Upload
maykon-diego
View
221
Download
0
Embed Size (px)
Citation preview
8/13/2019 Pedro Jorge
1/77
UNIVERSIDADE DE BRASLIA -UNB
DEPARTAMENTO DE CINCIAS DA COMPUTAO
ANLISE/AVALIAO DE RISCOS DE SEGURANA DAINFORMAO PARA A ADMINISTRAO PBLICA
FEDERAL:UM ENFOQUE DE ALTO NVEL BASEADO NAISO/IEC27005
PEDRO JORGE SUCENA SILVA
MONOGRAFIA DE CONCLUSO DO CURSO DE ESPECIALIZAO EM CINCIASDA COMPUTAO:GESTO DA SEGURANA DA INFORMAO E
COMUNICAES
Orientador: Prof. Dr. Jorge Henrique Cabral Fernandes
8/13/2019 Pedro Jorge
2/77
II
Braslia, 29de maio de 2009.
ANLISE/AVALIAODERISCOSDESEGURANA
DAINFORMAOPARAAADMINISTRAOPBLICAFEDERAL:UMENFOQUEDEALTONVELBASEADONAISO:IEC27005
Trabalho de concluso de curso apresentadocomo parte das atividades para obteno dottulo de Especialista em Cincias daComputao do curso de Especializao emCincias da Computao: Gesto daSegurana da Informao e Comunicaes doDepartamento de Cincias da Computao daUniversidade de Braslia.
Prof orientador: Jorge Henrique Cabral Fernandes
Braslia, 2009
8/13/2019 Pedro Jorge
3/77
III
Autoria:Pedro Jorge Sucena Silva
Ttulo:Anlise/avaliao de riscos de segurana da informao para a Administrao PblicaFederal: um enfoque de alto nvelbaseado na ISO:IEC 27005.
Trabalho de concluso de curso apresentadocomo parte das atividades para obteno dottulo de Especialista em Cincias daComputao do curso de Especializao emCincias da Computao: Gesto da Seguranada Informao e Comunicaes doDepartamento de Cincias da Computao daUniversidade de Braslia.
Os componentes da banca de avaliao, abaixo listados,
consideram este trabalho aprovado.
Nome Titulao Assinatura Instituio
1 Jorge Henrique Cabral Fernandes Doutor Universidade de Braslia
2 Jacir Luiz Bordim Doutor Universidade de Braslia
3 Edgard Costa Oliveira Doutor Universidade de Braslia
Data da aprovao:____ de _____________________ de ________.
8/13/2019 Pedro Jorge
4/77
IV
RESUMO
Este trabalho apresenta um modelo preliminar de anlise/avaliao de riscos de seguranada informao, capaz de identificar os riscos com alto potencial de impacto em umaorganizao pblica. A anlise/avaliao de riscos uma atividade do processo de gesto deriscos em que so identificados os riscos e seus componentes ativos, ameaas,
vulnerabilidades e conseqncias. A probabilidade de ocorrncia do cenrio de risco e suasconseqncias so avaliadas, resultando em um nvel de risco. Esse risco ento avaliadosegundo critrios pr-definidos que determinaro a sua importncia para a organizao. Anorma ISO/IEC 27005 recomenda iniciar o processo de gesto de riscos com umaanlise/avaliao comum enfoque de alto nvel, isto , uma abordagem mais global que viseos principais riscos que envolvem o negcio. uma abordagem simplificada que considera osaspectos tecnolgicos de forma independente das questes de negcio. A partir dos resultadosdessa primeira iterao possvel definir as prioridades, os riscos que precisam ser detalhadosem uma segunda iterao e uma cronologia para a execuo de aes. Este trabalho propeum modelo com essas caractersticas, tendo como base a Norma ABNT ISO/IEC 27005 econsiderando algumas especificidades da Administrao Pblica Federal.
Palavras-chave: segurana da informao, gesto de riscos,administrao pblica.
8/13/2019 Pedro Jorge
5/77
V
SUMRIO
1 Introduo........................................................................................................1 2 Requistos Pr-pesquisa.................................................................................32.1 Objetivos..................................................................................................................... 32.1.1 Objetivo Geral......................................................................................................................32.1.2 Objetivos Especficos...........................................................................................................32.2 Justificativa ................................................................................................................. 32.3 Metodologia ................................................................................................................ 53 Reviso de literatura e fundamentos.............................................................73.1 Gesto de riscos: norma ISO/IEC 27005................................. ................................ .... 73.1.1 Conceitos ............................................................................................................................83.1.2 O processo de gesto de riscos .........................................................................................123.1.3 Definio do contexto........................................................................................................143.1.3.1 Critrios bsicos ................................................................................................................143.1.3.2 Definio do escopo e limites.............................................................................................153.1.3.3 Organizao para gesto de riscos ....................................................................................153.1.4 Anlise/avaliao de riscos ................................................................................................163.1.4.1 Anlise de riscos................................................................................................................163.1.4.2 Avaliao de riscos ............................................................................................................223.1.5 Tratamento do risco...........................................................................................................233.1.6 Aceitao do risco.............................................................................................................273.1.7 Comunicao do risco.......................................................................................................273.1.8 Monitoramento e anlise crtica de riscos...........................................................................283.2 Administrao pblica ..................... ........................................ ................................ .. 303.2.1 Princpios da administrao pblica ...................................................................................324 instrumentos para anlise/avaliao de risco enfoque de alto nvel .....374.1 Definio do contexto................................................................................................ 384.1.1 Definio do escopo..........................................................................................................384.1.1.1 Especificidades da Administrao Pblica Federal .............................................................404.1.2 Critrios de risco................................................................................................................424.2 Anlise/avaliao de riscos ............................... ......................................... ............... 464.2.1 Anlise de riscos................................................................................................................46
8/13/2019 Pedro Jorge
6/77
VI
4.2.1.1 Identificao de riscos.......................................................................................................464.2.1.2 Estimativa de riscos...........................................................................................................494.2.2 Avaliao de riscos ............................................................................................................514.3 Tratamento do risco................................................................................................... 515 Exemplo de aplicao...................................................................................536 Concluso e trabalhos futuros.....................................................................67Referncias bibliogrficas......................................................................................69
8/13/2019 Pedro Jorge
7/77
1
1 INTRODUO
Em um levantamento sobre a governana de tecnologia da informao (TI) na
Administrao Pblica Federal1 (APF), o Tribunal de Contas da Unio constatou que a
segurana da informao no consta na agenda da maioria dos rgos pblicos. O
levantamento apontou que 64% deles no possuem uma poltica da segurana da informao
nem uma rea especfica para lidar com a segurana da informao. Alm disso, 75% no
fazem anlise de risco de TI, 80% no classificam as informaese 88% no possuemplano
de continuidade de negcio.
Diante desses dados possvel afirmar que a gesto de risco de segurana da informao
(GRSI) no uma prtica comum na APF. H vrios fatores que podem explicar essa
situao. Primeiramente a aplicao da gesto de risco segurana da informao um
produto recente, considerando que a APF normalmente absorve as mudanas ou novasferramentas de gesto de modo mais lento do que a iniciativa privada. Em segundo lugar, a
GRSI precisa do apoio da direo do rgo, visto que um processo transversal que perpassa
diversas fraes da organizao e necessita do apoio especializado de muitas delas. Vale
destacar ainda que os mtodos de anlise/avaliao de riscos normalmente so complexos,
exigem a coleta de uma enorme quantidade de dados e consomem muito tempo e recursos
para a sua operacionalizao.
A proposta deste trabalho aponta para a necessidade de um mtodo de anlise/avaliao
de riscos que considere as especificidades da APF, que seja capaz de identificar os riscos com
alto potencial de impacto e que, ao mesmo tempo, seja simples, de baixo custo e que possa ser
executado por um grupo pequeno de pessoas.
1TRIBUNAL DE CONTAS DA UNIO. Acrdo 1603/2008. Braslia, 2008.
8/13/2019 Pedro Jorge
8/77
2
A anlise/avaliao de riscos uma atividade do processo de gesto de riscos em que so
identificados os riscos e seus componentes ativos, ameaas, vulnerabilidades e
conseqncias. Aprobabilidade de ocorrncia do cenrio de risco e suas conseqncias so
avaliadas, resultando em um nvel de risco. Esse risco ento avaliado segundo critrios pr-
definidos que determinaro a sua importncia para a organizao.
A gesto de riscos de segurana da informao, em que est inserida a anlise/avaliao
de riscos, uma metodologia que procura identificar os riscos que envolvem uma
organizao, prioriz-los e propor estratgias de tratamento desses riscos. Para a norma
ISO/IEC 27005, risco de segurana da informao medido em funo da combinao da
probabilidade de um evento e de sua conseqncia. Desse modo, riscos podem ser
gerenciados mudando-se tanto a natureza de suas conseqncias como a probabilidade de que
determinado evento ocorra.
A gesto de riscos estabelecida em um processo de melhoria contnua com um enfoque
iterativo na execuo da anlise/avaliao de risco o que permitedetalhar a avaliao a cada
repetio. Por conseguinte, recomendado pela norma iniciar o processo de gesto de riscos
com uma anlise/avaliao com um enfoque de alto nvel, isto , uma abordagem global que
visa os principais riscos que envolvem o negcio. uma abordagem simplificada que
considera os aspectos tecnolgicos de forma independente das questes de negcio . A partir
dos resultados dessa primeira iterao possvel definir as prioridades, os riscos que precisam
ser detalhados em uma segunda iterao euma cronologia para a execuo deaes.
Este trabalho vem propor instrumentos que ajudaram a compor um mtodo com essas
caractersticas, tendo como base a norma ISO/IEC 27005 e considerando as especificidades da
Administrao Pblica Federal.
8/13/2019 Pedro Jorge
9/77
3
2 REQUISTOS PR-PESQUISA
2.1 Objetivos
2.1.1 Objetivo Geral
Propor instrumentos para um mtodo preliminar de anlise/avaliao de riscos para
Administrao Pblica Federal em um enfoque de alto nvel.
2.1.2 Objetivos Especficos
So objetivos especficos do trabalho:
1. Desenvolver os instrumentos para um mtodo de anlise/avaliao com umenfoque de alto nvel.
2. Aplicar os instrumentos propostos em uma organizao fictcia.3. Rever a literatura sobre o processo de gesto de riscos e sobre a administrao
pblica.
