

exigem a coleta de uma enorme quantidade de dados e consomem muito tempo e recursos

para a sua operacionalizao.

A proposta deste trabalho aponta para a necessidade de um mtodo de anlise/avaliao

de riscos que considere as especificidades da APF, que seja capaz de identificar os riscos com

alto potencial de impacto e que, ao mesmo tempo, seja simples, de baixo custo e que possa ser

executado por um grupo pequeno de pessoas.

1TRIBUNAL DE CONTAS DA UNIO. Acrdo 1603/2008. Braslia, 2008.


8/77

2

A anlise/avaliao de riscos uma atividade do processo de gesto de riscos em que so

identificados os riscos e seus componentes ativos, ameaas, vulnerabilidades e

conseqncias. Aprobabilidade de ocorrncia do cenrio de risco e suas conseqncias so

avaliadas, resultando em um nvel de risco. Esse risco ento avaliado segundo critrios pr-

definidos que determinaro a sua importncia para a organizao.

A gesto de riscos de segurana da informao, em que est inserida a anlise/avaliao

de riscos, uma metodologia que procura identificar os riscos que envolvem uma

organizao, prioriz-los e propor estratgias de tratamento desses riscos. Para a norma

ISO/IEC 27005, risco de segurana da informao medido em funo da combinao da

probabilidade de um evento e de sua conseqncia. Desse modo, riscos podem ser

gerenciados mudando-se tanto a natureza de suas conseqncias como a probabilidade de que

determinado evento ocorra.

A gesto de riscos estabelecida em um processo de melhoria contnua com um enfoque

iterativo na execuo da anlise/avaliao de risco o que permitedetalhar a avaliao a cada

repetio. Por conseguinte, recomendado pela norma iniciar o processo de gesto de riscos

com uma anlise/avaliao com um enfoque de alto nvel, isto , uma abordagem global que

visa os principais riscos que envolvem o negcio. uma abordagem simplificada que

considera os aspectos tecnolgicos de forma independente das questes de negcio . A partir

dos resultados dessa primeira iterao possvel definir as prioridades, os riscos que precisam

ser detalhados em uma segunda iterao euma cronologia para a execuo deaes.

Este trabalho vem propor instrumentos que ajudaram a compor um mtodo com essas

caractersticas, tendo como base a norma ISO/IEC 27005 e considerando as especificidades da

Administrao Pblica Federal.


9/77

3

2 REQUISTOS PR-PESQUISA

2.1 Objetivos

2.1.1 Objetivo Geral

Propor instrumentos para um mtodo preliminar de anlise/avaliao de riscos para

Administrao Pblica Federal em um enfoque de alto nvel.

2.1.2 Objetivos Especficos

So objetivos especficos do trabalho:

1. Desenvolver os instrumentos para um mtodo de anlise/avaliao com umenfoque de alto nvel.

2. Aplicar os instrumentos propostos em uma organizao fictcia.3. Rever a literatura sobre o processo de gesto de riscos e sobre a administrao

pblica.

2.2 Justificativa

O avano tecnolgico vivido desde a segunda metade do sculo XX catalisou a exploso

informacional dos ltimos trinta anos, proporcionando mudanas na forma como as

organizaes manipulam o seu conhecimento.O aumento do fluxo de informaes expe o

conhecimento crtico das organizaes a diversos riscos. Por isso, a demanda de proteo

dessas informaes constitui um enorme desafio. Assim, a segurana da informao entrou na

agenda das organizaes privadas e vem entrando lentamente na das organizaes pblicas.

A preocupao com a proteo da informao como ativo no mbito das organizaes

criou a necessidade de sistematizao e padronizao dos conceitos de segurana da


10/77

4

informao, de modo a consolidar as bases para o desenvolvimento seguro e uniforme de

solues para os problemas emergentes dessa questo. Dentre as normas e padres surgidos

dessa preocupao destacamos a sriede normas ISO/IEC 27000:

! ISO/IEC 27001 Sistemas de gesto de segurana da informao: originria daparte 2 da norma britnica BS 7799;

! ISO/IEC 27002 Cdigo de prtica para a gesto da segurana da informao: foidesenvolvida a partir da parte 1 da norma britnica BS 7799;

! ISO/IEC 27005 Gesto de riscos de segurana da informao: teve como base aparte 3 da BS 7799 e a norma australiana neozelandesa AS/NZS 4360.

O primeiro passo para gerir a segurana da informao segundo essas normas a gesto

de risco. Trata-se de uma metodologia que procura evitar que riscos e ameaas se concretizeme gerem prejuzos das mais diversas ordens. Procura delimitar os possveis problemas e

possibilidades de interferncia nas atividades de uma organizao e transform-los em riscos

mensurveis e manejveis.2 Trata-se da aplicao de um mtodo lgico e sistemtico para

estabelecer os contextos, bem como para identificar, estimar, avaliar, tratar, aceitar, monitorar

e comunicar os riscos associados a qualquer ativo, funo, atividade, ou processo, de modo

que as organizaes possam minimizar as perdas resultantes de incidentes de segurana da

informao.

A gesto eficaz de riscos reduz a probabilidade e a severidade de incidentes de segurana.

possvel evitar eventos indesejveis ou negativos prevendo sistematicamente os riscos,

avaliando a sua importncia, gerenciando suas conseqncias e aprendendo enquanto se

atravessa esse ciclo. No entanto, a gesto eficaz de riscos implica tambm prever os riscos

futuros e saber lidar de maneira pr-ativa com eles gesto pr-ativa em vez de reativa.

Freqentemente, possvel superar adversidades sendo pr-ativo na previso de riscos e na

criao de condies que permitam evit-los.3

A gesto de riscos proporciona uma srie de benefcios s organizaes. Fornece umabase slida e segura para a tomada de deciso e planejamento; torna mais eficaz a alocao e

o uso de recursos; melhora a gesto de incidentes e reduzperdas e custos com riscos, melhora

2ZAMITH, Jos Lus Cardoso. Gesto de Riscos e Preveno de Perdas. Rio de Janeiro: FGV, 2007.

3CENTRO CANADENSE PARA O DESENVOLVIMENTO DA GESTO. Uma base para o

desenvolvimento de estratgias de aprendizagem para a gesto de riscos no servio pblico/ Stephen Hill,Geoff Dinsdale; traduzido por Lus Marcos B. L. de Vasconcelos. Braslia: ENAP, 2003 (Cadernos ENAP, 23).


11/77

5

a segurana e confiana das partes envolvidas; melhora a conformidade com a legislao

pertinente; e melhorar a governana corporativa.

Portanto, o processo de gesto de riscos constitui uma ferramenta de extrema importncia

para o estabelecimento de um Sistema de Gesto de Segurana da Informao (SGSI)conforme a norma ISO/IEC 27001. E de forma semelhante e complementar ao SGSI, o

processo de gesto de riscos, estabelecido em um processo de melhoria contnuacom um

enfoque iterativo na execuo da anlise/avaliao de risco o que permite aprofundar e

detalhar a anlisea cada repetio.

A primeira iterao dessa atividade deve utilizar uma abordagem de anlise/avaliao de

riscos com um enfoque de alto nvel. Momento em que se procuram os principais riscos da

organizao, os de maior impacto e se estabelece um cronograma de aes. mais rpida,

mais simples e de menor custo que uma abordagem detalhada, o que facilita a aceitao do

programa de gesto de riscos pelas partes interessadas.

uma abordagem importante porque a indisponibilidade oramentria comum na esfera

pblica no permitiria a implementao simultnea de todos os controles que seriam precisos,

logo haveria a necessidade de tratar apenas os riscos mais cr ticos. Por isso no faz sentido

iniciar um processo de gesto de riscos detalhado se a implementao dos controles seria

completada em um prazo estendido. Vale destacar que uma anlise/avaliao de risco perde

sua validade com as mudanas de contexto, de ameaas e de vulnerabilidades trazidas pelotempo, portanto uma abordagem com enfoque de alto nvel seria mais adequada.

Diante dessas questes imprescindvel que a discusso quanto a um mtodo de

anlise/avaliao de riscos com um enfoque de alto nvel seja colocada no mbito do servio

pblico, j que so poucos os rgo que se preocupam em gerir os seus riscos de modo

sistemtico.

2.3 Metodologia

A presente pesquisa pode ser caracterizada, segundo a utilizao dos resultados, como

pesquisa aplicada. Distingue-se pelo seu interesse prtico que conforme Ander-Egg4procura

resultados que possam ser aplicados ou utilizados, imediatamente, na soluo de problemas

que ocorrem na realidade.

4Ander-Egg (1978) apud MARCONI, M. A., LAKATOS, E. M. Tcnicas de Pesquisa. So Paulo: Atlas, 2002.


12/77

6

A principal tcnica utilizada foi a pesquisa bibliogrfica, o objetivo era conhecer, discutir

e analisar as contribuies registradas acerca do tema proposto. Vale destacar que a pesquisa

bibliogrfica no mera repetio do que j foi escrito sobre determinado assunto. Ela

permite explorar novas reas onde os problemas no se cristalizaram o suficiente. Propicia o

exame de um tema sob novo enfoque ou abordagem, podendo chegar a concluses

inovadoras5.

Inicialmente foi realizado um estudo na literatura sobre a gesto de risco de segurana da

informao com nfase na norma ISO/IEC 27005:2008. Em seguida o estudo voltou-se a

literatura sobre a administrao pblica.

