Gestão de Riscos de TI - NBR 27005

August 14, 2017 | Author: Escola Superior de Redes | Category: Information Security, Standardization, Information Technology, Risk, Vulnerability (Computing)
Share Embed Donate


Short Description

Material didático do curso de Gestão de Riscos de TI - NBR 27005. O aluno desenvolve a capacidade de propor controles de...

Description

A RNP – Rede Nacional de Ensino e Pesquisa – é qualificada como uma Organização Social (OS), sendo ligada ao Ministério da Ciência, Tecnologia e Inovação (MCTI)

e

responsável

pelo

Programa Interministerial RNP,

LIVRO DE APOIO AO CURSO

que conta com a participação dos

O livro de apoio ao curso apresenta os conceitos de gestão de riscos a partir da norma NBR ISO 27005. Define conceitos e trabalha a contextualização do ambiente, identificação e levantamento dos riscos através do conhecimento das ameaças, ativos, vulnerabilidades, probabilidade de ocorrência e impactos. São realizados a estimativa e o cálculo de risco e definido o tratamento mais adequado. Todo o trabalho é baseado em um estudo de caso, visando consolidar o conhecimento teórico. Este livro inclui os roteiros das atividades práticas e o conteúdo dos slides apresentados em sala de aula, apoiando profissionais na disseminação deste conhecimento em suas organizações ou localidades de origem.

Gestão de Riscos de TI – NBR 27005

Edson Kowask Bezerra é profissional da área de segurança da informação e governança há mais de quinze anos, atuando como auditor líder, pesquisador, gerente de projeto e gerente técnico, em inúmeros projetos de gestão de riscos, gestão de segurança da informação, continuidade de negócios, PCI, auditoria e recuperação de desastres em empresas de grande porte do setor de telecomunicações, financeiro, energia, indústria e governo. Com vasta experiência nos temas de segurança e governança, tem atuado também como palestrante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em segurança e governança. É professor e coordenador de cursos de pós-graduação na área de segurança da informação, gestão integrada, inovação e tecnologias web. Hoje atua como Coordenador Acadêmico de Segurança e Governança de TI da Escola Superior de Redes. Possui a certificação CRISC da ISACA, além de diversas outras em segurança e governança.

Gestão de

Riscos de TI NBR 27005

ministérios da Educação (MEC), da Saúde (MS) e da Cultura (MinC). Pioneira no acesso à Internet no Brasil, a RNP planeja e mantém a rede Ipê, a rede óptica nacional acadêmica de alto desempenho. Com Pontos de Presença nas 27 unidades da federação, a rede tem mais de 800 instituições conectadas. São aproximadamente 3,5 milhões de usuários usufruindo de uma infraestrutura de redes avançadas para comunicação, computação e experimentação,

Edson Kowask Bezerra

que contribui para a integração entre o sistema de Ciência e Tecnologia, Educação Superior, Saúde e Cultura.

Ministério da Cultura Ministério da Saúde Ministério da Educação ISBN 978-85-63630-06-3

9 788563 630063

Ministério da Ciência, Tecnologia e Inovação

A RNP – Rede Nacional de Ensino e Pesquisa – é qualificada como uma Organização Social (OS), sendo ligada ao Ministério da Ciência, Tecnologia e Inovação (MCTI)

e

responsável

pelo

Programa Interministerial RNP, que conta com a participação dos ministérios da Educação (MEC), da Saúde (MS) e da Cultura (MinC). Pioneira no acesso à Internet no Brasil, a RNP planeja e mantém a rede Ipê, a rede óptica nacional acadêmica de alto desempenho. Com Pontos de Presença nas 27 unidades da federação, a rede tem mais de 800 instituições conectadas. São aproximadamente 3,5 milhões de usuários usufruindo de uma infraestrutura de redes avançadas para comunicação, computação e experimentação, que contribui para a integração entre o sistema de Ciência e Tecnologia, Educação Superior, Saúde e Cultura.

Ministério da Cultura Ministério da Saúde Ministério da Educação Ministério da Ciência, Tecnologia e Inovação

Gestão de

Riscos de TI NBR 27005

Edson Kowask Bezerra

Gestão de

Riscos de TI NBR 27005

Edson Kowask Bezerra

Rio de Janeiro Escola Superior de Redes 2013

Copyright © 2013 – Rede Nacional de Ensino e Pesquisa – RNP Rua Lauro Müller, 116 sala 1103 22290-906 Rio de Janeiro, RJ

Diretor Geral Nelson Simões Diretor de Serviços e Soluções José Luiz Ribeiro Filho

Escola Superior de Redes Coordenação Luiz Coelho Edição Pedro Sangirardi Coordenação Acadêmica de Segurança e Governança de TI Edson Kowask Bezerra Equipe ESR (em ordem alfabética) Celia Maciel, Cristiane Oliveira, Derlinéa Miranda, Elimária Barbosa, Evellyn Feitosa, Felipe Nascimento, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, Renato Duarte e Yve Abel Marcial. Capa, projeto visual e diagramação Tecnodesign Versão 2.0.1 Este material didático foi elaborado com fins educacionais. Solicitamos que qualquer erro encontrado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de conteúdo da Escola Superior de Redes, no e-mail [email protected]. A Rede Nacional de Ensino e Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas, a pessoas ou bens, originados do uso deste material. As marcas registradas mencionadas neste material pertencem aos respectivos titulares. Distribuição

Escola Superior de Redes

Rua Lauro Müller, 116 – sala 1103 22290-906 Rio de Janeiro, RJ http://esr.rnp.br [email protected]

Dados Internacionais de Catalogação na Publicação (CIP) B574g Bezerra, Edson Kowask Gestão de riscos de TI: NBR 27005 / Edson Kowask Bezerra. – Rio de Janeiro: RNP/ESR, 2013. 138 p. : il. ; 28 cm.

Bibliografia: p.137. ISBN 978-85-63630-32-2



1. Tecnologia da informação - Técnicas de segurança. 2. Redes de computadores – Medidas de segurança. 3. Gestão de riscos de segurança da informação. I. Título.



CDD 005.8

Sumário Escola Superior de Redes A metodologia da ESR ix Sobre o curso  x A quem se destina x Convenções utilizadas neste livro x Permissões de uso xi Sobre o autor xii

1. Introdução à Gestão de Riscos Introdução 1 Exercício de nivelamento 1 – Introdução à gestão de riscos 2 Conceitos fundamentais 2 Exercício de fixação 1 – Conceitos fundamentais 5 Princípios da Gestão de Riscos 5 Normas de gestão de segurança e de riscos 7 Norma ABNT NBR ISO/IEC 27005:2008 9 Visão geral da gestão de riscos 10 Exercício de fixação 2 – Visão geral 12 Exercício de fixação 3 – PDCA 15 Fatores críticos para o sucesso 15 Áreas de conhecimento necessárias 16

iii

Roteiro de Atividades 1 19 Atividade 1.1 – Conhecendo os conceitos 19 Atividade 1.2 – Conhecendo a norma 19 Atividade 1.3 – Identificando o processo 20 Atividade 1.4 – Fatores críticos 20

2. Contexto da gestão de riscos Introdução 21 Exercício de nivelamento 1 – Contexto 21 Processo de gestão de riscos de segurança da informação 21 Contexto  22 Estabelecimento do contexto 23 Contexto da norma ABNT NBR ISO/IEC 27005 23 Definindo o contexto 24 Itens para identificação 24 Exercício de fixação 1 – Definindo o contexto 25 Definindo escopo e limites 26 Exercício de fixação 2 – Definindo o escopo e limites 27 Critérios para avaliação de riscos 28 Critérios de impacto 28 Critérios para aceitação do risco  29 Exercício de fixação 3 – Definindo os critérios 31 Organização para a gestão de riscos 32 Roteiro de Atividades 2 33 Anexo A – Descrição da empresa 36

3. Identificação de riscos Introdução 41 Exercício de nivelamento 1 – Identificação dos riscos 41 Processo de análise de riscos de segurança da informação 41 Identificação de riscos 42 Identificando os ativos 43 Identificando os ativos primários 45

iv

Identificando os ativos de suporte e infraestrutura 46 Exercício de fixação 1 – Identificando os ativos 46 Identificando as ameaças 47 Exercício de fixação 2 – Identificando as ameaças 49 Identificando os controles existentes 49 Roteiro de Atividades 3 53 Anexo B – Infraestrutura 55

4. Análise de riscos: Vulnerabilidades e consequências Introdução  59 Exercício de nivelamento 1 – Vulnerabilidades e consequências 59 Processo de análise de riscos de segurança da informação 60 Identificando as vulnerabilidades 60 Exercício de fixação 1 – Identificando vulnerabilidades 63 Identificação das consequências 63 Exercício de fixação 2 – Identificando as consequências 65 Roteiro de Atividades 4 67 Anexo C – Problemas relatados 69

5. Análise de Riscos: Avaliação das consequências Introdução 83 Exercício de nivelamento 1 – Avaliação das consequências 83 Visão geral do processo de estimativa de risco 83 Metodologias 84 Metodologia de análise qualitativa 85 Metodologia de análise quantitativa 85 Exercício de fixação 1 – Metodologias 86 Estimativa de riscos 86 Avaliação das consequências 87 Roteiro de Atividades 5 89

v

6. Análise de riscos: avaliação da probabilidade Introdução 91 Exercício de nivelamento 1 – Avaliação da probabilidade 91 Visão geral do processo de avaliação de risco 92 Avaliação da probabilidade de ocorrência de incidentes 92 Exercício de fixação 1 – Avaliação da probabilidade 94 Determinação do nível de risco 94 Roteiro de Atividades 6 97

7. Avaliação de riscos Introdução 101 Exercício de nivelamento 1 – Avaliação de riscos 101 Processo de avaliação de riscos de segurança da informação 101 Avaliação de riscos de segurança da informação 102 Exercício de fixação 1 – Avaliação de risco 103 Roteiro de Atividades 7 105

8. Tratamento e aceitação de riscos Introdução 107 Exercício de nivelamento 1 – Tratamento e aceitação dos riscos 107 Visão geral do processo de tratamento do risco 107 Tratamento do risco 109 Riscos residuais 111 Modificação do risco 111 Retenção do risco 113 Ação de evitar o risco 113 Compartilhamento do risco 113 Exercício de fixação 1 – Tratamento de risco 114 Visão geral do processo de aceitação do risco 114 Aceitando o risco 115 Roteiro de Atividades 8 117

vi

9. Comunicação e monitoramento dos riscos Introdução 121 Exercício de nivelamento 1 – Comunicação e consulta dos riscos 121 Processo de comunicação e consulta do risco de segurança da informação 122 Comunicação e consulta do risco de segurança da informação 123 Exercício de fixação 1 – Comunicação e consulta dos riscos 124 Roteiro de Atividades 9 125

10. Monitoramento dos riscos Introdução 127 Exercício de nivelamento 1 – Monitoramento de riscos 127 Processo de monitoramento e análise crítica de riscos de segurança da informação 127 Monitoramento e análise crítica dos fatores de risco 129 Exercício de fixação 1 – Monitoramento e análise crítica dos riscos 130 Monitoramento, análise crítica e melhoria do processo de gestão de riscos 130 Roteiro de Atividades 10 133 Conclusão 135

Bibliografia  137

vii

viii

Escola Superior de Redes A Escola Superior de Redes (ESR) é a unidade da Rede Nacional de Ensino e Pesquisa (RNP) responsável pela disseminação do conhecimento em Tecnologias da Informação e Comunicação (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competências em TIC para o corpo técnico-administrativo das universidades federais, escolas técnicas e unidades federais de pesquisa. Sua missão fundamental é realizar a capacitação técnica do corpo funcional das organizações usuárias da RNP, para o exercício de competências aplicáveis ao uso eficaz e eficiente das TIC. A ESR oferece dezenas de cursos distribuídos nas áreas temáticas: Administração e Projeto de Redes, Administração de Sistemas, Segurança, Mídias de Suporte à Colaboração Digital e Governança de TI. A ESR também participa de diversos projetos de interesse público, como a elaboração e execução de planos de capacitação para formação de multiplicadores para projetos educacionais como: formação no uso da conferência web para a Universidade Aberta do Brasil (UAB), formação do suporte técnico de laboratórios do Proinfo e criação de um conjunto de cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).

A metodologia da ESR A filosofia pedagógica e a metodologia que orientam os cursos da ESR são baseadas na aprendizagem como construção do conhecimento por meio da resolução de problemas típicos da realidade do profissional em formação. Os resultados obtidos nos cursos de natureza teórico-prática são otimizados, pois o instrutor, auxiliado pelo material didático, atua não apenas como expositor de conceitos e informações, mas principalmente como orientador do aluno na execução de atividades contextualizadas nas situações do cotidiano profissional. A aprendizagem é entendida como a resposta do aluno ao desafio de situações-problema semelhantes às encontradas na prática profissional, que são superadas por meio de análise, síntese, julgamento, pensamento crítico e construção de hipóteses para a resolução do problema, em abordagem orientada ao desenvolvimento de competências. Dessa forma, o instrutor tem participação ativa e dialógica como orientador do aluno para as atividades em laboratório. Até mesmo a apresentação da teoria no início da sessão de aprendizagem não é considerada uma simples exposição de conceitos e informações. O instrutor busca incentivar a participação dos alunos continuamente.

ix

As sessões de aprendizagem onde se dão a apresentação dos conteúdos e a realização das atividades práticas têm formato presencial e essencialmente prático, utilizando técnicas de estudo dirigido individual, trabalho em equipe e práticas orientadas para o contexto de atuação do futuro especialista que se pretende formar. As sessões de aprendizagem desenvolvem-se em três etapas, com predominância de tempo para as atividades práticas, conforme descrição a seguir: Primeira etapa: apresentação da teoria e esclarecimento de dúvidas (de 60 a 90 minutos). O instrutor apresenta, de maneira sintética, os conceitos teóricos correspondentes ao tema da sessão de aprendizagem, com auxílio de slides em formato PowerPoint. O instrutor levanta questões sobre o conteúdo dos slides em vez de apenas apresentá-los, convidando a turma à reflexão e participação. Isso evita que as apresentações sejam monótonas e que o aluno se coloque em posição de passividade, o que reduziria a aprendizagem. Segunda etapa: atividades práticas de aprendizagem (de 120 a 150 minutos). Esta etapa é a essência dos cursos da ESR. A maioria das atividades dos cursos é assíncrona e realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dúvidas e oferecer explicações complementares. Terceira etapa: discussão das atividades realizadas (30 minutos). O instrutor comenta cada atividade, apresentando uma das soluções possíveis para resolvê-la, devendo ater-se àquelas que geram maior dificuldade e polêmica. Os alunos são convidados a comentar as soluções encontradas e o instrutor retoma tópicos que tenham gerado dúvidas, estimulando a participação dos alunos. O instrutor sempre estimula os alunos a encontrarem soluções alternativas às sugeridas por ele e pelos colegas e, caso existam, a comentá-las.

Sobre o curso O curso apresenta os conceitos de gestão de riscos a partir da norma NBR ISO 27005. Define conceitos e trabalha a contextualização do ambiente, identificação e levantamento dos riscos através do conhecimento das ameaças, ativos, vulnerabilidades, probabilidade de ocorrência e impactos. São realizados a estimativa e o cálculo de risco e definido o tratamento mais adequado. Todo o trabalho é baseado em um estudo de caso, visando consolidar o conhecimento teórico. Ao final do curso o participante estará apto a realizar uma análise de risco qualitativa no ambiente da sua organização.

A quem se destina Curso direcionado a gestores, técnicos e profissionais de informática ou áreas afins, que estão em busca do desenvolvimento de competências na realização de gestão e análise de riscos no ambiente de tecnologias da informação e comunicação (TIC). Profissionais de outras áreas podem participar desde que possuam conhecimentos de TIC, segurança da informação e normas ISO 27001 e 27002.

Convenções utilizadas neste livro As seguintes convenções tipográficas são usadas neste livro: Itálico Indica nomes de arquivos e referências bibliográficas relacionadas ao longo do texto.

x

Largura constante Indica comandos e suas opções, variáveis e atributos, conteúdo de arquivos e resultado da saída de comandos. Comandos que serão digitados pelo usuário são grifados em negrito e possuem o prefixo do ambiente em uso (no Linux é normalmente # ou $, enquanto no Windows é C:\).

Conteúdo de slide Indica o conteúdo dos slides referentes ao curso apresentados em sala de aula.

Símbolo Indica referência complementar disponível em site ou página na internet.

Símbolo Indica um documento como referência complementar.

Símbolo Indica um vídeo como referência complementar.

Símbolo Indica um arquivo de aúdio como referência complementar.

Símbolo Indica um aviso ou precaução a ser considerada.

Símbolo Indica questionamentos que estimulam a reflexão ou apresenta conteúdo de apoio ao entendimento do tema em questão.

Símbolo Indica notas e informações complementares como dicas, sugestões de leitura adicional ou mesmo uma observação.

Permissões de uso Todos os direitos reservados à RNP. Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. Exemplo de citação: BEZERRA, E. K. Gestão de Riscos de TI – NBR 27005. Rio de Janeiro: Escola Superior de Redes, RNP, 2013.

Comentários e perguntas Para enviar comentários e perguntas sobre esta publicação: Escola Superior de Redes RNP Endereço: Av. Lauro Müller 116 sala 1103 – Botafogo Rio de Janeiro – RJ – 22290-906 E-mail: [email protected]

xi

Sobre o autor Edson Kowask Bezerra é profissional da área de segurança da informação e governança há mais de quinze anos, atuando como auditor líder, pesquisador, gerente de projeto e gerente técnico, em inúmeros projetos de gestão de riscos, gestão de segurança da informação, continuidade de negócios, PCI, auditoria e recuperação de desastres em empresas de grande porte do setor de telecomunicações, financeiro, energia, indústria e governo. Com vasta experiência nos temas de segurança e governança, tem atuado também como palestrante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em segurança e governança. É professor e coordenador de cursos de pós-graduação na área de segurança da informação, gestão integrada, inovação e tecnologias web. Hoje atua como Coordenador Acadêmico de Segurança e Governança de TI da Escola Superior de Redes. Possui a certificação CRISC da ISACA, além de diversas outras em segurança e governança.

xii

1 Conceituar e compreender ameaças, vulnerabilidades, probabilidade e riscos; conhecer e utilizar a norma de gestão de riscos; identificar as atividades do processo de gestão de riscos e os fatores críticos para o sucesso; identificar e definir as áreas necessárias para a gestão de riscos.

conceitos

Ameaças, vulnerabilidades, probabilidade, riscos, segurança da informação e gestão de riscos.

Introdução 11 A ação e interação dos objetivos com as incertezas originam o risco, que se apresenta

q

no dia a dia de toda e qualquer atividade. 11 Muitas vezes, o risco não se apresenta visível, sendo necessárias ações para identificá-lo. 11 Outras vezes, o risco é fruto de ações repentinas que fogem ao controle humano, como em eventos de causas naturais. Nas fases do ciclo de vida de qualquer atividade humana planejada, convivemos com duas certezas básicas: daquilo que deve acontecer (os objetivos) e o que pode acontecer (as incertezas). A ação e interação dos objetivos com as incertezas dão origem ao risco, que se apresenta no dia a dia de toda e qualquer atividade desenvolvida. Muitas vezes, o risco não se apresenta visível, sendo necessárias ações para identificá-lo; em outras situações o risco é proveniente de ações repentinas que fogem ao controle do ser humano, como no caso de eventos de causas naturais. Diariamente vemos manchetes em publicações das mais diversas áreas que destacam, com ênfase, os problemas relacionados aos riscos tecnológicos de segurança da informação: roubos de mídias de backup e de notebooks, vazamento de números de cartões de crédito, manuseio impróprio de registros eletrônicos, roubo de identidade e quebra de propriedade intelectual. Este capítulo abordará os conceitos fundamentais para a Gestão de Riscos e apresentará a norma ABNT NBR ISO/IEC 27005:2008 - Tecnologia da Informação – Técnicas de segurança – Gestão de riscos de segurança da informação.

Capítulo 1 - Introdução à Gestão de Riscos

objetivos

Introdução à Gestão de Riscos

1

Exercício de nivelamento 1 e Introdução à gestão de riscos Como você avalia na sua organização o processo de gestão de riscos?

Existem riscos para os trabalhos e atividades da sua organização?

Conceitos fundamentais 11 Norma ISO Guide 73:2009 Gestão de riscos – Vocabulário

q

22 Recomendações para uso em normas. 22 Apresenta as principais terminologias para uso nas atividades de gestão de riscos. 11 Esta terminologia deve ser combinada com os termos apresentados nas normas: 22 ABNT NBR ISO/IEC 27001. 22 ABNT ISO/IEC 27002. 11 Termos apresentados nas normas: 22 Segurança da Informação. 22 Ameaça. 22 Vulnerabilidade. 22 Risco. 22 Riscos de segurança da informação. 22 Identificação de riscos. 22 Impacto. 22 Estimativa de riscos. 22 Modificação do risco. 22 Comunicação do risco. 22 Ação de evitar o risco. 22 Retenção do risco.

Gestão de Riscos de TI NBR 27005

22 Compartilhamento do risco.

2

É importante ter sempre em mente os seguintes conceitos: Segurança da Informação é a proteção da informação de vários tipos de ameaças, visando garantir a continuidade do negócio, minimizar os riscos que possam comprometê-lo, maximizar o retorno sobre os investimentos e as oportunidades de negócio. A segurança da informação é obtida como resultado da implementação de um conjunto de controles, compreendendo políticas, processos, procedimentos, estruturas organizacionais e funções de hardware e software. A segurança da informação é obtida com a implementação de controles que deverão ser monitorados, analisados e continuamente melhorados, com o intuito de atender aos

objetivos do negócio, mitigando os riscos e garantindo os preceitos de segurança da organização: Confidencialidade, Integridade, Disponibilidade e Autenticidade (CIDA). 11 Ameaça é todo e qualquer evento que possa explorar vulnerabilidades.

q

11 Causa potencial de um incidente indesejado, que pode resultar em dano para os sistemas, pessoas ou a própria organização. 11 As ameaças podem ser classificadas em: 22 Ameaças intencionais. 22 Ameaças da ação da natureza. 22 Ameaças não intencionais. São exemplos de ameaças: 11 Erros humanos; 11 Falhas de hardware; 11 Falhas de software; 11 Ações da natureza; 11 Terrorismo; 11 Vandalismo, entre outras. Vulnerabilidade é qualquer fraqueza que possa ser explorada para comprometer a segurança de sistemas ou informações. Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

Para pensar Ameaça versus Vulnerabilidade Entende-se que a ameaça é o evento ou incidente, enquanto a vulnerabilidade é a fragilidade que será explorada para que a ameaça se torne concreta. Ameaças podem assumir diversas formas, como furto de equipamentos, mídia e documentos, escuta não autorizada, incêndio, inundação e radiação eletromagnética, até fenômenos climáticos e sísmicos. Por exemplo, um computador cuja senha seja do conhecimento de todos, sofre ameaças como roubo, destruição ou alteração de informações; a vulnerabilidade que permite que estas ameaças se concretizem é

Tabela 1.1 Exemplos de vulnerabilidades e ameaças.

Vulnerabilidade

Ameaça

Falta de treinamento de funcionários

Erros humanos

Interrupção no servidor por queima da fonte

Falha de hardware

Sistema aplicativo aceita qualquer valor nos seus campos

Falha de software

Inundação da sala em virtude das fortes chuvas

Ações da natureza

Explosão provocada intencionalmente no terminal de ônibus

Terrorismo

Máquina ATM virada e pichada

Vandalismo

Capítulo 1 - Introdução à Gestão de Riscos

justamente a senha ser conhecida e compartilhada por todos.

3

Os conceitos a seguir dizem respeito às atividades após a identificação dos riscos e relacionadas ao seu tratamento. 11 Risco: combinação da probabilidade (chance da ameaça se concretizar) de um evento indesejado ocorrer e de suas consequências para a organização. É a incerteza resultante da combinação da probabilidade de ocorrência de um evento e suas consequências. A pergunta “Qual o risco?” levanta dúvidas a respeito da ocorrência de algo incerto ou inesperado. Em segurança da informação, esta incerteza reside nos aspectos tecnológicos envolvidos, nos processos executados e, principalmente, nas pessoas que em algum momento interagem com a tecnologia e se envolvem com os processos. 11 Riscos de segurança da informação: possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, assim prejudicando a organização. 11 Identificação de riscos: processo para localizar, listar e caracterizar elementos de risco. Por menor que seja a probabilidade de ocorrência de um risco, pode ser que determinada incerteza ocorra e explore uma vulnerabilidade, concretizando uma ameaça. Para se preparar para isso é necessário conhecer os riscos de todo o ambiente, através da realização de um processo formalizado de identificação de riscos. 11 Impacto: mudança adversa no nível obtido dos objetivos de negócios. Consequência avaliada dos resultados com a ocorrência de um evento em particular, em que determinada vulnerabilidade foi explorada, uma ameaça ocorreu e o risco se concretizou. Qual foi o impacto deste evento nos negócios? Quanto se perdeu? A organização será responsabilizada? Haverá multas? Ações legais serão impetradas? Haverá danos de imagem? Imagine as seguintes situações hipotéticas: 1. Em uma faculdade, um usuário com acesso às informações dos alunos deixou sua senha escrita num papel após renová-la. O que pode ocorrer? Qual o impacto? 2. Em plena preparação para o vestibular de uma determinada instituição, as provas vazaram. Qual o impacto se este vazamento ocorreu seis meses antes da realização do vestibular? E se ocorreu nas 48 horas que antecedem a realização do vestibular? Exemplos de impactos: perdas financeiras, paralisação de serviços essenciais, perda de confiança dos clientes, pane no fornecimento de energia e falhas de telecomunicações, entre tantos outros. 11 Estimativa de riscos: processo utilizado para atribuir valores à probabilidade e consequências de um risco. A estimativa de riscos permite quantificar ou descrever de forma qualitativa um risco, permitindo às organizações priorizar os riscos de acordo com os critérios estabelecidos. 11 Ações de modificação do risco: ações tomadas para reduzir a probabilidade, as conse Gestão de Riscos de TI NBR 27005

quências negativas, ou ambas, associadas a um risco.