2.2 Justificativa
O avano tecnolgico vivido desde a segunda metade do sculo XX catalisou a exploso
informacional dos ltimos trinta anos, proporcionando mudanas na forma como as
organizaes manipulam o seu conhecimento.O aumento do fluxo de informaes expe o
conhecimento crtico das organizaes a diversos riscos. Por isso, a demanda de proteo
dessas informaes constitui um enorme desafio. Assim, a segurana da informao entrou na
agenda das organizaes privadas e vem entrando lentamente na das organizaes pblicas.
A preocupao com a proteo da informao como ativo no mbito das organizaes
criou a necessidade de sistematizao e padronizao dos conceitos de segurana da
8/13/2019 Pedro Jorge
10/77
4
informao, de modo a consolidar as bases para o desenvolvimento seguro e uniforme de
solues para os problemas emergentes dessa questo. Dentre as normas e padres surgidos
dessa preocupao destacamos a sriede normas ISO/IEC 27000:
! ISO/IEC 27001 Sistemas de gesto de segurana da informao: originria daparte 2 da norma britnica BS 7799;
! ISO/IEC 27002 Cdigo de prtica para a gesto da segurana da informao: foidesenvolvida a partir da parte 1 da norma britnica BS 7799;
! ISO/IEC 27005 Gesto de riscos de segurana da informao: teve como base aparte 3 da BS 7799 e a norma australiana neozelandesa AS/NZS 4360.
O primeiro passo para gerir a segurana da informao segundo essas normas a gesto
de risco. Trata-se de uma metodologia que procura evitar que riscos e ameaas se concretizeme gerem prejuzos das mais diversas ordens. Procura delimitar os possveis problemas e
possibilidades de interferncia nas atividades de uma organizao e transform-los em riscos
mensurveis e manejveis.2 Trata-se da aplicao de um mtodo lgico e sistemtico para
estabelecer os contextos, bem como para identificar, estimar, avaliar, tratar, aceitar, monitorar
e comunicar os riscos associados a qualquer ativo, funo, atividade, ou processo, de modo
que as organizaes possam minimizar as perdas resultantes de incidentes de segurana da
informao.
A gesto eficaz de riscos reduz a probabilidade e a severidade de incidentes de segurana.
possvel evitar eventos indesejveis ou negativos prevendo sistematicamente os riscos,
avaliando a sua importncia, gerenciando suas conseqncias e aprendendo enquanto se
atravessa esse ciclo. No entanto, a gesto eficaz de riscos implica tambm prever os riscos
futuros e saber lidar de maneira pr-ativa com eles gesto pr-ativa em vez de reativa.
Freqentemente, possvel superar adversidades sendo pr-ativo na previso de riscos e na
criao de condies que permitam evit-los.3
A gesto de riscos proporciona uma srie de benefcios s organizaes. Fornece umabase slida e segura para a tomada de deciso e planejamento; torna mais eficaz a alocao e
o uso de recursos; melhora a gesto de incidentes e reduzperdas e custos com riscos, melhora
2ZAMITH, Jos Lus Cardoso. Gesto de Riscos e Preveno de Perdas. Rio de Janeiro: FGV, 2007.
3CENTRO CANADENSE PARA O DESENVOLVIMENTO DA GESTO. Uma base para o
desenvolvimento de estratgias de aprendizagem para a gesto de riscos no servio pblico/ Stephen Hill,Geoff Dinsdale; traduzido por Lus Marcos B. L. de Vasconcelos. Braslia: ENAP, 2003 (Cadernos ENAP, 23).
8/13/2019 Pedro Jorge
11/77
5
a segurana e confiana das partes envolvidas; melhora a conformidade com a legislao
pertinente; e melhorar a governana corporativa.
Portanto, o processo de gesto de riscos constitui uma ferramenta de extrema importncia
para o estabelecimento de um Sistema de Gesto de Segurana da Informao (SGSI)conforme a norma ISO/IEC 27001. E de forma semelhante e complementar ao SGSI, o
processo de gesto de riscos, estabelecido em um processo de melhoria contnuacom um
enfoque iterativo na execuo da anlise/avaliao de risco o que permite aprofundar e
detalhar a anlisea cada repetio.
A primeira iterao dessa atividade deve utilizar uma abordagem de anlise/avaliao de
riscos com um enfoque de alto nvel. Momento em que se procuram os principais riscos da
organizao, os de maior impacto e se estabelece um cronograma de aes. mais rpida,
mais simples e de menor custo que uma abordagem detalhada, o que facilita a aceitao do
programa de gesto de riscos pelas partes interessadas.
uma abordagem importante porque a indisponibilidade oramentria comum na esfera
pblica no permitiria a implementao simultnea de todos os controles que seriam precisos,
logo haveria a necessidade de tratar apenas os riscos mais cr ticos. Por isso no faz sentido
iniciar um processo de gesto de riscos detalhado se a implementao dos controles seria
completada em um prazo estendido. Vale destacar que uma anlise/avaliao de risco perde
sua validade com as mudanas de contexto, de ameaas e de vulnerabilidades trazidas pelotempo, portanto uma abordagem com enfoque de alto nvel seria mais adequada.
Diante dessas questes imprescindvel que a discusso quanto a um mtodo de
anlise/avaliao de riscos com um enfoque de alto nvel seja colocada no mbito do servio
pblico, j que so poucos os rgo que se preocupam em gerir os seus riscos de modo
sistemtico.
2.3 Metodologia
A presente pesquisa pode ser caracterizada, segundo a utilizao dos resultados, como
pesquisa aplicada. Distingue-se pelo seu interesse prtico que conforme Ander-Egg4procura
resultados que possam ser aplicados ou utilizados, imediatamente, na soluo de problemas
que ocorrem na realidade.
4Ander-Egg (1978) apud MARCONI, M. A., LAKATOS, E. M. Tcnicas de Pesquisa. So Paulo: Atlas, 2002.
8/13/2019 Pedro Jorge
12/77
6
A principal tcnica utilizada foi a pesquisa bibliogrfica, o objetivo era conhecer, discutir
e analisar as contribuies registradas acerca do tema proposto. Vale destacar que a pesquisa
bibliogrfica no mera repetio do que j foi escrito sobre determinado assunto. Ela
permite explorar novas reas onde os problemas no se cristalizaram o suficiente. Propicia o
exame de um tema sob novo enfoque ou abordagem, podendo chegar a concluses
inovadoras5.
Inicialmente foi realizado um estudo na literatura sobre a gesto de risco de segurana da
informao com nfase na norma ISO/IEC 27005:2008. Em seguida o estudo voltou-se a
literatura sobre a administrao pblica.
Terminada esta etapa, o trabalho foi direcionado caracterizao da administrao
pblicaem aspectos que subsidiem, de maneira geral, o processo de gesto de riscos.
Foram delineados os instrumentos para um mtodo de gesto de riscos para a APF numa
abordagem de alto nvel. Por fim, foi elaborado um exemplo de aplicao dos instrumentos
propostos em uma organizao fictcia.
5MARCONI, M. A., LAKATOS, E. M. Tcnicas de Pesquisa. So Paulo: Atlas, 2002.
8/13/2019 Pedro Jorge
13/77
7
3 REVISO DE LITERATURA E FUNDAMENTOS
3.1 Gesto de riscos: norma ISO/IEC 27005
A norma ISO/IEC 27005 fornece diretrizes e descreve um processo genrico para a
Gesto de Riscos de Segurana da Informao de uma organizao. O processo descrito pelanorma harmonicamente sincronizado com o ciclo de melhoria contnua PDCAutilizado
em um SGSI conforme a ISO/IEC 27001. Alm disso, o processo pode tambm ser usado de
forma independente, como por exemplo, para avaliaes de risco em um projeto. Isto permite
flexibilidade e pragmatismo que possibilita a utilizao do processo de GRSI emuma vasta
gama de circunstncias.
Segundo Herv Schauer6, a ISO/IEC 27005 o resultado de diversas outras normas e
mtodosconforme Figura 1.
Figura 1 Normas que influenciaram a criao daISO/IEC 27005.
6SCHAUER, H. ISO/CEI 27005 : la norme du consensus. Global Security Mag. N4, p. 52-55, Set. 2008
8/13/2019 Pedro Jorge
14/77
8
Desse modo, a ISO/IEC 27005 sofreu influncia da norma ISO 13335-3, que traz um
modelo de gesto de risco para a rea de tecnologia da informao(TI), desde 1992 com o
incio da normalizao da segurana em TI. O mtodo EBIOS (Expression des Besoins et
Identification des Objectifs de Scurit) criado pelo Ministrio da Defesa francs, contribuiu
com a idia da diviso do processo de avaliao de riscos de sistemas de informao em
atividades e sub-atividades com insumos de entrada, um trabalho a realizar e resultados a
obter. A norma AS/NZS 4360 apresentou um processo de gesto de risco cujas fases e tarefas
so parecidas com as adotadas pela ISO/IEC 27005. A British StandardBS 7799-3 possui
uma funo similar a da ISO/IEC 27005, j que a srie de normas BS 7799 foi a base das
normas da famlia 27000. Ainda, segundo Schauer a norma teria sofrido influncias de
diversas outras fontes que no puderam ser identificadas.
3.1.1 Conceitos
importante destacar o conceito de risco de segurana da informao e os seus
componentes, conforme descrito pela ISO/IEC 27005.
Riscos de segurana da informao: a possibilidade de uma determinada ameaa
explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira
prejudicando a organizao. medido em funo da combinao da probabilidade de um
evento e de sua conseqncia.7
Desse conceito possvel depreender quatro elementos que so fundamentais para o
processo de gesto de risco, quais sejam: ativo, ameaa vulnerabilidade eimpacto.
Ativo definido como qualquer coisa que tenha valor para a organizao8. A norma
ISO/IEC 27005 em seu Anexo B sugere a distino entre ativos primrios e ativos de suporte
e infra-estrutura.9Os ativos primrios seriam as informaes, os processos e as atividades de
negcio. Os ativos de suporte so aqueles sobre os quais oselementos primrios se apiam,
eles podem ser agrupados da seguinte maneira: hardware, software, rede, recursos humanos,
instalaes fsicas e estrutura da organizao.
7Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27005: Gesto de risco de segurana da informao.Rio de Janeiro, 2008. Grifo nosso.8Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27001:2006. Sistema de gesto de segurana da
informao requisitos. Rio de Janeiro, 2006.9Os anexos da norma ISO/IEC 27005 possuem valor informativo, logo as tipificaes de ativos, ameaas,
exemplos de vulnerabilidade e mtodos de anlise/avaliao de riscos so colocados como sugestes que podemser adaptadas a realidade de cada organizao.