Terminada esta etapa, o trabalho foi direcionado caracterizao da administrao

pblicaem aspectos que subsidiem, de maneira geral, o processo de gesto de riscos.

Foram delineados os instrumentos para um mtodo de gesto de riscos para a APF numa

abordagem de alto nvel. Por fim, foi elaborado um exemplo de aplicao dos instrumentos

propostos em uma organizao fictcia.

5MARCONI, M. A., LAKATOS, E. M. Tcnicas de Pesquisa. So Paulo: Atlas, 2002.


13/77

7

3 REVISO DE LITERATURA E FUNDAMENTOS

3.1 Gesto de riscos: norma ISO/IEC 27005

A norma ISO/IEC 27005 fornece diretrizes e descreve um processo genrico para a

Gesto de Riscos de Segurana da Informao de uma organizao. O processo descrito pelanorma harmonicamente sincronizado com o ciclo de melhoria contnua PDCAutilizado

em um SGSI conforme a ISO/IEC 27001. Alm disso, o processo pode tambm ser usado de

forma independente, como por exemplo, para avaliaes de risco em um projeto. Isto permite

flexibilidade e pragmatismo que possibilita a utilizao do processo de GRSI emuma vasta

gama de circunstncias.

Segundo Herv Schauer6, a ISO/IEC 27005 o resultado de diversas outras normas e

mtodosconforme Figura 1.

Figura 1 Normas que influenciaram a criao daISO/IEC 27005.

6SCHAUER, H. ISO/CEI 27005 : la norme du consensus. Global Security Mag. N4, p. 52-55, Set. 2008


14/77

8

Desse modo, a ISO/IEC 27005 sofreu influncia da norma ISO 13335-3, que traz um

modelo de gesto de risco para a rea de tecnologia da informao(TI), desde 1992 com o

incio da normalizao da segurana em TI. O mtodo EBIOS (Expression des Besoins et

Identification des Objectifs de Scurit) criado pelo Ministrio da Defesa francs, contribuiu

com a idia da diviso do processo de avaliao de riscos de sistemas de informao em

atividades e sub-atividades com insumos de entrada, um trabalho a realizar e resultados a

obter. A norma AS/NZS 4360 apresentou um processo de gesto de risco cujas fases e tarefas

so parecidas com as adotadas pela ISO/IEC 27005. A British StandardBS 7799-3 possui

uma funo similar a da ISO/IEC 27005, j que a srie de normas BS 7799 foi a base das

normas da famlia 27000. Ainda, segundo Schauer a norma teria sofrido influncias de

diversas outras fontes que no puderam ser identificadas.

3.1.1 Conceitos

importante destacar o conceito de risco de segurana da informao e os seus

componentes, conforme descrito pela ISO/IEC 27005.

Riscos de segurana da informao: a possibilidade de uma determinada ameaa

explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira

prejudicando a organizao. medido em funo da combinao da probabilidade de um

evento e de sua conseqncia.7

Desse conceito possvel depreender quatro elementos que so fundamentais para o

processo de gesto de risco, quais sejam: ativo, ameaa vulnerabilidade eimpacto.

Ativo definido como qualquer coisa que tenha valor para a organizao8. A norma

ISO/IEC 27005 em seu Anexo B sugere a distino entre ativos primrios e ativos de suporte

e infra-estrutura.9Os ativos primrios seriam as informaes, os processos e as atividades de

negcio. Os ativos de suporte so aqueles sobre os quais oselementos primrios se apiam,

eles podem ser agrupados da seguinte maneira: hardware, software, rede, recursos humanos,

instalaes fsicas e estrutura da organizao.

7Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27005: Gesto de risco de segurana da informao.Rio de Janeiro, 2008. Grifo nosso.8Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27001:2006. Sistema de gesto de segurana da

informao requisitos. Rio de Janeiro, 2006.9Os anexos da norma ISO/IEC 27005 possuem valor informativo, logo as tipificaes de ativos, ameaas,

exemplos de vulnerabilidade e mtodos de anlise/avaliao de riscos so colocados como sugestes que podemser adaptadas a realidade de cada organizao.


15/77

9

Ameaa a causa potencial de um incidente indesejado, que pode resultar em dano para

um sistema ou organizao10. As ameaas podem ser de origem humana de natureza acidental

ou intencional ou, ainda, de origem ambiental. E podem ser tipificadas nas seguintes

categorias: dano fsico,eventos naturais, paralisao de servios essenciais, distrbio causado

por radiao, comprometimento da informao, falhas tcnicas, aes no autorizadas,

comprometimento de funes. Em relao sameaas intencionais a norma sugere que seja

dada ateno especial as especificidades da origem e motivaes dos agentes que representam

ameaa.

Vulnerabilidade afragilidade de um ativo ou grupo de ativos que pode ser explorada

por uma ou mais ameaas11. O Anexo D da ISO/IEC 27005 apresenta uma lista genrica de

exemplos de vulnerabilidades e de possveis ameaas que poderiam explor-las. A lista est

organizada segundo o tipo de ativo de suporte e infra-estrutura. Vale destacar que, conforme

colocado por Fernandes12

, para o caso de ativos tecnolgicos a lista possui pouca

aplicabilidade devido ao seu carter genrico. Para tal atividade se faz necessrio a utilizao

de mtodos, tcnicas e ferramentas especficas.

A norma utiliza as palavras: impacto e conseqncia para se referir aos danos causados a

organizao devido perda ou comprometimento de ativos. Em alguns momentos elas so

usadas como sinnimos, porm possvel delinear algumas diferenas.

A conseqnciaest relacionada a perdas operacionais relativas proteo de ativos.Asua determinao indica o valor operacional do ativo para a organizao. As conseqncias

so avaliadas em funo da perda da confidencialidade, integridade e disponibilidade dos

ativos supostamente afetados. Alm desses critrios, segundo a ISO/IEC 27005, devem ser

considerados para a determinao das conseqncias operacionais a investigao e tempo de

reparo, o tempo de trabalho perdido, as oportunidades perdidas, sade e segurana, custo

financeiro das competncias especficas necessrias para reparar o prejuzo, imagem e

reputao da organizao.

10Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27002: Cdigo de Prtica para a gesto da

segurana da informao. Rio de Janeiro, 2005.11

Ibid.12

FERNANDES, J. H. C. Introduo Gesto de Riscos de Segurana da Informao. 75 f. Texto desenvolvidopara suporte das atividades de Ensino do Programa de Pesquisas e Formao de Especialistas. Universidade deBraslia (UnB), Braslia, 2009.


16/77

10

O impacto definido como uma mudana adversa no nvel obtido dos objetivos de

negcios13. Assim, quando se fala em impacto o dano causado por um incidente de segurana

observado de um modo mais abrangente em relao ao negcio da organizao como um

todo. Conforme o Anexo B.3 da norma, o impacto pode ser direto: (i) valor financeiro de

reposio do ativo perdido; (ii) custo de aquisio, configurao e instalao do novo ativo ou

do back-up; (iii) custo das operaes suspensas devido ao incidente at que o servio prestado

pelos ativos afetados seja restaurado; (iv) conseqncias resultantes de violaes dasegurana

da informao; e indireto: (i) custo de oportunidade; (ii) custo das operaes interrompidas;

(iii) mau uso das informaes obtidas atravs da violao da segurana; (iv) violao de

obrigaes estatutrias ou regulatrias; (v) violao dos cdigos ticos de conduta.

A seguir destacam-se outros conceitos pertinentes gesto de risco de segurana da

informao. A Figura 2 apresenta um mapa que permite visualizar a relao entre os conceitosfundamentais da gesto de risco.14

Evento de segurana da informao: uma ocorrncia identificada de um estado de

sistema, servio ou rede, indicando uma possvel violao da poltica de segurana da

informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser

relevante para a segurana da informao.15

Risco residual:risco remanescente aps o tratamento de riscos.16

Aceitao do risco:deciso de aceitar um risco.17

Avaliao de riscos: processo de comparar o risco estimado com critrios de risco

predefinidos para determinar a importncia do risco.18

Tratamento do risco: processo de seleo e implementao de medidas para modificar

um risco.19

Ao de evitar o risco: deciso de no se envolver ou agir de forma a se retirar de uma

situao de risco.20

13Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27005: Gesto de risco de segurana dainformao. Rio de Janeiro, 2008.14FERNANDES, J. H. C. Op. Cit.15

Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27001:2006. Sistema de gesto de segurana dainformao requisitos. Rio de Janeiro, 2006.16

Ibid.17

Ibid.18

Ibid.19Ibid.


17/77

11

Comunicao do risco: troca ou compartilhamento de informao sobre o risco entre o

tomador de deciso e outras partes interessadas.21

Estimativa de riscos: processo utilizado para atribuir valores probabilidade e

conseqncias de um risco.22

Identificao de riscos: processo para localizar, listar e caracterizar elementos do risco.23

Reduo do risco: aes tomadas para reduzir a probabilidade, as conseqncias

negativas, ou ambas, associadas a um risco.24

Reteno do risco: aceitao do nus da perda ou do benefcio do ganho associado a um

determinado risco.25

Transferncia do risco: compartilhamento com outra entidade do nus da perda ou do

benefcio do ganho associado a um risco.26

No que tange a reteno e transferncia do risco, somente conseqncias negativas

(perdas) so consideradas.

20Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27005: Gesto de risco de segurana da

informao. Rio de Janeiro, 2008.21

Ibid.22

Ibid.23

Ibid.24

Ibid.25

Ibid.26Ibid.


18/77

12

Figura 2 Um mapa de conceitos sobre risco de segurana da informao.27

3.1.2 O processo de gesto de riscos

A norma ISO/IEC 27005 contm a descrio e as diretrizes do processo de gesto de

risco de segurana da informao e das suas atividades. A Figura 3 um esquema do

encadeamento das atividades do processo de gesto de risco.

O processo de gesto de risco comea com a definio do contexto. Em seguida feita a

anlise/avaliao de riscos, em que os riscos so identificados, estimados e avaliados segundo

critrios definidos no momento do estabelecimento do contexto. Finda est fase h o primeiro

ponto de deciso onde verificado se a avaliao foi satisfatria ou no, caso no seja, o

processo repetido. Vale destacar que a segunda iterao para os riscos que precisam ser

detalhados, logo, o contexto da segunda iterao mais especfico que o da primeira. Se a

avaliao for considerada satisfatria passa-se ao tratamento do risco, etapa onde os riscospodem ser reduzidos, retidos, evitados ou transferidos. possvel que o risco residual que

resulta do tratamento no seja aceitvel para a organizao, da faz-se necessria outra

iterao de anlise/avaliao de riscos.

27FERNANDES, J. H. C. Op. Cit.


19/77

13

Figura 3 Viso geral do processo de gesto de risco segundo a norma ISO/IEC 27005.

A aceitao do risco importante porque os gestores da organizao registram

formalmente a aceitao do risco residual. A comunicao do risco deve serfeita durante todo

o processo porque informaes sobre os riscos e modo como sero tratados podem ser teis

para os gestores e para reas operacionais no gerenciamento de algum incidente. O

monitoramento cotidiano e a anlise crtica so necessrios para assegurar que o contexto, o

resultado da anlise/avaliao de riscos e do tratamento do risco, assim como os planos de

gesto, permaneam relevantes e adequados s circunstncias.

As atividades do processo de gesto de risco de segurana da informao, conforme

apresentadas acima, so as seguintes: definio do contexto, anlise/avaliao de riscos,


20/77


21/77

15

financeiro; (v) interrupo de planos e o no cumprimento de prazos; (vi) dano

reputao; (vii) violaes de requisitos legais, regulatrios ou contratuais.29

! Critrios para a aceitao do risco: estabelece uma escala de nveis de aceitao dorisco, normalmente, depende das polticas, metas e objetivos da organizao, assimcomo dos interesses das partes interessadas. Segundo a norma, os critrios para a

aceitao do risco podem possuir limites diversos, em que riscos acima do patamar

estabelecido podem ser aceitos sob circunstncias definidas. Alm disso, diferentes

critrios podem ser aplicados a diferentes classes de risco, podem incluir requisitos

para um tratamento adicional futuro, e podem ser diferenciados de acordo com o

tempo de existncia previsto do risco. A norma ressalta, ainda, que devem ser

considerados no estabelecimento desses critrios os seguintes itens: (i) critrios de

negcio; (ii) aspectos legais e regulatrios; (iii) operaes; (iv) tecnologia; (v)

finanas; e (vi) fatores sociais e humanitrios.

3.1.3.2 Definio do escopo e limites

O escopo e o limite do processo de gesto de risco definem a abrangncia do processo

sobre os ativos da organizao. importante que sejam reunidas informaes sobre a

organizao, e que sejam consideradas as seguintes informaes: (i) objetivos estratgicos,

polticas e estratgias da organizao; (ii) processos de negcio; (iii) funes e estrutura da

organizao; (iv) requisitos legais, regulatrios e contratuais aplicveis organizao; (v)

poltica de segurana da informao da organizao; (vi) abordagem da organizao gesto

de riscos; (vi) ativos de informao; (vii) localidades em que a organizao se encontra e suas

caractersticas geogrficas; (viii) restries que afetam a organizao; (ix) expectativas das

partes interessadas; (x) ambiente sociocultural; e (xi) interfaces, ou seja, a troca de informao

com o ambiente.

3.1.3.3 Organizao para gesto de riscos

Um grupo ou frao da organizao deve ser estabelecido e mantido para executar o

processo de gesto de risco. Conforme a ISO/IEC 27005, os papis e responsabilidades desse

grupo so: (i) desenvolvimento do processo de gesto de riscos de segurana da informao

adequado organizao; (ii) identificao e anlise das partes interessadas; (iii) definio dos

29Ibid.


22/77

16

papis e responsabilidades de todas as partes, internas e externas organizao; (iv)

estabelecimento das relaes necessrias entre a organizao e as partes interessadas, das

interfaces com as funes de alto nvel de gesto de riscos da organizao , assim como das

interfaces com outros projetos ou atividades relevantes; (v) definio de aladas para a

tomada de decises; e (vi) especificao dos registros a serem mantidos.

3.1.4 Anlise/avaliao de riscos

A anlise/avaliao de riscos identifica, quantifica ou descreve qualitativamente os riscos,

o que capacita os gestores a prioriz-los de acordo com a sua gravidade e com os critrios

estabelecidos na definio do contexto. Tem como entrada os critrios bsicos, o escopo e os

limites, e a organizao do processo de gesto de riscos, e como sada uma lista de riscos

avaliados, ordenados por prioridade de acordo com os critrios de avaliao deriscos.

Segundo a ISO/IEC 27005 a anlise/avaliao de riscos executada freqentemente em

duas ou mais iteraes. A primeira seria uma avaliao de alto nvel que identifica os riscos

com potencial de alto impacto. Esses riscos so avaliados com maior profundidade em uma

segunda iterao. Caso ainda no seja possvel avaliar o risco de maneira satisfatria, anlises

detalhadas precisaro ser executadas, provavelmente em apenas partes do escopo e

possivelmente usando outro mtodo.

A anlise/avaliao de riscos desenvolve duas atividades: anlise de risco, que se divide

em identificao e estimativa de riscos; e avaliao de riscos.

3.1.4.1 Anlise de riscos

3.1.4.1.1 Identificao de riscos

O objetivo identificar os elementos constituintes do risco, determinando os eventos que

possam causar uma perda potencial a organizao. As atividades desenvolvidas so as

seguintes: (i) identificao de ativos; (ii) identificao de ameaas; (iii) identificao decontroles; (iv) identificao de vulnerabilidades; e (v) identificao de conseqncias. As

informaes coletadas servem de entrada para a estimativa de riscos.30

30Ibid.


23/77

17

! Identificao de ativos: essa atividade visa identificar os ativos dentro do escopo queprecisa ter os seus riscos gerenciados. Recebe como entrada: o escopo e limites para a

anlise/avaliao de riscos, e uma lista de preliminar dos ativos com os respectivos

responsveis, localidade, funo e outras caractersticas dos ativos; e como sada: uma

lista de ativos cujos riscos precisam ser controlados, e uma lista de processos do

negcio relacionados aos ativos e suas relevncias.31

A identificao dos ativos, de acordo com a norma, deve ser executada com um

detalhamento adequado que fornea informaes suficientes para as etapas seguintes

do processo. O detalhamento pode ser aprofundado a cada iterao da

anlise/avaliao de riscos.

Para cada ativo importante que seja identificado um responsvel, o qual pode no

possuir a propriedade do ativo, mas tem responsabilidade sobre sua produo,

desenvolvimento, manuteno, utilizao e segurana. O responsvel pelo ativo

freqentemente a pessoa mais adequada para determinar o valor do mesmo para a

organizao.32

! Identificao de ameaas: recebe como entrada: informaes sobre ameaas obtidasa partir da anlise crtica de incidentes, dos responsveis pelos ativos, de usurios e de

outras fontes, incluindo catlogos externos de ameaas; e como sada: uma lista de

ameaas com a identificao do tipo e da fonte das ameaas.33

Conforme a ISO/IEC 27005, uma ameaa tem o potencial de comprometer ativos e

pode provocar impactos diferentes, dependendo de quais ativos so afetados. Alm

disso, podem ser de origem natural ou humana, podem ser acidentais ou intencionais e

podem surgir de dentro ou de fora da organizao. As fontes das ameaas acidentais e

das intencionais devem ser identificadas. As ameaas podem ser identificadas

genericamente e por classe (por exemplo: aes no autorizadas, comprometimento da

informao, falhas tcnicas) e, em situaes especficas, elas podem ser detalhadas.

31Ibid.

32Ibid.

33Ibid.


24/77

18

! Identificao dos controles existentes: recebe como entrada a documentao doscontroles e o plano de tratamento de risco, e como sada uma lista de todos os

controles existentes e planejados, sua implementao estatusde utilizao.34

Conforme a ISO/IEC 27005 a identificao dos controles evita custos e trabalhodesnecessrios. Um controle que no funcione como esperado pode provocar o

surgimento de vulnerabilidades, por isso importante medir a eficcia dos controles.

Uma maneira para estimar o efeito do controle ver o quanto ele reduz a

probabilidade da ameaa, a facilidade de explorao de uma vulnerabilidade ou o

impacto do incidente.