4

11 Comunicação do risco: troca ou compartilhamento de informações sobre o risco entre o tomador de decisão e outras partes interessadas. 11 Ação de evitar o risco: decisão de não se envolver ou agir de forma a mitigar uma situação de risco. 11 Retenção do risco: aceitação do ônus da perda ou do benefício do ganho associado a um determinado risco. 11 Compartilhamento do risco: compartilhamento com outra entidade do ônus da perda ou do benefício do ganho associado a um risco.

Exercício de fixação 1 e Conceitos fundamentais Durante uma apresentação sobre os conceitos de gestão de riscos para a alta direção da sua organização, você foi questionado sobre duas possíveis ameaças existentes e seus riscos. Como você responderia?

Em função da sua resposta para a alta direção, lhe pediram para explicar os possíveis impactos relacionados a estes riscos. Como você responderia?

Princípios da Gestão de Riscos Princípios da gestão de riscos:

q

11 A gestão de riscos cria e protege valor. 11 A gestão de riscos é parte integrante de todos os processos organizacionais. 11 A gestão de riscos é parte da tomada de decisões. 11 A gestão de riscos aborda explicitamente a incerteza. 11 A gestão de riscos é sistemática, estruturada e oportuna. 11 A gestão de riscos baseia-se nas melhores informações disponíveis. 11 A gestão de riscos é feita sob medida. 11 A gestão de riscos considera fatores humanos e culturais.

11 A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças. 11 A gestão de riscos facilita a melhoria contínua da organização. Para a gestão de riscos ser eficaz, convém que uma organização, em todos os níveis, atenda aos princípios descritos a seguir. a. A gestão de riscos cria e protege valor. A gestão de riscos contribui para a realização demonstrável dos objetivos e para a melhoria do desempenho, referente à segurança e saúde das pessoas, à conformidade legal e regulatória, à aceitação pública, à proteção do meio ambiente, à qualidade do produto, ao gerenciamento de projetos, à eficiência nas operações, à governança e à reputação.

Capítulo 1 - Introdução à Gestão de Riscos

11 A gestão de riscos é transparente e inclusiva.

5

b. A gestão de riscos é parte integrante de todos os processos organizacionais. A gestão de riscos não é uma atividade autônoma separada das principais atividades e processos da organização. A gestão de riscos faz parte das responsabilidades da administração e é parte integrante de todos os processos organizacionais, incluindo o planejamento estratégico e todos os processos de gestão de projetos e gestão de mudanças. c. A gestão de riscos é parte da tomada de decisões. A gestão de riscos auxilia os tomadores de decisão a fazer escolhas conscientes, priorizar ações e distinguir entre formas alternativas de ação. d. A gestão de riscos aborda explicitamente a incerteza. A gestão de riscos explicitamente leva em consideração a incerteza, a natureza dessa incerteza, e como ela pode ser tratada. e. A gestão de riscos é sistemática, estruturada e oportuna. Uma abordagem sistemática, oportuna e estruturada para a gestão de riscos contribui para a eficiência e para os resultados consistentes, comparáveis e confiáveis. f. A gestão de riscos baseia-se nas melhores informações disponíveis. As entradas para o processo de gerenciar riscos são baseadas em fontes de informação, tais como dados históricos, experiências, retroalimentação das partes interessadas, observações, previsões e opiniões de especialistas. Entretanto, convém que os tomadores de decisão se informem e levem em consideração quaisquer limitações dos dados ou modelagem utilizados, ou a possibilidade de divergências entre especialistas. g. A gestão de riscos é feita sob medida. A gestão de riscos está alinhada com o contexto interno e externo da organização e com o perfil do risco. h. A gestão de riscos considera fatores humanos e culturais. A gestão de riscos reconhece as capacidades, percepções e intenções do pessoal interno e externo, que podem facilitar ou dificultar a realização dos objetivos da organização. i. A gestão de riscos é transparente e inclusiva. O envolvimento apropriado e oportuno de partes interessadas e, em particular, dos tomadores de decisão em todos os níveis da organização assegura que a gestão de riscos permaneça pertinente e atualizada. O envolvimento também permite que as partes interessadas sejam devidamente representadas e tenham suas opiniões levadas em consideração na

Gestão de Riscos de TI NBR 27005

determinação dos critérios de risco.

6

j. A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças. A gestão de riscos continuamente percebe e reage às mudanças. À medida que acontecem eventos externos e internos, o contexto e o conhecimento modificam-se, o monitoramento e a análise crítica de riscos são realizados, novos riscos surgem, alguns se modificam e outros desaparecem.

k. A gestão de riscos facilita a melhoria contínua da organização. Convém que as organizações desenvolvam e implementem estratégias para melhorar a sua maturidade na gestão de riscos, juntamente com todos os demais aspectos da sua organização.

Estes princípios da gestão dos riscos devem ser os norteadores desta nobre atividade no dia a dia das organizações.

Normas de gestão de segurança e de riscos 11 Norma ABNT NBR ISO/IEC 27001:2006 11 Norma ABNT NBR ISO/IEC 27002:2005

q

A área de segurança da informação possui um conjunto de normas para serem utilizadas nas mais diversas organizações, a fim de permitir uma padronização dos requisitos e procedimentos para a implementação de um SGSI. ABNT Fundada em 1940, a Associação Brasileira de Normas Técnicas é o órgão responsável pela normalização técnica no país, fornecendo a base necessária ao desenvolvimento tecnológico brasileiro. É uma entidade privada, sem fins lucrativos.

Norma ABNT NBR ISO/IEC 27001:2006 22 Tecnologia da Informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos 22 Apresenta e descreve os requisitos que devem ser implementados no estabelecimento de um Sistema de Gestão de Segurança da Informação (SGSI). 11 Norma ABNT NBR ISO/IEC 27002:2005 22 Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação 22 Apresenta as melhores práticas para uma gestão adequada da segurança da informação. Podendo ser aplicadas a qualquer ambiente de uma organização (particularmente ao ambiente

As normas descritas acima são apresentadas no curso Gestão de Segurança da Informação – NBR 27001 e 27002, oferecido pela Escola Superior de Redes.

riscos estruturada, com a padronização de processos e requisitos de gestão de riscos. Em 1995, a comissão de padronização da Austrália e Nova Zelândia lançou a primeira norma tratando do tema: AS/NZS 4360 – Gestão de Risco. Genérica, a norma estabelece um processo de gestão de riscos amplamente aceito, tendo sido atualizada em 1999 (AS/NZS 4360:1999). Em 1996, a International Organization for Standardization (ISO) criou um grupo de trabalho baseado na AS/NZS 4360 para criar um projeto de gestão de risco, que passou por diversos problemas e só foi concluído em 2009. ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes: 11 Norma que fornece os princípios e diretrizes genéricas para qualquer indústria ou setor. 11 Criada para ser aplicada a qualquer ambiente ou organização. ABNT ISO GUIDE 73:2009 Gestão de Riscos – Vocabulário: 11 Norma que apresenta as definições de termos genéricos relativos à gestão de riscos. 11 Referência de conceitos ligados à gestão de risco.

q

Capítulo 1 - Introdução à Gestão de Riscos

Saiba mais

l

de TI), estas normas destacam a necessidade das organizações de possuírem uma gestão de

7

ISO/IEC 31010:2009 Gestão de riscos – Técnicas de avaliação de riscos:

q

11 Norma que deve ser trabalhada em apoio à norma “ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes”. 11 Descreve as diversas técnicas e ferramentas de análise de risco, e não foi ainda traduzida pela ABNT. Em 2009 é lançada pela ISO e imediatamente pela Associação Brasileira de Normas Técnicas (ABNT) a norma ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes. Esta norma fornece os princípios e diretrizes genéricas para qualquer indústria ou setor. No mesmo ano foi lançada a norma ABNT ISO GUIDE 73:2009 Gestão de Riscos – Vocabulário. Ela apresenta as definições de termos genéricos relativos à gestão de riscos. Quando se pretende fazer referência a um conceito de gestão de riscos, deve ser utilizada a definição da norma ABNT ISO GUIDE 73:2009 Gestão de Riscos – Vocabulário. Segundo a ABNT: “Este guia fornece as definições de termos genéricos relativos à gestão de riscos. Destina-se a incentivar uma compreensão mútua e consistente, uma abordagem coerente na descrição das atividades relativas à gestão de riscos e a utilização de terminologia uniforme de gestão de riscos em processos e estruturas para gerenciar riscos”. Em 2012, foi lançada em português a norma “ABNT NBR ISO/IEC 31010:2012 Gestão de riscos – Técnicas para o processo de avaliação de riscos” deve ser trabalhada em apoio à norma “ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes”. A norma descreve as diversas técnicas e ferramentas de análise de risco, fornecendo orientações sobre a seleção e aplicação de técnicas sistemáticas para o processo de avaliação de riscos. Este grupo de normas da série 31000 visa atender a qualquer tipo de ambiente de uma organização. Proporcionam, portanto, uma concepção ampla e genérica da gestão de riscos, sendo aplicadas para avaliar e tratar qualquer tipo de risco corporativo. Durante o desenvolvimento destas normas, foi publicada em 2008, pelo grupo de trabalho específico de tecnologia da informação, a norma “ABNT NBR ISO/IEC 27005: 2008 Tecnologia da Informação – Técnicas de Segurança – Gestão de riscos de segurança da informação”. Esta norma foi desenvolvida com base nos estudos da ISO 31000:2009, e portanto atende aos seus requisitos e ao seu processo de gestão de risco. A ISO/IEC 27005 faz parte do conjunto de normas da série de 27000, sobre o Sistema de Gestão de Segurança da Informação (SGSI), onde são incluídas ainda as normas ISO/IEC 27001 e ISO/IEC 27002. Esta norma apresenta as melhores práticas e possibilita o aprofundamento em aspectos exclusivos da segurança da informação, enquanto a ISO 31000 é mais genérica e contempla todos os setores.

O enfoque deste curso está na norma “ABNT NBR ISO/IEC 27005: 2008 Tecnologia

Gestão de Riscos de TI NBR 27005

da Informação – Técnicas de Segurança – Gestão de riscos de segurança da infor-

8

mação”. Os conceitos, processos e atividades apresentados se adequam ao que propõe a norma “ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes”, podendo ser aplicados em qualquer outra área que não a de TI.

O quadro abaixo apresenta um resumo comparativo entre estas normas: Norma

Título

Objetivo

Observação

27001

Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos

Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado no contexto dos riscos de negócio globais da organização. Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou de suas partes. Cobre todos os tipos de organização (empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos, entre diversas outras).

Trata mais especificamente de diretrizes e princípios para um sistema de gestão de segurança da informação.

27002

Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação

Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação. Os objetivos definidos nesta norma estabelecem diretrizes gerais para as metas e melhores práticas para a gestão da segurança da informação.

Voltada para controles de segurança.

27005

Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação

Apresenta um sistema de gestão de riscos de segurança da informação com foco em tecnologia da informação.

Esclarece como gerenciar riscos de segurança da informação.

31000

Gestão de riscos – Princípios e diretrizes

Norma que apresenta princípios e diretrizes básicas para a gestão de riscos em geral em qualquer tipo de ambiente. 

Editada em 2009, deste ano em diante as demais normas de gestão de riscos devem estar alinhadas a ela.

31010

Gestão de riscos — Técnicas para o processo de avaliação de riscos

Descreve as diversas técnicas e ferramentas de análise de riscos.

Editada em 2012.

GUIDE 73

Gestão de risos – Vocabulário

Apresenta as definições de termos genéricos relativos à gestão de riscos.

Editada em 2009.

Norma ABNT NBR ISO/IEC 27005:2008 ABNT NBR ISO/IEC 27005:2008 – Tecnologia da Informação – Técnicas de Segurança –

q

Gestão de riscos de segurança da informação 11 Apresenta as diretrizes para o gerenciamento dos riscos de segurança da informação. 11 Emprega os conceitos da norma ABNT NBR ISO 27001:2005. A norma “ABNT NBR ISO/IEC 27005:2008 – Tecnologia da Informação – Técnicas de Segurança – Gestão de riscos de segurança da informação” foi publicada em julho de 2008 e apresenta as diretrizes para o gerenciamento dos riscos de segurança da informação. Emprega os conceitos da norma ABNT NBR ISO 27001:2005, que especifica os requisitos de sistemas de gestão da segurança da informação.

Capítulo 1 - Introdução à Gestão de Riscos

Tabela 1.2 Resumo comparativo entre as normas.

9

Esta norma descreve todo o processo necessário para a gestão de riscos de segurança da informação e as atividades necessárias para a perfeita execução da gestão. Apresenta práticas para gestão de riscos da segurança da informação. As técnicas nela descritas seguem o conceito, os modelos e os processos globais especificados na norma ABNT NBR ISO/IEC 27001, além de apresentar a metodologia de avaliação e tratamento dos riscos requeridos pela mesma norma. Partindo do princípio de que a gestão de riscos é um processo cíclico e contínuo, a norma está dividida em sessões e anexos. As sessões contêm as informações do processo e das atividades necessárias para a sua execução. Existem 12 sessões ao todo: as sessões de 1 a 4 tratam das referências e da estrutura da norma, e as sessões 5 e 6 apresentam a visão geral do processo de gestão de riscos. As sessões a partir da 7 tratam especificamente do processo de gestão de riscos. Os seis anexos são identificados de A a F e trazem informações adicionais e exemplos. Nas sessões de 7 a 12 as atividades de gestão são apresentadas de acordo com a seguinte estrutura: 11 Entrada: refere-se aos insumos e premissas necessárias para a realização da atividade. 11 Ação: descrição da atividade, sempre acompanhada do “convém”. 11 Diretrizes para implementação: diretrizes necessárias para a realização da ação, isto é, o detalhamento de como a ação pode ser realizada. Estas diretrizes devem ser adaptadas a cada tipo de organização. Também estão acompanhadas do “convém”. 11 Saída: apresenta os resultados que devem ser alcançados e que vão servir para gerar evidências. Este curso utiliza o processo de gestão de riscos normatizado contido na norma ABNT NBR ISO/IEC 27005.

Visão geral da gestão de riscos 11 É necessária uma abordagem sistemática de gestão de riscos que varia de organi-

q

zação para organização assim como o nível de risco aceitável de cada uma. 11 Risco aceitável é o grau de risco que a organização está disposta a aceitar para concretizar os seus objetivos. 11 Necessidade de aumentar a capacidade de gerir o risco e otimizar o retorno. 11 A abordagem de gestão de riscos de segurança da informação deve ser: 22 Contínua. 22 Realizada no tempo apropriado. 22 Repetitiva.

Gestão de Riscos de TI NBR 27005

22 Própria ao ambiente da organização.

10

22 Ajustada ao processo de gestão de riscos corporativos. 22 Alinhada com os requisitos de negócios. 22 Apoiada pela alta direção. Gestão de riscos são atividades formalizadas e coordenadas para controlar e dirigir um conjunto de instalações e pessoas com relações e responsabilidades, entre si e externamente, no que se refere a riscos nos negócios sob a ótica da segurança da informação.

Definição do contexto; 11 Análise/Avaliação de riscos; 11 Tratamento do risco; 11 Aceitação do risco; 11 Comunicação do risco; 11 Monitoramento e análise crítica; 11 Ciclo de melhoria contínua PDCA. A Tabela 1.3 mostra as principais atividades de gestão de riscos da segurança da informação. Processo do SGSI

Processo de gestão de riscos de segurança da informação 11Definição do contexto

PLANEJAR

11Análise/Avaliação de riscos

11Definição do plano de tratamento do risco 11Aceitação do risco

Tabela 1.3 Principais atividades de gestão de riscos da segurança da informação.

EXECUTAR

Implementação do plano de tratamento do risco

VERIFICAR

Monitoramento contínuo e análise crítica de riscos

AGIR

Manutenção e melhoria do processo de gestão de riscos de segurança da informação

Em seu livro “Desafio aos deuses: a fascinante história do risco”, Peter Bernstein nos pre-

Dica de leitura: BERNSTEIN, Peter. Desafio aos deuses: a fascinante história do risco. Editora Campus, 1997.

pela humanidade, desde a Grécia antiga. Segundo o autor, somos possuidores de elevado

potencial técnico para a prevenção das perdas e ganhos, mesmo que o comportamento dos agentes seja imprevisível. Nas suas palavras: “... aconteça o que acontecer e apesar de todos os nossos esforços, os seres humanos não possuem o conhecimento completo sobre as leis que definem a ordem do mundo objetivamente existente”. Portanto, o autor nos desqualifica como “previsores perfeitos” do futuro. Bernstein diz ainda que “Quando investidores compram ações, cirurgiões realizam operações, engenheiros projetam pontes, empresários abrem seus negócios e políticos concorrem a cargos eletivos, o risco é um parceiro inevitável. Contudo, suas ações revelam que o risco não precisa ser tão temido: administrar o risco é sinônimo de desafio e oportunidade”. O risco faz parte de nosso cotidiano, de modo que precisamos conhecê-lo para poder tratá-lo e dele extrair novas oportunidades. É inquestionável a importância do papel que a tecnologia da informação exerce na sociedade para que esta alcance seus objetivos. A integração do ambiente tecnológico, caracterizado pela complexidade e interdependência, produz contextos muitas vezes hostis que propiciam ataques cada vez mais frequentes à segurança da informação, exigindo respostas cada vez mais rápidas das organizações. A este quadro vêm somar-se novas obrigações legais, de proteção de privacidade e governança corporativa, gerando a necessidade das organizações gerenciarem mais efetivamente sua infraestrutura de tecnologia. Para enfrentar estas novas ameaças e demandas as organizações devem desenvolver uma atitude proativa, antecipando-se em conhecer suas fraquezas e vulnerabilidades. Isto pode ser obtido através da adoção de um processo formal de gerenciamento de riscos de segurança da informação, que permita à organização estabelecer um nível aceitável de risco.

Capítulo 1 - Introdução à Gestão de Riscos

Saiba mais

l senteia com uma detalhada análise histórica da evolução do controle e previsão dos riscos

11

Para isso é necessária uma abordagem sistemática de gestão de riscos, que irá variar de acordo com o negócio de cada organização, assim como o nível de risco aceitável estabelecido pela direção de cada organização. Risco aceitável é o grau de risco que a organização está disposta a aceitar para a concretização dos seus objetivos estratégicos.

Exercício de fixação 2 e Visão geral Na sua organização, qual seria o “risco aceitável” na realização das suas atividades? Explique.

Aumentar a capacidade de gerir o risco e otimizar o retorno são ações integrantes de uma abordagem sistêmica, que proporciona um processo formal para a melhoria da capacidade de identificação e avaliação dos riscos. Esta abordagem deve estar de acordo com os objetivos da organização, atendendo às suas necessidades específicas de acordo com os requisitos de segurança da informação. Para isso, a abordagem de gestão de riscos de segurança da informação deve ser: 11 Contínua; 11 Realizada no tempo apropriado; 11 Repetitiva; 11 De acordo com o ambiente da organização; 11 Ajustada ao processo de gestão de riscos corporativos; 11 Alinhada com os requisitos de negócios; 11 Apoiada pela alta direção. Partindo do conceito amplo de que o processo de gestão é composto de atividades coordenadas e formalizadas para controlar e dirigir uma organização – formada por suas instalações e pessoal, com relações e responsabilidades entre si e com agentes externos –, pode-se inferir que a gestão de riscos é composta de atividades formalizadas e coordenadas para controlar e dirigir um conjunto de instalações e pessoas com relações e responsabilidades, entre si e com o ambiente

Gestão de Riscos de TI NBR 27005

externo, no que se refere a riscos nos negócios sob a ótica da segurança da informação.

12

A Figura 1.1 apresenta uma visão do processo de gestão de riscos de segurança da informação segundo a norma ABNT NBR ISO/IEC 27005.

DEFINIÇÃO DO CONTEXTO

IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS

AVALIAÇÃO DE RISCOS

PONTO DE DECISÃO 1

Não

Avaliação satisfatória Sim TRATAMENTO DO RISCO PONTO DE DECISÃO 2

MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

COMUNICAÇÃO E CONSULTA DO RISCO

PROCESSO DE AVALIAÇÃO DE RISCOS

Não

Tratamento satisfatório Sim ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES O processo tem seis grandes grupos de atividades: 11 Definição do contexto; 11 Análise/Avaliação de riscos; 11 Tratamento do risco; 11 Aceitação do risco; 11 Comunicação do risco; 11 Monitoramento e análise crítica. Como pode ser visto na Figura 1.1, o ciclo de vida da gestão de riscos de segurança da informação é iterativo, onde a gestão se desenvolve de maneira incremental, através de uma sucessão de iterações, e cada iteração libera uma entrega (saída) para a seguinte, minimizando tempo e esforço.

Definição do contexto Dentro do processo, a definição do contexto é responsável pela definição do ambiente, escopo, critérios de avaliação, entre outras definições.

Capítulo 1 - Introdução à Gestão de Riscos

Figura 1.1 Processo de gestão de riscos de segurança da informação.

13

Esta etapa é essencial para a equipe que realiza a gestão de risco conhecer todas as informações sobre a organização.

Análise/Avaliação de riscos A próxima iteração é de análise e avaliação de risco, que permitirá a identificação dos riscos e a determinação das ações necessárias para reduzir o risco a um nível aceitável.

Tratamento do risco A partir dos resultados obtidos na análise e avaliação do risco são definidos os controles necessários para o tratamento do risco. A norma ABNT NBR ISO/IEC 27001 especifica os controles que deverão ser implementados.

Aceitação do risco Assegura os riscos aceitos pela organização, ou seja, os riscos que por algum motivo não serão tratados ou serão tratados parcialmente. São os chamados riscos residuais, cujo enquadramento nesta categoria deverá ser justificado.

Comunicação do risco Nesta etapa é feita a comunicação do risco e da forma como será tratado, para todas as áreas operacionais e seus gestores.

Monitoramento e análise crítica São as atividades de acompanhamento dos resultados, implementação dos controles e de análise crítica para a melhoria contínua do processo de gestão de riscos. Todas estas etapas serão detalhadas nas próximas sessões. A norma ABNT NBR ISO/IEC 27001 especifica que os controles implementados no escopo, limites e contexto do Sistema de Gestão de Segurança da Informação (SGSI) devem estar baseados no risco. Este requisito deve ser atendido através da aplicação do processo de gestão de riscos de segurança da informação. No ambiente de um SGSI, a definição do contexto, a análise e avaliação de riscos, o desenvolvimento do plano de tratamento do risco e a aceitação do risco fazem parte da fase “Planejar” do ciclo de melhoria contínua PDCA. Já a fase “Executar” do SGSI é a implementação de controles para conduzir os riscos ao nível aceitável pela organização. A fase “Verificar” do SGSI, por sua vez, inclui as ações de revisão. Finalmente, a fase “Agir” compreende as ações necessárias para execução, incluindo a reaplicação do processo de gestão de riscos de segurança da informação.

Gestão de Riscos de TI NBR 27005

Podemos resumir da seguinte forma as principais atividades de Gestão de riscos de segu-

14

rança da informação: Processo do SGSI

Processo de gestão de riscos de segurança da informação Definição do contexto

PLANEJAR

Análise/Avaliação de riscos Definição do plano de tratamento do risco Aceitação do risco

EXECUTAR

Implementação do plano de tratamento do risco

Processo do SGSI

Processo de gestão de riscos de segurança da informação

VERIFICAR

Monitoramento contínuo e análise crítica de riscos

AGIR

Manutenção e melhoria o processo de Gestão de Riscos de Segurança da Informação

I AG

PLA

R

Manutenção e melhoria do processo

NE

J AR

Definição do contexto

VERI FIC

R TA

U

P

AR

Aceitação do risco

EJ

EX

EC

P L ANE JAR

Exercício de fixação 3 e PDCA Explique como a fase planejar (PDCA) do processo do SGSI é executado no processo de gestão de riscos de segurança da informação.

Fatores críticos para o sucesso 11 Redução das surpresas operacionais e prejuízos. 11 Identificação de oportunidades de crescimento e melhorias. 11 Racionalização do capital estabelecendo uma ordem de prioridades de investimento. 11 Prá-atividade com o uso dos recursos computacionais nos negócios. 11 Envolvimento e participação da alta direção no processo. 11 Comunicação e treinamento. 11 Definição de objetivos. 11 Papéis e responsabilidades definidos. 11 Integração com as atividades de gestão de segurança da informação.

q

Capítulo 1 - Introdução à Gestão de Riscos

Figura 1.2 Processo de gestão de riscos e o modelo PDCA.

Definição do plano de tratamento

LA N

Implementar o plano de tratamento

R

Análise/Avaliação de riscos

NE J A

AR

PL A

Monitoramento e análise crítica

15

A gestão de riscos de segurança da informação é implementada pelas organizações na busca por vantagens competitivas para os negócios. É fundamental demonstrar, para as partes interessadas, uma postura de segurança na gestão dos riscos relacionados à proteção dos ativos e informações. Os fatores críticos para o sucesso estão relacionados aos benefícios que devem ser alcançados pelas organizações, a depender da natureza de cada organização. Para atingir tais benefícios é preciso realizar as etapas que envolvem os fatores críticos para o sucesso. Como exemplos destes fatores podemos mencionar os listados a seguir.

Envolvimento e participação da alta direção no processo É essencial para o sucesso de qualquer projeto que a direção esteja envolvida e comprometida com o seu desenvolvimento e sucesso de acordo com os objetivos estratégicos definidos.

Comunicação e treinamento Todo o processo precisa ser comunicado a todas as partes envolvidas antes do seu início, durante o seu desenvolvimento e após sua conclusão, com a apresentação dos resultados alcançados e metas atingidas. Em um processo de gestão de riscos todos os participantes devem ser envolvidos, e para isso é necessária a realização de campanhas de conscientização e treinamentos.

Definição de objetivos O estabelecimento de objetivos contribui decisivamente com o alcance das metas da gestão de riscos.

Papéis e responsabilidades definidas Todos os integrantes das partes envolvidas devem conhecer as suas atribuições e responsabilidades durante todo o processo de gestão de riscos de segurança da informação.

Integração com a gestão de segurança da informação As atividades de gestão de riscos devem estar totalmente integradas às atividades do SGSI. No desenvolvimento deste curso serão explorados os fatores críticos de sucesso pertencentes a cada etapa da gestão de riscos de segurança da informação.