8/13/2019 Pedro Jorge
15/77
9
Ameaa a causa potencial de um incidente indesejado, que pode resultar em dano para
um sistema ou organizao10. As ameaas podem ser de origem humana de natureza acidental
ou intencional ou, ainda, de origem ambiental. E podem ser tipificadas nas seguintes
categorias: dano fsico,eventos naturais, paralisao de servios essenciais, distrbio causado
por radiao, comprometimento da informao, falhas tcnicas, aes no autorizadas,
comprometimento de funes. Em relao sameaas intencionais a norma sugere que seja
dada ateno especial as especificidades da origem e motivaes dos agentes que representam
ameaa.
Vulnerabilidade afragilidade de um ativo ou grupo de ativos que pode ser explorada
por uma ou mais ameaas11. O Anexo D da ISO/IEC 27005 apresenta uma lista genrica de
exemplos de vulnerabilidades e de possveis ameaas que poderiam explor-las. A lista est
organizada segundo o tipo de ativo de suporte e infra-estrutura. Vale destacar que, conforme
colocado por Fernandes12
, para o caso de ativos tecnolgicos a lista possui pouca
aplicabilidade devido ao seu carter genrico. Para tal atividade se faz necessrio a utilizao
de mtodos, tcnicas e ferramentas especficas.
A norma utiliza as palavras: impacto e conseqncia para se referir aos danos causados a
organizao devido perda ou comprometimento de ativos. Em alguns momentos elas so
usadas como sinnimos, porm possvel delinear algumas diferenas.
A conseqnciaest relacionada a perdas operacionais relativas proteo de ativos.Asua determinao indica o valor operacional do ativo para a organizao. As conseqncias
so avaliadas em funo da perda da confidencialidade, integridade e disponibilidade dos
ativos supostamente afetados. Alm desses critrios, segundo a ISO/IEC 27005, devem ser
considerados para a determinao das conseqncias operacionais a investigao e tempo de
reparo, o tempo de trabalho perdido, as oportunidades perdidas, sade e segurana, custo
financeiro das competncias especficas necessrias para reparar o prejuzo, imagem e
reputao da organizao.
10Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27002: Cdigo de Prtica para a gesto da
segurana da informao. Rio de Janeiro, 2005.11
Ibid.12
FERNANDES, J. H. C. Introduo Gesto de Riscos de Segurana da Informao. 75 f. Texto desenvolvidopara suporte das atividades de Ensino do Programa de Pesquisas e Formao de Especialistas. Universidade deBraslia (UnB), Braslia, 2009.
8/13/2019 Pedro Jorge
16/77
10
O impacto definido como uma mudana adversa no nvel obtido dos objetivos de
negcios13. Assim, quando se fala em impacto o dano causado por um incidente de segurana
observado de um modo mais abrangente em relao ao negcio da organizao como um
todo. Conforme o Anexo B.3 da norma, o impacto pode ser direto: (i) valor financeiro de
reposio do ativo perdido; (ii) custo de aquisio, configurao e instalao do novo ativo ou
do back-up; (iii) custo das operaes suspensas devido ao incidente at que o servio prestado
pelos ativos afetados seja restaurado; (iv) conseqncias resultantes de violaes dasegurana
da informao; e indireto: (i) custo de oportunidade; (ii) custo das operaes interrompidas;
(iii) mau uso das informaes obtidas atravs da violao da segurana; (iv) violao de
obrigaes estatutrias ou regulatrias; (v) violao dos cdigos ticos de conduta.
A seguir destacam-se outros conceitos pertinentes gesto de risco de segurana da
informao. A Figura 2 apresenta um mapa que permite visualizar a relao entre os conceitosfundamentais da gesto de risco.14
Evento de segurana da informao: uma ocorrncia identificada de um estado de
sistema, servio ou rede, indicando uma possvel violao da poltica de segurana da
informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser
relevante para a segurana da informao.15
Risco residual:risco remanescente aps o tratamento de riscos.16
Aceitao do risco:deciso de aceitar um risco.17
Avaliao de riscos: processo de comparar o risco estimado com critrios de risco
predefinidos para determinar a importncia do risco.18
Tratamento do risco: processo de seleo e implementao de medidas para modificar
um risco.19
Ao de evitar o risco: deciso de no se envolver ou agir de forma a se retirar de uma
situao de risco.20
13Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27005: Gesto de risco de segurana dainformao. Rio de Janeiro, 2008.14FERNANDES, J. H. C. Op. Cit.15
Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27001:2006. Sistema de gesto de segurana dainformao requisitos. Rio de Janeiro, 2006.16
Ibid.17
Ibid.18
Ibid.19Ibid.
8/13/2019 Pedro Jorge
17/77
11
Comunicao do risco: troca ou compartilhamento de informao sobre o risco entre o
tomador de deciso e outras partes interessadas.21
Estimativa de riscos: processo utilizado para atribuir valores probabilidade e
conseqncias de um risco.22
Identificao de riscos: processo para localizar, listar e caracterizar elementos do risco.23
Reduo do risco: aes tomadas para reduzir a probabilidade, as conseqncias
negativas, ou ambas, associadas a um risco.24
Reteno do risco: aceitao do nus da perda ou do benefcio do ganho associado a um
determinado risco.25
Transferncia do risco: compartilhamento com outra entidade do nus da perda ou do
benefcio do ganho associado a um risco.26
No que tange a reteno e transferncia do risco, somente conseqncias negativas
(perdas) so consideradas.
20Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27005: Gesto de risco de segurana da
informao. Rio de Janeiro, 2008.21
Ibid.22
Ibid.23
Ibid.24
Ibid.25
Ibid.26Ibid.
8/13/2019 Pedro Jorge
18/77
12
Figura 2 Um mapa de conceitos sobre risco de segurana da informao.27
3.1.2 O processo de gesto de riscos
A norma ISO/IEC 27005 contm a descrio e as diretrizes do processo de gesto de
risco de segurana da informao e das suas atividades. A Figura 3 um esquema do
encadeamento das atividades do processo de gesto de risco.
O processo de gesto de risco comea com a definio do contexto. Em seguida feita a
anlise/avaliao de riscos, em que os riscos so identificados, estimados e avaliados segundo
critrios definidos no momento do estabelecimento do contexto. Finda est fase h o primeiro
ponto de deciso onde verificado se a avaliao foi satisfatria ou no, caso no seja, o
processo repetido. Vale destacar que a segunda iterao para os riscos que precisam ser
detalhados, logo, o contexto da segunda iterao mais especfico que o da primeira. Se a
avaliao for considerada satisfatria passa-se ao tratamento do risco, etapa onde os riscospodem ser reduzidos, retidos, evitados ou transferidos. possvel que o risco residual que
resulta do tratamento no seja aceitvel para a organizao, da faz-se necessria outra
iterao de anlise/avaliao de riscos.
27FERNANDES, J. H. C. Op. Cit.
8/13/2019 Pedro Jorge
19/77
13
Figura 3 Viso geral do processo de gesto de risco segundo a norma ISO/IEC 27005.
A aceitao do risco importante porque os gestores da organizao registram
formalmente a aceitao do risco residual. A comunicao do risco deve serfeita durante todo
o processo porque informaes sobre os riscos e modo como sero tratados podem ser teis
para os gestores e para reas operacionais no gerenciamento de algum incidente. O
monitoramento cotidiano e a anlise crtica so necessrios para assegurar que o contexto, o
resultado da anlise/avaliao de riscos e do tratamento do risco, assim como os planos de
gesto, permaneam relevantes e adequados s circunstncias.
As atividades do processo de gesto de risco de segurana da informao, conforme
apresentadas acima, so as seguintes: definio do contexto, anlise/avaliao de riscos,
8/13/2019 Pedro Jorge
20/77
8/13/2019 Pedro Jorge
21/77
15
financeiro; (v) interrupo de planos e o no cumprimento de prazos; (vi) dano
reputao; (vii) violaes de requisitos legais, regulatrios ou contratuais.29
! Critrios para a aceitao do risco: estabelece uma escala de nveis de aceitao dorisco, normalmente, depende das polticas, metas e objetivos da organizao, assimcomo dos interesses das partes interessadas. Segundo a norma, os critrios para a
aceitao do risco podem possuir limites diversos, em que riscos acima do patamar
estabelecido podem ser aceitos sob circunstncias definidas. Alm disso, diferentes
critrios podem ser aplicados a diferentes classes de risco, podem incluir requisitos
para um tratamento adicional futuro, e podem ser diferenciados de acordo com o
tempo de existncia previsto do risco. A norma ressalta, ainda, que devem ser
considerados no estabelecimento desses critrios os seguintes itens: (i) critrios de
negcio; (ii) aspectos legais e regulatrios; (iii) operaes; (iv) tecnologia; (v)
finanas; e (vi) fatores sociais e humanitrios.
3.1.3.2 Definio do escopo e limites
O escopo e o limite do processo de gesto de risco definem a abrangncia do processo
sobre os ativos da organizao. importante que sejam reunidas informaes sobre a
organizao, e que sejam consideradas as seguintes informaes: (i) objetivos estratgicos,
polticas e estratgias da organizao; (ii) processos de negcio; (iii) funes e estrutura da
organizao; (iv) requisitos legais, regulatrios e contratuais aplicveis organizao; (v)
poltica de segurana da informao da organizao; (vi) abordagem da organizao gesto
de riscos; (vi) ativos de informao; (vii) localidades em que a organizao se encontra e suas
caractersticas geogrficas; (viii) restries que afetam a organizao; (ix) expectativas das
partes interessadas; (x) ambiente sociocultural; e (xi) interfaces, ou seja, a troca de informao
com o ambiente.
3.1.3.3 Organizao para gesto de riscos
Um grupo ou frao da organizao deve ser estabelecido e mantido para executar o
processo de gesto de risco. Conforme a ISO/IEC 27005, os papis e responsabilidades desse
grupo so: (i) desenvolvimento do processo de gesto de riscos de segurana da informao
adequado organizao; (ii) identificao e anlise das partes interessadas; (iii) definio dos
29Ibid.