Os controles podem ser considerados ineficazes, insuficientes ou no-justificados. Os

controles insuficientes ou no-justificados devem ser avaliados para determinar se

convm que o mesmo seja removido, substitudo por outro mais adequado ou se deve

permanecer.

As atividades de identificao dos controles so as seguintes: (i) reviso da

documentao dos controles existentes ou planejados; (ii) verificar com os gestores de

segurana e com os usurios quais controles, relacionados ao escopo, esto realmente

implementados; (iii) revisar, no local, os controles fsicos, comparando os controles

implementados com a lista de quais deveriam estar presentes, e verificar se aqueles

implementados esto funcionando efetivamente; (iv) analisar criticamente osresultados de auditorias internas.

35

! Identificao das vulnerabilidades: recebe como entrada: (i) uma lista de ameaasconhecidas; (ii) listas de ativos; e (iii) uma lista de controles existentes; e como sa da:

(i) uma lista de vulnerabilidades associadas aos ativos, s ameaas e aos controles; e

(ii) uma lista de vulnerabilidades que no se refere a nenhuma ameaa identificada

para anlise.36

As vulnerabilidades, segundo a norma, podem ser identificadas nas seguintes reas: (i)

organizao; (ii) processos e procedimentos; (iii) rotinas de gesto; (iv) recursos

humanos; (v) ambiente fsico; (vi) configurao do sistema de informao; (vii)

34Ibid.

35Ibid.

36Ibid.


25/77


26/77

20

3.1.4.1.2 Estimativa de riscos

A estimativa de riscos visa mensurar a conseqncia ou impacto dos cenrios de

incidente e estimar a sua probabilidade. As atividades que realiza so as seguintes: (i)

avaliao das conseqncias; (ii) avaliao da probabilidade dos incidentes; (iii) estimativa donvel de risco.

! Metodologias para a estimativa de riscos: a estimativa de risco pode ser realizadaem diversos graus de detalhamento, j que a anlise/avaliao de riscos normalmente

feita em pelo menos duas iteraes do processo.A primeira iterao seria de alto nvel

com o objetivo de identificar os grandes riscos que a organizao est exposta e para

tanto utilizaria um mtodo qualitativo. Uma segunda iterao mais detalhada utilizaria

mtodos quantitativos para estimar os riscos considerados mais graves pela

organizao.

Os mtodos de estimativa qualitativa utilizam uma escala de palavras que

qualificam ou que descrevem a gravidade das conseqncias identificadas, como por

exemplo, pequeno, mdio e grande, e a probabilidade das ameaas ocorrerem. Um

mtodo qualitativo de fcil compreenso por qualquer pessoa e pouco oneroso,

porm a dependncia escolha subjetiva da escala uma desvantagem. Conforme a

ISO/IEC 27005, a estimativa qualitativa pode ser utilizada: (i) como uma verificao

inicial a fim de identificar riscos que exigiro uma anlise mais detalhada; (ii) quandoesse tipo de anlise suficiente para a tomada de decises; e (iii) quando os dados

numricos ou recursos so insuficientes para uma estimativa quantitativa.

Os mtodos de estimativa quantitativosutilizam escalas com valores numricos para

definir as conseqncias e a probabilidade. Utilizam, na maioria dos casos, dados

histricos de incidentes que podem ser relacionados aos objetivos e interesses da

organizao, porm a falta desses dados principalmente sobre novos riscos inviabiliza

a sua utilizao. Uma desvantagem da abordagem quantitativa ocorre quando dados

factuais e auditveis no esto disponveis. Nesse caso, a exatido da anlise/avaliao

de riscos e os valores associados tornam-se ilusrios. Por isso, a incerteza e a

variabilidade das conseqncias e da probabilidade devem ser consideradas na anlise

e comunicadas de forma eficaz.40

40Ibid.


27/77

21

! Avaliao das conseqncias: o objetivo avaliar o impacto sobre o negcio daorganizao, que pode ser causado por incidentes de segurana da informao. Recebe

como entrada uma lista de cenrios de incidentes identificados como relevantes,

incluindo a identificao de ameaas, vulnerabilidades, ativos afetados e

conseqncias para os ativos e processos do negcio. A sada uma lista de

conseqncias avaliadas referentes aos cenrios de incidentes, relacionadas aos ativos

e critrios de impacto, conforme definido no contexto.41

O valor dos ativos presentes no escopo deve ser considerado, de acordo com a

ISO/IEC 27005, para avaliar as possveis perdas que a organizao est sujeita. Os

ativos so valorados segundo a sua criticidade, isto , em relao ao seu custo de

reposio e as conseqncias ao negcio relacionadas perda ou ao comprometimento

do ativo. Essa valorao pode ser determinada a partir deuma anlise de impacto nonegcio BIA (Business Impact Analysis).

Vale destacar que um incidente pode afetar mais de um ativo ou somente parte de um

ativo. Alm disso, a criao de modelos com os resultados de um evento ou um

conjunto de eventos a partir de estudos experimentais ou dados passados contribuem

para determinar a extenso dos danos causados por um cenrio de incidente e a relao

de dependncia entre os ativos. As conseqncias podem ser expressas em funo dos

critrios monetrios, tcnicos ou humanos, de impacto ou de outro critrio relevante

para a organizao.42

! Avaliao da probabilidade dos incidentes: recebe como entrada: (i) uma lista decenrios de incidentes identificados como relevantes, incluindo a identificao de

ameaas, ativos afetados, vulnerabilidades exploradas e conseqncias para os ativos e

processos do negcio; e (ii) listas com todos os controles existentes e planejados, sua

eficcia, implementao e status de utilizao. A sada a probabilidade dos cenrios

de incidentes, utilizando um mtodo quantitativo ou qualitativo.43

importante observar a freqncia da ocorrncia das ameaas e a facilidade com que

as vulnerabilidades podem ser exploradas, considerando o seguinte: (i) a experincia

passadas e estatsticas aplicveis referentes probabilidade da ameaa; (ii) a

41Ibid.

42Ibid.

43Ibid.


28/77

22

motivao e as competncias, que mudam ao longo do tempo, os recursos disponveis

para possveis atacantes, bem como a percepo da vulnerabilidade e o poder da

atrao dos ativos para um possvel atacante, no caso de ameaas intencionais; (iii)

fatores geogrficos, a possibilidade de eventos climticos extremos e fatores que

poderiam acarretar erros humanos e o mau funcionamento de equipamentos, no caso

de ameaas acidentais; (iv) vulnerabilidades, tanto individualmente como em

conjunto; e (v) os controles existentes e a eficcia com que eles reduzem as

vulnerabilidades.44

! Estimativa do nvel de risco: o objetivo estimar o nvel de riscos de todos cenriosde incidentes considerados relevantes. Recebe como entrada uma lista de cenrios de

incidentes com suas conseqncias associadas aos ativos, processos de negcio e suas

probabilidades. A sada uma lista de riscos com nveis de valores designados.45

Segundo a ISO/IEC 27005, o risco estimado por meio da combinao entre a

probabilidade de um cenrio de incidente e suas conseqncias. Desse modo, so

designados valores, de natureza quantitativa ou qualitativa, para a probabilidade e para

as conseqncias de um risco. Por conseguinte, o nvel de risco dos cenrios de

incidentes determinado. Alm disso, a estimativa de risco pode considerar o custo-

benefcio, as preocupaes das partes interessadas e outras variveis, conforme

apropriado para a avaliao de riscos.

3.1.4.2 Avaliao de riscos

A avaliao de riscos visa comparar o nvel de riscos dos cenrios de incidentes

encontrados com os critrios de avaliao de riscos e com os critrios para a aceitao do

risco. As entradas da atividade so (i) uma lista de riscos com nveis de valores designados e

(ii) critrios para a avaliao de riscos.A sada uma lista de riscos ordenados por prioridade,

de acordo com os critrios de avaliao de riscos,e associados aos cenrios de incidentes que

os provocam.

46

Os riscos estimados so avaliados por meio dos critrios de avaliao de riscos e dos

critrios para a aceitao do risco estabelecidos durante a definio do contexto. Neste estgio

44Ibid.

45Ibid.

46Ibid.


29/77

23

o contexto deve ser revisado detalhadamente em que se conhece mais sobre os riscos

identificados. Alm disso, os critrios de avaliao de riscos devem ser consistentes com o

contexto interno e externo da organizaoe devem considerar os objetivos da organizao e o

ponto de vista das partes interessadas. Vale destacar que a agregao de mltiplos riscos

pequenos e mdios pode resultar em um risco significativo que precisar ser tratado

adequadamente.47

Segundo a ISO/IEC 27005 os seguintes itens devem ser considerados:

! As propriedades da segurana da informao (confidencialidade, integridade edisponibilidade). Caso um critrio no seja importante para a organizao, logo, todos

os riscos que provocam esse tipo de impacto podem ser considerados irrelevantes.

! A importncia do processo de negcios ou da atividade suportada por um determinadoativo ou conjunto de ativos. Os riscos associados a processos julgados de baixa

importncia devem ser menos considerados que os associados a processos mais

importantes.

Com a avaliao de riscos a etapa de anlise/avaliao de riscos termina, caso os

resultados tenham sido insatisfatriosdeve-se retornar ao estabelecimento do contexto, caso a

avaliao tenha sido satisfatria passa-se ao tratamento do risco.