Áreas de conhecimento necessárias Os profissionais envolvidos nas atividades de análise de risco possuem um perfil com

q

conhecimento em diversas áreas:

Gestão de Riscos de TI NBR 27005

11 Técnico.

16

11 Negócios. 11 Legislação. 11 Processos. Para a melhor aplicação do processo de gestão de riscos, é importante que os profissionais envolvidos possuam um perfil com conhecimento de áreas diversas, permitindo a identificação das ameaças e vulnerabilidades em qualquer ambiente organizacional. Na equipe encarregada da realização da análise de risco preferencialmente devem ser encontrados os seguintes perfis:

11 Técnico: contribui no atendimento das demandas das diversas áreas técnicas da organização, incluindo as áreas de hardware, software, sistemas operacionais, infraestrutura e aplicações web, entre outras. 11 Negócios: auxilia a equipe no entendimento preciso dos negócios da organização e seus múltiplos processos, além de ter importância no cálculo dos impactos. 11 Legislação: perfil voltado ao entendimento dos aspectos legais e normativos com os quais a organização analisada necessita se alinhar. 11 Processos: permite a compreensão dos processos e através de sua análise identifica possíveis ameaças e vulnerabilidades, contribuindo com a elaboração de planos de gestão e tratamento de riscos. Estes são alguns exemplos de perfis ou conhecimentos necessários para a análise de risco. O tipo da organização e seus objetivos de negócios indicarão os perfis realmente importantes para compor a equipe de trabalho. Não existe a necessidade de um profissional para cada perfil citado, pois os conhecimentos podem ser encontrados em um mesmo profissional. A quantidade de profissionais alocados será determinada pelo escopo da análise e prazo.

Leitura complementar 11 Sessões 4, 5 e 6 da norma ABNT NBR ISO/IEC 27005. 11 Item 4 da Norma Complementar Gestão de Riscos de Segurança da Informação e Comunicações – GRSIC, do DSIC/GSI/PR: http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf 11 Enterprise Risk Management: Past, Present and Future: http://www.casact.org/education/erm/2004/handouts/kloman.pdf 11 Interdisciplinary Risk Management: http://www.riskinfo.com/rmr/rmrjun05.htm 11 Quatro dicas para uma gestão de riscos eficiente: http://cio.uol.com.br/gestao/2009/07/03/quatro-dicas-para-a-boa-gestao-de-riscos/ 11 AS/NZS 4360: http://www.standards.org.au/ 11 História da AS/NZS 4360:

Capítulo 1 - Introdução à Gestão de Riscos

http://www.riskinfo.com/rmr/rmrsept00.htm

17

18

Gestão de Riscos de TI NBR 27005

Roteiro de Atividades 1 Atividade 1.1 – Conhecendo os conceitos Para cada conceito a seguir, explique e apresente um exemplo baseado na organização em que você trabalha. Justifique sua resposta: Conceito

Definição

Exemplo

Justificativa

Riscos de segurança da informação Identificação de riscos Impacto Compartilhamento do risco Evitar o risco Comunicação do risco Estimativa do risco Tratamento do risco Aceitação do risco

Atividade 1.2 – Conhecendo a norma Descreva como está organizada a norma ABNT NBR ISO/IEC 27005, citando suas sessões.

Explique como estão estruturadas as atividades das sessões 7 a 12 da norma

Capítulo 1 - Roteiro de Atividades

ABNT NBR ISO/IEC 27005.

19

Atividade 1.3 – Identificando o processo Descreva a sequência das etapas do processo de gestão de riscos.

Atividade 1.4 – Fatores críticos O que é a gestão de riscos de segurança da informação e como ela se aplica na sua organização?

Quais são os fatores críticos de sucesso? Dê exemplos baseados na sua organização.

Em sua opinião qual a importância de entendermos a gestão de risco para o exercício das

Gestão de Riscos de TI NBR 27005

nossas atividades cotidianas?

20

O que foi aprendido 11 Conceito de gestão de risco. 11 Visão geral da gestão de risco. 11 Fatores críticos de sucesso.

q

2 Conceituar e definir o contexto do ambiente da gestão de riscos; identificar o escopo e as atividades de definição de critérios no processo de gestão de riscos.

conceitos

Contexto, escopo, limites e critérios.

Introdução Ao iniciar qualquer tipo de trabalho, a primeira atividade a ser feita é conhecer o ambiente em que o trabalho será desenvolvido, as pessoas que de alguma forma irão interagir, o que será desenvolvido; em resumo, “conhecer o terreno” para saber conduzir o andamento dos trabalhos. Nas atividades que envolvem gestão de riscos de segurança da informação a definição do contexto é a parte inicial e tem como objetivo permitir o conhecimento do ambiente da organização.

Exercício de nivelamento 1 e Contexto No seu entendimento qual o contexto atual da sua organização?

Processo de gestão de riscos de segurança da informação 11 Conhecer a sequência das fases da gestão de riscos. 11 Ter acesso a toda a documentação da organização. Na sessão anterior foi apresentada a visão geral do processo de gestão de riscos. É necessário que o conhecimento da sequência das fases do processo faça parte do dia a dia dos profissionais envolvidos com a gestão de riscos.

q

Capítulo 2 - Contexto da gestão de riscos

objetivos

Contexto da gestão de riscos

21

DEFINIÇÃO DO CONTEXTO

IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS

AVALIAÇÃO DE RISCOS

PONTO DE DECISÃO 1

Não

Avaliação satisfatória Sim TRATAMENTO DO RISCO

MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

COMUNICAÇÃO E CONSULTA DO RISCO

PROCESSO DE AVALIAÇÃO DE RISCOS

Não

PONTO DE DECISÃO 2 Tratamento satisfatório Sim

ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES Para realizar esta atividade, os profissionais deverão ter acesso a toda documentação sobre a organização, permitindo assim o amplo conhecimento sobre as especificidades da organização.

Contexto É necessário entender o significado conceitual de “contexto” e sua aplicação na gestão de riscos. Ao buscar o seu significado nos dicionários, encontra-se, entre outras definições, que contexto é um substantivo masculino que significa “inter-relação de circunstâncias que acompanham um fato ou uma situação”. Assim, ao nos referirmos a “contexto” queremos na verdade tratar da totalidade de circunstân-

Gestão de Riscos de TI NBR 27005

cias que possibilitam, condicionam ou determinam a realização de um texto, projeto, ativi-

22

dade ou mesmo de um evento de segurança da informação. Em outras palavras, contexto é o conjunto de circunstâncias que se relacionam de alguma forma com um determinado acontecimento. É a situação geral ou o ambiente a que está sendo referido um determinado assunto. Chamamos de contextualização a atividade de mapear todo o ambiente que envolve o evento em análise. No processo de gestão de riscos esta é a primeira atividade a ser desempenhada.

Figura 2.1 Definição do contexto.

Segundo a norma ABNT NBR ISO 31000:2009 o contexto pode ser analisado sob dois aspectos: 11 Contexto Externo: é o ambiente externo no qual a organização se situa e busca atingir

q

seus objetivos (ambiente cultural, financeiro, regulatórios, tecnológico, econômico, competitivo, entre outros). 11 Contexto Interno: é o ambiente interno no qual a organização busca atingir seus objetivos (governança, estrutura organizacional, políticas, objetivos, capacidades, sistemas de informação, cultura organizacional, normas, diretrizes, entre outras).

Estabelecimento do contexto De acordo com a norma ABNT NBR ISO/IEC 31000, no momento em que a organização

q

estabelece seu contexto ela: 11 Articula seus objetivos. 11 Define parâmetros internos e externos. 11 Define o escopo e os critérios de risco para todo o processo de gestão de riscos. De acordo com a norma ABNT NBR ISO/IEC 31000, no momento que a organização estabelece seu contexto ela articula seus objetivos, definindo parâmetros internos e externos que devem ser levados em consideração para gerenciar o risco, e define o escopo e os critérios de risco para todo o processo de gestão de riscos.

Contexto da norma ABNT NBR ISO/IEC 27005 Seção 7 da ABNT NBR ISO/IEC 27005: trata as atividades desenvolvidas durante a fase

q

de contexto da gestão de riscos. 11 Apresentações da organização. 11 Entrevistas. 11 Questionários: 22 Seção 7.1 – Considerações iniciais. 22 Seção 7.2 – Critérios básicos. 22 Seção 7.3 – Escopo e limites. 22 Seção 7.4 – Organização para gestão de riscos de segurança da informação. 11 Anexo A – Informativo. A seção 7 da norma ABNT NBR ISO/IEC 27005 trata das atividades que devem ser desendesenvolvidas pela equipe responsável pela gestão de riscos, sendo realizadas por meio de interações com os profissionais da organização avaliada através de: 11 Apresentações da organização; 11 Entrevistas com diretores, gerentes, técnicos e usuários; 11 Questionários. A seção 7 desta norma está organizada da seguinte forma: 11 Seção 7.1 – Considerações iniciais: finalidade de realizar a contextualização; 11 Seção 7.2 – Critérios básicos: critérios de avaliação;

Capítulo 2 - Contexto da gestão de riscos

volvidas durante a fase de contexto da gestão de riscos. Essas atividades devem ser

23

11 Seção 7.3 – Escopo e limites: importância da definição do escopo e os limites da gestão de riscos; 11 Seção 7.4 – Organização para gestão de riscos de segurança da informação: organização e responsabilidades do processo de gestão de riscos; 11 Anexo A – Informativo: detalhes para a definição do escopo e restrições que podem impactar nos trabalhos.

Definindo o contexto 11 Suporte a SGSI.

q

11 Conformidade legal. 11 Plano de continuidade de negócios. 11 Plano de resposta a incidentes. Ao iniciar o trabalho de gestão de riscos deve-se primeiramente fazer um levantamento de todas as informações relevantes sobre o ambiente onde será executada a análise de riscos. Deve estar claro ainda o entendimento sobre as atividades da organização e os propósitos que a levaram à gestão de riscos de segurança da informação. São exemplos destes propósitos: 11 Suporte a SGSI: a organização optou por implementar um SGSI e para isso deve realizar a gestão de risco de segurança da informação como requisito obrigatório. 11 Conformidade legal: atendimento a uma determinação legal ou normatizadora. Ex: bancos, operadoras de cartão de crédito. 11 Plano de Continuidade de Negócios: necessário para a preparação do plano que visa estruturar o modo como a organização enfrentará um evento catastrófico. Para que não ocorra um impacto significativo ao negócio é necessária a realização do processo de gestão de riscos. 11 Plano de resposta a incidentes: para que a organização possa ter seu plano de respostas a incidentes é necessário o conhecimento de seus riscos e vulnerabilidades. De modo geral, o entendimento dos propósitos da implantação da gestão de riscos possibilita uma visão da importância desta atividade para os negócios da organização. Na norma ABNT NBR ISO/IEC 27005 o propósito faz parte das diretrizes para implementação da atividade de definição do contexto: vide 7.1 – Considerações gerais.

Itens para identificação Ao analisar o ambiente da organização, a equipe de analistas deve identificar os elementos

Gestão de Riscos de TI NBR 27005

que caracterizam a organização e contribuem para o seu desenvolvimento. Na análise da

24

organização devem constar pelo menos os seguintes itens:

Tabela 2.1 Itens para análise da organização.

Itens para identificação

Exemplo de questionamentos

Propósito principal da organização

Qual a finalidade da empresa? Quais seus objetivos?

O negócio

Qual o seu negócio? Qual a finalidade do que é produzido / desenvolvido?

A missão

Qual a sua missão? Para que ela existe? O que ela se propõe a fazer? Para quem?

Itens para identificação

Exemplo de questionamentos

A visão de futuro

Qual sua visão de futuro? O que se espera dela no tempo?

Os valores

Quais os seus valores? Como eles são evidenciados?

A estrutura organizacional

Como ela está organizada e estruturada? E a segurança das informações? E as responsabilidades pela segurança?

O organograma

Qual o seu organograma? “Quem é quem e em que setor trabalha”? Há área de segurança da informação?

As estratégias

Quais são as suas principais estratégias de negócios? E de segurança da informação?

Os produtos

Quais são os seus produtos? Qual o principal produto de alavancagem dos negócios?

Os parceiros

Quem são seus parceiros? Como são escolhidos? Como contribuem? Como é o relacionamento da segurança da informação com eles? Quais as obrigações da segurança da informação?

Os terceiros

Quem são os terceiros? Como são escolhidos? Como contribuem? Como é o relacionamento da segurança da informação com eles? Como é o contrato? Quais as obrigações da segurança da informação?

As instalações

Como está dividida a organização? Onde estão os servidores? Há algum mecanismo de prevenção de incêndio? Como é feita a proteção física? Como são os acessos?

Os funcionários

Como são contratados? Há treinamento de segurança da informação? Como são contratados?

Exercício de fixação 1 e Definindo o contexto

Qual deve ser um dos propósitos que devem levar a gestão de riscos de segurança da informação na sua organização? Justifique.

Capítulo 2 - Contexto da gestão de riscos

Qual a finalidade da sua organização? Explique.

25

Definindo escopo e limites 11 Escopo é descrição dos limites do projeto, sua abrangência, seus resultados e entregas. É a finalidade da gestão de riscos. 11 Devem ser considerados: 22 Os objetivos e políticas da organização. 22 Estrutura e funções da organização. 22 Processos de negócios. 22 Ativos. 22 Expectativas. 22 Restrições. 11 As restrições afetam a organização e determinam o direcionamento da segurança da informação. 11 Algumas destas restrições podem causar impactos no escopo e a equipe tem que estar preparada para identificá-las e determinar a influência que terão no escopo. Exemplos de restrições: 22 Restrições técnicas. 22 Restrições financeiras. 22 Restrições ambientais. 22 Restrições temporais (tempo é um fator determinante). 22 Restrições organizacionais. 11 O anexo A da norma ABNT NBR ISO/IEC 27005 apresenta e detalha estas restrições. 11 Exemplos de escopo e limites: 22 Uma aplicação de TI. 22 A infraestrutura de TI. 22 Um processo de negócio. 22 O departamento de TI. 22 Uma filial. 22 O sistema de internet banking de uma instituição financeira. 22 O serviço de e-mail da organização. 22 O processo de controle de acesso físico da organização. 22 O datacenter da organização.

Gestão de Riscos de TI NBR 27005

22 A infraestrutura que atende aos serviços ADSL de uma operadora.

26

22 O serviço de callcenter. 22 O sistema logístico de distribuição de provas de concurso público nacional. 22 A intranet da organização.

Para lidar com a complexidade da definição do escopo, é recomendável escrevê-la por tópicos, tendo a certeza de que todos os pontos foram incluídos e que não existem dúvidas, principalmente entre o entendimento da equipe de gestão de riscos e a organização.

q

É importante que a organização defina o escopo e os limites da gestão de riscos de segurança da informação. Mas o que é escopo? Escopo é a maneira como são descritos os limites do projeto, sua abrangência, seus resultados e suas entregas. É a finalidade, o alvo, o intento ou propósito da gestão de riscos. Se o escopo for nebuloso, ou deixar margem para interpretação, será difícil para a equipe de gestão de riscos identificar os limites do seu trabalho. Portanto, o escopo deve ser claro, bem definido e entendido pela equipe de trabalho e pela organização. Desta forma, com o escopo e os limites identificados, a equipe de análise e a organização estarão aptos a levantar os ativos, pessoas, processos e instalações que serão envolvidas na atividade de análise e avaliação dos riscos. Ao definir o escopo, a organização deverá levar em conta os objetivos que devem ser alcançados com a análise/avaliação (propósitos). Para isso devem ser considerados: 11 Os objetivos e políticas da organização; 11 Estrutura e funções da organização; 11 Processos de negócios; 11 Ativos; 11 Expectativas; 11 Restrições. É importante considerar as restrições que afetam a organização e determinam o direcionamento da segurança da informação. Algumas destas restrições podem causar impactos no escopo, de modo que a equipe precisa estar preparada para identificá-las e determinar a influência que terão no escopo. Alguns exemplos de restrições: 11 Restrições técnicas; 11 Restrições financeiras; 11 Restrições ambientais; 11 Restrições temporais (tempo é um fator determinante); 11 Restrições organizacionais. Existem muitas outras restrições, que irão variar em função do tipo ou do negócio da organização, assim como também irá variar a influência destas restrições na gestão de riscos. O anexo A da norma ABNT NBR ISO/IEC 27005 apresenta e detalha estas restrições, sendo uma leitura obrigatória para um melhor entendimento. Estes são apenas alguns exemplos bem objetivos. É preciso avaliar a complexidade do escopo e fazer um detalhamento dos

Exercício de fixação 2 e Definindo o escopo e limites Quais propósitos devem ser considerados na sua organização para definição do escopo? Justifique.

Capítulo 2 - Contexto da gestão de riscos

seus objetivos, para que não haja dúvida a respeito da sua amplitude.

27

Cite uma restrição técnica e uma restrição organizacional possível de existir na sua organização? Justifique.

Critérios para avaliação de riscos 11 Os critérios fazem parte do método da gestão de riscos.

q

11 Os critérios são a forma e o valor (pesos) com que os riscos e impactos serão valorados. A palavra critério, do grego kritérion pelo latim critério, significa estabelecer um padrão que serve de base para que coisas e pessoas possam ser comparadas e julgadas. Os critérios para avaliação de riscos servem para avaliar os riscos de segurança e devem considerar: 11 O valor estratégico do processo; 11 A criticidade dos ativos; 11 O histórico de ocorrências de eventos de segurança; 11 O valor do ativo para o processo; 11 A probabilidade de ocorrências e outros, de acordo com a organização e escopo. Os critérios também serão utilizados para definir as prioridades para o tratamento dos riscos. Exemplo: Em um ambiente que possui uma sala usada como depósito de papel e com um precário sistema de prevenção e combate a incêndios, o risco de um incêndio pode ser ALTO. No desenvolvimento dos critérios é importante que: 1. Definir a quantidade de níveis necessários para o critério; 2. Definir o nome do nível; 3. Definir os valores de cada nível; 4. Fazer uma descrição detalhada de cada nível. Colocar o máximo de informações do que abrange aquele nível a fim de permitir que qualquer outra pessoa possa entender cada

Gestão de Riscos de TI NBR 27005

nível do critério e aplica-lo de forma igualitária e uniforme.

Critérios de impacto Impacto é a mudança adversa no nível obtido nos objetivos de negócios. Os critérios de impacto servem para mensurar o montante dos danos ou custos à organização causados pela ocorrência de um evento de segurança da informação. Geralmente estão relacionados a perdas financeiras. Devem considerar, entre outros: 11 O comprometimento das operações; 11 O descumprimento de prazos; 11 Os danos de reputação e imagem;

28

11 Violações de requisitos legais e regulatórios; 11 Severidade e criticidade; 11 O comprometimento da confidencialidade, integridade e disponibilidade; 11 Outros, de acordo com a organização e escopo.

Exemplo Se na ocorrência de um incêndio os prejuízos foram apenas locais, restritos a uma sala, o impacto pode ser classificado como BAIXO. Na situação do incêndio ter se alastrado, e não ter sido possível controlá-lo, de modo a ter destruído diversas salas, equipamentos e documentos importantes, o impacto pode ser classificado como ELEVADO.

Critérios para aceitação do risco Servem para a organização definir o seu nível ou a sua escala de aceitação dos riscos. Dependem das políticas, metas e objetivos da organização, sendo definidos com a participação da alta direção da organização. Devem considerar: 11 Aspectos legais e regulatórios; 11 Finanças; 11 Aspectos sociais; 11 Repercussão na imagem; 11 Aspectos operacionais; 11 Negócios; 11 Tecnologias. 11 Outros, de acordo com a organização e planejamento futuro dos negócios. Exemplo: A empresa definiu que todo risco MUITO BAIXO que possuir IMPACTO BAIXÍSSIMO ou que possa causar perdas financeiras abaixo de R$ 10 mil será classificado como RISCO ACEITÁVEL e não será tratado com prioridade.

Tabela 2.2 Exemplo de critério de probabilidade.

Tabela 2.3 Exemplo de critério de abrangência.

Nível

Definição

Frequente

> 0,92

Provável

> 0,65 e < = 0,92

Ocasional

> 0,39 e < = 0,65

Remoto

> 0,15 e < = 0,39

Improvável

> = 0 e < =0,15

Valor

Definição

1

Apenas na rede local.

2

Restringe-se ao setor, departamento ou gerência.

3

Atinge parte do site onde está o ativo.

Capítulo 2 - Contexto da gestão de riscos

Exemplos de critérios:

29

Valor

Definição

4

As consequências incidem sobre todo o site/filial onde está o ativo.

5

O ativo tem consequências sobre toda a organização.

Nível de risco

Valor

Descrição

Extremo

5

De acordo com a organização

Altíssimo

4

De acordo com a organização

Alto

3

De acordo com a organização

Médio

2

De acordo com a organização

Baixo

1

De acordo com a organização

Irrelevante

0,5

De acordo com a organização

Figura 2.4 Exemplo de critério de nível de risco.

Outro ponto importante é a definição dos critérios (7.2 Critérios básicos). Os critérios fazem parte do método com o qual será feita a gestão de riscos. Em outras palavras, os critérios são a forma e o valor (pesos) com que serão valorados os riscos e os impactos. Para identificar o maior ou menor risco, e o mais alto ou mais baixo impacto, é preciso definir os critérios. Critério é um padrão que serve de base para que coisas e pessoas possam ser comparadas e julgadas. A definição de critérios de risco envolve decidir sobre:

q

11 A natureza e os tipos de consequências a serem incluídos e a forma como serão medidos. 11 A maneira pela qual as probabilidades serão representadas. 11 O modo como um nível de risco será determinado. 11 Os critérios que nortearão a decisão pelo tratamento do risco. 11 Os parâmetros para definir quando um risco é aceitável e/ou tolerável. 11 Se as combinações de riscos serão tomadas em consideração. Os critérios podem ser baseados em fontes como: 11 Os objetivos acordados do processo; 11 Os critérios identificados no caderno de encargos; 11 As fontes de dados; 11 Critérios geralmente aceitos pela indústria, como níveis de integridade, segurança

Gestão de Riscos de TI NBR 27005

(melhores práticas);

30

11 O apetite de risco da organização; 11 Os requisitos legais cumpridos pela organização; 11 Outros através de informações técnicas de equipamentos específicos ou aplicações. Os critérios a serem adotados devem ser determinados em comum acordo entre a equipe de gestão de riscos e a organização. Caso a organização já possua critérios para outros sistemas de gestão, estes poderão ser adaptados a depender da demanda, facilitando o entendimento dos critérios de gestão de riscos por parte da organização, pois serão semelhantes aos já utilizados por outros sistemas de gestão implementados.

Nível de risco

Desprezível

Valor

1

Descrição 11Não ocorrem lesões, mortes na força de trabalho e/ou de pessoas externas à empresa. Podem ocorrer casos de primeiros socorros ou tratamento médico (sem afastamento). 11Sem danos ou com danos insignificantes aos equipamentos e/ou instalações. 11Os sistemas de TI ficaram fora de operação por até 5 minutos. 11Lesões leves na força de trabalho, ausência de lesão.

Levemente prejudicial

2

11Danos leves aos equipamentos ou instalações, controláveis e/ou de baixo custo de reparo. 11Os sistemas de TI ficaram fora de operação por até 30 minutos.

11Lesões de gravidade moderada na força de trabalho ou em pessoas externas à empresa. Prejudicial

3

11Lesões leves em pessoas externas à empresa. Danos severos a equipamentos e/ou instalações.

11Os sistemas de TI ficaram fora de operação acima de 30 minutos. Emissão de nota fiscal por sistema alternativo. Necessidade de recuperar backup. 11Provoca morte ou lesões graves em uma ou mais pessoas (na força d e trabalho e/ou em pessoas externas à empresa).

Tabela 2.5 Exemplos de critérios de impacto.

5

11Danos irreparáveis a equipamentos ou instalações (reparação lenta ou impossível).

11Acionado site alternativo. Perda de dados e informações. Clientes sem atendimento total. Cabe ressaltar que estes exemplos provavelmente não se aplicam a qualquer tipo de organização, mas àquelas para as quais foram desenvolvidos. Entretanto, fornecem uma ideia sobre a criação de critérios aplicados às atividades de gestão de riscos. No decorrer deste curso serão desenvolvidos critérios durante a realização das atividades.

Exercício de fixação 3 e Definindo os critérios Que critérios já existem atualmente na sua organização? Justifique.

Considerando o ambiente da sua organização, faça a descrição dos níveis “baixo” e “altíssimo” da Tabela 2.5? Justifique.

Capítulo 2 - Contexto da gestão de riscos

Extremamente prejudicial

31

Organização para a gestão de riscos 11 A definição dos papéis e responsabilidades é importante para o sucesso do processo

q

de gestão de riscos. 11 Devem ser definidos: 22 O processo de gestão de risco adequado à organização. 22 As partes interessadas. 22 Os papéis e responsabilidades das partes envolvidas, internas e externas à organização. 22 As relações necessárias entre a organização, suas partes interessadas e outros projetos. 22 A cadeia de comunicação e de decisões. 22 Os registros que devem ser mantidos. 22 Outros registros que atendam a particularidades específicas de cada tipo de organização. 11 Todas estas atividades devem gerar evidências para a aplicação dos processos de gestão de riscos. A definição dos papéis e responsabilidades é um fator importante para o sucesso do processo de gestão de riscos. Para tal isto deve estar formalmente definida, comunicada, documentada e aprovada pelos gestores da alta administração. Deve ficar claro para todos os envolvidos que o conjunto destas atividades deve gerar evidências que auxiliem para uma aplicação adequada dos processos de gestão de riscos. Sendo assim, é importante que todas as informações e dados sejam documentados para o caso de uma futura auditoria.

Leitura complementar 11 Sessão 7 da norma ABNT NBR ISO/IEC 27005. 11 Sessões 5, 6 e 7 da norma ABNT NBR ISO/IEC 27002. 11 Capítulo 5 do livro “O risco de TI” (Desenvolvendo o processo de governança de risco), de

Gestão de Riscos de TI NBR 27005

George Westerman e Richard Hunter: Harvard Business School Press, 2008.

32

Roteiro de Atividades 2 Visão geral da atividade Serão realizadas as atividades necessárias para a “Definição do contexto”. A figura a seguir apresenta graficamente a localização destas atividades no processo de gestão de riscos.