8/13/2019 Pedro Jorge
22/77
16
papis e responsabilidades de todas as partes, internas e externas organizao; (iv)
estabelecimento das relaes necessrias entre a organizao e as partes interessadas, das
interfaces com as funes de alto nvel de gesto de riscos da organizao , assim como das
interfaces com outros projetos ou atividades relevantes; (v) definio de aladas para a
tomada de decises; e (vi) especificao dos registros a serem mantidos.
3.1.4 Anlise/avaliao de riscos
A anlise/avaliao de riscos identifica, quantifica ou descreve qualitativamente os riscos,
o que capacita os gestores a prioriz-los de acordo com a sua gravidade e com os critrios
estabelecidos na definio do contexto. Tem como entrada os critrios bsicos, o escopo e os
limites, e a organizao do processo de gesto de riscos, e como sada uma lista de riscos
avaliados, ordenados por prioridade de acordo com os critrios de avaliao deriscos.
Segundo a ISO/IEC 27005 a anlise/avaliao de riscos executada freqentemente em
duas ou mais iteraes. A primeira seria uma avaliao de alto nvel que identifica os riscos
com potencial de alto impacto. Esses riscos so avaliados com maior profundidade em uma
segunda iterao. Caso ainda no seja possvel avaliar o risco de maneira satisfatria, anlises
detalhadas precisaro ser executadas, provavelmente em apenas partes do escopo e
possivelmente usando outro mtodo.
A anlise/avaliao de riscos desenvolve duas atividades: anlise de risco, que se divide
em identificao e estimativa de riscos; e avaliao de riscos.
3.1.4.1 Anlise de riscos
3.1.4.1.1 Identificao de riscos
O objetivo identificar os elementos constituintes do risco, determinando os eventos que
possam causar uma perda potencial a organizao. As atividades desenvolvidas so as
seguintes: (i) identificao de ativos; (ii) identificao de ameaas; (iii) identificao decontroles; (iv) identificao de vulnerabilidades; e (v) identificao de conseqncias. As
informaes coletadas servem de entrada para a estimativa de riscos.30
30Ibid.
8/13/2019 Pedro Jorge
23/77
17
! Identificao de ativos: essa atividade visa identificar os ativos dentro do escopo queprecisa ter os seus riscos gerenciados. Recebe como entrada: o escopo e limites para a
anlise/avaliao de riscos, e uma lista de preliminar dos ativos com os respectivos
responsveis, localidade, funo e outras caractersticas dos ativos; e como sada: uma
lista de ativos cujos riscos precisam ser controlados, e uma lista de processos do
negcio relacionados aos ativos e suas relevncias.31
A identificao dos ativos, de acordo com a norma, deve ser executada com um
detalhamento adequado que fornea informaes suficientes para as etapas seguintes
do processo. O detalhamento pode ser aprofundado a cada iterao da
anlise/avaliao de riscos.
Para cada ativo importante que seja identificado um responsvel, o qual pode no
possuir a propriedade do ativo, mas tem responsabilidade sobre sua produo,
desenvolvimento, manuteno, utilizao e segurana. O responsvel pelo ativo
freqentemente a pessoa mais adequada para determinar o valor do mesmo para a
organizao.32
! Identificao de ameaas: recebe como entrada: informaes sobre ameaas obtidasa partir da anlise crtica de incidentes, dos responsveis pelos ativos, de usurios e de
outras fontes, incluindo catlogos externos de ameaas; e como sada: uma lista de
ameaas com a identificao do tipo e da fonte das ameaas.33
Conforme a ISO/IEC 27005, uma ameaa tem o potencial de comprometer ativos e
pode provocar impactos diferentes, dependendo de quais ativos so afetados. Alm
disso, podem ser de origem natural ou humana, podem ser acidentais ou intencionais e
podem surgir de dentro ou de fora da organizao. As fontes das ameaas acidentais e
das intencionais devem ser identificadas. As ameaas podem ser identificadas
genericamente e por classe (por exemplo: aes no autorizadas, comprometimento da
informao, falhas tcnicas) e, em situaes especficas, elas podem ser detalhadas.
31Ibid.
32Ibid.
33Ibid.
8/13/2019 Pedro Jorge
24/77
18
! Identificao dos controles existentes: recebe como entrada a documentao doscontroles e o plano de tratamento de risco, e como sada uma lista de todos os
controles existentes e planejados, sua implementao estatusde utilizao.34
Conforme a ISO/IEC 27005 a identificao dos controles evita custos e trabalhodesnecessrios. Um controle que no funcione como esperado pode provocar o
surgimento de vulnerabilidades, por isso importante medir a eficcia dos controles.
Uma maneira para estimar o efeito do controle ver o quanto ele reduz a
probabilidade da ameaa, a facilidade de explorao de uma vulnerabilidade ou o
impacto do incidente.
Os controles podem ser considerados ineficazes, insuficientes ou no-justificados. Os
controles insuficientes ou no-justificados devem ser avaliados para determinar se
convm que o mesmo seja removido, substitudo por outro mais adequado ou se deve
permanecer.
As atividades de identificao dos controles so as seguintes: (i) reviso da
documentao dos controles existentes ou planejados; (ii) verificar com os gestores de
segurana e com os usurios quais controles, relacionados ao escopo, esto realmente
implementados; (iii) revisar, no local, os controles fsicos, comparando os controles
implementados com a lista de quais deveriam estar presentes, e verificar se aqueles
implementados esto funcionando efetivamente; (iv) analisar criticamente osresultados de auditorias internas.
35
! Identificao das vulnerabilidades: recebe como entrada: (i) uma lista de ameaasconhecidas; (ii) listas de ativos; e (iii) uma lista de controles existentes; e como sa da:
(i) uma lista de vulnerabilidades associadas aos ativos, s ameaas e aos controles; e
(ii) uma lista de vulnerabilidades que no se refere a nenhuma ameaa identificada
para anlise.36
As vulnerabilidades, segundo a norma, podem ser identificadas nas seguintes reas: (i)
organizao; (ii) processos e procedimentos; (iii) rotinas de gesto; (iv) recursos
humanos; (v) ambiente fsico; (vi) configurao do sistema de informao; (vii)
34Ibid.
35Ibid.
36Ibid.
8/13/2019 Pedro Jorge
25/77
8/13/2019 Pedro Jorge
26/77
20
3.1.4.1.2 Estimativa de riscos
A estimativa de riscos visa mensurar a conseqncia ou impacto dos cenrios de
incidente e estimar a sua probabilidade. As atividades que realiza so as seguintes: (i)
avaliao das conseqncias; (ii) avaliao da probabilidade dos incidentes; (iii) estimativa donvel de risco.
! Metodologias para a estimativa de riscos: a estimativa de risco pode ser realizadaem diversos graus de detalhamento, j que a anlise/avaliao de riscos normalmente
feita em pelo menos duas iteraes do processo.A primeira iterao seria de alto nvel
com o objetivo de identificar os grandes riscos que a organizao est exposta e para
tanto utilizaria um mtodo qualitativo. Uma segunda iterao mais detalhada utilizaria
mtodos quantitativos para estimar os riscos considerados mais graves pela
organizao.
Os mtodos de estimativa qualitativa utilizam uma escala de palavras que
qualificam ou que descrevem a gravidade das conseqncias identificadas, como por
exemplo, pequeno, mdio e grande, e a probabilidade das ameaas ocorrerem. Um
mtodo qualitativo de fcil compreenso por qualquer pessoa e pouco oneroso,
porm a dependncia escolha subjetiva da escala uma desvantagem. Conforme a
ISO/IEC 27005, a estimativa qualitativa pode ser utilizada: (i) como uma verificao
inicial a fim de identificar riscos que exigiro uma anlise mais detalhada; (ii) quandoesse tipo de anlise suficiente para a tomada de decises; e (iii) quando os dados
numricos ou recursos so insuficientes para uma estimativa quantitativa.
Os mtodos de estimativa quantitativosutilizam escalas com valores numricos para
definir as conseqncias e a probabilidade. Utilizam, na maioria dos casos, dados
histricos de incidentes que podem ser relacionados aos objetivos e interesses da
organizao, porm a falta desses dados principalmente sobre novos riscos inviabiliza
a sua utilizao. Uma desvantagem da abordagem quantitativa ocorre quando dados
factuais e auditveis no esto disponveis. Nesse caso, a exatido da anlise/avaliao
de riscos e os valores associados tornam-se ilusrios. Por isso, a incerteza e a
variabilidade das conseqncias e da probabilidade devem ser consideradas na anlise
e comunicadas de forma eficaz.40
40Ibid.
8/13/2019 Pedro Jorge
27/77
21
! Avaliao das conseqncias: o objetivo avaliar o impacto sobre o negcio daorganizao, que pode ser causado por incidentes de segurana da informao. Recebe
como entrada uma lista de cenrios de incidentes identificados como relevantes,
incluindo a identificao de ameaas, vulnerabilidades, ativos afetados e
conseqncias para os ativos e processos do negcio. A sada uma lista de
conseqncias avaliadas referentes aos cenrios de incidentes, relacionadas aos ativos
e critrios de impacto, conforme definido no contexto.41
O valor dos ativos presentes no escopo deve ser considerado, de acordo com a
ISO/IEC 27005, para avaliar as possveis perdas que a organizao est sujeita. Os
ativos so valorados segundo a sua criticidade, isto , em relao ao seu custo de
reposio e as conseqncias ao negcio relacionadas perda ou ao comprometimento
do ativo. Essa valorao pode ser determinada a partir deuma anlise de impacto nonegcio BIA (Business Impact Analysis).
Vale destacar que um incidente pode afetar mais de um ativo ou somente parte de um
ativo. Alm disso, a criao de modelos com os resultados de um evento ou um
conjunto de eventos a partir de estudos experimentais ou dados passados contribuem
para determinar a extenso dos danos causados por um cenrio de incidente e a relao
de dependncia entre os ativos. As conseqncias podem ser expressas em funo dos
critrios monetrios, tcnicos ou humanos, de impacto ou de outro critrio relevante
para a organizao.42
! Avaliao da probabilidade dos incidentes: recebe como entrada: (i) uma lista decenrios de incidentes identificados como relevantes, incluindo a identificao de
ameaas, ativos afetados, vulnerabilidades exploradas e conseqncias para os ativos e
processos do negcio; e (ii) listas com todos os controles existentes e planejados, sua
eficcia, implementao e status de utilizao. A sada a probabilidade dos cenrios
de incidentes, utilizando um mtodo quantitativo ou qualitativo.43
importante observar a freqncia da ocorrncia das ameaas e a facilidade com que
as vulnerabilidades podem ser exploradas, considerando o seguinte: (i) a experincia
passadas e estatsticas aplicveis referentes probabilidade da ameaa; (ii) a
41Ibid.