3.1.5 Tratamento do risco

O tratamento do risco visa selecionar controles para reduzir, reter, evitar ou transferir os

riscos e definir um plano de tratamento do risco Recebe como entrada uma lista de riscos

ordenados por prioridade e associados aos cenrios de incidentes que os provocam, e como

sada o plano de tratamento do risco e os riscos residuais, sujeitos deciso de aceitao por

parte dos gestores da organizao.48 A Figura 4 ilustra a atividade de tratamento de risco

dentro do processo de gesto de risco de segurana da informao.

Conforme a ISO/IEC 27005, as opes do tratamento do risco so selecionadasconsiderando o resultado da anlise/avaliao de riscos, o custo esperado para implementao

dessas opes e os benefcios previstos. Porm os riscos improvveis e de impacto severo

podem exigir controles que no so justificveis do ponto de vista estritamente econmico,

47Ibid.

48Ibid.


30/77

24

como por exemplo, controles de continuidade de negcios. Alm disso, as quatro opes para

o tratamento do risco no so mutuamente excludentes, pode haver combinaes entre elas de

modo a beneficiar a organizao.

O plano de tratamento do risco deve identificar claramente a ordem de prioridade em que

as formas de tratamento do risco sejam implementadas, assim como os seus prazos de

execuo. Algumas formas de tratamento do risco podem lidar com mais de um risco de

forma efetiva, por exemplo, o treinamento e a conscientizao emsegurana.

Aps a definio do plano de tratamento do risco, os riscos residuais precisam ser

determinados. Para isso, ocorre uma repetio da anlise/avaliao de riscos, considerando os

efeitos previstos do tratamento do risco que foi proposto. Caso o risco residual ainda no

satisfaa os critrios para a aceitao do risco da organizao, uma nova iterao do

tratamento do risco pode ser necessria antes de se prosseguir aceitao do risco. 49A seguir

as opes de tratamento do risco so detalhadas.

Figura 4 A atividade de tratamento do risco segundo a norma ISO/IEC 27005.

49Ibid.


31/77

25

! Reduo do risco: consiste na tomada de aes para reduzir a probabilidade, asconseqncias negativas, ou ambas, associadas a um risco.Nesse caso o nvel de risco

reduzido atravs da seleo de controles, para que o risco residual possa ser

reavaliado e ento considerado aceitvel.50

No mbito de um sistema de gesto da segurana da informao em que a gesto de

risco estinserida, a seleo de controles para reduo do riscose d dentre as opes

oferecidas pela norma ISO/IEC 27002 Cdigo de prtica para a gesto da segurana

da informao.

A escolha dos controles, de acordo com a ISO/IEC 27005, deve considerar: (i)

critrios para a aceitao do risco; (ii) requisitos legais, regulatrios e contratuais; (iii)

custos e prazos para a aquisio, implementao, administrao, operao,

monitoramento e manuteno dos controles em relao ao valor dos ativos sendo

protegidos; (iv) o retorno do investimento em segurana, na forma da reduo do risco

e da possibilidade de se explorar novas oportunidades de negcio em funo da

existncia de certos controles; (v) aspectos tcnicos, culturais e ambientais; (vi)

competncias especializadas que possam ser necessrias para definir e implementar

novos controles ou modificar os existentes. Vale ressaltar que os controles podem

fornecer os seguintes tipos de proteo: correo, eliminao, preveno, minimizao

do impacto, dissuaso, deteco, recuperao, monitoramento e conscientizao.

Um controle pode afetar o desempenho de um sistema ou processos de uma

organizao. Por isso importante que uma soluo que satisfaa os requisitos de

desempenho e que possa, ao mesmo tempo, garantir um nvel suficiente de segurana

da informao seja encontrada.51

A norma destaca a necessidade de considerar restries que podem afetar a seleo de

controles, as quais podem ser da seguinte natureza: temporais, financeiras, tcnicas,

operacionais, culturais, ticas, ambientais, legais, facilidade de uso, restries de

recursos humanos e restries ligadas integrao dos controles novos aos j

existentes.

50Ibid.

51Ibid.


32/77


33/77

27

3.1.6 Aceitao do risco

A aceitao do risco a formalizao pela autoridade competente da deciso de aceitar o

risco. Recebe como entrada: o plano de tratamento do risco e a anlise/avaliao do risco

residual sujeito deciso dos gestores da organizao relativa aceitao do mesmo. A sadada atividade uma lista de riscos aceitos, incluindo uma justificativa para aqueles que no

satisfaam os critrios normais para aceitao do risco.55

Os gestores da organizao devem analisar o plano de tratamento de risco e os riscos

residuais e, no caso de aprovao dos mesmos, as condies associadas aprovao devem

ser registradas.

Conforme a ISO/IEC 27005, os critrios para a aceitao do risco podem ser mais

complexos do que a verificao se o risco residual est acima ou abaixo do limite

determinado pela organizao. possvel que o nvel de risco residual no satisfaa os

critrios para a aceitao do risco aplicados no momento. Em algum destes casos os gestores

podem aceitar o risco desce que a deciso seja formalizada e comente explicitamente sobre o

risco e inclua uma justificativa para ultrapassar os critrios normais para a aceitao do risco.

3.1.7 Comunicao do risco

A comunicao do risco preconiza o compartilhamento contnuo das informaes

referentes aos riscos entre as partes interessadas durante todo o processo de gesto de risco.Recebe como entrada todas as informaes sobre os riscos obtidas atravs das atividades de

gesto de riscos. A sada da atividade o entendimento contnuo do processo de gesto de

riscos de segurana da informao da organizao e dos resultados obtidos.56

A comunicao do risco uma atividade bidirecional, em que se busca o consenso entre

os tomadores de deciso e as partes interessadas sobre como os riscos devem ser gerenciados.

Entretanto, a percepo do risco varia devido a diferenas de suposies, conceitos,

necessidades, interesses e preocupaes das partes interessadas quando lidam com o risco.

importante que a sua percepo do risco, as razes subjacentes e a sua percepo dos

benefcios sejam claramente entendidas, consideradas e documentadas. Alm disso, a

comunicao eficaz impacta significativamente sobre a tomada de deciso, j que ela

55Ibid.

56Ibid.


34/77

28

assegurar que todos tenham um bom entendimento do por que as decises so tomadas e dos

motivos que tornam certas aes necessrias.57

As informaes que devem ser compartilhadas, conforme a ISO/IEC 27005, incluem,

dentre outros fatores, a existnciado risco, sua natureza, forma, probabilidade, severidade,tratamento e aceitabilidade.

A norma aponta que a comunicao do risco realizada com a finalidade de: (i) fornecer

garantia do resultado da gesto de riscos da organizao; (ii) coletar informaes sobre os

riscos; (iii) compartilhar os resultados da anlise/avaliao de riscos e apresentar o plano de

tratamento do risco; (iv) evitar ou reduzir tanto a ocorrncia quanto as conseqncias das

violaes da segurana da informao que aconteam devido falta de entendimento mtuo

entre os tomadores de deciso e as partes interessadas; (v) dar suporte ao processo decisrio;

(vi) obter novo conhecimento sobre a segurana da informao; (vii) coordenar com outras

partes e planejar respostas para reduzir as conseqncias de um incidente; (viii) dar aos

tomadores de deciso e as partes interessadas um senso de responsabilidade sobre riscos; e

(ix) melhorar a conscientizao.

3.1.8 Monitoramento e anlise crtica de riscos

O monitoramento e anlise crtica de riscos um conjunto de atividade continuamente

executo que visa monitorar as mudanas no contexto, nos componentes do risco e aprimorar o

processo de gesto de risco.Dividi-se em duas atividades: (i) monitoramento e anlise crtica

dos fatores de risco, e (ii) monitoramento, anlise crtica e melhoria do processo de gesto de

risco.

! Monitoramento e anlise crtica dos fatores de risco: os componentes do risco, isto, valor dos ativos, impactos, ameaas, vulnerabilidades, probabilidade de ocorrncia,

devem ser monitorados a analisados criticamente para detectar qualquer mudana no

contexto da organizao. Recebe como entrada todas as informaes sobre os riscos

obtidas atravs das atividades de gesto de riscos. A sada da atividade o

alinhamento contnuo dagesto de riscos com os objetivos de negcios da organizao

e com os critrios para a aceitao do risco.58

57Ibid.

58Ibid.


35/77

29

Os riscos no so estticos, os seus componentes podem mudar repentinamente, sem

qualquer indicao, da a importncia do monitoramentoe anlise crtica. Segundo a

norma os seguintes itens devem ser monitorados: (i) novos ativos que tenham sido

includos no escopo da gesto de riscos; (ii) modificaes necessrias dos valores dos

ativos; (iii) novas ameaas que podem estar ativas tanto fora quanto dentro da

organizao; (iv) o surgimento de vulnerabilidades novas ou as que j identificadas se

ampliem devido s novas ameaas; (v) as conseqncias ou o impacto ampliado de

ameaas, vulnerabilidades e riscos avaliados em conjunto; e (vi) incidentes

relacionados segurana da informao.