DEFINIÇÃO DO CONTEXTO

IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS

AVALIAÇÃO DE RISCOS

PONTO DE DECISÃO 1

Não

Avaliação satisfatória Sim TRATAMENTO DO RISCO

MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

COMUNICAÇÃO E CONSULTA DO RISCO

PROCESSO DE AVALIAÇÃO DE RISCOS

Não

PONTO DE DECISÃO 2 Tratamento satisfatório Sim

ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES A realização desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivência e experiência em sua organização. Para esta atividade, o aluno deve se valer do Anexo A (Descrição da Empresa), que permitirá a criação de uma empresa fictícia ou ainda auxiliar em algumas observações sobre sua organização. A planilha desta atividade é composta de perguntas básicas para o entendimento do contexto organizacional. A sequência das atividades será: 1. Leitura da Seção 7 e do Anexo A da norma ABNT NBR ISO/IEC 27005; 2. Leitura do Anexo A (Descrição da Empresa) deste caderno de atividades;

Capítulo 2 - Roteiro de Atividades

Figura 2.2 Atividades para a “Definição do contexto”.

3. Explicação e demonstração pelo instrutor da planilha de análise de risco. 33

4. Execução das atividades da planilha: a. Exercícios da guia “Definir Contexto” O objetivo desta atividade é, através de respostas a algumas perguntas, desenvolver no aluno o entendimento do que deve ser pensado, planejado e verificado ao definirmos o contexto. Devem ser respondidas as perguntas que permitirão que a equipe de análise de risco identifique e compreenda o contexto do ambiente onde será desenvolvida a análise. Para cada tópico deverão ser colocadas à direita as observações ou justificativas correspondentes. Só passe para a guia seguinte após concluir. b. Exercícios da guia “Restrições” Esta atividade conduz ao entendimento da importância da identificação das restrições existentes. Nesta guia serão inseridas as restrições aplicáveis à organização, de acordo com o Anexo A da ABNT NBR ISO/IEC 27005. A coluna “Restrições” apresenta uma lista baseada na norma, cabendo ao aluno escolher as que se aplicam e escrever a justificativa.

Figura 2.3 Análise das restrições.

Existem restrições que afetam a organização e restrições que afetam o escopo da gestão de riscos. Só passe para a guia seguinte após concluir. a. Exercícios da guia “Escopo” O objetivo desta atividade é, através de respostas a algumas perguntas, desenvolver no aluno o entendimento do que deve ser pensado, planejado e verificado ao definirmos o escopo e seus limites. Esta guia apresenta exercícios para que a equipe de análise tenha um perfeito entendimento do escopo e seus limites. Para cada tópico deverão ser colocadas à direita as observações correspondentes.

Gestão de Riscos de TI NBR 27005

Só passe para a guia seguinte após concluir.

34

b. Exercícios da guia “Critérios” Esta guia apresenta um exercício para permitir a definição dos critérios que serão trabalhados durante toda a análise de risco. Aqui a equipe de análise de risco da organização onde é realizado o trabalho, definirá os critérios que conduzirão os trabalhos durante todo o processo. É importante que estes critérios sejam factíveis e válidos para o ambiente do escopo da gestão de riscos e para a organização.

Critérios a serem definidos: 11 Probabilidade – representa o percentual de chance de um evento ocorrer; 11 Relevância do ativo – importância do ativo para os negócios/serviços da organização; 11 Severidade das consequências – grau das consequências sofridas por um ativo em relação aos serviços/negócios (disponibilizados pelo ativo ou que passam por ele) ao ser atacado ou parar de funcionar; 11 Impacto – índice para mensurar o montante dos danos ou custos à organização causados pela ocorrência de um evento de segurança da informação; 11 Critério de risco – define o nível ou sua escala de aceitação dos riscos e depende das políticas, metas e objetivos da organização. IMPACTO Descrição

Desprezível

De acordo com a organização - DEFINA

Baixo

De acordo com a organização - DEFINA

Significativo

De acordo com a organização - DEFINA

Importante

Afetam a imagem da organização e causam interrupção de 12 horas nos negócios. A empresa deixa de funcionar/produzir por 12 horas.

Desastre

De acordo com a organização - DEFINA

Cada critério é composto por nível e descrição. Para cada um deles a equipe de análise deverá definir seus critérios. Para a atividade, as descrições que possuem a palavra DEFINA deverão ser completadas pela equipe e alguns níveis poderão ser alterados. Os critérios definirão as demais atividades no decorrer do curso. 5. Verificação e correção pelo instrutor. Ao concluir o Roteiro de Atividades 2, a equipe de análise conhecerá o ambiente da organização. O escopo da análise estará definido, assim como os critérios de análise que nortearão todos os trabalhos da gestão de risco.

Capítulo 2 - Roteiro de Atividades

Tabela 2.6 Definição de critérios.

Nível

35

Anexo A – Descrição da empresa A empresa Com sede na cidade de Brasília, um escritório comercial situado em Campinas e outro escritório no Rio de Janeiro, a KWX Indústria Gráfica e Serviços LTDA atua no mercado desde 1998. Atualmente conta com aproximadamente 230 funcionários. Possui equipamentos de alta tecnologia e o objetivo de produzir e distribuir produtos e serviços com padrão de qualidade internacional, atendendo ao mercado de empresas do setor educacional. A empresa detém uma pequena fatia do mercado nacional, com um faturamento médio de R$ 45 milhões anuais. Tendo como meta dobrar sua participação de mercado em três anos, a KWX planeja a reestruturação de seus processos internos e também a reformulação de sua cultura, visando a Segurança da Informação e a preparação para a certificação ISO 27001. Atualmente possui a certificação ISO 9001, obtida há dois anos.

Visão A alta administração visa aperfeiçoar a maneira de trabalhar, reduzindo custos e procurando preservar e investir em seu ativo intelectual e parque tecnológico, trabalhando em busca da melhoria contínua e da excelência operacional, para se firmar cada vez mais como uma marca de sucesso. A KWX tem como visão ser uma marca de expressão nacional, conquistando o público através de produtos inovadores, relações éticas com parceiros e a comunidade, e a prática constante de responsabilidade social, tendo como prioridade a preservação ecológica. Apesar de tudo isso, a KWX também aposta no fator humano e na satisfação dos seus funcionários e colaboradores. “A satisfação pessoal é algo que buscamos oferecer aos nossos funcionários. Queremos que eles sejam mais que simples trabalhadores, mas que venham para a KWX com satisfação e orgulho de serem parte desta empresa”, afirma o diretor presidente.

Estrutura organizacional Diretor Presidente

Gestão de Riscos de TI NBR 27005

Diretor Operacional

36

Diretor Administrativo/ Financeiro

Gerente de Pesquisa & Desenvolvimento

Gerente de Recursos Humanos

Gerente de Produção

Gerente Financeiro

Gerente de Logística

Gerente Compras/ Materiais

Gerente de Manutenção

Gerente de Manutenção

Gerente de Segurança, Saúde e Meio Ambiente

Gerente de Tecnologia de Informação

Diretor Comercial

Gerente de Vendas Coordenação Atendimento ao Cliente Coordenação de Plaejamento de Produção Gerente de Marketing

Gerente de Infraestrutura Corporativa

Coordenação Segurança de Informação

Figura 2.4 Organograma da KWX.

Diretoria Operacional Pesquisa e Desenvolvimento A KWX está sempre em busca de novas tendências e tecnologias para ser uma referência no mercado nacional de cursos apostilados. A elaboração de novos cursos e produtos, alinhada às tendências de mercado e a concorrência, são de vital importância para o sucesso da empresa. É neste departamento que novas ideias, materiais e produtos são concebidos, além de melhorias no processo de fabricação de produtos existentes. Todas as análises de novos cursos e apostilas são feitas neste departamento, que é o principal capital intelectual da empresa, por isso devendo ser protegido de todas as formas. Produção O planejamento de produção é realizado com base nas informações recebidas pela área de atendimento ao cliente, e também no histórico de produção dos últimos dois anos. Para o bom funcionamento do planejamento, é necessária uma grande interação com as áreas de atendimento ao cliente, compras, vendas, controle de materiais (almoxarifado) e principalmente com as áreas de chão de fábrica. A área de planejamento gera uma programação de produção para os próximos 5 dias, embora essa programação seja revisada e atualizada diariamente. Almoxarifado Responsável pelo recebimento dos materiais, além do estoque de produtos considerados essenciais para o funcionamento do processo fabril. Materiais de escritório também ficam no almoxarifado. Logística Área responsável por toda a movimentação de produtos dentro e fora da companhia, definindo a estratégia de distribuição dos produtos para os clientes. Garante que o produto seja entregue no destino final, dentro dos prazos e especificações corretos. Controla ainda a movimentação dos produtos e materiais no chão de fábrica. Manutenção Engloba a manutenção elétrica e mecânica. O time da manutenção trabalha durante o horário administrativo, com um funcionário alocado em cada turno para acompanhar e resolver eventuais problemas no processo de produção. A manutenção tem a responsabilidade de manter todas as máquinas em funcionamento, além da parte elétrica, ar-condicionado, alarmes e catracas da fábrica, cuidando ainda de manutenções preventivas. Segurança, Saúde e Meio Ambiente

Segurança Patrimonial e Meio Ambiente, além da integridade dos funcionários. É responsável pelas normas de meio ambiente, pelo relacionamento com órgãos ambientais, pela aplicação de ferramentas e procedimentos de segurança, realização de mapa de riscos das áreas da empresa, e ainda pela definição e aprovação dos EPIs utilizados pelos funcionários.

Capítulo 2 - Roteiro de Atividades

A área de segurança ambiental engloba os seguintes elementos: Saúde Ocupacional,

37

Esta área também é responsável pela definição dos treinamentos e da conscientização dos funcionários sobre a importância de se trabalhar com segurança. É, ainda, de responsabilidade desta área a investigação de acidentes e incidentes ocorridos na empresa, e também por tomar ações corretivas para evitar uma nova ocorrência. Esta é uma área de vital importância para a KWX, uma vez que a conformidade com as leis e a proteção ambiental são prioridades para a organização. Fortes investimentos foram feitos nesta área, ajudando a tornar a KWX uma referência no aspecto socioambiental.

Diretoria Administrativo-Financeira Recursos Humanos Tem a responsabilidade da contratação e demissão de pessoal, organização de treinamentos internos e externos, gerenciamento da folha de pagamento, controle de ponto, refeições e benefícios. Também é de responsabilidade do RH a pesquisa por médias salariais de mercado, programas de promoção de funcionários e controle do programa de participação nos lucros. Finanças Departamento que engloba a parte financeira: tesouraria, área fiscal, custos, contas a pagar e a receber, controladoria e ativo fixo. Por se tratar de uma área de grande sensibilidade e importância, a área financeira é suportada por uma série de sistemas e aplicações que garantem o bom funcionamento da empresa e a confiabilidade nos números e planos de conta apresentados. Compras e Materiais Este setor tem a responsabilidade por todo o processo de compras, desde a negociação com os fornecedores até a compra final dos produtos. Informam preços médios de mercado a funcionários específicos, para que possam fazer uma requisição de compras. Funcionários que não sejam da área de compras não podem ter contato com fornecedores. Os contratos também são negociados pela área de compras.

Diretoria Comercial Vendas Área responsável por planejar o volume de vendas a realizar no mês, através de dados recebidos do pessoal de planejamento de produção, e também encarregada de estimar os pedidos dos clientes. A área de vendas é responsável por todo o processo de vendas dos produtos da empresa, e também pelo relacionamento com os clientes, que são as instituições de ensino que comercializam a linha KWX. Esta área também fornece o suporte técnico

Gestão de Riscos de TI NBR 27005

aos consumidores finais, além de informações para a manutenção do website da empresa.

38

Marketing Área responsável por desenvolver toda a estratégia de comercialização e divulgação dos produtos da linha KWX. Coordena campanhas publicitárias em diferentes mídias, além de desenvolver e manter atualizado o website da companhia.

Infraestrutura

Capítulo 2 - Roteiro de Atividades

Figura 2.5 Planta atual da KWX – fábrica.

39

Figura 2.6 Planta atual da KWX – escritório comercial.

Gestão de Riscos de TI NBR 27005

O que foi aprendido

40

11 Descrição do contexto. 11 Definição do escopo. 11 Identificação das restrições. 11 Definição dos critérios.

q

3 Compreender o processo de identificação de riscos e identificar ativos, ameaças e controles existentes.

Análise e identificação de riscos, ameaças e controles.

conceitos

Introdução Após as fases de identificação do contexto e definição do escopo, a próxima fase é a de análise/avaliação de riscos, composta por duas grandes etapas de trabalho: 11 Análise de riscos; 11 Avaliação de riscos. Nesta sessão de aprendizagem, iniciaremos o estudo da etapa de análise de riscos.

Exercício de nivelamento 1 e Identificação dos riscos No seu entendimento o que é identificação dos riscos?

Processo de análise de riscos de segurança da informação A fase de processo análise de riscos identifica e valora ativos, ameaças e vulnerabilidades, sendo composta pelas seguintes etapas: 11 Identificação de riscos – onde são determinados os eventos que podem causar perdas potenciais. 11 Análise de riscos – onde é determinada a probabilidade de ocorrência dos eventos. 11 Avaliação de riscos ordena os riscos de acordo com os critérios de avaliação estabelecidos na definição de contexto.

q

Capítulo 3 - Identificação de riscos

objetivos

Identificação de riscos

41

Após a identificação do contexto e a definição do escopo, com o perfeito entendimento de todo ambiente, é iniciado o processo de análise/avaliação de riscos de segurança da informação. Veja em destaque na figura a seguir as atividades no processo de gestão de riscos.

DEFINIÇÃO DO CONTEXTO

IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS

AVALIAÇÃO DE RISCOS

PONTO DE DECISÃO 1

Não

Avaliação satisfatória Sim TRATAMENTO DO RISCO PONTO DE DECISÃO 2

MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

COMUNICAÇÃO E CONSULTA DO RISCO

PROCESSO DE AVALIAÇÃO DE RISCOS

Não

Tratamento satisfatório Sim Figura 3.1 Posição da fase de análise de riscos no processo de gestão de riscos.

ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES Neste capítulo serão apresentados os detalhes da identificação de riscos. Recomendamos o seu acompanhamento com a leitura do item 8.2.1 da norma ABNT NBR ISO/IEC 27005.

Identificação de riscos 11 Realizada para que se possa conhecer e determinar os possíveis eventos com poten-

q

cial de causar perdas, e fazer o levantamento de como isso pode acontecer.

Gestão de Riscos de TI NBR 27005

11 Os resultados desta etapa serão os dados de entrada da etapa de estimativa de riscos.

42

É importante que qualquer organização identifique as suas fontes de risco, suas causas e consequências. A finalidade é gerar uma lista abrangente de riscos baseada em eventos que possuam capacidade de criar, aumentar, evitar, reduzir, acelerar ou atrasar a conquista dos seus objetivos. Na fase de análise de risco, a primeira etapa é a identificação de riscos. Esta identificação é realizada para que se possa conhecer e determinar os possíveis eventos que tenham um potencial de causar perdas, assim como levantar de que forma isso pode acontecer. As atividades de identificação de riscos são as mostradas na figura 3.2:

PROCESSO DE AVALIAÇÃO DE RISCOS IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS Figura 3.2 Identificação de riscos na fase de análise de riscos.

AVALIAÇÃO DE RISCOS

As atividades de identificação de riscos são mostradas na figura abaixo:

Identificação de Riscos Identificação dos ativos

Identificação das ameaças

Identificação dos controles existentes

Identificação das vulnerabilidades

Identificação das consequências

Avaliação de Riscos

Identificando os ativos 11 Ativo é qualquer elemento com valor para a organização que necessite de proteção.

q

22 Entrada: resultados da etapa de definição do escopo. 22 Ação: desenvolvimento da atividade de identificação dos ativos. 11 Nível de detalhamento que permita o fornecimento de informações adequadas e suficientes para a análise e avaliação de riscos. 11 A primeira informação sobre cada ativo é “quem é o seu responsável?” 11 Identificação de ativos: 22 Ativos primários. 22 Ativos de suporte e infraestrutura.

Capítulo 3 - Identificação de riscos

Figura 3.3 Atividades de identificação de riscos.

43

Identificação de Riscos Identificação dos ativos

Identificação das ameaças

Identificação dos controles existentes

Identificação das vulnerabilidades

Identificação das consequências Figura 3.4 Identificação dos ativos.

Avaliação de Riscos De posse das informações levantadas durante a fase de definição de contexto, como escopo, lista de componentes e responsáveis, entre outras, inicia-se a identificação dos ativos.

Ativo é qualquer elemento de valor para a organização, isto é, qualquer item tangível (como hardware) ou intangível (por exemplo, propriedade intelectual), recurso ou habilidade que tenha valor ou seja crítico para a existência da organização, e que por consequência necessite de proteção. Na atividade de identificação dos ativos: 11 Entrada: contempla os resultados da etapa de definição do escopo. 11 Ação: desenvolvimento da atividade de identificação dos ativos. A identificação dos ativos deve ser feita em um nível de detalhamento que permita o fornecimento de informações adequadas e suficientes para a análise e avaliação de riscos. Como o processo define a necessidade de diversas iterações, o detalhamento pode ser aprofundado em cada iteração. 11 Saída: lista dos ativos considerados sensíveis para a organização e também uma lista dos

Gestão de Riscos de TI NBR 27005

negócios relacionados a estes ativos.

44

Entrada Escopo Lista de Componentes Responsáveis Localidade Função Estrutura Organizacional Missão, Objetivos

Ação

Identificação dos ativos (8.2.2 da ABNT NBR ISO/IEC 27005)

Saída

Lista de Ativos Lista de negócios Figura 3.5 Identificação dos ativos.

A primeira informação sobre cada ativo é “quem é o seu responsável?”. Este profissional tem responsabilidade sobre a produção, desenvolvimento, manutenção, utilização e segurança do ativo; possui a maioria das informações sobre o ativo e frequentemente será a pessoa mais adequada para determinar o valor do ativo. Dois tipos de ativos podem ser identificados: 11 Ativos primários; 11 Ativos de suporte e infraestrutura.

Identificando os ativos primários 11 Os ativos primários são processos e atividades de negócios e a informação.

q

11 Tipos de ativos primários: 22 Processos ou subprocessos. 22 Atividades de negócio. 11 A informação primária pode compreender: 22 Informação vital para o exercício das atividades da organização. 22 Informação de caráter pessoal, como as definidas em leis nacionais de privacidade. Os ativos primários são processos e atividades de negócios e as informações relacionadas. A melhor forma de identificar estes ativos é através de entrevistas com um grupo heterogêneo de profissionais que represente o processo, como gestores, especialistas nos sistemas de informação e usuários. É importante a participação de representantes de todos os níveis da organização. Normalmente, os ativos primários são os principais processos e informações das atividades incluídas no escopo. Os ativos primários podem ser de dois tipos: 11 Processos ou subprocessos e atividades do negócio. Por exemplo: 22 Processos cuja interrupção (mesmo que parcial) impossibilita a organização de prosseguir com seu negócio; 22 Processos que contêm procedimentos secretos ou que envolvam tecnologia proprietária. 11 A informação primária pode compreender: 22 Informação vital para o exercício das atividades da organização; 22 Informação de caráter pessoal, como as definidas em leis nacionais sobre privacidade. Normalmente as informações para a identificação detalhada dos ativos primários são obtidas no nível gerencial e da alta direção da organização. Estes ativos serão considerados serão sensíveis, mas que frequentemente herdarão controles para a proteção de processos e informações sensíveis.

Capítulo 3 - Identificação de riscos

sensíveis para a organização. Cabe ressaltar que existirão processos e informações que não

45

Identificando os ativos de suporte e infraestrutura 11 Os ativos de suporte e infraestrutura são compostos por:

q

22 Elementos físicos (hardware) que suportam os processos 22 Programas (software) que contribuem para a operação de um sistema 22 Aplicações de negócios 22 Dispositivos de telecomunicações (redes) 22 Recursos humanos 22 Instalações físicas 22 Estrutura organizacional 11 Normalmente todas as informações necessárias à equipe de análise de riscos não serão obtidas numa primeira entrevista. 11 A realização de outras iterações e de entrevistas nos níveis gerencial, técnico e com usuários, somadas às observações in loco na organização permitirão que sejam obtidas informações suficientes para a identificação dos ativos. O anexo B da norma ABNT NBR ISO/IEC 27005 em seu item B.1.2 apresenta em detalhes exemplos de ativos de suporte e infraestrutura. É importante salientar a importância do detalhamento destas informações sobre os ativos. Normalmente todas as informações necessárias à equipe de análise de riscos não serão obtidas numa primeira entrevista. A realização de outras iterações e de entrevistas nos níveis gerencial, técnico e de usuários, somadas às observações in loco na organização, permitirão que sejam obtidas informações suficientes para a identificação dos ativos. Para a atividade de identificação dos ativos, a equipe de análise terá como saída uma lista dos ativos considerados sensíveis para a organização e também uma lista dos negócios relacionados a estes ativos.

Exercício de fixação 1 e Identificando os ativos

Gestão de Riscos de TI NBR 27005

Cite dois ativos primários da sua organização e justifique.

46

Cite dois ativos de suporte e infraestrutura da sua organização e justifique.

Identificando as ameaças 11 Ameaça é qualquer evento que explore vulnerabilidades, com potencial de causar inci-

q

dentes indesejados, que podem resultar em dano para um sistema ou organização. 11 Na identificação das ameaças são realizadas ações para identificar dentro do escopo as ameaças existentes na organização. 22 Entrada: as informações do histórico e de incidentes passados, das observações dos responsáveis e usuários dos ativos, e ainda de catálogos externos de ameaças. 22 Ação: identificação das ameaças e suas fontes. 22 Saída: lista de ameaças identificadas por tipo e fonte. 11 Identificação da fonte da ameaça e de seu agente 22 A ameaça tem o potencial de comprometer os ativos e as organizações e devem ser identificadas. 22 O agente da ameaça é uma entidade com potencial para criar uma ameaça, explorando ou evidenciando alguma vulnerabilidade. 22 O ser humano é um dos principais e mais perigosos agentes da ameaça. 22 As ameaças podem ser intencionais, acidentais ou de origem natural e ambiental. 22 Entrevistas, visitas ao local e checklists ajudam nas ações de identificação de ameaças. 11 É comum as ameaças afetarem mais de um ativo. 22 Nesses casos, a equipe de análise deve considerar que as ameaças podem afetar cada ativo de maneira diferente. 11 É importante lembrar o cuidado com os dados e as informações recebidas, pois tratam de dados confidenciais e sensíveis da organização e como tal devem ser tratados. Identificação de Riscos Identificação dos ativos

Identificação das ameaças

Identificação das vulnerabilidades

Figura 3.6 Identificação das ameaças.

Identificação das consequências

Como foi visto, ameaça é qualquer evento que explore vulnerabilidades, com potencial de causar um incidente indesejado, que pode resultar em dano para um sistema ou organização. Na atividade de Identificação das Ameaças serão realizadas ações para levantar e identificar, dentro do escopo estabelecido, as ameaças existentes na organização.

Capítulo 3 - Identificação de riscos

Identificação dos controles existentes

47

Desta atividade de identificação das ameaças, a equipe de análise terá como: 11 Entrada: informações de seu histórico, obtidas de incidentes ocorridos, de observações apresentadas pelos responsáveis e usuários dos ativos, e ainda informações coletadas de catálogos externos de ameaças. 11 Ação: identificação das ameaças e suas fontes. A fonte da ameaça está relacionada ao seu agente, entidade que pode provocar uma ameaça explorando ou evidenciando alguma vulnerabilidade. Um dos principais e mais perigosos agentes da ameaça é o ser humano. 11 Saída: uma lista de ameaças com a identificação do tipo e da fonte das ameaças.

Entrada Informações Análise crítica de incidentes Informação dos Responsáveis Catálogo de ameaças

Ação Identificação das ameaças (8.2.3 da ABNT NBR ISO/IEC 27005)

Saída Lista de Ameaças Tipo e fonte das ameaças

As ameaças podem ser intencionais, acidentais ou de origem natural e ambiental. O anexo C da norma ABNT NBR ISO/IEC 27005 apresenta uma lista com 43 exemplos de ameaças que abrangem vários tipos. Neste anexo também consta uma tabela com a origem de ameaças representadas por seres humanos e suas motivações e consequências. As ameaças têm o potencial de comprometer os ativos e as organizações, e por isso devem ser identificadas. Durante a atividade de identificação é necessária a criação de um catálogo das ameaças à organização. Neste catálogo deve constar a categoria de ameaça: se é interna (origem dentro da organização), externa (origem de fora da organização) ou interna e externa simultaneamente. Durante as ações de identificação de ameaças, deverão ser realizadas entrevistas, observações no local e checklists, com os níveis gerenciais, técnicos e também com usuários, para obter o máximo possível de informações. Assim podem ser obtidas informações como: dados de incidentes ocorridos, quantidade de ocorrências, aspectos culturais e de ambiente dos ativos, experiências em ocorrências anteriores, avaliações e outras informações coletadas nas reuniões. Todas estas informações devem ser registradas e compiladas em um documento para posterior utilização como evidências, caso seja necessário. É comum algumas ameaças afetarem mais de um ativo. Nesses casos a equipe deve ter a visão de que estas ameaças podem atuar de forma diferente em cada ativo, afetando-os de maneira diferente. É importante lembrar o cuidado com os dados e as informações recebidas, pois

Gestão de Riscos de TI NBR 27005

tratam de dados confidenciais e sensíveis da organização e como tal devem ser tra-

48

tados por todos os envolvidos na análise de riscos.

Figura 3.7 Identificação das ameaças.

Exercício de fixação 2 e Identificando as ameaças Utilizando a norma, cite três ameaças existentes na sua organização e justifique sua resposta.

Identificando os controles existentes 11 Controle é qualquer mecanismo administrativo, físico ou operacional capaz de tratar

q

os riscos da ocorrência de um incidente de segurança. 11 O objetivo é identificar no ambiente do escopo os controles planejados para implementação e os controles existentes, já implementados e em uso. 22 Entrada: documentações dos controles já implementados e os planos de implementação de controle para o tratamento do risco. 22 Ação: identificação dos controles implementados e planejados. 22 Saída: lista de todos os controles existentes e planejados, sua implementação e status de utilização. 11 Objetivos da identificação de controles: 22 Evitar custos e retrabalho com duplicação de controles. 22 Assegurar que os controles existentes estejam funcionando de forma adequada e tratando o risco de forma desejada. 11 Atividades da identificação de controles: 22 Reuniões com os responsáveis pela segurança da informação. 22 Entrevistas com usuários para identificação dos controles existentes. 22 Analisar de forma crítica a documentação sobre os controles existentes. 22 Realizar questionários e checklists. 22 Fazer inspeções físicas, visitas e observações nos locais. 11 Controles complementares podem ser necessários para o tratamento efetivo do risco. 11 Controles ineficazes ou insuficientes devem ser removidos e substituídos. 11 Controles planejados devem ser avaliados se realmente serão capazes de sanar os Capítulo 3 - Identificação de riscos

riscos a que se referem quando forem implementados.