42Ibid.
43Ibid.
8/13/2019 Pedro Jorge
28/77
22
motivao e as competncias, que mudam ao longo do tempo, os recursos disponveis
para possveis atacantes, bem como a percepo da vulnerabilidade e o poder da
atrao dos ativos para um possvel atacante, no caso de ameaas intencionais; (iii)
fatores geogrficos, a possibilidade de eventos climticos extremos e fatores que
poderiam acarretar erros humanos e o mau funcionamento de equipamentos, no caso
de ameaas acidentais; (iv) vulnerabilidades, tanto individualmente como em
conjunto; e (v) os controles existentes e a eficcia com que eles reduzem as
vulnerabilidades.44
! Estimativa do nvel de risco: o objetivo estimar o nvel de riscos de todos cenriosde incidentes considerados relevantes. Recebe como entrada uma lista de cenrios de
incidentes com suas conseqncias associadas aos ativos, processos de negcio e suas
probabilidades. A sada uma lista de riscos com nveis de valores designados.45
Segundo a ISO/IEC 27005, o risco estimado por meio da combinao entre a
probabilidade de um cenrio de incidente e suas conseqncias. Desse modo, so
designados valores, de natureza quantitativa ou qualitativa, para a probabilidade e para
as conseqncias de um risco. Por conseguinte, o nvel de risco dos cenrios de
incidentes determinado. Alm disso, a estimativa de risco pode considerar o custo-
benefcio, as preocupaes das partes interessadas e outras variveis, conforme
apropriado para a avaliao de riscos.
3.1.4.2 Avaliao de riscos
A avaliao de riscos visa comparar o nvel de riscos dos cenrios de incidentes
encontrados com os critrios de avaliao de riscos e com os critrios para a aceitao do
risco. As entradas da atividade so (i) uma lista de riscos com nveis de valores designados e
(ii) critrios para a avaliao de riscos.A sada uma lista de riscos ordenados por prioridade,
de acordo com os critrios de avaliao de riscos,e associados aos cenrios de incidentes que
os provocam.
46
Os riscos estimados so avaliados por meio dos critrios de avaliao de riscos e dos
critrios para a aceitao do risco estabelecidos durante a definio do contexto. Neste estgio
44Ibid.
45Ibid.
46Ibid.
8/13/2019 Pedro Jorge
29/77
23
o contexto deve ser revisado detalhadamente em que se conhece mais sobre os riscos
identificados. Alm disso, os critrios de avaliao de riscos devem ser consistentes com o
contexto interno e externo da organizaoe devem considerar os objetivos da organizao e o
ponto de vista das partes interessadas. Vale destacar que a agregao de mltiplos riscos
pequenos e mdios pode resultar em um risco significativo que precisar ser tratado
adequadamente.47
Segundo a ISO/IEC 27005 os seguintes itens devem ser considerados:
! As propriedades da segurana da informao (confidencialidade, integridade edisponibilidade). Caso um critrio no seja importante para a organizao, logo, todos
os riscos que provocam esse tipo de impacto podem ser considerados irrelevantes.
! A importncia do processo de negcios ou da atividade suportada por um determinadoativo ou conjunto de ativos. Os riscos associados a processos julgados de baixa
importncia devem ser menos considerados que os associados a processos mais
importantes.
Com a avaliao de riscos a etapa de anlise/avaliao de riscos termina, caso os
resultados tenham sido insatisfatriosdeve-se retornar ao estabelecimento do contexto, caso a
avaliao tenha sido satisfatria passa-se ao tratamento do risco.
3.1.5 Tratamento do risco
O tratamento do risco visa selecionar controles para reduzir, reter, evitar ou transferir os
riscos e definir um plano de tratamento do risco Recebe como entrada uma lista de riscos
ordenados por prioridade e associados aos cenrios de incidentes que os provocam, e como
sada o plano de tratamento do risco e os riscos residuais, sujeitos deciso de aceitao por
parte dos gestores da organizao.48 A Figura 4 ilustra a atividade de tratamento de risco
dentro do processo de gesto de risco de segurana da informao.
Conforme a ISO/IEC 27005, as opes do tratamento do risco so selecionadasconsiderando o resultado da anlise/avaliao de riscos, o custo esperado para implementao
dessas opes e os benefcios previstos. Porm os riscos improvveis e de impacto severo
podem exigir controles que no so justificveis do ponto de vista estritamente econmico,
47Ibid.
48Ibid.
8/13/2019 Pedro Jorge
30/77
24
como por exemplo, controles de continuidade de negcios. Alm disso, as quatro opes para
o tratamento do risco no so mutuamente excludentes, pode haver combinaes entre elas de
modo a beneficiar a organizao.
O plano de tratamento do risco deve identificar claramente a ordem de prioridade em que
as formas de tratamento do risco sejam implementadas, assim como os seus prazos de
execuo. Algumas formas de tratamento do risco podem lidar com mais de um risco de
forma efetiva, por exemplo, o treinamento e a conscientizao emsegurana.
Aps a definio do plano de tratamento do risco, os riscos residuais precisam ser
determinados. Para isso, ocorre uma repetio da anlise/avaliao de riscos, considerando os
efeitos previstos do tratamento do risco que foi proposto. Caso o risco residual ainda no
satisfaa os critrios para a aceitao do risco da organizao, uma nova iterao do
tratamento do risco pode ser necessria antes de se prosseguir aceitao do risco. 49A seguir
as opes de tratamento do risco so detalhadas.
Figura 4 A atividade de tratamento do risco segundo a norma ISO/IEC 27005.
49Ibid.
8/13/2019 Pedro Jorge
31/77
25
! Reduo do risco: consiste na tomada de aes para reduzir a probabilidade, asconseqncias negativas, ou ambas, associadas a um risco.Nesse caso o nvel de risco
reduzido atravs da seleo de controles, para que o risco residual possa ser
reavaliado e ento considerado aceitvel.50
No mbito de um sistema de gesto da segurana da informao em que a gesto de
risco estinserida, a seleo de controles para reduo do riscose d dentre as opes
oferecidas pela norma ISO/IEC 27002 Cdigo de prtica para a gesto da segurana
da informao.
A escolha dos controles, de acordo com a ISO/IEC 27005, deve considerar: (i)
critrios para a aceitao do risco; (ii) requisitos legais, regulatrios e contratuais; (iii)
custos e prazos para a aquisio, implementao, administrao, operao,
monitoramento e manuteno dos controles em relao ao valor dos ativos sendo
protegidos; (iv) o retorno do investimento em segurana, na forma da reduo do risco
e da possibilidade de se explorar novas oportunidades de negcio em funo da
existncia de certos controles; (v) aspectos tcnicos, culturais e ambientais; (vi)
competncias especializadas que possam ser necessrias para definir e implementar
novos controles ou modificar os existentes. Vale ressaltar que os controles podem
fornecer os seguintes tipos de proteo: correo, eliminao, preveno, minimizao
do impacto, dissuaso, deteco, recuperao, monitoramento e conscientizao.
Um controle pode afetar o desempenho de um sistema ou processos de uma
organizao. Por isso importante que uma soluo que satisfaa os requisitos de
desempenho e que possa, ao mesmo tempo, garantir um nvel suficiente de segurana
da informao seja encontrada.51
A norma destaca a necessidade de considerar restries que podem afetar a seleo de
controles, as quais podem ser da seguinte natureza: temporais, financeiras, tcnicas,
operacionais, culturais, ticas, ambientais, legais, facilidade de uso, restries de
recursos humanos e restries ligadas integrao dos controles novos aos j
existentes.
50Ibid.
51Ibid.
8/13/2019 Pedro Jorge
32/77
8/13/2019 Pedro Jorge
33/77
27
3.1.6 Aceitao do risco
A aceitao do risco a formalizao pela autoridade competente da deciso de aceitar o
risco. Recebe como entrada: o plano de tratamento do risco e a anlise/avaliao do risco
residual sujeito deciso dos gestores da organizao relativa aceitao do mesmo. A sadada atividade uma lista de riscos aceitos, incluindo uma justificativa para aqueles que no
satisfaam os critrios normais para aceitao do risco.55
Os gestores da organizao devem analisar o plano de tratamento de risco e os riscos
residuais e, no caso de aprovao dos mesmos, as condies associadas aprovao devem
ser registradas.
Conforme a ISO/IEC 27005, os critrios para a aceitao do risco podem ser mais
complexos do que a verificao se o risco residual est acima ou abaixo do limite
determinado pela organizao. possvel que o nvel de risco residual no satisfaa os
critrios para a aceitao do risco aplicados no momento. Em algum destes casos os gestores
podem aceitar o risco desce que a deciso seja formalizada e comente explicitamente sobre o
risco e inclua uma justificativa para ultrapassar os critrios normais para a aceitao do risco.
3.1.7 Comunicao do risco
A comunicao do risco preconiza o compartilhamento contnuo das informaes
referentes aos riscos entre as partes interessadas durante todo o processo de gesto de risco.Recebe como entrada todas as informaes sobre os riscos obtidas atravs das atividades de
gesto de riscos. A sada da atividade o entendimento contnuo do processo de gesto de
riscos de segurana da informao da organizao e dos resultados obtidos.56
A comunicao do risco uma atividade bidirecional, em que se busca o consenso entre
os tomadores de deciso e as partes interessadas sobre como os riscos devem ser gerenciados.
Entretanto, a percepo do risco varia devido a diferenas de suposies, conceitos,
necessidades, interesses e preocupaes das partes interessadas quando lidam com o risco.
importante que a sua percepo do risco, as razes subjacentes e a sua percepo dos
benefcios sejam claramente entendidas, consideradas e documentadas. Alm disso, a
comunicao eficaz impacta significativamente sobre a tomada de deciso, j que ela
55Ibid.
56Ibid.
8/13/2019 Pedro Jorge
34/77
28
assegurar que todos tenham um bom entendimento do por que as decises so tomadas e dos
motivos que tornam certas aes necessrias.57
As informaes que devem ser compartilhadas, conforme a ISO/IEC 27005, incluem,
dentre outros fatores, a existnciado risco, sua natureza, forma, probabilidade, severidade,tratamento e aceitabilidade.