! Monitoramento, anlise crtica e melhoria do processo de gesto de risco: oprocesso de gesto de riscos deve ser continuamente monitorado, analisado

criticamente e melhorado. Recebe como entrada: todas as informaes sobre os riscos

obtidos atravs das atividades de gesto de riscos, e como sados: a garantia

permanente da relevncia do processo de gesto de riscos de segurana da informao

para os objetivos de negcios da organizao ou a atualizao do processo.59

As atividades e os resultados do processo de gesto de risco devem ser acompanhados

para verificar se permanecem apropriados as circunstncias da organizao. As

melhorias devem ser comunicadas aos gestores apropriados, para aumentar a garantia

de que os riscos foram corretamente considerados e para garantir uma compreenso

realista do risco e da capacidade de reao. Alm disso, os critrios utilizados para

mensurar o risco devem ser avaliados se continuam vlidos e coerentes com as

necessidades da organizao.60

A atividade de monitoramento e anlise crtica, de acordo com a ISO/IEC 27005, deve

acompanhar as mudanas nos seguintes aspectos: (i) contexto legal e do ambiente; (ii)

contexto da concorrncia; (iii) mtodo de anlise/avaliao de riscos; (iv) valor e as

categorias dos ativos; (v) critrios de impacto; (vi) critrios para a avaliao de riscos;

(vii) critrios para a aceitao do risco; (viii) custo total de propriedade; e (ix) recursosnecessrios.

O monitoramento da gesto de riscos pode resultar em modificao ou acrscimo da

abordagem, metodologia ou ferramentas utilizadas, dependendo: (i) das mudanas

59Ibid.

60Ibid.


36/77

30

identificadas; (ii) da iterao da anlise/avaliao de riscos; (iii) do objetivo do

processo de gesto de riscos de segurana da informao; e (iv) do objeto de interesse

do processo de gesto de riscos de segurana da informao.61

3.2 Administrao pblica

Segundo Hely Lopes Meirelles62 a administrao pblica, em sentido formal, o

conjunto de rgos institudos para consecuo dos objetivos do Governo; em sentido

material, o conjunto das funes necessrias aos servios pblicos em geral; em acepo

operacional, o desempenho perene e sistemtico, legal e tcnico, dos servios prprios do

Estado ou por ele assumidos em beneficio da coletividade. Numa viso global, a

Administrao , pois, todo o aparelhamento do Estado preordenado realizao de seus

servios, visando satisfao das necessidades coletivas. AAdministrao no pratica atos degoverno; pratica, to-somente, atos de execuo, com maiorou menor autonomia funcional,

segundo a competncia do rgo e de seus agentes.

Em sentido material ou objetivo, conforme Maria Sylvia Zanella Di Pietro63

, a

administrao pblica abrangeas seguintes atividades o fomento, a polcia administrativae

o servio pblico.

O fomento abrange a atividade administrativa de incentivo a iniciativa privada de

utilidade pblica. So exemplos de fomento auxlios financeiros ou subvenes,financiamentos sob condies especiais, favores fiscais, desapropriaes e a interveno. Esta

ltima compreende a regulamentao e fiscalizao da atividade econmica de natureza

privada, bem como a atuao direta do Estado no domnio econmico, o que se d

normalmente por meio das empresas estatais.

A polcia administrativa compreende toda atividade de execuo das limitaes

administrativas, que so restries impostas por lei ao exerccio de direitos individuais em

benefcio do interesse coletivo. Compreende medidas de polcia, como ordens, notificaes,

licenas, autorizaes, fiscalizao e sanes.

61Ibid.

62MEIRELLES, H. L. Direito Administrativo Brasileiro. So Paulo: Malheiros, 2005.

63DI PIETRO, M. S. Z. Direito Administrativo. So Paulo: Atlas, 2006.


37/77

31

Servio pblico toda atividade que a Administrao Pblica executa, direta ou

indiretamente, para satisfazer necessidade coletiva. Quanto ao objeto, os servios pblicos

podem ser classificados como administrativos, comerciais ou industriais e sociais64

.

! Os servios administrativosso os que a Administrao Pblica executa paraatender s suas necessidades internas ou preparar outros servios que sero

prestados ao pblico, tais como os da imprensa oficial, das estaes

experimentais e outros dessa natureza65.

! Servio pblico comercial ou industrial aquele que a Administrao Pblicaexecuta, direta ou indiretamente, para atender s necessidades coletivas de ordem

econmica. o caso dos servios de transportes, energia eltrica,

telecomunicaes e outros. Esses servios no se confundem com a atividade

econmica que s pode ser prestada pelo Estado em carter suplementar da

iniciativa privada, os quais so considerados como atividade de fomento.

! Servio pblico social o que atendea necessidades coletivas em que a atuaodo Estado essencial, mas que convivem com a iniciativa privada, tal como

ocorre com os servios de sade, educao, previdncia, cultura, meio ambiente;

rgos pblicos so centros de competncia institudos para o desempenho de funes

estatais, atravs de seus agentes, cuja atuao imputada pessoa jurdica a quepertencem.

So unidades de ao com atribuies especificas na organizao estatal. Cada rgo,como

centro de competncia governamental ou administrativa, tem necessariamente funes, cargos

e agentes, mas distinto desses elementos, que podem ser modificados, substitudos ou

retirados sem supresso da unidade orgnica. Isto explica por que a alterao de funes, ou a

vacncia doscargos, ou a mudana de seus titulares no acarreta a extino do rgo.

Os rgos integram a estrutura do Estado e das demais pessoas jurdicas como partes

desses corpos vivos, dotados de vontade e capazes de exercer direitos e obrigaes para a

consecuo de seus fins institucionais. Por isso mesmo, os rgos no tm personalidade

jurdica nem vontade prpria, que so atributos do corpo e no das partes, mas na reade suas

atribuies e nos limites de sua competncia funcional expressam a vontade da entidade aque

pertencem e a vinculam por seus atos, manifestados atravs de seus agentes (pessoas fsicas).

64Ibid.

65MEIRELLES, op. cit.


38/77

32

A natureza da administrao pblica a de um mnus pblico para quem aexerce, isto ,

a de um encargo de defesa, conservao e aprimoramento dos bens, servios einteresses da

coletividade. Como tal, impe-se ao administrador pblico a obrigao de cumprirfielmente

os preceitos do Direito e da moral administrativa que regem a sua atuao. Ao ser investido

em funo ou cargo pblico, todo agente do poder assume para com a coletividade o

compromisso de bem servi-la, porque outro no o desejo do povo, como legitimo

destinatrio dos bens, servios einteresses administrados pelo Estado.

Os fins da administrao pblica resumem-se num nico objetivo: o bem comum da

coletividade administrada. Toda atividade do administrador pblico deve ser orientada para

esse objetivo. Se dele o administrador se afasta ou desvia, trai o mandato de que est

investido, porque a comunidade no institui a administrao sendo como meio de atingir o

bem-estar social. Ilcito e imoral ser todo ato administrativo que no for praticado nointeresse da coletividade.

3.2.1 Princpios da administrao pblica

Conforme Meirelles66

, os princpios bsicos da administrao pblica esto

consubstanciados em regras de observncia permanente e obrigatria: legalidade,moralidade,

impessoalidade e publicidade, eficincia, razoabilidade, proporcionalidade, ampla defesa,

contraditrio, segurana jurdica, motivao e supremacia do interesse pblico. Di Pietro

ainda acrescenta, dentre outros, o princpio da continuidade do servio pblico. Por esses

padres que se pautam todos os atos administrativos. Constituem os fundamentos da ao

administrativa, so os sustentculos da atividade pblica. Seroabordados em mais detalhes

alguns desses princpios.

A legalidade, como principio de administrao, significa que o administrador pblico

est sujeito aos mandamentos da lei e s exigncias do bem comum, e deles no se pode

afastar ou desviar, sob pena de praticar ato invlido e expor-se a responsabilidade disciplinar,

civil e criminal, conforme o caso. A eficcia de toda atividade administrativa estcondicionada ao atendimento da lei. Na Administrao Pblica no h vontade pessoal.

Enquanto na administrao particular lcito fazer tudo que a lei no probe, na

Administrao Pblica s permitido fazer o que a lei autoriza.67


67Ibid.


39/77

33

A moralidade administrativa significa atuao segundo padres ticos de probidade,

decoro e boa-f. Constitui um pressuposto de validade de todo ato da Administrao Pblica.

O agente pblico no poder desprezar o elemento tico de sua conduta. Ele no ter que

distinguir somente entre o bem e o mal, o legal e o ilegal, o justo e o injusto, o conveniente e

o inconveniente, o oportuno e o inoportuno, mas tambmentre o honesto e o desonesto. H

uma moral institucional contida na lei e h uma moral administrativa, que imposta de dentro

e vigora no prprio ambiente institucional e condiciona a utilizao de qualquer poder

jurdico, mesmo o discricionrio.68O ato administrativo no terque obedecer somente lei

jurdica, mas tambm lei tica da prpria instituio, porque nem tudoque legal honesto.

A moral comum imposta ao homem para sua conduta externa; a moral administrativa

imposta ao agente pblico para sua conduta interna, segundo as exigncias da instituio a

que serve e a finalidade de sua ao: o bem comum.