49

Identificação de Riscos Identificação dos ativos

Identificação das ameaças

Identificação dos controles existentes Figura 3.8 Fase de identificação dos controles existentes no processo de identificação de riscos.

Identificação das vulnerabilidades

Identificação das consequências

Controle é qualquer mecanismo administrativo, físico ou operacional capaz de tratar os riscos da ocorrência de um incidente de segurança. Exemplos de controles incluem políticas, procedimentos, estruturas organizacionais, antivírus, patches, fechaduras, extintor e backups, entre outros. Na atividade de identificação dos controles existentes o objetivo é identificar no ambiente do escopo os controles que estão planejados para implementação, e os controles já implementados e em uso corrente. Nesta atividade: 11 Entrada: documentações dos controles existentes e planos de implementação de controle para tratamento de riscos. 11 Ação: identificação dos controles implementados e planejados. 11 Saída: lista de todos os controles existentes e planejados, sua implementação e status de utilização.

Entrada

Ação

Saída

Documentação dos controles

Identificação dos controles existentes

Lista de Controles existentes e planejados

(8.2.4 da ABNT NBR ISO/IEC 27005)

Sua implementação e status de utilização

Planos de Implementação

Gestão de Riscos de TI NBR 27005

Os objetivos desta atividade são evitar retrabalho e custos adicionais com a duplicação de

50

controles e assegurar que os controles existentes estejam funcionando de forma adequada, tratando efetivamente o risco. Uma forma de realizar esta atividade é analisando relatórios de auditorias no SGSI, os relatórios de análise crítica pela direção e os indicadores de eficácia dos controles. Caso estas informações não estejam disponíveis, é altamente recomendada a realização de: 11 Reuniões com os responsáveis pela segurança da informação; 11 Entrevistas com usuários para levantamento dos controles existentes; 11 Análise crítica da documentação sobre os controles existentes;

Figura 3.9 Identificação dos controles existentes.

11 Questionários e checklists; 11 Inspeções físicas e visitas aos locais. Uma observação importante é sobre a eficácia e eficiência dos controles existentes e planejados. Um controle pode não atender plenamente e falhar no tratamento do risco. Assim controles complementares podem ser necessários para o tratamento efetivo do risco. Outro ponto é sobre controles ineficazes ou insuficientes. Nestes casos pode ser necessário que o controle seja removido e substituído por outro. Estes pontos devem constar na análise dos controles existentes, realizada pela equipe de análise. Controles planejados devem ser avaliados se realmente serão capazes de sanar os riscos a que se referem quando forem implementados.

Leitura complementar 11 Sessão 8.1, 8.2.1, 8.2.2 e 8.2.3 da norma ABNT NBR ISO/IEC 27005. 11 Sessão B.1 do anexo B da norma ABNT NBR ISO/IEC 27005.

Capítulo 3 - Identificação de riscos

11 Anexos C e D da norma ABNT NBR ISO/IEC 27005.

51

52

Gestão de Riscos de TI NBR 27005

Roteiro de Atividades 3 Visão geral da atividade Após identificar o ambiente, delimitar o escopo e definir os critérios, a equipe de análise de risco já está em condições de iniciar a etapa de identificação dos riscos, executando as atividades necessárias à “Identificação de riscos: ameaças, ativos e controles existentes”. A figura a seguir apresenta graficamente a localização destas atividades no processo de gestão de riscos:

DEFINIÇÃO DO CONTEXTO

IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS

AVALIAÇÃO DE RISCOS

PONTO DE DECISÃO 1

Não

Avaliação satisfatória Sim TRATAMENTO DO RISCO PONTO DE DECISÃO 2

MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

COMUNICAÇÃO E CONSULTA DO RISCO

PROCESSO DE AVALIAÇÃO DE RISCOS

Não

Tratamento satisfatório Sim ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES A realização desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivência e experiência em sua organização. Para esta atividade o aluno deve se valer do Anexo B (Infraestrutura), que permitirá o levantamento dos equipamentos, processos, pessoas e tecnologias da empresa KWX. Sequência das atividades: 1. Leitura das seções 8.1, 8.2 e ainda B.1 do Anexo A da ABNT NBR ISO/IEC 27005;

Capítulo 3 - Roteiro de Atividades

Figura 3.10 Atividades do processo de gestão de riscos.

2. Leitura do Anexo B (Infraestrutura) deste caderno de atividades; 53

3. Explicação e demonstração da planilha de análise de riscos pelo instrutor; 4. Execução das atividades da planilha: Na guia Sessão de atividades 3 da Planilha encontram-se três guias:

q

1º) A guia “Ativos” 2º) a guia “Ameaças” 3º) a guia “Controles Existentes” a. Exercício da guia “Ativos” – Identificação dos ativos do escopo da análise de riscos Neste exercício a equipe de análise listará todos os ativos da organização que estejam dentro do escopo da análise de riscos, dividindo-os em dois grupos: Ativos Primários e Ativos de Suporte e Infraestrutura. Cada ativo listado deverá ser justificado. Deverão ser listados 20 ativos, sendo 10 primários e 10 de suporte e infraestrutura. Só passe para a guia seguinte após concluir. b. Exercício da guia “Ameaças” – Identificação das ameaças aos ativos. Com os ativos já identificados e conhecidos a equipe de análise agora identificará TODAS as ameaças às quais está sujeito cada um dos ativos levantados. Para a realização do exercício, deverão ser listadas apenas duas ameaças para cada ativo, mas lembre-se de que em uma atividade prática real todas as ameaças deverão ser listadas. Como meio auxiliar para isso, será utilizado o Anexo C (Exemplos de ameaças comuns) da norma ABNT NBR ISO/IEC 27005. Na nossa planilha, os ativos listados na atividade anterior são copiados automaticamente para a guia “Ameaças”, aparecendo ao lado uma lista de ameaças para que sejam selecionadas as ameaças que podem vir a afetar cada ativo. Não se esqueça de justificar as suas escolhas. Só passe para a guia seguinte após concluir. c. Exercício da guia “Controles Existentes” – Identificação dos controles existentes ou com implementação planejada. Com os ativos e ameaças já identificados pela equipe de análise, a próxima atividade é identificar os controles existentes e os que estão em processo de implementação. Para cada ameaça identificada e para cada ativo, a equipe de análise de risco deverá identificar se já existem controles implementados ou que estão planejados para ser implementados. Isto é feito com o objetivo de evitar que estes controles sejam recomendados novamente no futuro. Neste exercício deverão ser apresentados dois controles para cada ameaça identificada,

Gestão de Riscos de TI NBR 27005

CASO EXISTAM. Para cada ativo devem ser identificados pelo menos quatro controles. Na realidade este número pode ser variável para cada ativo. Estes controles não precisam necessariamente ser referentes às ameaças listadas na etapa anterior. Se não existir controle implementado ou a ser implementado, basta colocar a resposta “Não existe”. As respostas das guias anteriores são copiadas para esta guia. Para cada tópico deverão ser colocadas à direita as justificativas correspondentes. Só passe para a guia seguinte após concluir. 5. Verificação e correção pelo instrutor. Ao concluir o Roteiro de Atividades 3, a equipe de análise terá uma listagem contendo os ativos, as ameaças que afetam ou podem vir a afetar cada ativo e os controles atualmente existentes ou previstos para serem implementados. 54

Anexo B – Infraestrutura Infraestrutura física A segurança física é mantida por uma equipe formada por profissionais relacionados à Segurança Patrimonial. A segurança física/patrimonial da KWX contempla os seguintes ativos: 11 Portaria/Guarita: duas catracas para controle de acesso (sem funcionamento), 5 guardas terceirizados da empresa GuarFull24; 11 Estacionamentos: portões eletrônicos (dois sem funcionar) e cercas elétricas; 11 Data Center: controle de acesso através de chaves, sprinklers e racks destrancados; 11 Não há sala cofre; 11 Estações de trabalho sem controles específicos.

Infraestrutura tecnológica A área de TI encontra-se atualmente subordinada ao diretor administrativo-financeiro. É também a responsável pela recém-criada área de Segurança da Informação. Aloca dois profissionais em funções multitarefa, que se revezam nas tarefas do dia a dia, como por exemplo help desk, administração da rede, criação e exclusão de contas de usuário, entre outras.

Ativos de tecnologia A estrutura suportada pela área de TI da KWX atualmente é composta por: 11 750 usuários com acesso à rede e e-mail; 11 800 máquinas (sendo 550 notebooks); 11 25 impressoras; 11 Redes Windows; 11 Redes Linux; 11 1 servidor de e-mail Windows Exchange; 11 6 servidores de arquivos; 11 6 servidores de backup; 11 1 servidor web para suporte ao ambiente de comércio eletrônico via internet; 11 1 servidor DNS; 11 5 firewalls; 11 3 roteadores para acesso à internet (um em cada sede);

11 1 PABX contendo ramais analógicos e digitais (total de 1200 ramais, sendo 300 com identificador de chamadas para a fábrica); 11 1 PABX contendo ramais digitais (total de 400 ramais, todos com identificador de chamadas para o escritório); 11 7 salas reuniões com rede wireless, videoconferência e projetor; 11 1 servidor dedicado para o sistema ERP; 11 Servidor de e-mail/antivírus (Linux Debian); 11 Servidor de Proxy (Linux Debian);

Capítulo 3 - Roteiro de Atividades

11 4 switches core para suporte à infraestrutura de acesso à internet;

55

11 Servidor ADM/Intranet (Windows 2000 Server/IIS); 11 Servidor Unix Criação (AIX 4); 11 10 estações de trabalho (Windows 2003); 11 35 estações de trabalho (Windows 8 Professional); 11 20 estações de trabalho (Windows 7 Professional); 11 15 estações de trabalho (Macintosh); 11 100 estações de trabalho rodando Ubuntu 12; 11 10 notebooks (para diretoria, totalmente liberados); 11 6 switch (3 com 12 portas); 11 4 hubs (3 com 24 portas); 11 3 roteador (Cisco); 11 1 Access Point Wirelles (D-Link); 11 Link com internet (1 GB) em cada sede; 11 3 links ADSL de 10 MB inoperantes por falta de uso.

Sistemas de suporte aos negócios Os seguintes sistemas são suportados pela área de TI: 11 ERP: controla processos financeiro-contábeis, de fabricação, gerenciamento de materiais e logística; 11 Sistemas de RH (folha de pagamento, controle de ponto): terceirizado com um fornecedor externo; 11 Segurança patrimonial: sistema leitor de crachás para acesso a áreas controladas/restritas; 11 Site e-commerce da KWX: site institucional e de comércio eletrônico B2B para relacionamento com clientes e fornecedores; 11 Intranet: local onde estão contidas as notícias internas da KWX, sua visão e missão, bem como todas as políticas, procedimentos e regras da empresa; 11 Sistemas de produção: aplicações específicas de cada uma das áreas produtivas que trabalham de maneira integrada entre si, suportando, assim, os processos de produção e planejamento da KWX; 11 Sistemas de catracas/acessos: controles dos acessos, bases de dados e logs das catracas, data center e sala cofre; 11 Sistema de CFTV.

Gestão de Riscos de TI NBR 27005

Situação atual da Segurança da Informação na empresa

56

Subordinada a área de TI, a área de Segurança da Informação conta com um profissional que atua na função de coordenador de segurança da informação, sendo responsável pela elaboração e gerenciamento de políticas e práticas de segurança. Trabalha em conjunto com o pessoal de TI e também executa periodicamente auditorias internas, além de trabalhos de conscientização junto aos funcionários. O poder de decisão deste profissional não é muito grande, estando ele subordinado ao gerente de TI.

Buscando maior competitividade, credibilidade e segurança, a KWX contratou uma equipe de consultores de segurança de informação. Essa ação foi tomada com base em uma pesquisa feita por uma consultoria de mercado realizada junto a outras empresas do mesmo segmento, motivada pelo objetivo de internacionalização da marca no futuro. Foi definido, na contratação, um trabalho de levantamento da atual situação da empresa em termos de segurança da informação, entendimento dos processos, análise dos riscos, propostas de melhorias, tudo isso dentro de um escopo definido com a alta gerência.

O que foi aprendido 11 Visão geral da identificação de riscos.

q

Capítulo 3 - Roteiro de Atividades

11 Metodologia e atividades para identificar os riscos.

57

58

Gestão de Riscos de TI NBR 27005

4 Identificar vulnerabilidades e suas consequências.

conceitos

Vulnerabilidades e suas consequências.

Introdução 11 A análise de risco é um processo formal de identificação de ameaças e vulnerabilidades.

q

11 A partir da identificação do risco é planejado o tratamento necessário. 11 Identificação dos ativos, ameaças e controles existentes e a implementar. 11 Identificação das vulnerabilidades e consequências se forem exploradas. A análise de risco é um processo formal para identificar ameaças e vulnerabilidades, e a partir desta identificação categorizar o risco envolvido e estabelecer o tratamento adequado. Na sequência deste processo, após o conhecimento do contexto do ambiente onde será realizada a análise de risco, devem ser identificados os ativos, ameaças, além dos controles existentes e também aqueles que precisam ser implementados. O próximo passo é identificar as vulnerabilidades e as consequências que podem ser provocadas caso as vulnerabilidades sejam exploradas. Esta sessão aborda as atividades de identificação das vulnerabilidades e identificação das consequências.

Exercício de nivelamento 1 e Vulnerabilidades e consequências No seu entendimento, o que são vulnerabilidades e consequências?

Capítulo 4 - Análise de riscos: Vulnerabilidades e consequências

objetivos

Análise de riscos: Vulnerabilidades e consequências

59

Processo de análise de riscos de segurança da informação Esta etapa de identificação do risco possui cinco atividades, conforme a figura abaixo: Identificação de Riscos Identificação dos ativos

Identificação das ameaças

Identificação dos controles existentes

Identificação das vulnerabilidades

Identificação das consequências Figura 4.1 Identificação das vulnerabilidades e consequências.

Avaliação de Riscos Cada atividade deve ser executada na sequência. Estas atividades permitirão, ao final da etapa, que os riscos tenham sido identificados.

Identificando as vulnerabilidades 11 A atividade de identificação das vulnerabilidades tem por objetivo criar uma lista com as vulnerabilidades associadas aos ativos, ameaças e controles. 11 Vulnerabilidade é qualquer fraqueza que possa ser explorada e comprometa a segurança de sistemas ou informações. 22 Entrada: as listas de ameaças conhecidas, de ativos e de controles existentes, e todas saídas das atividades anteriores. 22 Ação: atividade de identificação das vulnerabilidades que possam ser exploradas por ameaças e assim comprometer os ativos da organização. 22 Saída: lista de cenários de incidentes com suas consequências associadas aos Gestão de Riscos de TI NBR 27005

ativos e processos do negócio.

60

11 Durante o desenvolvimento da atividade, as seguintes áreas deverão ser observadas para a identificação de vulnerabilidades: 22 Organização. 22 Processos e procedimentos. 22 Rotinas de gestão e documentação. 22 Recursos humanos (incluindo terceiros e prestadores de serviços). 22 Ambiente físico e instalações prediais.

q

22 Configuração dos sistemas de informação (incluindo os sistemas operacionais

q

e aplicativos). 22 Hardware, software e equipamentos de comunicação. 22 Dependências de entidades externas. 11 Métodos proativos: 22 Ferramentas automatizadas de procura e identificação de vulnerabilidades. 22 Avaliação e testes de segurança. 22 Teste de invasão. 22 Análise crítica de código. Vulnerabilidade é qualquer fraqueza que possa ser explorada e comprometa a segurança de sistemas ou informações. É uma fragilidade de um ativo ou grupo de ativos que pode ser explorada para concretizar uma ou mais ameaças. Identificação de Riscos Identificação dos ativos

Identificação das ameaças

Identificação dos controles existentes

Identificação das vulnerabilidades

Identificação das consequências

A atividade de identificação das vulnerabilidades tem por objetivo criar uma lista com as vulnerabilidades associadas aos ativos, ameaças e controles. Nesta atividade, a equipe de análise terá como: 11 Entrada: listas de ameaças conhecidas, listas de ativos e de controles existentes, além de todas as saídas das atividades anteriores. 11 Ação: atividade de identificação das vulnerabilidades que possam ser exploradas por ameaças com a possibilidade de comprometer os ativos. 11 Saída: lista de cenários de incidentes com suas consequências associadas aos ativos e processos do negócio.

Capítulo 4 - Análise de riscos: Vulnerabilidades e consequências

Figura 4.2 Identificação das vulnerabilidades.

61

Entrada

Lista de ameaças Lista de ativos Lista de controles existentes

Ação

Identificação das Vulnerabilidades (8.2.5 da ABNT NBR ISO/IEC 27005)

Saída Lista de vulnerabilidades associadas aos ativos, às ameaças e aos controles Lista de vulnerabilidades que não se referem a nenhuma ameaça identificada

Figura 4.3 Identificação das vulnerabilidades.

Na realização da atividade de identificação de vulnerabilidade, a equipe deve trabalhar através de dois olhares: de fora para dentro e de dentro para fora. No olhar de dentro para fora, é a visão interna, com diversos privilégios, sendo confiável. Que vulnerabilidades podem existir ou podem ser exploradas? Como os sistemas podem ser comprometidos pelo pessoal interno? Na segunda, de fora para dentro, os sistemas tentarão ser comprometidos de fora. O que pode ser acessado externamente que possa comprometer os ativos e informações da organização? O que pode ser explorado para conferir privilégios não permitidos? Esta é a visão de um atacante que tenta invadir o sistema: endereços IP publicamente roteáveis, sistemas na DMZ (DeMilitarized Zone – zona desmilitarizada), interfaces externas do firewall etc. Há diferenças notáveis entre estes dois tipos de avaliação de vulnerabilidades. A equipe de análise deve ter em mente que a existência de vulnerabilidades por si só não produz prejuízos, pois para isso é preciso que haja uma ameaça. Mesmo assim é necessário monitorar a vulnerabilidade, para o caso de identificar mudanças em sua configuração. Uma boa prática para esta atividade é a equipe de análise percorrer todas as dependências abrangidas pelo escopo e realizar as entrevistas no próprio ambiente de trabalho dos entrevistados, facilitando a formulação de questionamentos a partir das observações no ambiente. É uma forma de observar vulnerabilidades e a partir delas identificar outras. Outra prática que pode ser empregada é a identificação de vulnerabilidades através do uso de métodos proativos de testes, apesar do custo mais elevado. Entre os métodos podem ser citados: 11 Ferramentas automatizadas de procura e identificação de vulnerabilidades: softwares criados para testes de segurança e descobertas de vulnerabilidades de forma automática, gerando relatórios detalhados dos problemas e vulnerabilidades identificados no sistema. As ferramentas automatizadas são capazes de cruzar informações, analisá-las e testar as vulnerabilidades encontradas de maneira eficiente. Tais ferramentas têm amadurecido, catalogando em suas bases de conhecimento a maioria das vulnerabilidades existentes, embora ainda possuam um custo relativamente alto.

Gestão de Riscos de TI NBR 27005

11 Avaliação e testes de segurança: avaliação de vulnerabilidade é um primeiro passo de

62

verificação de vulnerabilidades. Os resultados e informações obtidos através das avaliações serão utilizados para a realização dos testes. A avaliação verifica vulnerabilidades potenciais e os testes de segurança tentam explorá-las. 11 Teste de invasão: tem como objetivo a verificação da resistência do ativo em relação aos métodos de ataque conhecidos. 11 Análise crítica de código: identificação de vulnerabilidades em códigos-fonte. Em resumo, os resultados destes tipos de testes de segurança ajudam na identificação das vulnerabilidades de um sistema.

d

O anexo D da norma ABNT NBR ISO/IEC 27005 apresenta uma lista com diversos exemplos de vulnerabilidades, suas ameaças relacionadas e métodos para avaliação de vulnerabilidades técnicas.

Exercício de fixação 1 e Identificando vulnerabilidades Cite três vulnerabilidades, sob a visão interna, da sua organização? Justifique.

Cite três vulnerabilidades, sob a visão de fora para dentro, da sua organização? Justifique.

Identificação das consequências 11 Entende-se por consequência o resultado de um incidente ou evento que pode ter um

q

impacto nos objetivos da organização. Na análise de riscos uma consequência pode ser: 22 A perda da eficácia no funcionamento operacional dos sistemas. 22 Instabilidade no funcionamento de sistemas. 22 Condições adversas de operação. 22 Perda de oportunidade de negócios. 22 Imagem e reputação afetadas. 22 Violação de obrigações regulatórias. 22 Prejuízo financeiro.

22 Perda de vidas humanas. 22 Perda de competitividade. 11 Um cenário nada mais é do que a descrição de uma ameaça explorando uma ou mais vulnerabilidades em um incidente de segurança da informação. 11 Exemplos de consequências operacionais: 22 Oportunidade perdida. 22 Saúde e segurança dos profissionais envolvidos. 22 Tempo de investigação e tempo de reparo. 22 Tempo de trabalho perdido. 22 Custo financeiro para reparar o prejuízo. 22 Imagem e reputação.

Capítulo 4 - Análise de riscos: Vulnerabilidades e consequências

22 Perda de dados e informações.

63

Identificação de Riscos Identificação dos ativos

Identificação das ameaças

Identificação dos controles existentes

Identificação das vulnerabilidades

Identificação das consequências

Figura 4.4 Identificação das consequências.

Entende-se por consequência o resultado de um incidente ou evento que pode ter um impacto nos objetivos da organização. Nesta parte da análise de riscos, uma consequência pode ser, por exemplo: 11 A perda da eficácia no funcionamento operacional dos sistemas; 11 Instabilidade no funcionamento de sistemas; 11 Condições adversas de operação; 11 Perda de oportunidade de negócios; 11 Imagem e reputação afetadas; 11 Violação de obrigações regulatórias; 11 Prejuízo financeiro; 11 Perda de dados e informações; 11 Perda de vidas humanas; 11 Perda de competitividade, 11 Entre diversas outras, de acordo com os negócios da organização.

Entrada

Gestão de Riscos de TI NBR 27005

Lista de vulnerabilidades associadas aos ativos, às ameaças e aos controles

64

Lista de vulnerabilidades que não se referem a nenhuma ameaça identificada

Ação

Identificação das consequências (8.2.6 da ABNT NBR ISO/IEC 27005)

Saída

Lista de cenários de incidentes e suas consequências associadas aos ativos e processos do negócio

Esta atividade visa identificar as consequências ou prejuízos para a organização que podem decorrer de um cenário de incidentes, fruto das vulnerabilidades identificadas. A configuração de um cenário de incidentes é considerada uma falha de segurança.

Figura 4.5 Identificação das consequências.

Um cenário nada mais é do que a descrição de uma ameaça que explora uma ou mais vulnerabilidades em um incidente de segurança da informação, podendo afetar um ou mais ativos ou apenas parte de um ativo, de acordo com os critérios estabelecidos na Definição do Contexto. Como exemplos de consequências operacionais citam-se: 11 Oportunidade perdida; 11 Saúde e segurança; 11 Tempo de investigação e tempo de reparo; 11 Tempo de trabalho perdido; 11 Custo financeiro para reparar o prejuízo; 11 Imagem e reputação.

Exercício de fixação 2 e Identificando as consequências Apresente uma consequência para três vulnerabilidades respondidas nos exercícios de fixação 1? Justifique.

Leitura complementar 11 Sessão 8.2.5 e 8.2.6 da ABNT NBR ISO/IEC 27005. 11 Anexo D da ABNT NBR ISO/IEC 27005. 11 Norma Complementar Gestão de Riscos de Segurança da Informação e Comunicações – GRSIC, do DSIC/GSI/PR: http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf

Defense: http://www.sans.org/ 11 Security Focus Vulnerabilities: http://www.securityfocus.com/ 11 CERT.br Security Related Links: http://www.cert.br/links/ 11 CAIS Centro de Atendimento a Incidentes de Segurança – RNP: http://www.rnp.br/cais/alertas/

Capítulo 4 - Análise de riscos: Vulnerabilidades e consequências

11 SANS The Top Cyber Security Risks – Twenty Critical Security Controls for Effective Cyber

65

66

Gestão de Riscos de TI NBR 27005

Roteiro de Atividades 4 Visão geral da atividade Com os ativos, ameaças e controles já levantados e identificados pela equipe de análise, os próximos passos são a identificação das vulnerabilidades e as consequências caso essas vulnerabilidades sejam exploradas pelos agentes para concretização das ameaças. Agora serão realizadas as atividades necessárias para a “Análise de riscos – identificação de riscos: vulnerabilidades e consequências”. A figura a seguir apresenta graficamente a localização destas atividades no processo de gestão de riscos:

DEFINIÇÃO DO CONTEXTO

IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS

AVALIAÇÃO DE RISCOS

PONTO DE DECISÃO 1

Não

Avaliação satisfatória Sim TRATAMENTO DO RISCO PONTO DE DECISÃO 2

MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

COMUNICAÇÃO E CONSULTA DO RISCO

PROCESSO DE AVALIAÇÃO DE RISCOS

Não

Tratamento satisfatório

Figura 4.6 Atividades no processo de gestão de riscos.

ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES A realização desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivência e experiência em sua organização. Para esta atividade o aluno deve se valer do Anexo C (Problemas relatados e observados) que permitirá o levantamento dos problemas da empresa KWX.