A norma aponta que a comunicao do risco realizada com a finalidade de: (i) fornecer
garantia do resultado da gesto de riscos da organizao; (ii) coletar informaes sobre os
riscos; (iii) compartilhar os resultados da anlise/avaliao de riscos e apresentar o plano de
tratamento do risco; (iv) evitar ou reduzir tanto a ocorrncia quanto as conseqncias das
violaes da segurana da informao que aconteam devido falta de entendimento mtuo
entre os tomadores de deciso e as partes interessadas; (v) dar suporte ao processo decisrio;
(vi) obter novo conhecimento sobre a segurana da informao; (vii) coordenar com outras
partes e planejar respostas para reduzir as conseqncias de um incidente; (viii) dar aos
tomadores de deciso e as partes interessadas um senso de responsabilidade sobre riscos; e
(ix) melhorar a conscientizao.
3.1.8 Monitoramento e anlise crtica de riscos
O monitoramento e anlise crtica de riscos um conjunto de atividade continuamente
executo que visa monitorar as mudanas no contexto, nos componentes do risco e aprimorar o
processo de gesto de risco.Dividi-se em duas atividades: (i) monitoramento e anlise crtica
dos fatores de risco, e (ii) monitoramento, anlise crtica e melhoria do processo de gesto de
risco.
! Monitoramento e anlise crtica dos fatores de risco: os componentes do risco, isto, valor dos ativos, impactos, ameaas, vulnerabilidades, probabilidade de ocorrncia,
devem ser monitorados a analisados criticamente para detectar qualquer mudana no
contexto da organizao. Recebe como entrada todas as informaes sobre os riscos
obtidas atravs das atividades de gesto de riscos. A sada da atividade o
alinhamento contnuo dagesto de riscos com os objetivos de negcios da organizao
e com os critrios para a aceitao do risco.58
57Ibid.
58Ibid.
8/13/2019 Pedro Jorge
35/77
29
Os riscos no so estticos, os seus componentes podem mudar repentinamente, sem
qualquer indicao, da a importncia do monitoramentoe anlise crtica. Segundo a
norma os seguintes itens devem ser monitorados: (i) novos ativos que tenham sido
includos no escopo da gesto de riscos; (ii) modificaes necessrias dos valores dos
ativos; (iii) novas ameaas que podem estar ativas tanto fora quanto dentro da
organizao; (iv) o surgimento de vulnerabilidades novas ou as que j identificadas se
ampliem devido s novas ameaas; (v) as conseqncias ou o impacto ampliado de
ameaas, vulnerabilidades e riscos avaliados em conjunto; e (vi) incidentes
relacionados segurana da informao.
! Monitoramento, anlise crtica e melhoria do processo de gesto de risco: oprocesso de gesto de riscos deve ser continuamente monitorado, analisado
criticamente e melhorado. Recebe como entrada: todas as informaes sobre os riscos
obtidos atravs das atividades de gesto de riscos, e como sados: a garantia
permanente da relevncia do processo de gesto de riscos de segurana da informao
para os objetivos de negcios da organizao ou a atualizao do processo.59
As atividades e os resultados do processo de gesto de risco devem ser acompanhados
para verificar se permanecem apropriados as circunstncias da organizao. As
melhorias devem ser comunicadas aos gestores apropriados, para aumentar a garantia
de que os riscos foram corretamente considerados e para garantir uma compreenso
realista do risco e da capacidade de reao. Alm disso, os critrios utilizados para
mensurar o risco devem ser avaliados se continuam vlidos e coerentes com as
necessidades da organizao.60
A atividade de monitoramento e anlise crtica, de acordo com a ISO/IEC 27005, deve
acompanhar as mudanas nos seguintes aspectos: (i) contexto legal e do ambiente; (ii)
contexto da concorrncia; (iii) mtodo de anlise/avaliao de riscos; (iv) valor e as
categorias dos ativos; (v) critrios de impacto; (vi) critrios para a avaliao de riscos;
(vii) critrios para a aceitao do risco; (viii) custo total de propriedade; e (ix) recursosnecessrios.
O monitoramento da gesto de riscos pode resultar em modificao ou acrscimo da
abordagem, metodologia ou ferramentas utilizadas, dependendo: (i) das mudanas
59Ibid.
60Ibid.
8/13/2019 Pedro Jorge
36/77
30
identificadas; (ii) da iterao da anlise/avaliao de riscos; (iii) do objetivo do
processo de gesto de riscos de segurana da informao; e (iv) do objeto de interesse
do processo de gesto de riscos de segurana da informao.61
3.2 Administrao pblica
Segundo Hely Lopes Meirelles62 a administrao pblica, em sentido formal, o
conjunto de rgos institudos para consecuo dos objetivos do Governo; em sentido
material, o conjunto das funes necessrias aos servios pblicos em geral; em acepo
operacional, o desempenho perene e sistemtico, legal e tcnico, dos servios prprios do
Estado ou por ele assumidos em beneficio da coletividade. Numa viso global, a
Administrao , pois, todo o aparelhamento do Estado preordenado realizao de seus
servios, visando satisfao das necessidades coletivas. AAdministrao no pratica atos degoverno; pratica, to-somente, atos de execuo, com maiorou menor autonomia funcional,
segundo a competncia do rgo e de seus agentes.
Em sentido material ou objetivo, conforme Maria Sylvia Zanella Di Pietro63
, a
administrao pblica abrangeas seguintes atividades o fomento, a polcia administrativae
o servio pblico.
O fomento abrange a atividade administrativa de incentivo a iniciativa privada de
utilidade pblica. So exemplos de fomento auxlios financeiros ou subvenes,financiamentos sob condies especiais, favores fiscais, desapropriaes e a interveno. Esta
ltima compreende a regulamentao e fiscalizao da atividade econmica de natureza
privada, bem como a atuao direta do Estado no domnio econmico, o que se d
normalmente por meio das empresas estatais.
A polcia administrativa compreende toda atividade de execuo das limitaes
administrativas, que so restries impostas por lei ao exerccio de direitos individuais em
benefcio do interesse coletivo. Compreende medidas de polcia, como ordens, notificaes,
licenas, autorizaes, fiscalizao e sanes.
61Ibid.
62MEIRELLES, H. L. Direito Administrativo Brasileiro. So Paulo: Malheiros, 2005.
63DI PIETRO, M. S. Z. Direito Administrativo. So Paulo: Atlas, 2006.
8/13/2019 Pedro Jorge
37/77
31
Servio pblico toda atividade que a Administrao Pblica executa, direta ou
indiretamente, para satisfazer necessidade coletiva. Quanto ao objeto, os servios pblicos
podem ser classificados como administrativos, comerciais ou industriais e sociais64
.
! Os servios administrativosso os que a Administrao Pblica executa paraatender s suas necessidades internas ou preparar outros servios que sero
prestados ao pblico, tais como os da imprensa oficial, das estaes
experimentais e outros dessa natureza65.
! Servio pblico comercial ou industrial aquele que a Administrao Pblicaexecuta, direta ou indiretamente, para atender s necessidades coletivas de ordem
econmica. o caso dos servios de transportes, energia eltrica,
telecomunicaes e outros. Esses servios no se confundem com a atividade
econmica que s pode ser prestada pelo Estado em carter suplementar da
iniciativa privada, os quais so considerados como atividade de fomento.
! Servio pblico social o que atendea necessidades coletivas em que a atuaodo Estado essencial, mas que convivem com a iniciativa privada, tal como
ocorre com os servios de sade, educao, previdncia, cultura, meio ambiente;
rgos pblicos so centros de competncia institudos para o desempenho de funes
estatais, atravs de seus agentes, cuja atuao imputada pessoa jurdica a quepertencem.
So unidades de ao com atribuies especificas na organizao estatal. Cada rgo,como
centro de competncia governamental ou administrativa, tem necessariamente funes, cargos
e agentes, mas distinto desses elementos, que podem ser modificados, substitudos ou
retirados sem supresso da unidade orgnica. Isto explica por que a alterao de funes, ou a
vacncia doscargos, ou a mudana de seus titulares no acarreta a extino do rgo.
Os rgos integram a estrutura do Estado e das demais pessoas jurdicas como partes
desses corpos vivos, dotados de vontade e capazes de exercer direitos e obrigaes para a
consecuo de seus fins institucionais. Por isso mesmo, os rgos no tm personalidade
jurdica nem vontade prpria, que so atributos do corpo e no das partes, mas na reade suas
atribuies e nos limites de sua competncia funcional expressam a vontade da entidade aque
pertencem e a vinculam por seus atos, manifestados atravs de seus agentes (pessoas fsicas).
64Ibid.
65MEIRELLES, op. cit.
8/13/2019 Pedro Jorge
38/77
32
A natureza da administrao pblica a de um mnus pblico para quem aexerce, isto ,
a de um encargo de defesa, conservao e aprimoramento dos bens, servios einteresses da
coletividade. Como tal, impe-se ao administrador pblico a obrigao de cumprirfielmente
os preceitos do Direito e da moral administrativa que regem a sua atuao. Ao ser investido
em funo ou cargo pblico, todo agente do poder assume para com a coletividade o
compromisso de bem servi-la, porque outro no o desejo do povo, como legitimo
destinatrio dos bens, servios einteresses administrados pelo Estado.
Os fins da administrao pblica resumem-se num nico objetivo: o bem comum da
coletividade administrada. Toda atividade do administrador pblico deve ser orientada para
esse objetivo. Se dele o administrador se afasta ou desvia, trai o mandato de que est
investido, porque a comunidade no institui a administrao sendo como meio de atingir o
bem-estar social. Ilcito e imoral ser todo ato administrativo que no for praticado nointeresse da coletividade.
3.2.1 Princpios da administrao pblica
Conforme Meirelles66
, os princpios bsicos da administrao pblica esto
consubstanciados em regras de observncia permanente e obrigatria: legalidade,moralidade,
impessoalidade e publicidade, eficincia, razoabilidade, proporcionalidade, ampla defesa,
contraditrio, segurana jurdica, motivao e supremacia do interesse pblico. Di Pietro
ainda acrescenta, dentre outros, o princpio da continuidade do servio pblico. Por esses
padres que se pautam todos os atos administrativos. Constituem os fundamentos da ao
administrativa, so os sustentculos da atividade pblica. Seroabordados em mais detalhes
alguns desses princpios.