69

O princpio da impessoalidade, ou ainda princpio da finalidade, impe ao administrador

pblico ques pratique o ato para o seufim legal. Significa que Administrao Pblica no

pode atuar com vistas a prejudicar ou beneficiar pessoas determinadas, visto que sempre o

interesse pblico que deve nortear o seu comportamento.O ato administrativo que se afastar

desse objetivo estar sujeitoa invalidaopor desvio de finalidade, isto , fim diverso daquele

previsto, explcita ou implicitamente, na regra de competncia do agente. Esse princpio

tambm se aplica no sentido de excluir a promoo pessoal de autoridades ou servidores

pblicos sobre suas realizaes administrativas.70

Publicidade a divulgao oficial do ato para conhecimento pblico e incio de seus

efeitos externos. Por isso as leis, atos e contratos administrativos que produzem

conseqncias jurdicas fora dos rgos que os emitem exigem publicidade para adquirirem

validade universal, isto , perante as partes e terceiros.A publicidade requisito de eficcia e

moralidade. Em princpio, todo ato administrativo deve ser publicado s se admitindo sigilo

nos casos em que a divulgao ponha em risco a segurana da sociedade e do Estado; ou viole

a intimidade, a vida privada, a honra e a imagem das pessoas; e investigaes policiais,

conforme prescrio legal. O princpio da publicidade dos atos e contratos administrativos

68DI PIETRO, op. cit.


70Ibid..


40/77

34

visa propiciar seu conhecimento e controle pelos interessados diretos e pela sociedade em

geral.71

O princpio da razoabilidade e proporcionalidadeobjetiva adequar os meios e os fins

de um ato da administrao, de modo a evitar restries desnecessrias ouabusivas. A idia que seja guardada uma proporo adequada entre os meios que emprega e o fim que a lei

deseja alcanar, isto , que no se trate de uma medida desproporcionada, excessiva em

relao ao que se deseja alcanar. Deve haver uma relao de pertinncia entre oportunidade e

convenincia, de um lado, e a finalidade, de outro.A razoabilidade, agindo como um limite

discrio na avaliao dos motivos, exige que sejam eles adequveis, compatveis e

proporcionais, de modo a que o ato atenda a sua finalidade pblica especfica.72

A proporcionalidade deve ser medida no pelos critrios pessoais do administrador, mas

segundo padres comuns na sociedade em que vive, e no pode ser medida diante dos termos

frios da lei, mas diante do caso concreto. Com efeito, embora a norma legal deixe um espao

livre para deciso administrativa, segundo critrios de oportunidade e convenincia, essa

liberdade s vezes se reduz no caso concreto, onde os fatos podem apontar para o

administrador a melhor soluo.73

O princpio da motivaoexige que a Administrao Pblica indique os fundamentos de

fato e de direito de suas decises. Trata-se de uma formalidade necessria para permitir o

controle de legalidade dos atos administrativos. A motivao, normalmente, no exige formasespecficas, podendo ser ou no concomitante com o ato, alm de ser feita, mui tas vezes, por

rgo diverso daquele que proferiu a deciso. Freqentemente, a motivao consta de

pareceres, informaes, laudos, relatrios, feitos por outros rgos, sendo apenas indicados

como fundamento da deciso. Nesse caso, eles constituem a motivao do ato, dele sendo

parte integrante.74

O princpio de eficinciaexige que a atividade administrativa seja exercida com presteza,

perfeio e rendimento funcional.75 Este princpio apresenta dois aspectos: pode ser

considerado em relao aomodo de atuao do agente pblico, da qual se espera o melhor

desempenho possvel de suas atribuies, para lograr os melhores resultados; e em relao ao

71Ibid.

72DI PIETRO, op.cit.

73Ibid.

74Ibid.

75MEIRELLES, op.cit.


41/77

35

modo de organizar, estruturar, disciplinar a Administrao Pblica, tambm com o mesmo

objetivo de alcanar os melhores resultados na prestao do servio pblico.76

Di Pietro ressalta que h uma oposio entre o princpio da eficincia e o princpio da

legalidade, pois o que importa aos cidados que os servios pblicos sejam prestadosadequadamente. Entretanto, a eficcia no deve se confundir com a eficincia das

organizaes privadas nem , tampouco, um valor absoluto diante dos demais. O princpio da

legalidade deve ficar resguardado, porque a eficcia proposta pode sempre ser alcanada

conforme o ordenamento jurdico. Vale dizer que a eficincia princpio que se sorna aos

demais princpios impostos Administrao, no podendo sobrepor-se a nenhum deles,

especialmente ao da legalidade.77

A continuidade do servio pblicoexige que o servio pblico, sendo a forma pela qual

o Estado desempenha funes essenciais ou necessrias coletividade, no pode parar.

possvel citar como exemplo da aplicao desse princpio a necessidade de regulamentao

especfica, imposta pela Constituio, a greve de servidores pblicos e de trabalhadores de

setores essenciais a sociedade. Outro exemplo, para evitar a paralisao de obras e servios,

a vedao ao particular contratado, dentro de certos limites, opor em face da Administrao a

exceo de contrato no cumprido.78 Um exemplo mais recente, afeto a segurana da

informao, seria a gesto de continuidade de negcios, em que uma organizao mantm

suas atividades principais na ocorrncia de um desastre ou comprometimento de ativos vitais.

A supremacia do interesse pblicoou princpio da finalidade pblica significa que a

Administrao deve atuar atendendo aos fins de interesse geral, sendo vedada a renncia total

ou parcial de poderes ou competncias. A primazia do interesse pblico sobre o privado

inerente atuao estatal e domina-a, na medida em que a existncia do Estado justifica-se

pela busca do interesse geral.79

Por exemplo, se a lei d Administrao os poderes de

desapropriar, de requisitar, de intervir, de policiar, de punir, porque tem em vista atender ao

interesse geral, que no pode ceder diante do interesse individual. Em conseqncia, se, ao

usar de tais poderes, a autoridade administrativa objetiva prejudicar um inimigo poltico,beneficiar um amigo, conseguir vantagens pessoais para si ou para terceiros, estar fazendo

prevalecer o interesse individual sobre o interesse pblico e, em conseqncia, estar se


77Ibid.

78FILHO, J. S. C. Manual de Direito Administrativo. Rio de Janeiro: Lmen Juris, 2006.

79MEIRELLES, op.cit.


42/77

36

desviando da finalidade pblica prevista na lei. Da o vcio do desvio de poder ou desvio de

finalidade, que torna o ato ilegal.80



43/77

37

4 INSTRUMENTOS PARA ANLISE/AVALIAO DE

RISCO ENFOQUE DE ALTO NVEL

Os instrumentos para anlise/avaliao de risco com um enfoque de alto nvel propostos

objetivam identificar os requisitos de segurana da informao para um rgo da

Administrao Pblica e suportar a criao de um sistema de gesto de segurana da

informao. Os instrumentos foram desenvolvidos com o propsito de ser a primeira iterao

do processo de gesto de riscossegundo a ISO/IEC 27005. Por isso utilizam uma estimativa

qualitativa para os riscos, em que o impacto e a probabilidade dos cenrios de incidente so

mensurados a partir de escalas com atributos qualificadores.

As vantagens dessa abordagem em relao ao risco soa facilidade de compreenso pelas

pessoas envolvidas, mais rpida e menos custosa que uma estimativa quantitativa. Porm

uma desvantagem que vale destacar a escolha subjetiva das escalas. Para tentar minimizar ocarter subjetivo do processo indicado que uma equipe multidisciplinar trabalhe com a

gesto de risco, alm disso importante ouvir as pessoas das fraes da organizao

envolvidas no escopo, por meio de reunies, entrevistas, brainstorm, visitas, etc.

Na abordagem proposta, a organizao abordada de um modo global, os aspectos

tecnolgicos so considerados independentes das questes de negcio, isto , concentra-se

sobre o negcio e sobre o ambiente operacional e menos sobre os elementos tecnolgicos. Os

riscos decorrentes dessa anlise so considerados como categorias ou classes gerais. O

tratamento dos riscos caminha no sentido de propor controles organizacionais, considerando

os aspectos gerenciais de controles tcnicos. Logicamente, os riscos considerados graves


44/77

38

sero objetos de outras iteraes do processo de anlise/avaliao de riscos em que seus

componentes sero detalhados.81

Os instrumentos foram desenvolvidos para as seguintes atividades do processo de gesto

de risco de segurana da informaoconforme a ISO/IEC 27005:

i. Definio do contexto: definio do escopo e dos critrios de risco;ii. Anlise/Avaliao de riscos;

! Identificao de riscos: os ativos, processos, ameaas, vulnerabilidades e o impactodos cenrios de riscos so identificados;

! Estimativa de riscos: o nvel de impacto, probabilidade e nvel de risco so definidos;! Avaliao de riscos: os cenrios de incidentes so priorizados conforme os critrios

de risco;

As outras atividades da GRSI, aceitao do risco, comunicao do risco, e monitoramento

e anlise crtica dos riscos, seguiroas orientaesda norma ISO/IEC 27005:2008.

4.1 Definio do contexto

A definio do contexto um dos principais fatores do sucesso da gesto de risco.

Envolve a definio dos critrios bsicos de risco, a definio do escopo e limites da gesto

de riscos.

4.1.1 Definio do escopo

A norma ISO/IEC 27005 sugere tacitamente que os critrios bsicos sejam definidos

antes do escopo, porm o sentido natural do processo parece ser o contrrio. Para especificar

os critrios preciso considerar os processosestratgicos da organizao, os ativos crticos,

dentre outras informaes que necessariamente devero estar no escopo. Alm disso, os

critrios devem ser estabelecidos observando as caractersticas da organizao e tambm as

especificidades do escopo.