Capítulo 4 - Roteiro de Atividades

Sim

67

A sequência das atividades será: 1. Leitura das Seções 8.2.1.5, 8.2.1.6 e do Anexo D da ABNT NBR ISO/IEC 27005; 2. Leitura do Anexo C (Problemas relatados e observados) deste caderno de atividades; 3. Explicação e demonstração da planilha de análise de risco pelo instrutor; 4. Execução das atividades da planilha; Na guia Sessão 4 da Planilha encontram-se dois botões:

q

1º) Identifique as Vulnerabilidades – abre a guia “Vulnerabilidades” 2º) Identifique as Consequências – abre a guia “Consequências” a. Exercício da guia “Vulnerabilidades” – Identificação das vulnerabilidades não atendidas pelos controles existentes Nesta atividade a equipe de análise identificará e listará as vulnerabilidades existentes para cada ativo da organização. Com os ativos, ameaças e controles já levantados e identificados pela equipe de análise, a próxima atividade é identificar as vulnerabilidades e fraquezas existentes nestes ativos e que podem ser exploradas pelos agentes para concretizarem as ameaças. Para cada vulnerabilidade deve ser apresentada a evidência (Justificativa). Para o exercício prático, para cada ativo devem ser identificadas até oito vulnerabilidades, quatro para cada ameaça identificada. Na realidade este número é variável para cada ativo e para cada ameaça. Para auxiliar a atividade, o Anexo C deste caderno de atividades apresenta fotografias tiradas do ambiente da organização, que revelam diversas vulnerabilidades. Além disso, na planilha existe uma guia denominada “Vulnerabilidades e Controles”. Este material serve apenas como apoio para a realização desta atividade. A planilha permite a edição apenas das células de vulnerabilidades e da justificativa. Só passe para a guia seguinte após concluir. b. Exercício da guia “Consequências” – Identificação das consequências das vulnerabilidades levantadas Nesta atividade a equipe de análise vai identificar as consequências para cada vulnerabilidade caso ela ocorra. Essas consequências podem variar para cada tipo de ativo e cada tipo de ameaça. Para cada consequência deve ser apresentada a evidência ( Justificativa).

Gestão de Riscos de TI NBR 27005

Para o exercício, para cada vulnerabilidade identificaremos apenas uma consequência de

68

uma lista pré-definida. Essa lista é composta por: 11 Perda ou degradação da confidencialidade; 11 Perda ou degradação da integridade; 11 Perda ou degradação da disponibilidade; 11 Perda ou degradação da autenticidade; 11 Prejuízo financeiro por retrabalho; 11 Afeta imagem e reputação.

Esta lista é apenas para a realização exercício. Normalmente estas consequências são específicas para cada tipo de organização. Assim como a quantidade de consequências para cada vulnerabilidade é também um número variável. As respostas das guias anteriores são copiadas para esta guia. Só passe para a guia seguinte após concluir. 5. Verificação e correção pelo instrutor. Ao concluir o Roteiro de Atividades 4, a equipe de análise terá uma listagem dos ativos, ameaças que afetam ou podem vir a afetar cada ativo, os controles existentes ou com previsão de implementação, as vulnerabilidades de cada ativo e as consequências caso estas vulnerabilidades sejam exploradas pelos agentes da ameaça.

Anexo C – Problemas relatados

A conexão entre duas áreas da mesma empresa apresenta instabilidade. Os técnicos já utilizaram todas as ferramentas tecnológicas disponíveis, porém não identificaram o motivo da instabilidade na linha de produção, que não consegue salvar as informações na base de dados.

Capítulo 4 - Roteiro de Atividades

Situação do ambiente de trabalho no almoxarifado de Brasília.

69

Vista da parte lateral da sede em Campinas (SP).

Recentemente o departamento de informática da empresa identificou sérios problemas de instabilidade elétrica em sua rede. A surpresa dos técnicos é que na sala de servidores não ocorreu nenhum problema. O problema somente aconteceu na área de estoque da organização. Os técnicos estão desconfiados da falta de conhecimento dos operadores do estoque

Gestão de Riscos de TI NBR 27005

(fonte: http://www.arqcoop.com/patologias-da-construcao/).

70

A equipe responsável pela área de TI da organização tem sido surpreendida com a falta de link com a internet. Eles estão buscando o que pode estar ocorrendo uma vez que os fios que entram no prédio por parte da operadora estão cortados e parte desses fios foi roubada

A contabilidade da organização e o setor de contas a pagar tiveram problemas na impressão dos boletos, e o departamento de recursos humanos da organização não consegue emitir a folha de pagamento. Após a análise na impressora, percebeu-se que não havia problema com ela, mas o problema ocorria na conexão de rede. Técnicos estão trabalhando no local para identificar o motivo. Ultimamente tem ocorrido interrupção na conexão das máquinas da empresa com o servidor de impressão. Os técnicos já reinstalaram o software e reinicializaram o serviço de impressão. Porém, o problema permanece (fonte: http://sfsonline. wordpress.com/2009/03/08/victor-konder/).

Capítulo 4 - Roteiro de Atividades

(fonte: http://brazil.indymedia.org/content/2007/02/373244.shtml).

71

Já aconteceu do filho do dono da empresa entrar na sala de equipamentos da organização e colocar seu pendrive no servidor de banco de dados. Houve uma parada no serviço e toda a linha de produção teve suas atividades interrompidas por duas horas. A equipe técnica ainda está pesquisando por que o problema pode ter acontecido e o que pode ser feito para impedir que se repita.

A equipe responsável do link de internet da organização foi surpreendida com a reinicialização do roteador da operadora após terem finalizado o chamado para o acerto do mesmo e o reestabelecimento da conexão com a internet. Ao chegar na sala de equipamentos

Gestão de Riscos de TI NBR 27005

perceberam que o rack estava aberto.

72

Após interrupção na sala de conferência da organização durante reunião entre a diretoria e a presidência, os técnicos de TI (terceirizados) foram acionados para identificar o que tinha ocorrido. Os técnicos levaram 5 horas para responder à diretoria. Por este motivo tiveram o seu contrato finalizado. E a organização optou pela contratação de outra empresa para o fornecimento do suporte de TI.

Este emaranhado de fios atrapalha o bom andamento e a agilidade na solução de problemas. A organização, preocupada com este cenário, contratou uma firma terceirizada para

Capítulo 4 - Roteiro de Atividades

resolver o problema.

73

A situação dos equipamentos de energia e telefonia tem se mostrado sem cuidado e os equipamentos são constantemente encontrados abertos. Não existe qualquer controle de

Gestão de Riscos de TI NBR 27005

acesso aos equipamentos.

74

Certa vez, ao chegarem para trabalhar, os funcionários foram surpreendidos pela queda de parte do teto por causa das fortes chuvas que ocorreram. A equipe técnica de redes teve sérios problemas para resolver a conexão dos equipamentos de toda a empresa para que os mesmos pudessem trabalhar em rede e dar suporte ao restante da organização.

No passado, parte da empresa teve sua estrutura abalada por fortes ventos e chuvas. A equipe de suporte do provedor de internet da localidade teve sua rede isolada da internet por todo o período em que ocorreram as chuvas na região.

Tem havido instabilidade na conexão de rede do prédio entre os equipamentos dos diferentes departamentos da empresa e a sala de servidores, ocasionando parada ao longo do dia nos serviços e a insatisfação dos usuários com a rede. O que pode estar gerando esta

Capítulo 4 - Roteiro de Atividades

instabilidade está sendo avaliado pelos técnicos responsáveis de TI.

75

Foi verificado pela equipe de TI que existem pessoas utilizando os equipamentos da organização para jogos eletrônicos durante o expediente, o que vai contra a política organizacional. O administrador de sistemas da organização utiliza o seu “perfil” para habilitar jogos durante o período de trabalho e passa parte do dia jo-gando. O responsável de TI está buscando uma forma de educar o administrador para que evite esta prática durante o seu

Gestão de Riscos de TI NBR 27005

período de trabalho

76

Situação dos cabos no rack do almoxarifado.

Visão do cabeamento na parte traseira dos equipamentos do datacenter.

No escritório do diretor encontram-se expostos lembretes das senhas de diversos sistemas. Segundo este diretor a “empresa não tem problemas de segurança. Aqui todo

Capítulo 4 - Roteiro de Atividades

Uma visão na filial da organização.

mundo é de confiança”. 77

É comum encontrar funcionários utilizando suas tabuletas para acessar jogos durante o expediente via rede sem fio da organização.

Gestão de Riscos de TI NBR 27005

Situação encontrada em um notebook em uso por gerente.

Situação da documentação dos visitantes na portaria onde o sistema de vigilância e a catraca não funcionam há seis meses.

78

Tem sido encontrado um grande número de funcionários utilizando tabuletas e smartphones para acessar a rede sem fio da empresa.

Sala de guarda de documentação de software e sistemas.

Capítulo 4 - Roteiro de Atividades

Depósito de material ao lado do depósito de material inflamável.

79

Foi encontrada uma visitante fotografando a tela de um computador com seu celular.

Gestão de Riscos de TI NBR 27005

Infiltração na sala de servidores em Campinas.

80

Infiltração na sala de servidores no Rio de Janeiro (fonte: http://estadodeminas.lugarcerto. com.br/app/noticia/noticias/2008/12/06/interna_noticias,28526/sinais-de-infiltracao.shtml).

O que foi aprendido 11 Visão geral da identificação de riscos.

q

Capítulo 4 - Roteiro de Atividades

11 Metodologia e atividades para identificar vulnerabilidades e consequências.

81

82

Gestão de Riscos de TI NBR 27005

5 Realizar a avaliação das consequências.

conceitos

Estimativa de riscos, metodologias de estimativa qualitativa e quantitativa, avaliação das consequências.

Introdução Após a realização do processo de identificação de riscos, é necessário um processo de atribuir valores para os ativos, ameaças, vulnerabilidades e consequências. Isso possibilita colocar os riscos em ordem de prioridade, para tratá-los de acordo com sua urgência ou criticidade. Estes valores seguem os mesmos critérios definidos na fase de definição do contexto.

Exercício de nivelamento 1 e Avaliação das consequências No seu entendimento o que é avaliação das consequências?

Visão geral do processo de estimativa de risco 11 A etapa de estimativa de riscos é a realização de uma estimativa de valores para cada um dos itens identificados, para uma ordenação do nível de criticidade do risco e a sua posterior mitigação. 11 Pode ser realizada com diferentes graus de detalhamento, a depender do risco, do objetivo da análise, e das informações, dados e recursos disponíveis. 11 Pode ser qualitativa, quantitativa ou a combinação das duas. 11 Desenvolvida de acordo com os dados identificados nas atividades das etapas anteriores.

q

Capítulo 5 - Análise de Riscos: Avaliação das consequências

objetivos

Análise de Riscos: Avaliação das consequências

83

11 Estimativa de valores para cada um dos itens identificados para que seja possível

q

uma ordenação do nível de criticidade, do risco e o tratamento posterior para a mitigação dos riscos. A análise de riscos pode ser realizada com diferentes graus de detalhes, dependendo do risco, do objetivo da análise, e das informações, dados e recursos disponíveis. Os fatores que afetam a probabilidade e consequências devem ser identificados. Esta análise pode ser qualitativa, quantitativa ou a combinação das duas, dependendo das circunstâncias. A estimativa de riscos é realizada de acordo com os critérios de risco definidos pela equipe de análise durante o início dos trabalhos. É importante considerar a interdependência dos diferentes riscos e suas fontes. A figura seguinte apresenta o posicionamento da etapa de estimativa de riscos dentro do processo de gestão de riscos.

DEFINIÇÃO DO CONTEXTO

IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS

AVALIAÇÃO DE RISCOS

PONTO DE DECISÃO 1

Não

Avaliação satisfatória Sim TRATAMENTO DO RISCO PONTO DE DECISÃO 2

MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

COMUNICAÇÃO E CONSULTA DO RISCO

PROCESSO DE AVALIAÇÃO DE RISCOS

Não

Tratamento satisfatório

Gestão de Riscos de TI NBR 27005

Sim

84

ACEITAÇÃO DO RISCO

Figura 5.1 Etapa de estimativa de riscos.

FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES

Metodologias Duas metodologias podem ser usadas para a análise dos riscos: 11 Análise qualitativa de riscos. 11 Análise quantitativa de riscos.

q

Metodologia de análise qualitativa 11 Estimativa através de atributos qualificadores e descritivos que avaliam a intensidade

q

das consequências e a probabilidade de ocorrência do risco. 11 Não são atribuídos valores financeiros aos ativos, consequências e controles, mas escalas de atributos, através de valores descritivos relativos. 11 Estimativa considerada muito subjetiva. A análise qualitativa se baseia na avaliação, através de atributos qualificadores e descritivos, da intensidade das consequências e probabilidade de ocorrência do risco identificado. Na metodologia qualitativa, não se atribuem valores financeiros aos ativos, consequências e controles, mas são utilizadas escalas de atributos através de valores descritivos relativos. Esta estimativa é considerada muito subjetiva, sendo ideal para uma verificação inicial dos riscos, quando não estão disponíveis dados numéricos em quantidade suficiente. Exemplos de uso da análise qualitativa: Para Probabilidade: 11 Alta, Média e Baixa; 11 Raro, Improvável, Possível, Provável e Quase Certo; 11 Remotamente possível, Ocasionalmente, Frequentemente, Várias vezes ao mês; 11 Improvável, Provável e Certo; 11 Pequena, Média e Grande; 11 Baixa, Média, Alta, Muito Alta e Elevada; 11 Improvável, Remoto, Ocasional, Provável, Frequente. Para Consequências (Impactos): 11 Alto, Médio e Baixo; 11 Irrelevante, Negligenciável, Marginal, Crítico, Extremo e Catastrófico; 11 Extremo, Alto, Médio, Baixo e Desprezível;

11 Perturbações muito graves, Graves, Limitadas, Leves e Muito Leves; Os critérios citados acima são apenas exemplos para uso didático. O desenvolvimento destes critérios deve levar em conta o tipo de organização, suas informações e dados existentes. As escalas devem ser construídas e adaptadas para as diferentes organizações e riscos a elas associados.

Metodologia de análise quantitativa 11 Escala de valores numéricos para calcular valores numéricos para cada um dos com-

q

ponentes coletados durante a etapa de identificação de riscos. 11 Estimativa que utiliza dados históricos, exatos e auditáveis, sem os quais torna-se falsa. Na metodologia da análise quantitativa é utilizada uma escala de valores numéricos com objetivo de tentar calcular valores numéricos para cada um dos componentes coletados durante as atividades de identificação de riscos. A abordagem quantitativa é adotada

Capítulo 5 - Análise de Riscos: Avaliação das consequências

11 Grande, Médio, Pequeno e Irrisório;

quando há um cenário que permita definir os valores financeiros, mesmo que aproximados, 85

dos ativos priorizados, assim como dos impactos. Por exemplo, estima-se o valor real de cada ativo em termos do custo de sua substituição, ou do custo associado à perda de produtividade, e outros valores de acordo com o tipo da organização. Esta mesma maneira para calcular pode ser empregada para o levantamento estimado do custo dos controles e outros valores identificados na etapa anterior. A análise quantitativa deve utilizar dados históricos e dados exatos e auditáveis. Caso não existam tais dados, este tipo de estimativa torna-se falsa. Exemplos de uso desta análise quantitativa: Para Probabilidade: 11 50 %; 11 0,2; 11 0,75 Para Consequências (Impactos): 11 Valor de substituição do ativo: R$ 12 mil; 11 Valor da manutenção do ativo; 11 Custo de implantação do controle;

l Complemente seu aprendizado estudando o item 8.3.1 da norma ABNT NBR ISO/ IEC 27005.

11 Valor da multa por não cumprimento do contrato; 11 Prejuízo pelas horas paradas.

Exercício de fixação 1 e Metodologias Explique as diferenças entre a metodologia qualitativa e a metodologia quantitativa.

Gestão de Riscos de TI NBR 27005

Qual a metodologia que melhor se aplica a sua organização? Justifique.

86

Estimativa de riscos 11 Realizada após a etapa de identificação de riscos. 11 Composta por três atividades: 22 Avaliação das consequências. 22 Avaliação da probabilidade dos incidentes. 22 Estimativa do nível de risco.

q

A etapa de estimativa de riscos é realizada logo após a identificação de riscos, quando já se possui levantado e identificado, dentro do escopo acordado, os ativos, as ameaças, as vulnerabilidades e suas consequências. A figura abaixo ilustra, didaticamente, a sequência das atividades: Identificação dos Riscos

Análise dos Riscos Avaliação das consequências

Avaliação da probabilidade

Determinação do Nível de Risco Figura 5.2 Atividades da estimativa de riscos.

Avaliação de Riscos

Avaliação das consequências 11 Objetivo de avaliar os impactos sobre os negócios da organização levando-se em

q

conta as consequências de uma violação da segurança da informação. 11 A ordenação dos ativos pode ser feita de duas formas: 22 Através do valor de reposição do ativo. 22 Através das consequências ao negócio. 11 A valoração dos ativos e sua classificação pela criticidade são fatores importantes para a determinação do impacto de um cenário de incidente. 22 O incidente pode afetar mais de um ativo, em virtude da interdependência dos ativos.

humanos, do impacto nos negócios, entre outros critérios. 11 Elaboração de lista de consequências avaliadas referentes a um cenário de incidente, em relação aos ativos e critérios de impacto. Análise de Riscos Avaliação das consequências

Avaliação da probabilidade

Figura 5.3 Avaliação das consequências.

Determinação do Nível de Risco

Capítulo 5 - Análise de Riscos: Avaliação das consequências

11 As consequências poderão ser expressas em função de critérios financeiros, técnicos,

87

A atividade de avaliação das consequências tem como objetivo avaliar os impactos sobre os negócios da organização, levando em conta as consequências de uma violação da segurança da informação, como, por exemplo: perda ou degradação da disponibilidade dos ativos, perda da confidencialidade ou perda da integridade. Para esta avaliação, a equipe de análise levará em conta os critérios e fatores definidos e adotará uma das metodologias de estimativa: qualitativa ou quantitativa.

Entrada Lista de cenários de incidentes, incluindo ativos afetados, vulnerabilidades e consequências para os ativos e negócios

Ação Avaliação das consequências (8.3.2 da ABNT NBR ISO/IEC 27005)

Saída Lista de consequências avaliadas

11 Entrada: resultados da etapa de identificação dos riscos. 11 Ação: exatamente o desenvolvimento da atividade de avaliação das consequências sobre o negócio da organização. 11 Saída: lista de consequências referentes a um cenário de incidente, estando relacionada aos ativos e critérios de impacto. Uma das primeiras ações é a ordenação dos ativos de acordo com a sua criticidade e importância para a realização dos objetivos de negócio da organização. É possível realizar isto de duas formas: 11 Através do valor de reposição do ativo: onde se determina o custo financeiro da recuperação ou reposição do ativo e também do valor da informação que ele contenha. Por exemplo: um servidor de e-mail de uma determinada empresa queimou e tem o seu custo de reposição estimado em R$ 5 mil. Na metodologia qualitativa o valor é ALTO e na metodologia quantitativa o valor é R$ 5 mil. 11 Através das consequências ao negócio: o valor é determinado pelo impacto das consequências nos negócios. Normalmente este valor é mais significativo que somente o valor do ativo. Prosseguindo no exemplo do servidor de e-mail queimado do item anterior, identificamos que a empresa trabalha com vendas de material esportivo artesanal, e que suas vendas são realizadas via e-mail, inclusive o processo de pagamento. O servidor levou cinco dias para ser reposto e configurado, e o proprietário estima que deixou de vender aproximadamente R$ 20 mil por cada dia parado. Na metodologia qualitativa o valor é ELEVADO e na metodologia quantitativa o valor é de R$ 100 mil (5 dias parado x R$ 20 mil por dia).

Gestão de Riscos de TI NBR 27005

A valoração dos ativos e sua classificação pela criticidade são importantes para a determi-

88

nação do impacto de um cenário de incidente, pois o incidente pode ainda afetar mais de um ativo, em virtude da interdependência dos ativos. Assim, a avaliação das consequências está fortemente relacionada à valoração dos ativos. Lembre-se de que as consequências poderão ser expressas em função dos critérios monetários, técnicos, humanos, do impacto nos negócios ou outros critérios importantes para a organização.

Leitura complementar 11 Sessão 8.3.2 da norma ABNT NBR ISO/IEC 27005.

Figura 5.4 Avaliação das consequências.

Roteiro de Atividades 5 Visão geral da atividade Após a equipe ter as listagens de ativos, ameaças, vulnerabilidades e consequências, tem início o trabalho de estimativa dos riscos. Aqui a equipe avalia a relevância dos ativos e a severidade das consequências, com as atividades necessárias para a “Análise de risco – estimativa de riscos”. A figura a seguir apresenta graficamente a localização destas atividades no processo de gestão de riscos:

DEFINIÇÃO DO CONTEXTO

IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS

AVALIAÇÃO DE RISCOS

PONTO DE DECISÃO 1

Não

Avaliação satisfatória Sim TRATAMENTO DO RISCO PONTO DE DECISÃO 2

MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

COMUNICAÇÃO E CONSULTA DO RISCO

PROCESSO DE AVALIAÇÃO DE RISCOS

Não

Tratamento satisfatório Sim ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES A realização desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivência e experiência em sua organização. Para esta atividade o aluno deve se valer das observações sobre a empresa KWX. A sequência das atividades será: 1. Leitura da Seção 8.3.2 e do Anexo E da ABNT NBR ISO/IEC 27005;

Capítulo 5 - Roteiro de Atividades

Figura 5.5 Atividades do processo de gestão de riscos.

2. Explicação e demonstração da planilha de análise de risco pelo instrutor; 89

3. Execução das atividades da planilha; Na guia Sessão 5 da planilha encontram-se duas guias:

q

1º) a guia “Aval. Qual. dos Ativos” 2º) a guia “Aval. Qual. da Severidade” a. Exercício da guia “Aval. Qual. dos Ativos” – Avaliação da relevância dos ativos Neste exercício a equipe de análise identificará a relevância de cada ativo para os negócios da organização. Para cada relevância de cada ativo deve ser apresentada a evidência (Justificativa). Os critérios de relevância foram definidos no Roteiro de Atividades 2 e agora serão aplicados. Para o exercício, os critérios serão escolhidos de uma lista que apresentará os critérios anteriormente definidos. A planilha permite a edição apenas das células de relevância e da justificativa. Só passe para a guia seguinte após concluir. b. Atividade da guia “Aval. Qual. da Severidade” – Avaliação da severidade das consequências. Nesta atividade a equipe de análise identificará a severidade de cada consequência anteriormente levantada sobre determinado ativo e sua relevância para o negócio da organização. A resposta será dada por um dos níveis do critério “Severidade das Consequências” definido no Roteiro de Atividades 2 na guia de “Critérios”. Para cada consequência a equipe de análise definirá a severidade das consequências sobre aquele ativo. Para cada severidade de cada consequência deve ser apresentada a evidência ( Justificativa). Para o exercício, os critérios serão escolhidos de uma lista que apresentará os critérios anteriormente definidos. A planilha permite a edição apenas das células de severidade e da justificativa. Só passe para a guia seguinte após concluir. 4. Verificação e correção pelo instrutor. Ao concluir o Roteiro de Atividades 5, a equipe de análise terá uma listagem contendo os ativos, as ameaças que afetam ou podem vir a afetar cada ativo, os controles existentes ou com previsão de implementação, as vulnerabilidades que existem em cada ativo e as consequências caso estas vulnerabilidades sejam exploradas pelos agentes da ameaça. Já terá

Gestão de Riscos de TI NBR 27005

determinado ainda a relevância de cada ativo para os negócios da organização e a severi-

90

dade das consequências.

O que foi aprendido 11 Metodologias qualitativa e quantitativa. 11 Como realizar a estimativa dos riscos. 11 Como realizar a avaliação das consequências.

q

6 Realizar a avaliação da probabilidade e determinar o nível de risco.

Probabilidade, avaliação da probabilidade e nível de risco.

conceitos

Introdução Nesta etapa da análise de risco, que faz parte do processo de análise de risco, são tratadas as atividades de identificação das probabilidades de ocorrência e a determinação do nível de risco. Estas duas atividades irão compor a conclusão do processo de análise de risco.

Exercício de nivelamento 1 e Avaliação da probabilidade O que é probabilidade em um processo de gestão de riscos?

Capítulo 6 - Análise de riscos: avaliação da probabilidade

objetivos

Análise de riscos: avaliação da probabilidade

91

Visão geral do processo de avaliação de risco Conforme foi visto, o processo de avaliação de risco é composto por três atividades básicas. Nesta sessão serão abordadas duas, como mostra a figura abaixo:

PROCESSO DE AVALIAÇÃO DE RISCOS IDENTIFICAÇÃO DE RISCOS

Análise de Riscos Avaliação das consequências

Avaliação da probabilidade

ANÁLISE DE RISCOS

AVALIAÇÃO DE RISCOS

Determinação do Nível de Risco

Avaliação da probabilidade de ocorrência de incidentes 11 Avaliação da probabilidade de ocorrência de incidentes em cada cenário e seus impactos.

Figura 6.1 Estimativa e avaliação de riscos.

q

11 Para a estimativa da probabilidade será necessário: 22 Estudo do histórico de ocorrências de incidentes de segurança. 22 Relatório de frequência de ocorrência das ameaças e dos níveis de possibilidade de exploração das vulnerabilidades identificadas. 11 Para a estimativa da probabilidade a equipe de análise deverá levar em conta: 22 A experiência passada e as estatísticas históricas aplicáveis à determinada ameaça. 22 As vulnerabilidades, individualmente e em conjunto. 22 Os controles existentes e a eficiência e eficácia com que reduzem as vulnerabilidades. 11 Metodologias de análise: 22 Qualitativa 22 Quantitativa Análise de Riscos Avaliação das consequências

Gestão de Riscos de TI NBR 27005

Avaliação da probabilidade

92

Determinação do Nível de Risco

Após a identificação dos cenários de incidentes e da avaliação das consequências, é necessário realizar a avaliação da probabilidade de riscos em cada cenário e dos impactos correspondentes. Nesta atividade é importantíssimo o uso do histórico de ocorrências de incidentes de segurança.

Figura 6.2 Avaliação da probabilidade.

Na atividade de avaliação da probabilidade de incidentes: 11 Entrada: listas de cenários de incidentes identificados como relevantes na atividade de avaliação das consequências. 11 Ação: avaliação da probabilidade de ocorrência de incidentes de segurança. 11 Saída: probabilidade dos cenários de incidentes no método quantitativo ou qualitativo.