A legalidade, como principio de administrao, significa que o administrador pblico
est sujeito aos mandamentos da lei e s exigncias do bem comum, e deles no se pode
afastar ou desviar, sob pena de praticar ato invlido e expor-se a responsabilidade disciplinar,
civil e criminal, conforme o caso. A eficcia de toda atividade administrativa estcondicionada ao atendimento da lei. Na Administrao Pblica no h vontade pessoal.
Enquanto na administrao particular lcito fazer tudo que a lei no probe, na
Administrao Pblica s permitido fazer o que a lei autoriza.67
66MEIRELLES, op. cit.
67Ibid.
8/13/2019 Pedro Jorge
39/77
33
A moralidade administrativa significa atuao segundo padres ticos de probidade,
decoro e boa-f. Constitui um pressuposto de validade de todo ato da Administrao Pblica.
O agente pblico no poder desprezar o elemento tico de sua conduta. Ele no ter que
distinguir somente entre o bem e o mal, o legal e o ilegal, o justo e o injusto, o conveniente e
o inconveniente, o oportuno e o inoportuno, mas tambmentre o honesto e o desonesto. H
uma moral institucional contida na lei e h uma moral administrativa, que imposta de dentro
e vigora no prprio ambiente institucional e condiciona a utilizao de qualquer poder
jurdico, mesmo o discricionrio.68O ato administrativo no terque obedecer somente lei
jurdica, mas tambm lei tica da prpria instituio, porque nem tudoque legal honesto.
A moral comum imposta ao homem para sua conduta externa; a moral administrativa
imposta ao agente pblico para sua conduta interna, segundo as exigncias da instituio a
que serve e a finalidade de sua ao: o bem comum.
69
O princpio da impessoalidade, ou ainda princpio da finalidade, impe ao administrador
pblico ques pratique o ato para o seufim legal. Significa que Administrao Pblica no
pode atuar com vistas a prejudicar ou beneficiar pessoas determinadas, visto que sempre o
interesse pblico que deve nortear o seu comportamento.O ato administrativo que se afastar
desse objetivo estar sujeitoa invalidaopor desvio de finalidade, isto , fim diverso daquele
previsto, explcita ou implicitamente, na regra de competncia do agente. Esse princpio
tambm se aplica no sentido de excluir a promoo pessoal de autoridades ou servidores
pblicos sobre suas realizaes administrativas.70
Publicidade a divulgao oficial do ato para conhecimento pblico e incio de seus
efeitos externos. Por isso as leis, atos e contratos administrativos que produzem
conseqncias jurdicas fora dos rgos que os emitem exigem publicidade para adquirirem
validade universal, isto , perante as partes e terceiros.A publicidade requisito de eficcia e
moralidade. Em princpio, todo ato administrativo deve ser publicado s se admitindo sigilo
nos casos em que a divulgao ponha em risco a segurana da sociedade e do Estado; ou viole
a intimidade, a vida privada, a honra e a imagem das pessoas; e investigaes policiais,
conforme prescrio legal. O princpio da publicidade dos atos e contratos administrativos
68DI PIETRO, op. cit.
69MEIRELLES, op. cit.
70Ibid..
8/13/2019 Pedro Jorge
40/77
34
visa propiciar seu conhecimento e controle pelos interessados diretos e pela sociedade em
geral.71
O princpio da razoabilidade e proporcionalidadeobjetiva adequar os meios e os fins
de um ato da administrao, de modo a evitar restries desnecessrias ouabusivas. A idia que seja guardada uma proporo adequada entre os meios que emprega e o fim que a lei
deseja alcanar, isto , que no se trate de uma medida desproporcionada, excessiva em
relao ao que se deseja alcanar. Deve haver uma relao de pertinncia entre oportunidade e
convenincia, de um lado, e a finalidade, de outro.A razoabilidade, agindo como um limite
discrio na avaliao dos motivos, exige que sejam eles adequveis, compatveis e
proporcionais, de modo a que o ato atenda a sua finalidade pblica especfica.72
A proporcionalidade deve ser medida no pelos critrios pessoais do administrador, mas
segundo padres comuns na sociedade em que vive, e no pode ser medida diante dos termos
frios da lei, mas diante do caso concreto. Com efeito, embora a norma legal deixe um espao
livre para deciso administrativa, segundo critrios de oportunidade e convenincia, essa
liberdade s vezes se reduz no caso concreto, onde os fatos podem apontar para o
administrador a melhor soluo.73
O princpio da motivaoexige que a Administrao Pblica indique os fundamentos de
fato e de direito de suas decises. Trata-se de uma formalidade necessria para permitir o
controle de legalidade dos atos administrativos. A motivao, normalmente, no exige formasespecficas, podendo ser ou no concomitante com o ato, alm de ser feita, mui tas vezes, por
rgo diverso daquele que proferiu a deciso. Freqentemente, a motivao consta de
pareceres, informaes, laudos, relatrios, feitos por outros rgos, sendo apenas indicados
como fundamento da deciso. Nesse caso, eles constituem a motivao do ato, dele sendo
parte integrante.74
O princpio de eficinciaexige que a atividade administrativa seja exercida com presteza,
perfeio e rendimento funcional.75 Este princpio apresenta dois aspectos: pode ser
considerado em relao aomodo de atuao do agente pblico, da qual se espera o melhor
desempenho possvel de suas atribuies, para lograr os melhores resultados; e em relao ao
71Ibid.
72DI PIETRO, op.cit.
73Ibid.
74Ibid.
75MEIRELLES, op.cit.
8/13/2019 Pedro Jorge
41/77
35
modo de organizar, estruturar, disciplinar a Administrao Pblica, tambm com o mesmo
objetivo de alcanar os melhores resultados na prestao do servio pblico.76
Di Pietro ressalta que h uma oposio entre o princpio da eficincia e o princpio da
legalidade, pois o que importa aos cidados que os servios pblicos sejam prestadosadequadamente. Entretanto, a eficcia no deve se confundir com a eficincia das
organizaes privadas nem , tampouco, um valor absoluto diante dos demais. O princpio da
legalidade deve ficar resguardado, porque a eficcia proposta pode sempre ser alcanada
conforme o ordenamento jurdico. Vale dizer que a eficincia princpio que se sorna aos
demais princpios impostos Administrao, no podendo sobrepor-se a nenhum deles,
especialmente ao da legalidade.77
A continuidade do servio pblicoexige que o servio pblico, sendo a forma pela qual
o Estado desempenha funes essenciais ou necessrias coletividade, no pode parar.
possvel citar como exemplo da aplicao desse princpio a necessidade de regulamentao
especfica, imposta pela Constituio, a greve de servidores pblicos e de trabalhadores de
setores essenciais a sociedade. Outro exemplo, para evitar a paralisao de obras e servios,
a vedao ao particular contratado, dentro de certos limites, opor em face da Administrao a
exceo de contrato no cumprido.78 Um exemplo mais recente, afeto a segurana da
informao, seria a gesto de continuidade de negcios, em que uma organizao mantm
suas atividades principais na ocorrncia de um desastre ou comprometimento de ativos vitais.
A supremacia do interesse pblicoou princpio da finalidade pblica significa que a
Administrao deve atuar atendendo aos fins de interesse geral, sendo vedada a renncia total
ou parcial de poderes ou competncias. A primazia do interesse pblico sobre o privado
inerente atuao estatal e domina-a, na medida em que a existncia do Estado justifica-se
pela busca do interesse geral.79
Por exemplo, se a lei d Administrao os poderes de
desapropriar, de requisitar, de intervir, de policiar, de punir, porque tem em vista atender ao
interesse geral, que no pode ceder diante do interesse individual. Em conseqncia, se, ao
usar de tais poderes, a autoridade administrativa objetiva prejudicar um inimigo poltico,beneficiar um amigo, conseguir vantagens pessoais para si ou para terceiros, estar fazendo
prevalecer o interesse individual sobre o interesse pblico e, em conseqncia, estar se
76DI PIETRO, op.cit.
77Ibid.
78FILHO, J. S. C. Manual de Direito Administrativo. Rio de Janeiro: Lmen Juris, 2006.
79MEIRELLES, op.cit.
8/13/2019 Pedro Jorge
42/77
36
desviando da finalidade pblica prevista na lei. Da o vcio do desvio de poder ou desvio de
finalidade, que torna o ato ilegal.80
80DI PIETRO, op.cit.
8/13/2019 Pedro Jorge
43/77
37
4 INSTRUMENTOS PARA ANLISE/AVALIAO DE
RISCO ENFOQUE DE ALTO NVEL
Os instrumentos para anlise/avaliao de risco com um enfoque de alto nvel propostos
objetivam identificar os requisitos de segurana da informao para um rgo da
Administrao Pblica e suportar a criao de um sistema de gesto de segurana da
informao. Os instrumentos foram desenvolvidos com o propsito de ser a primeira iterao
do processo de gesto de riscossegundo a ISO/IEC 27005. Por isso utilizam uma estimativa
qualitativa para os riscos, em que o impacto e a probabilidade dos cenrios de incidente so
mensurados a partir de escalas com atributos qualificadores.
As vantagens dessa abordagem em relao ao risco soa facilidade de compreenso pelas
pessoas envolvidas, mais rpida e menos custosa que uma estimativa quantitativa. Porm
uma desvantagem que vale destacar a escolha subjetiva das escalas. Para tentar minimizar ocarter subjetivo do processo indicado que uma equipe multidisciplinar trabalhe com a
gesto de risco, alm disso importante ouvir as pessoas das fraes da organizao
envolvidas no escopo, por meio de reunies, entrevistas, brainstorm, visitas, etc.
Na abordagem proposta, a organizao abordada de um modo global, os aspectos
tecnolgicos so considerados independentes das questes de negcio, isto , concentra-se
sobre o negcio e sobre o ambiente operacional e menos sobre os elementos tecnolgicos. Os
riscos decorrentes dessa anlise so considerados como categorias ou classes gerais. O
tratamento dos riscos caminha no sentido de propor controles organizacionais, considerando
os aspectos gerenciais de controles tcnicos. Logicamente, os riscos considerados graves
8/13/2019 Pedro Jorge
44/77
38
sero objetos de outras iteraes do processo de anlise/avaliao de riscos em que seus
componentes sero detalhados.81
Os instrumentos foram desenvolvidos para as seguintes atividades do processo de gesto
de risco de segurana da informaoconforme a ISO/IEC 27005:
i. Definio do contexto: definio do escopo e dos critrios de risco;ii. Anlise/Avaliao de riscos;
! Identificao de riscos: os ativos, processos, ameaas, vulnerabilidades e o impactodos cenrios de riscos so identificados;
! Estimativa de riscos: o nvel de impacto, probabilidade e nvel de risco so definidos;! Avaliao de riscos: os cenrios de incidentes so priorizados conforme os critrios
de risco;
As outras atividades da GRSI, aceitao do risco, comunicao do risco, e monitoramento
e anlise crtica dos riscos, seguiroas orientaesda norma ISO/IEC 27005:2008.