O processo de gesto de risco envolve algumas escolhas em termos de abrangncia. O

escopo o conjunto de ativos que ser coberto pelo processo. Um fator crtico para uma

81As diretrizes para uma metodologia de anlise/avaliao de riscos com um enfoque de alto nvel so descritos

no Anexo E da norma ISO/IEC 27005:2008.


45/77

39

organizao que est comeando um processo de gesto de risco o tamanho do escopo.

Escopos pequenos podem no ser eficientes, por no cobrirem todos os ativos crticos da

organizao e escopos muito grandes podem gerar projetos que no acabam nunca.82

O enfoque de alto nvel como primeira iterao do processo de gesto de risco visa organizao como um todo. Porm no ser preciso uma anlise exaustiva de todos os

elementos presentes no escopo, j que a abordagem concentra-se em aspectos gerais da

organizao. Todavia, vale destacar que o escopo deve ser definido de modo que o processo

de gesto de risco seja sustentvel.

Um ponto crtico da abordagem proposta o potencial de menos preciso por utilizar

uma estimativa qualitativa para os riscos, ento pode haver o perigo de algum ativo no ser

identificado entre aqueles que requerem uma segunda iterao. Isso pode ser contornado se o

levantamento de informaes sobre a organizao for adequado.

Uma forma de definir o escopo a elaborao de um documento com a estrutura

conforme a indicada abaixo ou que aborde os mesmos itens.83

1. Identificao da organizao

Negcio pblico: (Definido pelas tcnicas e know-howde seus funcionrios,viabiliza o cumprimento de sua misso. especfico rea de atividade daorganizao e freqentemente define sua cultura).

Misso: (A organizao atinge seupropsito ao cumprir sua misso. Para bem

identific-la os servios prestados devem ser relacionados aos seus pblicos-alvos)Valores: (So os princpios fundamentais ou um cdigo de conduta bem

definido, aplicados na rotina de um negcio pblico. Normalmente, incluem osrecursos humanos, as relaes com agentes externos, a qualidade dos produtosfornecidos ou dos servios prestados. A APF possui seu cdigo de tica em quemuitos desses valores podem ser encontrados, todavia vlido verificar se osvalores apontados so de fato aplicados a rotina do rgo).

Organograma: ( a estrutura da organizao esquematizada. Essarepresentao precisa deixar claro quem se reporta a quem, destacando tambm alinha de comando que legitima a delegao de autoridade. Convm que incluatambm outros tipos de relacionamentos, os quais, mesmo que no sejam

baseados em uma autoridade oficial, criam de qualquer forma caminhos para o

fluxo de informao).Objetivos: (So as metas, o que se pretende alcanar).Estratgia: ( a expresso formalizada dos princpios que norteiam a

organizao).Localidade e caractersticas geogrficas: (So as caractersticas da regio ou

82RAMOS, A. et al. Security Officer 1: guia oficial para a formao de gestores de segurana da

informao. Porto Alegre: Zouk, 2006.83Alguns itens foram retirados do Anexo A da norma ISO/IEC 27005:2008.


46/77

40

vizinhana onde a organizao est instalada).

2. Legislao aplicvel organizao: (So leis, decretos, portarias eregulamentos internos que dizem respeito organizao. Englobam tambmcontratos, acordos e, mais genericamente, qualquer obrigao de natureza legal ouregulatria).

3. Limites do escopo: (So os limites organizacionais e fsicos do escopo, comopor exemplo uma frao ou unidade da organizao, um processo ou servioespecfico ou uma certa localidade geogrfica).

4. Ativos de informao: (Neste ponto so listados os ativos de informao quefaro parte do escopo. Os ativos primrios e os de suporte e infra-estrutura poderoser relacionados em categorias conforme a profundidade que se que imprimir na

anlise, embora em uma abordagem de alto nvel no convenha descries muitodetalhadas. importante que sejam elencados tambm os processos estratgicos daorganizao relacionados ao escopo, visto que os ativos que os suportam soconsiderados mais relevantes).

5. Caractersticas da organizaoRestries que afetam a organizao: (As restries que afetam a

organizao e determinam o direcionamento da segurana da informao devemser elencadas.As suas origens podem ser encontradas na prpria organizao, o

que lhe d um certo controle sobre as restries ou talvez sejam externas organizao, o que as tornariam, provavelmente, inegociveis)

Expectativa das partes interessadas: (So as expectativas dos entesinteressados nas atividades da organizao. No caso da Administrao Pblicatemos os cidados, a opinio pblica, o governo, outros rgos pblicos, entidadesde classe, empresas, etc.).

Dentre esses requisitos de informao vale destacar algumas especificidades da

Administrao Pblica Federal.

4.1.1.1 Especificidades da Administrao Pblica Federal

A Administrao Pblica de modo geral tem sua atuao marcadamente distinta da

iniciativa privada. O ponto de maior destaque o princpio da legalidade que determina que a

eficcia da atividade administrativa esteja condicionada ao atendimento da lei. Enquanto na

iniciativa privada permitido fazer tudo que a lei no probe, na administrao pblica s

permitido fazer o que a lei autoriza.84

Nesse quesito h uma gama de diplomas legais relativos

segurana da informao, a contratao de serviose de pessoal, bem como a compra de

materiais, que os rgospblicos devem observar.

84MEIRELLES, op. cit. p. 88.


47/77

41

H ainda algumas restries que so comuns aos rgos pblicos que valem ser

destacadas:

! Restries de natureza poltica: a Administrao Pblica precisa aplicar as decisesgovernamentais relativas a orientaes estratgicas, operacionais, ou a polticaspblicas. Nesta questo merece destaque a descontinuidade administrativa. As

mudanas de direo normalmente so marcadas pelo rompimento de atividades e

programas, por modificaesna estrutura rgo, e nas chefias intermedirias. A troca

de governo, ou de gestor, vista como um momento em que naturalmente tudo vai

mudar, atividades e programas so rompidos, independentemente de poltica pblica,

partido ou sua efetividade anterior. O pressuposto dessa prtica que o novo novo e

o anterior passado, para o novo se estabelecer necessrio ignorar o anterior.

Conseqentemente, o novo se concebe virando a pgina para comear com umapgina em branco; os demais esperam para ver as novas direes aceitando a

autoridade do novo mandatrio.85Portanto, o planejamento de uma ao sistemtica

de gesto de risco ou de gesto de segurana da informao deve procurar se

estabelecer de modo formal e bem fundamentado para que no fique ao sabor das

mudanas ocasionadas pela descontinuidade administrativa.

! Restries oramentrias: a gesto do dinheiro pblico um processo complicado,regido pelo Sistema de Planejamento e de Oramento Federal, o qual formado por

um conjunto de agentes, mtodos e processos, tecnologias, recursos, normas tcnicas,

articulados entre si, orientados para as atividades de elaborao, acompanhamento e

avaliao de planos, programas e oramento. O modelo oramentrio do governo

composto por trs instrumentos bsicos o plano plurianual, a lei de diretrizes

oramentrias e a lei oramentria anual, os quais correspondem respectivamente aos

nveis estratgico, ttico e operacional.86A principal implicao desse sistema que a

dotao oramentria anual dos rgos pblicos feita com antecedncia. Ento a

previso de gastos com a gesto de riscos, implementaode controle, dentre outros,precisa ser feita com a mesma antecedncia.

85SPINK, Peter.Continuidade e Descontinuidade Administrativa. So Paulo: FGV, 2001.

86VOLPE, Ricardo Alberto. Viso abrangente do processo poltico e institucional de planejamento e

oramento. Disponvel em: . Acesso em10 out. 2008.


48/77

42

! Restries relativas aos recursos humanos: a Constituio diz que a investidura emcargo ou emprego pblico depende de aprovao prvia em concurso pblico de

provas ou de provas e ttulos, de acordo com a natureza e a complexidade do cargo ou

emprego. A realizao de um concurso pblico um processo demorado , precisa de

diversas autorizaes e estudos, por isso a contratao de pessoal para atender as

demandas da gesto de risco ou da segurana da informao pode se tornar um

processo intricado. Todavia, possvel a contratao de servidores temporrios,

mediante processo seletivo simplificado, para atender necessidade transitria de

excepcional interesse pblico, no caso em que a demora do procedimento do concurso

pblico pode ser incompatvel com as exigncias imediatas da Administrao . A

contratao de terceirizados possvel para os servios de vigilncia, deconservao e

limpeza, bem como para servios especializados ligados atividade-meio daorganizao, desde que no exista a pessoalidade e a subordinao direta do

trabalhador terceirizado. A subordinao aqui tratada no tcnica, o terceirizado no

pode ter seu trabalho dirigido diretamente pela organizao, isto , recebendo ordens e

submetendo-se ao poder disciplinar da organizao. Com relao pessoalidade

pressupe a realizao da atividade por sujeitoque no sejacerto nem determinado.

irrelevante a identidade do agente que desempenha a atividade, dado que a finalidade

da contratao limita-se obtenodo resultado material pactuado. Vale destacar que

o inadimplemento das obrigaes trabalhistas, por parte do empregador, implica aresponsabilidade subsidiria da Administrao Pblica. 87

4.1.2 C

Documents

Pedro Jorge