Entrada Lista de cenários de incidentes, incluindo ativos afetados, vulnerabilidades exploradas e consequências para os ativos e negócios

Avaliação da probabilidade (8.3.3 da ABNT NBR ISO/IEC 27005)

Saída Probabilidade dos cenários de incidentes

Para esta avaliação são usadas metodologias de análise quantitativa e qualitativa. Para a equipe estimar a probabilidade é necessário realizar o estudo do histórico de ocorrências, da frequência da ocorrência das ameaças e da facilidade com que as vulnerabilidades podem ser exploradas. Como exemplo considere os seguintes depoimentos em entrevistas: 11 Histórico: “consta que há cerca de três anos ocorreu uma indisponibilidade do servidor por falha de hardware.” 11 Frequência: “tem havido falhas de software e ‘travamento’ do servidor de e-mail, que logo depois volta a funcionar. Isto já ocorreu umas cinco vezes nos últimos dois meses.” 11 Facilidade: “o servidor de e-mail tem ficado na sala do almoxarifado. Assim fica mais fácil despachar os pedidos. O pessoal acessa diretamente o servidor de e-mail. Não se trata de um ambiente fechado, pois cerca de nove pessoas trabalham ali.” Na estimativa da probabilidade, a equipe de análise deverá considerar a experiência passada e as estatísticas históricas aplicáveis à determinada ameaça. 11 Fontes de ameaças intencionais: 22 Motivação para explorar, como conflitos com superiores e insatisfação profissional. 22 Competências e conhecimento: determinadas vulnerabilidades só podem ser exploradas se o atacante tiver elevado conhecimento técnico; para explorar outras vulnerabilidades basta desligar a energia. 22 Conhecimento da vulnerabilidade, pois nem todos conseguem perceber a existência da vulnerabilidade, embora alguns já saibam onde a senha é guardada. 22 Poder de atração do ativo: para um atacante motivado em causar um grande prejuízo, um servidor de e-mail não é o bastante; já para outro atacante com objetivo de provocar pequenos problemas repetidamente, tirar o servidor do ar é suficiente. 11 Para as fontes de ameaças acidentais: 22 Proximidade de lugares insalubres e que possam danificar os equipamentos; 22 Eventos climáticos como temporais, inundações e vendavais; 22 Fatores facilitadores, que permitem que um erro humano acidental (como manuseio por pessoas tecnicamente despreparadas) acarrete em mau funcionamento (por exemplo, rede elétrica instável). As vulnerabilidades devem ser analisadas tanto individualmente quanto em conjunto, assim como os controles existentes e a eficiência e eficácia com que estão reduzindo as vulnerabilidades.

Capítulo 6 - Análise de riscos: avaliação da probabilidade

Figura 6.3 Avaliação da probabilidade dos incidentes.

Ação

93

Assim, ao analisar um determinado ativo de acordo com os fatores mencionados, a equipe de análise pode ter o seguinte resultado, baseado em duas metodologias de estimativa: 11 Qualitativa: alta probabilidade de ocorrer uma falha de disponibilidade, pois o equipamento está localizado em área de grande umidade; 11 Quantitativa: probabilidade de 75% de ocorrer uma falha de disponibilidade, pois o equipamento está localizado em uma área de grande umidade.

Exercício de fixação 1 e Avaliação da probabilidade Como você avaliará a probabilidade na sua organização? Explique.

Determinação do nível de risco 11 A determinação do nível de risco é uma atividade na qual a equipe de análise vai men-

q

surar o nível de risco com o uso dos resultados obtidos nas etapas anteriores. 11 Nesta atividade serão conferidos valores para a probabilidade e consequências do risco. 11 Esta atividade é o início da construção da tabela de análise dos riscos.

Avaliação das consequências

Avaliação da probabilidade

Determinação do Nível de Risco

A determinação do nível de risco é uma atividade na qual a equipe de análise vai mensurar o nível de risco com o uso dos resultados obtidos nas etapas anteriores. Nesta atividade serão dados valores para a probabilidade e consequências do risco.

Gestão de Riscos de TI NBR 27005

Nesta atividade de determinação do nível de risco:

94

11 Entrada: são as listas de cenários de incidentes identificados com suas consequências e probabilidades na atividade de avaliação da probabilidade. 11 Ação: determinação do nível de risco para todos os incidentes considerados. 11 Saída: uma lista de riscos com níveis de valores.

Figura 6.4 Determinação do nível do risco.

Entrada

Determinação do nível de risco (8.3.4 da ABNT NBR ISO/IEC 27005)

Saída Lista de riscos com níveis de valores designados

Esta atividade é o início da construção da tabela para analisar os riscos. O item E.2 do anexo E da norma ABNT NBR ISO/IEC 27005 detalha os métodos existentes para esta estimativa. A escolha do método ideal é fruto do tipo da organização e de sua estrutura para a gestão dos riscos. A equipe de análise deve escolher o método que melhor atenda às necessidades de negócio da organização e que seja facilmente entendido pelos seus integrantes.

Para pensar Leia atentamente o Anexo E. Após a leitura, escolha o método que você considera que melhor se adaptaria à sua organização. Após a escolha comece a trabalhar com este modelo.

Leitura complementar 11 Sessão 8.3.3 da norma ABNT NBR ISO/IEC 27005. 11 Sessão 8.3.4 da norma ABNT NBR ISO/IEC 27005. 11 Anexo E da norma ABNT NBR ISO/IEC 27005.

Capítulo 6 - Análise de riscos: avaliação da probabilidade

Figura 6.5 Determinação do nível de risco.

Lista de cenários de incidentes com suas consequências associadas aos ativos, processos de negócios e suas probabilidades

Ação

95

96

Gestão de Riscos de TI NBR 27005

Roteiro de Atividades 6 Visão geral da atividade Neste roteiro, serão realizadas as atividades necessárias para a “Análise de risco – probabilidade e estimativa de riscos”. A figura a seguir apresenta graficamente a localização destas atividades no processo de gestão de riscos:

DEFINIÇÃO DO CONTEXTO

IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS

AVALIAÇÃO DE RISCOS

PONTO DE DECISÃO 1

Não

Avaliação satisfatória Sim TRATAMENTO DO RISCO PONTO DE DECISÃO 2

MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

COMUNICAÇÃO E CONSULTA DO RISCO

PROCESSO DE AVALIAÇÃO DE RISCOS

Não

Tratamento satisfatório Sim ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES A realização desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivência e experiência em sua organização. Para esta atividade o aluno deve se valer das observações da empresa KWX. A sequência das atividades será: 1. Leitura das Seções 8.3.2, 8.3.3 e 8.3.4 da ABNT NBR ISO/IEC 27005; 2. Explicação e demonstração da planilha de análise de risco pelo instrutor; 3. Execução das atividades da planilha;

Capítulo 6 - Roteiro de Atividades

Figura 6.6 Atividades no processo de gestão de riscos.

97

Na guia Sessão 6 da planilha encontram-se três guias:

q

1º) a guia “Aval. Qualitativa Probabilidade” 2º) a guia “Estimativa” 3º) a guia “Res. Estimativa Qualitativa”

a. Exercício da guia “Aval. Qualitativa Probabilidade” – Avaliação da probabilidade Neste exercício a equipe de análise identificará e definirá a probabilidade das vulnerabilidades serem exploradas e das consequências acontecerem. Com uma visão mais ampla das vulnerabilidades e consequências, a equipe definirá a probabilidade de ocorrência destes eventos. Os critérios de probabilidades foram definidos durante o Roteiro de Atividades 2 e serão agora aplicados. Para cada vulnerabilidade a equipe analisará e definirá sua probabilidade. Para cada probabilidade de cada vulnerabilidade dos ativos deve ser apresentada a evidência (Justificativa). Para o exercício, os critérios de probabilidade serão escolhidos de uma lista que apresentará os critérios anteriormente definidos. A planilha permite a edição apenas das células de probabilidade e da justificativa. Só passe para a guia seguinte após concluir. b. Exercício da guia “Estimativa” – Definição das estimativas (pesos). Neste exercício a equipe de análise já conhecerá todo o ambiente, seus ativos, vulnerabilidades e probabilidade de ocorrência, e assim definirá os pesos para a definição e cálculo do risco. A inserção de pesos em cada critério visa facilitar o cálculo dos riscos e assim permitir que sejam ordenados por criticidade. Os critérios foram definidos no Roteiro de Atividades 2. Agora será feita apenas a inserção dos pesos em cada critério. Note que nesta atividade não será feita nenhuma alteração nos critérios anteriormente definidos. Caso se identifique a necessidade de alterar os critérios durante o processo de gestão de risco, será necessário voltar para a atividade de critérios e refazê-la, revisando todo o trabalho a partir daí. Para o exercício, a guia “Estimativa” apresenta os critérios anteriormente definidos, acrescidos da coluna “Peso”. Nesta coluna será colocado o peso definido pela equipe de análise de risco a partir de sua visão da organização. A planilha já apresenta os pesos com valor “0” e a equipe deverá substituí-los pelos valores que julgar válidos. Por exemplo:

Gestão de Riscos de TI NBR 27005

11 1, 2, 3, 4 e 5; 11 1, 3, 5,7 e 9; 11 1, 2, 3, 6 e 10; 11 1, 2, 4, 6 e 8. Estes pesos podem ser alterados para que possam representar a realidade da organização. A equipe define estes pesos pela sua experiência com a organização. Cada valor de peso deve ter uma justificativa para o seu valor. Ao lado dos critérios de risco, aparece a pontuação de cada critério, calculada automaticamente a partir dos pesos dados pela equipe, além da priorização de tratamento dos riscos aceita pela equipe. 98

A planilha permite a edição apenas das células de peso e de aceitação. Só passe para a guia seguinte após concluir. 11 Atividade da guia “Res. Estimativa Qualitativa” – Resultado das estimativas. Nesta atividade a equipe de análise analisará o resultado das estimativas para identificar se ela está realmente atendendo as necessidades do negócio da organização. A equipe deve analisar detalhadamente os resultados. Para o exercício, analise cada resultado e apresente sua justificativa informando se atendem ou não aos requisitos da organização. Para facilitar o entendimento, volte para a atividade anterior e altere os pesos, verificando o que acontece com os resultados. Na sua visão de analista de riscos, qual resultado atende melhor aos requisitos de negócios?

Analise todos os resultados da estimativa, e em caso de dúvida pergunte ao instrutor. A planilha permite a edição apenas das células da justificativa. Só passe para a guia seguinte após concluir. 4. Verificação e correção pelo instrutor. Ao concluir o Roteiro de Atividades 6, a equipe de análise terá uma visão ampla dos resultados da análise de risco, podendo identificar o impacto de cada consequência caso as vulnerabilidades sejam exploradas pelo agente da ameaça.

O que foi aprendido 11 Conceito de probabilidade e estimativa de riscos.

q

Capítulo 6 - Roteiro de Atividades

11 Cálculo da probabilidade de um risco ocorrer.

99

100

Gestão de Riscos de TI NBR 27005

7 Conceituar, definir e executar a avaliação de riscos.

Avaliação de risco.

conceitos

Introdução Com os resultados obtidos nas fases anteriores, a equipe de análise já possui dados suficientes para iniciar a fase de avaliação de riscos, fase responsável por ordenar os riscos por prioridade, de acordo com os critérios de avaliação de riscos definidos. Este capítulo deve ser realizado com consulta à norma ABNT NBR ISO/IEC 27005.

Exercício de nivelamento 1 e Avaliação de riscos Quais as informações você já possui para iniciar a avaliação de riscos? Explique.

Processo de avaliação de riscos de segurança da informação A fase de avaliação de riscos é auxiliar nas decisões tendo como base os resultados da análise de riscos. Esta fase da gestão de riscos tem por objetivo comparar os níveis de riscos identificados na fase anterior com os critérios de avaliação e aceitação de riscos. Estes critérios são definidos durante a definição do contexto e deverão estar alinhados aos objetivos da organização. Da fase de avaliação de riscos: 11 Entrada: lista de riscos com os níveis de valores e critérios para avaliação de riscos. 11 Ação: comparação do nível dos riscos com os critérios de avaliação. 11 Saída: lista de riscos ordenados por prioridade, segundo os critérios de avaliação de riscos.

Capítulo 7 - Avaliação de riscos

objetivos

Avaliação de riscos

101

DEFINIÇÃO DO CONTEXTO

IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS

AVALIAÇÃO DE RISCOS

PONTO DE DECISÃO 1

Não

Avaliação satisfatória Sim TRATAMENTO DO RISCO PONTO DE DECISÃO 2

MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

COMUNICAÇÃO E CONSULTA DO RISCO

PROCESSO DE AVALIAÇÃO DE RISCOS

Não

Tratamento satisfatório Sim ACEITAÇÃO DO RISCO Figura 7.1 Avaliação de riscos.

FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES

Avaliação de riscos de segurança da informação 11 Comparação dos riscos estimados com os critérios de avaliação definidos na fase de contexto. 22 A organização deverá tomar as decisões desta fase com base no nível de risco aceitável. 11 É importante que a organização considere também: 22 As propriedades da segurança da informação (CIDA): 33 Confidencialidade. 33 Integridade.

Gestão de Riscos de TI NBR 27005

33 Disponibilidade.

102

33 Autenticidade. 22 A importância do processo de negócios ou da atividade suportada por um determinado ativo ou conjunto de ativos. 22 A agregação de riscos pequenos e médios que podem resultar em um risco total significativo, para assim tratá-lo. 22 A consideração aos requisitos contratuais, regulatórios e legais. 33 Atividade a ser concluída em conjunto com a organização, pois somente ela tem a visão completa dos objetivos estratégicos de seu negócio.

q

Nesta fase as equipes de análise juntamente com a organização devem comparar os riscos estimados (métodos no Anexo E da norma) com os critérios de avaliação definidos durante a fase de contexto. A organização deverá tomar as decisões desta fase com base no nível de risco aceitável. Porém, fatores como consequências, probabilidade e confiança também deverão ser considerados para melhor orientar as tomadas de decisão. Durante esta avaliação é importante que a organização considere: 11 As propriedades da segurança da informação (Confidencialidade, Integridade, Disponibilidade, Autenticidade – CIDA): se uma destas propriedades não for importante para a organização, ela poderá considerar como de baixo valor os riscos que provocam vulnerabilidades ligadas a esta propriedade, e assim enquadrá-los como riscos aceitáveis. 11 A importância do processo de negócios ou da atividade suportada por determinado ativo ou conjunto de ativos: se um processo ou atividade é avaliado pela organização como de baixa importância, os riscos associados a ele devem ser também levados menos em consideração do que os riscos que causam impactos em processos ou atividades mais importantes.

Exercício de fixação 1 e Avaliação de risco Explique a importância das propriedades da segurança da informação para a sua organização?

Outro ponto importante a ser considerado durante a avaliação de riscos é a agregação de vários riscos considerados riscos pequenos ou médios para, através desta agregação, que resulta em um risco total bem mais significativo, poder tratá-lo adequadamente. Nesta fase é importante que as equipes de análise avaliem os requisitos contratuais, regulatórios e legais. Esta atividade deve ser realizada em conjunto com a organização, pois somente ela tem a visão completa dos seus objetivos estratégicos de negócio.

Figura 7.2 Fase de avaliação de riscos.

Uma lista de riscos com níveis de valores e critérios para avaliação de riscos

Ação Avaliação de Riscos (8.4 da ABNT NBR ISO/IEC 27005)

Leitura complementar 11 Sessão 8.4 da norma ABNT NBR ISO/IEC 27005. 11 Anexo E da norma ABNT NBR ISO/IEC 27005. 11 Item 5.4.4 da norma ABNT NBR ISO 31000.

Saída Lista de riscos ordenados por prioridade segundo os critérios de avaliação

Capítulo 7 - Avaliação de riscos

Entrada

103

104

Gestão de Riscos de TI NBR 27005

Roteiro de Atividades 7 Visão geral da atividade Nesta atividade, serão realizadas as atividades necessárias para a “Análise de riscos – avaliação de riscos” numa avaliação qualitativa. A figura a seguir apresenta graficamente a localização destas atividades no processo de gestão de riscos:

DEFINIÇÃO DO CONTEXTO

IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS

AVALIAÇÃO DE RISCOS

PONTO DE DECISÃO 1

Não

Avaliação satisfatória Sim TRATAMENTO DO RISCO PONTO DE DECISÃO 2

MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

COMUNICAÇÃO E CONSULTA DO RISCO

PROCESSO DE AVALIAÇÃO DE RISCOS

Não

Tratamento satisfatório Sim ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES A realização desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivência e experiência em sua organização. Para esta atividade o aluno deve se valer das observações da empresa KWX. A sequência das atividades será: 1. Leitura da Seção 8.4 da ABNT NBR ISO/IEC 27005; 2. Explicação e demonstração da planilha de análise de risco pelo instrutor;

Capítulo 7 - Roteiro de Atividades

Figura 7.3 Atividades no processo de gestão de riscos.

3. Execução das atividades da planilha; 105

Na guia Sessão 7 da Planilha encontram-se duas guias:

q

1º) a guia “Calcular o Risco” 2º) a guia “Avaliar o Risco” a. Exercício da guia “Calcular o Risco” – Cálculo do risco. Nesta atividade a equipe de análise irá realizar o cálculo do risco. Com as atividades anteriores já realizadas, o trabalho nesta atividade é de acompanhamento e análise dos resultados com a aplicação dos critérios. Para fins de exercício, a equipe deve analisar criteriosamente os resultados e verificar se há concordância com os resultados de risco apresentados. Para facilitar a compreensão, volte para as atividades dos Roteiros 5 e 6 e altere suas respostas, observando o que acontece com os resultados neste Roteiro 7. Comente suas impressões sobre os resultados.

Nesta análise de riscos, qual a quantidade de riscos “extremos”? E de riscos considerados “Altos”? E de riscos “Baixos”?

A planilha não permite a edição de nenhuma das células. Só passe para a guia seguinte após concluir. b. Exercício da guia “Avaliar o risco” – Avaliação do risco. Após a equipe de análise ter calculado o risco e com o conhecimento de todo o ambiente e de seus problemas, ela deverá fazer uma avaliação dos riscos e de seus resultados, definindo a prioridade de mitigação destes riscos. Para fins de exercício, a prioridade será escolhida da lista definida na guia “Estimativa” da Sessão 6. Para cada prioridade definida a equipe de análise deve apresentar a evidência ( Justificativa). A planilha permite a edição apenas das células de Avaliação de risco (prioridade) e da justificativa. Só passe para a guia seguinte após concluir.

Gestão de Riscos de TI NBR 27005

4. Verificação e correção pelo instrutor.

106

Ao concluir o Roteiro de Atividades 7, a equipe de análise estará com uma listagem dos ativos e riscos para cada vulnerabilidade. Esta listagem permite a definição dos maiores riscos, colocando-os em ordem de prioridade e definindo os controles que devem ser empregados para tratá-los.

O que foi aprendido 11 Compreender o processo de avaliação de riscos. 11 Realizar a avaliação de riscos.

q

8 Conceituar e definir tratamento de riscos; desenvolver e aplicar o plano de tratamento de riscos; compreender e aplicar as formas de tratamento de riscos; definir o risco aceitável e o risco residual; e executar a aceitação de riscos.

conceitos

Tratamento e aceitação de riscos, risco residual e risco aceitável.

Introdução O trabalho realizado pela equipe de análise até este momento foi basicamente de coleta de informações, avaliação dos riscos e ordenação dos riscos por prioridade. Mas como tratar estes riscos? Como selecionar os controles necessários? Estas dúvidas serão sanadas na fase de tratamento do risco de segurança da informação. Este capítulo deve ser realizado com consulta à norma NBR ISO/IEC 27005.

Exercício de nivelamento 1 e Tratamento e aceitação dos riscos Como são executados o tratamento e a aceitação de riscos na sua organização? Explique.

Visão geral do processo de tratamento do risco 11 Fase posterior às fases de definição do contexto, análise de riscos e avaliação de riscos.

q

11 Ao final destas três fases, a equipe faz uma análise crítica dos resultados e da situação dos trabalhos desenvolvidos. 11 Se a avaliação for considerada satisfatória, a equipe prossegue em seus trabalhos e inicia a fase seguinte, de tratamento do risco. A fase de tratamento de risco é realizada após as fases de definição do contexto, análise de riscos e avaliação de riscos. Ao final destas três fases, a equipe faz uma análise crítica dos

Capítulo 8 - Tratamento e aceitação de riscos

objetivos

Tratamento e aceitação de riscos

resultados e verifica a situação dos trabalhos desenvolvidos. 107

Caso esta avaliação seja considerada insatisfatória ou incompleta, a equipe retorna aos trabalhos a partir da definição do contexto, buscando solucionar as dúvidas que porventura tenham surgido, ou seja, refaz os trabalhos desde o início, buscando um aprofundamento maior. Se a avaliação for considerada satisfatória, a equipe prossegue em seus trabalhos e realiza a fase seguinte, de tratamento do risco. A figura abaixo apresenta o posicionamento desta fase:

DEFINIÇÃO DO CONTEXTO

IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS

AVALIAÇÃO DE RISCOS

PONTO DE DECISÃO 1

Não

Avaliação satisfatória Sim TRATAMENTO DO RISCO PONTO DE DECISÃO 2

MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

COMUNICAÇÃO E CONSULTA DO RISCO

PROCESSO DE AVALIAÇÃO DE RISCOS

Não

Tratamento satisfatório Sim ACEITAÇÃO DO RISCO

Figura 8.1 Tratamento do risco.

FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES No tratamento do risco a equipe de análise terá como: 11 Entrada: lista de riscos ordenados por prioridade, associados aos cenários de incidentes. 11 Ação: identificação dos controles para reduzir, reter, evitar ou transferir os riscos e a definição do plano de tratamento.

Gestão de Riscos de TI NBR 27005

11 Saída: plano de tratamento dos riscos e dos riscos residuais. Este plano estará sujeito à

108

aprovação dos gestores da organização.

Entrada Lista de riscos ordenados por prioridade

Ação

Saída

Tratamento do Risco

Plano de tratamento do risco e dos riscos residuais, sujeito a aprovação

(9 da ABNT NBR ISO/IEC 27005)

Figura 8.2 Tratamento do risco.

A figura a seguir apresenta as atividades do processo de tratamento do risco.

RESULTADOS DA AVALIAÇÃO DE RISCOS

AVALIAÇÃO SATISFATÓRIA Ponto de Decisão 1 Tratamento do risco OPÇÕES DE TRATAMENTO DO RISCO

MODIFICAÇÃO DO RISCO

RETENÇÃO DO RISCO

AÇÃO DE EVITAR O RISCO

COMPARTILHAMENTO DO RISCO

RISCOS RESIDUAIS

Figura 8.3 Atividades do tratamento do risco.

TRATAMENTO SATISFATÓRIO Ponto de Decisão 2

Tratamento do risco 11 O tratamento de risco é utilizado para responder aos riscos identificados.

q

11 As escolhas e decisões tomadas devem levar em conta: 22 A avaliação do tratamento de risco proposto já realizado.

22 A eficácia dos controles. 22 A eficiência do tratamento. 22 Decisão se os níveis de risco residual são toleráveis. 22 As características do negócio da organização. 11 A fase de tratamento do risco possui quatro opções, que não são mutuamente exclusivas: 22 Modificação do risco. 22 Retenção do risco. 22 Ação de evitar o risco . 22 Compartilhamento do risco.

Capítulo 8 - Tratamento e aceitação de riscos

22 A viabilidade técnica e financeira.

109

11 Para a decisão de remoção de controles, é imprescindível que a equipe tenha noção

q

da interdependência dos ativos e seus controles, para que esta decisão não provoque a redução da segurança como um todo. 11 A equipe deverá montar um plano de tratamento. 11 O plano aborda os índices de redução do risco com a implementação de cada controle, permitindo aos gestores uma decisão pautada em indicadores e metas bem definidas. 11 Uma forma de identificar os controles é seguindo a norma NBR ISO/IEC 27002. O tratamento de risco é utilizado para responder aos riscos identificados. Existem diferentes opções para tratar e responder ao risco. As escolhas e decisões tomadas pela equipe de análise, em conjunto com a direção da organização, devem levar em conta: 11 A avaliação do tratamento de risco proposto já realizado; 11 A viabilidade técnica e financeira, isto é, os custos de implementação do controle; 11 A eficácia dos controles; 11 A eficiência do tratamento; 11 Decisão se os níveis de risco residual são toleráveis; 11 As características do negócio da organização (viabilidade econômica). Após esta análise sobre os controles necessários para o tratamento dos riscos, a equipe deve selecionar a melhor opção para reduzir o risco a um nível aceitável ou ao mínimo possível. A fase de tratamento do risco possui quatro opções que não são mutuamente exclusivas, ou seja, que podem ser combinadas entre si: 11 Modificação do risco; 11 Retenção do risco; 11 Ação de evitar o risco; 11 Compartilhamento do risco. Estas opções são definidas pela equipe de análise levando em conta tudo o que foi identificado no processo de análise. Na definição dos controles necessários, a equipe vai desenvolvendo uma visão geral de todos os controles, tanto os identificados como necessários quanto os identificados como implementados. Desta maneira permite o levantamento dos controles redundantes e desnecessários, passíveis de remoção. Para a decisão de remoção de controles, é imprescindível que a equipe tenha uma noção precisa da interdependência dos ativos e dos seus controles, para que a decisão não provoque a redução da segurança como um todo. Durante esta fase, todas as restrições levantadas na definição do contexto deverão ser levadas em consideração durante o processo de

Gestão de Riscos de TI NBR 27005

tratamento do risco. Após a decisão do tratamento necessário, a equipe deverá montar um plano de tratamento. O plano é uma ordenação dos riscos e controles a serem implementados de acordo com o seu grau de impacto nos negócios. Em princípio os riscos de maior impacto devem ser os primeiros a serem tratados. Entretanto, pelo custo e pela demora de implementação dos controles para os riscos mais críticos, pode ser mais interessante começar pelos controles de custo mais baixo e mais rápidos de serem implementados. Esta pode ser uma boa opção caso se queira apresentar resultados rápidos para apoiar uma política de conscientização e treinamento em segurança da informação. Lembre-se, entretanto, de que isto não significa esquecer os demais controles. 110

Uma forma de identificar os controles é seguir a norma NBR ISO/IEC 27002. A aprovação do plano de tratamento cabe aos gestores da organização. Por isso é extremamente importante que o plano aborde os índices de redução do risco. A implementação de cada controle permitirá aos gestores uma decisão pautada em indicadores e metas bem definidas. Selecionar a opção mais adequada de tratamento de riscos envolve equilibrar os custos e os esforços necessários de implementação de um lado e do outro, os benefícios decorrentes levando-se em conta os requisitos legais, regulatórios ou quaisquer outros. É importante que o plano identifique de forma clara a ordem de prioridade em que cada tratamento e controle deva ser implementado.