4.1 Definio do contexto
A definio do contexto um dos principais fatores do sucesso da gesto de risco.
Envolve a definio dos critrios bsicos de risco, a definio do escopo e limites da gesto
de riscos.
4.1.1 Definio do escopo
A norma ISO/IEC 27005 sugere tacitamente que os critrios bsicos sejam definidos
antes do escopo, porm o sentido natural do processo parece ser o contrrio. Para especificar
os critrios preciso considerar os processosestratgicos da organizao, os ativos crticos,
dentre outras informaes que necessariamente devero estar no escopo. Alm disso, os
critrios devem ser estabelecidos observando as caractersticas da organizao e tambm as
especificidades do escopo.
O processo de gesto de risco envolve algumas escolhas em termos de abrangncia. O
escopo o conjunto de ativos que ser coberto pelo processo. Um fator crtico para uma
81As diretrizes para uma metodologia de anlise/avaliao de riscos com um enfoque de alto nvel so descritos
no Anexo E da norma ISO/IEC 27005:2008.
8/13/2019 Pedro Jorge
45/77
39
organizao que est comeando um processo de gesto de risco o tamanho do escopo.
Escopos pequenos podem no ser eficientes, por no cobrirem todos os ativos crticos da
organizao e escopos muito grandes podem gerar projetos que no acabam nunca.82
O enfoque de alto nvel como primeira iterao do processo de gesto de risco visa organizao como um todo. Porm no ser preciso uma anlise exaustiva de todos os
elementos presentes no escopo, j que a abordagem concentra-se em aspectos gerais da
organizao. Todavia, vale destacar que o escopo deve ser definido de modo que o processo
de gesto de risco seja sustentvel.
Um ponto crtico da abordagem proposta o potencial de menos preciso por utilizar
uma estimativa qualitativa para os riscos, ento pode haver o perigo de algum ativo no ser
identificado entre aqueles que requerem uma segunda iterao. Isso pode ser contornado se o
levantamento de informaes sobre a organizao for adequado.
Uma forma de definir o escopo a elaborao de um documento com a estrutura
conforme a indicada abaixo ou que aborde os mesmos itens.83
1. Identificao da organizao
Negcio pblico: (Definido pelas tcnicas e know-howde seus funcionrios,viabiliza o cumprimento de sua misso. especfico rea de atividade daorganizao e freqentemente define sua cultura).
Misso: (A organizao atinge seupropsito ao cumprir sua misso. Para bem
identific-la os servios prestados devem ser relacionados aos seus pblicos-alvos)Valores: (So os princpios fundamentais ou um cdigo de conduta bem
definido, aplicados na rotina de um negcio pblico. Normalmente, incluem osrecursos humanos, as relaes com agentes externos, a qualidade dos produtosfornecidos ou dos servios prestados. A APF possui seu cdigo de tica em quemuitos desses valores podem ser encontrados, todavia vlido verificar se osvalores apontados so de fato aplicados a rotina do rgo).
Organograma: ( a estrutura da organizao esquematizada. Essarepresentao precisa deixar claro quem se reporta a quem, destacando tambm alinha de comando que legitima a delegao de autoridade. Convm que incluatambm outros tipos de relacionamentos, os quais, mesmo que no sejam
baseados em uma autoridade oficial, criam de qualquer forma caminhos para o
fluxo de informao).Objetivos: (So as metas, o que se pretende alcanar).Estratgia: ( a expresso formalizada dos princpios que norteiam a
organizao).Localidade e caractersticas geogrficas: (So as caractersticas da regio ou
82RAMOS, A. et al. Security Officer 1: guia oficial para a formao de gestores de segurana da
informao. Porto Alegre: Zouk, 2006.83Alguns itens foram retirados do Anexo A da norma ISO/IEC 27005:2008.
8/13/2019 Pedro Jorge
46/77
40
vizinhana onde a organizao est instalada).
2. Legislao aplicvel organizao: (So leis, decretos, portarias eregulamentos internos que dizem respeito organizao. Englobam tambmcontratos, acordos e, mais genericamente, qualquer obrigao de natureza legal ouregulatria).
3. Limites do escopo: (So os limites organizacionais e fsicos do escopo, comopor exemplo uma frao ou unidade da organizao, um processo ou servioespecfico ou uma certa localidade geogrfica).
4. Ativos de informao: (Neste ponto so listados os ativos de informao quefaro parte do escopo. Os ativos primrios e os de suporte e infra-estrutura poderoser relacionados em categorias conforme a profundidade que se que imprimir na
anlise, embora em uma abordagem de alto nvel no convenha descries muitodetalhadas. importante que sejam elencados tambm os processos estratgicos daorganizao relacionados ao escopo, visto que os ativos que os suportam soconsiderados mais relevantes).
5. Caractersticas da organizaoRestries que afetam a organizao: (As restries que afetam a
organizao e determinam o direcionamento da segurana da informao devemser elencadas.As suas origens podem ser encontradas na prpria organizao, o
que lhe d um certo controle sobre as restries ou talvez sejam externas organizao, o que as tornariam, provavelmente, inegociveis)
Expectativa das partes interessadas: (So as expectativas dos entesinteressados nas atividades da organizao. No caso da Administrao Pblicatemos os cidados, a opinio pblica, o governo, outros rgos pblicos, entidadesde classe, empresas, etc.).
Dentre esses requisitos de informao vale destacar algumas especificidades da
Administrao Pblica Federal.
4.1.1.1 Especificidades da Administrao Pblica Federal
A Administrao Pblica de modo geral tem sua atuao marcadamente distinta da
iniciativa privada. O ponto de maior destaque o princpio da legalidade que determina que a
eficcia da atividade administrativa esteja condicionada ao atendimento da lei. Enquanto na
iniciativa privada permitido fazer tudo que a lei no probe, na administrao pblica s
permitido fazer o que a lei autoriza.84
Nesse quesito h uma gama de diplomas legais relativos
segurana da informao, a contratao de serviose de pessoal, bem como a compra de
materiais, que os rgospblicos devem observar.
84MEIRELLES, op. cit. p. 88.
8/13/2019 Pedro Jorge
47/77
41
H ainda algumas restries que so comuns aos rgos pblicos que valem ser
destacadas:
! Restries de natureza poltica: a Administrao Pblica precisa aplicar as decisesgovernamentais relativas a orientaes estratgicas, operacionais, ou a polticaspblicas. Nesta questo merece destaque a descontinuidade administrativa. As
mudanas de direo normalmente so marcadas pelo rompimento de atividades e
programas, por modificaesna estrutura rgo, e nas chefias intermedirias. A troca
de governo, ou de gestor, vista como um momento em que naturalmente tudo vai
mudar, atividades e programas so rompidos, independentemente de poltica pblica,
partido ou sua efetividade anterior. O pressuposto dessa prtica que o novo novo e
o anterior passado, para o novo se estabelecer necessrio ignorar o anterior.
Conseqentemente, o novo se concebe virando a pgina para comear com umapgina em branco; os demais esperam para ver as novas direes aceitando a
autoridade do novo mandatrio.85Portanto, o planejamento de uma ao sistemtica
de gesto de risco ou de gesto de segurana da informao deve procurar se
estabelecer de modo formal e bem fundamentado para que no fique ao sabor das
mudanas ocasionadas pela descontinuidade administrativa.
! Restries oramentrias: a gesto do dinheiro pblico um processo complicado,regido pelo Sistema de Planejamento e de Oramento Federal, o qual formado por
um conjunto de agentes, mtodos e processos, tecnologias, recursos, normas tcnicas,
articulados entre si, orientados para as atividades de elaborao, acompanhamento e
avaliao de planos, programas e oramento. O modelo oramentrio do governo
composto por trs instrumentos bsicos o plano plurianual, a lei de diretrizes
oramentrias e a lei oramentria anual, os quais correspondem respectivamente aos
nveis estratgico, ttico e operacional.86A principal implicao desse sistema que a
dotao oramentria anual dos rgos pblicos feita com antecedncia. Ento a
previso de gastos com a gesto de riscos, implementaode controle, dentre outros,precisa ser feita com a mesma antecedncia.
85SPINK, Peter.Continuidade e Descontinuidade Administrativa. So Paulo: FGV, 2001.
86VOLPE, Ricardo Alberto. Viso abrangente do processo poltico e institucional de planejamento e
oramento. Disponvel em: . Acesso em10 out. 2008.
8/13/2019 Pedro Jorge
48/77
42
! Restries relativas aos recursos humanos: a Constituio diz que a investidura emcargo ou emprego pblico depende de aprovao prvia em concurso pblico de
provas ou de provas e ttulos, de acordo com a natureza e a complexidade do cargo ou
emprego. A realizao de um concurso pblico um processo demorado , precisa de
diversas autorizaes e estudos, por isso a contratao de pessoal para atender as
demandas da gesto de risco ou da segurana da informao pode se tornar um
processo intricado. Todavia, possvel a contratao de servidores temporrios,
mediante processo seletivo simplificado, para atender necessidade transitria de
excepcional interesse pblico, no caso em que a demora do procedimento do concurso
pblico pode ser incompatvel com as exigncias imediatas da Administrao . A
contratao de terceirizados possvel para os servios de vigilncia, deconservao e
limpeza, bem como para servios especializados ligados atividade-meio daorganizao, desde que no exista a pessoalidade e a subordinao direta do
trabalhador terceirizado. A subordinao aqui tratada no tcnica, o terceirizado no
pode ter seu trabalho dirigido diretamente pela organizao, isto , recebendo ordens e
submetendo-se ao poder disciplinar da organizao. Com relao pessoalidade
pressupe a realizao da atividade por sujeitoque no sejacerto nem determinado.
irrelevante a identidade do agente que desempenha a atividade, dado que a finalidade
da contratao limita-se obtenodo resultado material pactuado. Vale destacar que
o inadimplemento das obrigaes trabalhistas, por parte do empregador, implica aresponsabilidade subsidiria da Administrao Pblica. 87
4.1.2 C