Riscos residuais 11 Riscos residuais são aqueles que restam após a implantação de controles para evitar,

q

transferir ou mitigar riscos. 11 Após a implementação de um controle, pode ser que o risco não tenha sido totalmente mitigado. 22 Esta diferença é o risco residual. 11 Riscos residuais devem ser tratados através da implementação de controles. 11 Caso o risco esteja acima do nível de aceitação de riscos estabelecido pela organização, pode ser necessária nova iteração. 11 Entre os riscos residuais incluem-se também os riscos sem importância. Uma vez que a equipe definiu o plano de tratamento, ela precisa determinar os riscos residuais que restam após a implementação de controles para evitar, transferir ou mitigar riscos. Isto é, após a implementação de um determinado controle, é possível que ele não seja suficiente para mitigar totalmente um risco. A diferença, isto é, a possibilidade restante de ocorrência do risco, após a implementação do controle para mitigá-lo, caracteriza o risco residual. Em outras palavras, são os riscos que restam após a tomada de medidas para evitá-los, transferi-los ou mitigá-los. O risco residual deve ser identificado e tratado através da implementação de controles. Caso determinado risco esteja acima do nível de aceitação de riscos estabelecido pela organização, pode ser necessário realizar uma nova iteração. Incluem-se também como riscos

Modificação do risco 11 A modificação ou mitigação do risco é a ação de implementar controles para reduzir os riscos a um nível aceitável. 11 Tipos de proteção: 22 Correção. 22 Eliminação. 22 Prevenção. 22 Minimização do impacto. 22 Dissuasão. 22 Detecção.

q

Capítulo 8 - Tratamento e aceitação de riscos

residuais aqueles sem importância, ou seja, que precisam ser aceitos.

111

22 Recuperação.

q

22 Monitoramento. 22 Conscientização. 11 Leva em consideração os custos de aquisição, implementação, administração, operação, monitoramento e manutenção dos controles em relação ao valor do ativo que será protegido. 11 Deve-se evitar a escolha de controles de custos mais elevados que os custos do ativo ou dos serviços gerados com a sua implementação. 11 É necessário ter atenção à “falsa sensação de segurança”. A forma de tratamento do risco chamada de modificação ou mitigação dos riscos é a ação de implementar controles que busquem reduzir os riscos a um nível aceitável pela organização. A escolha destes controles deve levar em conta os critérios da organização para a aceitação do risco, tais como: requisitos legais, regulatórios, contratuais, culturais e ambientais e aspectos técnicos, além de custos e prazos para a implementação de controles. De forma geral, a escolha destes controles deve fornecer, quando aplicados e implementados, um ou mais tipos de proteção: 11 Correção: atividades através da implementação de controle realizadas a fim de corrigir qualquer anormalidade; 11 Eliminação: aplicação de controles com a finalidade de excluir possíveis erros e vulnerabilidades ou fontes de erros e vulnerabilidades, sem no entanto eliminar o risco mas apenas reduzindo-o; 11 Prevenção: implementação de controles a fim de prevenir e impedir a exploração de qualquer vulnerabilidade; 11 Minimização do impacto: implementação de controles que buscam reduzir ou limitar os danos caso ocorra um incidente de segurança; 11 Dissuasão: ação, atividade ou medida de controle organizada e realizada a fim de fazer mudar de opinião, intenção ou ideia; 11 Detecção: atividades de implementação de controles realizadas com a finalidade de descobrir erros ou anormalidades; 11 Recuperação: atividade de implementação de controle realizada a fim de voltar a situação de normalidade; 11 Monitoramento: atividade de aplicação de controles para acompanhar, observar, acompanhar desvios e perceber os sinais de alerta de vulnerabilidades, ameaças e riscos, tudo com a finalidade de antecipadamente tomar providências;

Gestão de Riscos de TI NBR 27005

11 Conscientização: aplicação de controles e atividades de ensino que tem como objetivo

112

orientar sobre a segurança da informação, a fim de que todos os usuários saibam aplicar os conhecimentos mostrados em sua rotina pessoal e profissional. Na definição e seleção de controles, a equipe de análise deve levar em consideração os custos de aquisição, implementação, administração, operação, monitoramento e manutenção dos controles em relação ao valor do ativo que será protegido. Isto permitirá que se evite a escolha de controles cujos custos serão mais elevados que o custo do ativo ou dos serviços gerados nele.

l

A equipe deverá ainda estar atenta à “falsa sensação de segurança”. A implementação de alguns controles pode dar a falsa sensação de segurança, pois, devido à sua complexidade ou falta de conhecimento do usuário, este pode achar alternativas para burlar os controles, ludibriando os esforços dos administradores em proteger a segurança da informação. Nas ações de redução do risco também devem ser consideradas as restrições existentes na organização, que afetarão a escolha e a implementação dos controles.

Retenção do risco 11 A retenção do risco significa “correr o risco”.

q

11 A retenção do risco inclui ainda os riscos não identificados. 11 Deve ser feita de acordo com os critérios para aceitação de riscos estabelecidos pela organização. 11 Decisão da alta direção e embasada. 11 Neste caso não é necessária a implementação de controles. 11 Deve ser elaborado um registro dos riscos aceitos, com a justificativa da razão de terem sido aceitos, e a relação dos responsáveis pela aprovação da retenção do risco. A retenção do risco é a aceitação do risco de uma perda, ou seja, “correr o risco”, incluindo ainda os riscos que não tenham sido identificados. Deve ser feita de acordo com os critérios de aceitação de riscos definidos pela organização, neste caso não sendo necessária a implementação de controles. É uma decisão consciente da alta direção e deve bem embasada e registrada. É importante que seja criado um registro dos riscos aceitos, com a justificativa de seu aceite e a relação dos responsáveis pela sua aprovação.

Ação de evitar o risco 11 Eliminação da atividade ou processo gerador do risco através de mudanças na forma

q

de sua ocorrência. 11 Quando a equipe de análise identifica riscos elevados, cujos custos de implementação de controles excedem os benefícios, é possível decidir que o risco deve ser totalmente evitado. 11 Após as mudanças necessárias deverá ser feita uma nova iteração de análise de riscos. Quando a equipe de análise identifica riscos extremamente elevados, e os custos para a implementação de controles excedem os benefícios do próprio serviço ou negócio, é possível decidir que o risco deve ser 100% evitado. Isto é feito através da eliminação da atividade ou processo, via mudanças na forma de ocorrência da atividade ou processo passível de produzir o risco. Outra forma de evitar o risco é através da remoção da fonte de risco. Algumas mudanças poderão ser necessárias, após as quais deve ser realizada nova iteração de análise de riscos.

Compartilhamento do risco O compartilhamento do risco envolve a transferência ou compartilhamento dos riscos com uma entidade externa. Uma forma de compartilhamento do risco é o uso de seguros que cubram as consequências da ocorrência de um incidente de segurança da informação. Outra forma de transferência é a utilização de serviços de parceiros (outsourcing) para a gestão de eventos de segurança da informação. Apesar de ser possível a transferência das operações

Capítulo 8 - Tratamento e aceitação de riscos

O anexo F da norma ABNT NBR ISO/IEC 27005 apresenta em detalhes as restrições que afetam a redução do risco.

com algum risco, a responsabilidade legal pelas consequências não será transferida. 113

Exercício de fixação 1 e Tratamento de risco Qual a forma de tratamento que você utilizaria para tratar o risco “roubo/extravio de documentos classificados”? Justifique.

Qual a forma de tratamento que você utilizaria para tratar o risco “falta constantes de energia elétrica”? Justifique.

Explique a diferença entre risco aceitável e risco residual.

Visão geral do processo de aceitação do risco 11 Esta fase trata do aceite formal do plano de tratamento pela direção da organização.

q

11 Entrada: plano de tratamento do risco e a análise do risco residual. 11 Ação: decisão formal de aceitação do plano pela direção da organização. Após a definição do plano de tratamento e este ser julgado satisfatório, tem início a fase de aceitação do risco. Esta fase trata do aceite formal do plano de tratamento pela direção

Gestão de Riscos de TI NBR 27005

da organização.

114

A figura abaixo apresenta a fase de aceitação do risco.

DEFINIÇÃO DO CONTEXTO

IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS

AVALIAÇÃO DE RISCOS

PONTO DE DECISÃO 1

Não

Avaliação satisfatória Sim TRATAMENTO DO RISCO PONTO DE DECISÃO 2

MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

COMUNICAÇÃO E CONSULTA DO RISCO

PROCESSO DE AVALIAÇÃO DE RISCOS

Não

Tratamento satisfatório Sim ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES Nesta fase de tratamento do risco: 11 Entrada: plano de tratamento do risco e a análise do risco residual. 11 Ação: decisão formal de aceitação do plano pela direção da organização. 11 Saída: lista de riscos aceitos e uma justificativa para aqueles que não satisfizeram os critérios definidos.

Aceitando o risco 11 Análise criteriosa do plano de tratamento de riscos. 11 Elaborada pela equipe, definirá em documento formal os riscos que serão aceitos. 11 Decisão que cabe aos gestores da organização, pois seus critérios são complexos e envolvem as estratégias de negócio da organização. 11 Este documento formal fará parte da chamada “Declaração de Aplicabilidade”, em que a organização apresenta os controles não aplicáveis e justifica o fato de não serem contemplados em seu SGSI. 11 Vide norma ABNT NBR ISO/IEC 27001.

q

Capítulo 8 - Tratamento e aceitação de riscos

Figura 8.4 Aceitação do risco.

115

Nesta fase, a direção da organização analisará criteriosamente o plano de tratamento de riscos elaborado pela equipe, definindo em documento formal os riscos que serão aceitos. A decisão cabe aos gestores da organização, pois os critérios da decisão são complexos e envolvem as estratégias de negócio da organização. Este documento formal fará parte da chamada “Declaração de Aplicabilidade”, na qual a organização apresenta os controles que não são aplicáveis e justifica porque eles não serão contemplados em Sistema de Gestão da Segurança da Informação (SGSI), de acordo com a norma ABNT NBR ISO/IEC 27001.

Lembre-se de que o risco devidamente calculado e tratado é um ingrediente importante do negócio.

Entrada Plano de tratamento do risco e análise dos riscos residuais

Ação

Saída

Aceitação do Risco

Lista de riscos aceitos e justificativas

(10 da ABNT NBR ISO/IEC 27005)

Leitura complementar 11 Sessão 9 da norma ABNT NBR ISO/IEC 27005. 11 Sessão 10 da norma ABNT NBR ISO/IEC 27005. 11 Anexo F da norma ABNT NBR ISO/IEC 27005.

Gestão de Riscos de TI NBR 27005

11 Item 5.5 da norma ABNT NBR ISO 31000.

116

Figura 8.5 Fase de aceitação do risco.

Roteiro de Atividades 8 Visão geral da atividade Nesta atividade, serão realizadas as atividades necessárias para a “Análise de Risco – tratamento e aceitação de riscos”. A figura a seguir apresenta graficamente a localização destas atividades no processo de gestão de riscos.

DEFINIÇÃO DO CONTEXTO

IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS

AVALIAÇÃO DE RISCOS

PONTO DE DECISÃO 1

Não

Avaliação satisfatória Sim TRATAMENTO DO RISCO PONTO DE DECISÃO 2

MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

COMUNICAÇÃO E CONSULTA DO RISCO

PROCESSO DE AVALIAÇÃO DE RISCOS

Não

Tratamento satisfatório Sim ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES A realização desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivência e experiência em sua organização. Para esta atividade o aluno deve se valer das observações sobre a empresa KWX. A sequência das atividades será: 1. Leitura das Sessões 9 e 10 da ABNT NBR ISO/IEC 27005; 2. Explicação e demonstração da planilha de análise de risco pelo instrutor; 3. Execução das atividades da planilha;

Capítulo 8 - Roteiro de Atividades

Figura 8.6 Atividades no processo de gestão de riscos.

117

Na guia Sessão 8 da Planilha encontram-se quatro guias:

q

1º) a guia “Tratamento” 2º) a guia “Controles do Plano” 3º) a guia “Riscos Residuais” 4º) a guia “Aceitação do Risco” a. Exercício da guia “Tratamento” – Definição de tratamento dos riscos. Neste exercício a equipe de análise definirá a forma de tratamento que determinado risco deverá receber. Para isto a equipe de risco escolherá uma dentre as formas de tratamento: 11 Modificação do risco; 11 Retenção do risco; 11 Ação de evitar o risco; 11 Compartilhamento do risco. Para cada forma de tratamento dos riscos deve ser apresentada a evidência (Justificativa). Para o exercício, as formas de tratamento serão escolhidas de uma lista. A planilha permite a edição apenas das células de tratamento e da justificativa. Só passe para a guia seguinte após concluir. b. Exercício da guia “Controles do plano” – Definição dos controles Neste exercício a equipe definirá os controles que devem ser implementados para mitigar os riscos encontrados. Com sua experiência e conhecimento do ambiente, a equipe selecionará os melhores controles que realmente serão eficazes e eficientes no tratamento dos riscos. Estes controles fazem parte do Plano de Tratamento dos Riscos, que é um dos resultados de uma análise de riscos. A pergunta chave aqui é: Quais controles precisam ser aplicados sobre as vulnerabilidades para mitigar os riscos provocados por elas? Para o exercício, deverão ser identificados dois controles que permitam a mitigação dos riscos no menor prazo possível. Para fins de aprendizagem, recomenda-se iniciar com os controles da NBR ISO/IEC 27002. Ao final da planilha, a guia “Vulnerabilidades e Controles” pode ser usada para auxiliar na definição de alguns controles para certos tipos de vulnerabilidades. A equipe de análise neste exercício deverá analisar cada vulnerabilidade e seus riscos e decidir os melhores controles, apresentando suas justificativas.

Gestão de Riscos de TI NBR 27005

A planilha permite a edição apenas das células de controles e da justificativa. Só passe para a guia seguinte após concluir. c. Exercício da guia “Riscos Residuais” – Levantamento dos riscos residuais. Neste exercício a equipe de análise identificará e definirá os riscos residuais após a aplicação dos controles. Esta é uma atividade vital, pois permitirá que se verifique se os riscos realmente diminuíram e chegaram até o nível aceitável pela organização. Além de verificar os riscos residuais, a equipe deverá, caso o risco ainda permaneça acima do nível aceitável, propor novos controles ou ainda controles compensatórios, de tal forma que o nível de risco seja reduzido o máximo possível e o mais próximo do aceitável. Caso isso não seja possível, um novo ciclo de análise de risco deverá ser executado. 118

A resposta será dada por um dos níveis do critério “Severidade das Consequências” definido na Sessão 2 na guia “Critérios”. Para o exercício, serão preenchidas as seguintes colunas: 1. “Existem riscos residuais?” – para cada risco e os controles implementados a equipe deverá responder (sim ou não); 2. “Quais? Descreva” – a equipe deverá informar os riscos e vulnerabilidades que ainda não foram tratados (riscos residuais); 3. “Justificativa/Evidência” – a equipe deverá apresentar as evidências do risco residual; 4. “Nova severidade” – caso existam riscos residuais, a equipe deverá analisá-los e definir a nova severidade, escolhendo da lista semelhante da Sessão 5. Ao escolher o item da lista, automaticamente aparece o peso desta severidade na coluna ao lado; 5. “Nova probabilidade” – depois de preenchida a coluna da nova severidade, deverá ser preenchida a nova probabilidade, escolhendo da lista semelhante ao feito na Sessão 6. Ao escolher da lista, automaticamente aparece o peso desta probabilidade na coluna ao lado. Ao preencher estas colunas surgirá o novo valor do risco residual. Caso ainda esteja acima do nível aceitável aparecerá uma mensagem de erro ao lado. A planilha permite a edição apenas das células das colunas citadas. Só passe para a guia seguinte após concluir. d. Exercício da guia “Aceitação do Risco” – Aceitação dos riscos. Nesta atividade a equipe de análise e a organização, como partes interessadas, conduzirão as atividades necessárias para a aceitação dos riscos. Esta aceitação é um documento formal que informa que o risco será aceito, uma justificativa para isso e o responsável pela tomada da decisão. Normalmente, quem tem o poder para tomar esta decisão faz parte da alta direção. Esta aceitação somente será feita para os riscos que ainda estejam acima do nível aceitável. Para o exercício serão preenchidas três colunas: 1. “Decisão” – qual a decisão de aceitação do risco? A escolha deve ser feita a partir de uma lista de opções; 2. “Justificativa” – justificativa a para tomada da decisão; 3. “Responsável” – nome do responsável pela tomada a decisão.

A planilha permite a edição apenas das células das colunas citadas. Só passe para a guia seguinte após concluir. 4. Verificação e correção pelo instrutor. Ao concluir o Roteiro de Atividades 8, a equipe de análise terá praticamente terminado a análise de risco. Nesta etapa ela terá percorrido todas as atividades da gestão de riscos, tendo pleno conhecimento dos ativos críticos, suas ameaças e vulnerabilidades, o tratamento e os controles que precisam ser implementados e, uma vez implementados, identi-

Capítulo 8 - Roteiro de Atividades

Caso o risco não seja aceito a célula deve ser deixada em branco.

ficar os riscos residuais que ainda podem existir. 119

Observe a figura no início de cada Roteiro de Atividades e verifique a execução de todas as etapas do processo de gestão de riscos.

O que foi aprendido 11 Conceito de tratamento do risco. 11 Formas de tratar o risco.

Gestão de Riscos de TI NBR 27005

11 Como realizar a aceitação do risco.

120

q

9 Compreender a execução do processo de comunicação e consulta dos riscos.

conceitos

Comunicação.

Introdução 11 Existem duas fases que se desenvolvem simultaneamente com as demais fases:

q

22 Comunicação do risco. 22 Monitoramento e análise crítica de riscos. 11 Estas duas fases são permanentes durante todo o processo de gestão de riscos. Durante todo o trabalho da equipe de análise de riscos, existem duas fases que se desenvolvem simultaneamente às demais fases: a comunicação do risco e o monitoramento e análise crítica de riscos. Durante todo e qualquer tipo de trabalho, a comunicação é uma atividade de grande importância. É através dela que são transmitidas informações sobre o desenvolvimento das atividades e os resultados alcançados. Outra fase de suma importância e que se desenvolve paralelamente a todas as demais fases é a de monitoramento e análise crítica de riscos. Esta é uma fase em que a equipe realiza o monitoramento e a análise crítica dos riscos e do seu trabalho. Uma característica destas duas fases é que são permanentes durante todo o processo de gestão de riscos.

Exercício de nivelamento 1 e Comunicação e consulta dos riscos Existe algum processo de comunicação na sua organização? Explique.

Capítulo 9 - Comunicação e monitoramento dos riscos

objetivos

Comunicação e monitoramento dos riscos

121

Processo de comunicação e consulta do risco de segurança da informação Comunicação do risco é uma troca interativa de informações, conhecimentos e percep-

q

ções sobre como os riscos devem ser gerenciados. 11 É uma atividade crítica para o sucesso dos trabalhos, realizada entre a equipe envolvida e as partes interessadas nas decisões do processo de análise de riscos. 11 Fase que se desenvolve durante todo o processo de análise de riscos, desde a primeira atividade da equipe de análise de riscos. A comunicação e consulta do risco é uma fase que se desenvolve durante todo o processo de análise de riscos, desde a primeira atividade da equipe de análise de riscos. Trata-se de uma troca interativa, documentada formalmente, contínua e intencional, de informações, conhecimentos e percepções sobre como os riscos devem ser gerenciados. A comunicação é realizada entre a equipe envolvida e as partes interessadas nas decisões do processo de análise de riscos, sendo uma atividade crítica para o sucesso dos trabalhos. A Figura 9.1 apresenta a fase dentro do contexto do processo de gestão de riscos.

DEFINIÇÃO DO CONTEXTO

IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS

AVALIAÇÃO DE RISCOS

PONTO DE DECISÃO 1

Não

Avaliação satisfatória Sim

Gestão de Riscos de TI NBR 27005

TRATAMENTO DO RISCO

122

PONTO DE DECISÃO 2

MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

COMUNICAÇÃO E CONSULTA DO RISCO

PROCESSO DE AVALIAÇÃO DE RISCOS

Não

Tratamento satisfatório Sim ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES

Figura 9.1 Fase de comunicação e consulta do risco no contexto do processo de gestão de riscos.

Na fase de comunicação e consulta do risco a equipe de análise e a organização terão como: 11 Entrada: TODAS as informações sobre os riscos e atividades desenvolvidas. 11 Ação: troca e/ou compartilhamento destas informações entre a equipe, o tomador de decisão e as partes interessadas. 11 Saída: entendimento contínuo do processo de gestão de riscos e dos resultados obtidos. É importante que a comunicação seja executada durante todo o processo de gestão de riscos para manter as partes interessadas, internas e externas, de forma bidirecional, para que decisões bem informadas possam ser tomadas sobre o nível de risco e a necessidade de tratamento.

Comunicação e consulta do risco de segurança da informação 11 Deve conter o máximo de detalhes sobre os riscos encontrados, como:

q

22 A existência da ameaça, vulnerabilidade e risco 22 A natureza e a forma de atuação 22 A estimativa de probabilidade 22 Sua severidade e consequências possíveis 22 Tratamento e aceitação dos riscos. 11 A comunicação permite a rápida tomada de decisão para a implementação de controles de risco a fim de evitar maiores danos. 11 Permitirá ainda um trabalho de conscientização sobre a gestão dos riscos e a segurança da informação. 11 A equipe pode contar com um profissional da organização como ponto focal, cabendo a ele o acompanhamento dos trabalhos e as ações iniciais de comunicação. 11 A equipe também pode realizar reuniões regulares de acompanhamento com os gestores da organização, para apresentação dos resultados obtidos até o momento. 11 Comunicar é também dar um retorno (status) sobre a gestão dos riscos para a equipe, para a direção da organização e demais partes interessadas. 22 A criação de relatórios permite que as informações reunidas sejam divulgadas e usadas na tomada de decisão. As atividades desta fase são executadas durante todo o processo de análise de riscos,

11 A existência da ameaça, vulnerabilidade e risco; 11 A natureza e forma de atuação; 11 A estimativa de probabilidade; 11 Sua severidade e consequências possíveis; 11 Tratamento e aceitação dos riscos. A comunicação vai permitir o entendimento adequado e a maior agilidade na tomada de decisões para a implementação de mecanismos de controle de riscos, a fim de evitar danos mais significativos. Além disso, irá permitir uma melhor percepção dos riscos e dos benefícios do seu rápido tratamento, assim como realizar um trabalho de conscientização sobre a gestão dos riscos e a segurança da informação.

Capítulo 9 - Comunicação e monitoramento dos riscos

devendo conter o máximo possível de detalhes sobre os riscos encontrados, tais como:

123

Uma das formas de realizar esta comunicação é integrando à equipe um profissional da organização como ponto focal, cabendo a ele o acompanhamento dos trabalhos e as ações iniciais de comunicação. Outra forma é a equipe realizar regularmente (semanal, quinzenal, dependendo do escopo da análise) uma reunião de acompanhamento com os gestores da organização e apresentar os resultados até aquele momento.

Exercício de fixação 1 e Comunicação e consulta dos riscos Durante o processo de análise de risco, ao identificar uma vulnerabilidade grave e de alto risco, qual será a sua atitude com esta informação? Justifique.

Comunicar é também dar um retorno (status) sobre a gestão dos riscos para a equipe, para a direção da organização e todas as partes interessadas. A criação de relatórios é uma forma de comunicação que permite que as informações reunidas sejam divulgadas e usadas na tomada de decisões. A seção 11 da norma ABNT NBR ISO/IEC 27005 apresenta outros detalhes da comunicação do risco.

Entrada TODAS as informações sobre os riscos obtidas nas atividades

Ação Comunicação do risco (11 da ABNT NBR ISO/IEC 27005)

Leitura complementar 11 Sessão 11 da norma ABNT NBR ISO/IEC 27005.

Gestão de Riscos de TI NBR 27005

11 Sessão 12 da norma ABNT NBR ISO/IEC 27005.

124

Saída Entendimento contínuo do precesso de gestão de riscos

Figura 9.2 Comunicação do risco.

Roteiro de Atividades 9 Visão geral da atividade Nesta atividade, serão realizadas as atividades necessárias para a “Análise de risco – comunicação dos riscos”. A figura a seguir apresenta graficamente a localização destas atividades no processo de gestão de riscos:

DEFINIÇÃO DO CONTEXTO

IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS

AVALIAÇÃO DE RISCOS

PONTO DE DECISÃO 1

Não

Avaliação satisfatória Sim TRATAMENTO DO RISCO PONTO DE DECISÃO 2

MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

COMUNICAÇÃO E CONSULTA DO RISCO

PROCESSO DE AVALIAÇÃO DE RISCOS

Não

Tratamento satisfatório Sim ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES A realização desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivência e experiência em sua organização. Para esta atividade o aluno deve se valer das observações da empresa KWX. A sequência das atividades será: 1. Leitura da Seção 11 da ABNT NBR ISO/IEC 27005; 2. Explicação e demonstração da planilha de análise de risco pelo instrutor; 3. Execução das atividades da planilha;

Capítulo 9 - Roteiro de Atividades

Figura 9.3 Atividades no processo de gestão de riscos.

125

Na guia Sessão 9 da planilha encontra-se um botão:

q

1º) Comunicação dos Riscos – abre a guia “Comunicação dos Riscos” a. Atividade da guia “Comunicação dos Riscos” – Comunicação dos riscos. Nesta atividade a equipe de análise realizará as atividades necessárias para a comunicação durante o processo de gestão dos riscos. Esta atividade é realizada durante toda a gestão de riscos. Em cada atividade realizada a equipe deverá realizar a comunicação de uma forma planejada. Para fins de exercício, a equipe de análise de risco responderá a uma sequência de perguntas que visam mostrar um encadeamento das comunicações durante toda a gestão de riscos na organização, para assim permitir um perfeito entendimento desta importante atividade. A comunicação permitirá orientar e conscientizar sobre a importância da gestão de riscos. A planilha permite a edição apenas das células azuis. Só passe para a guia seguinte após concluir. 4. Verificação e correção pelo instrutor. Ao concluir o Roteiro de Atividades 9, a equipe de análise terá conhecimento e compreensão dos procedimentos adotados para realizar a comunicação durante toda a gestão de riscos.

O que foi aprendido 11 Conceito de comunicar os riscos. 11 O que deve ser comunicado.

Gestão de Riscos de TI NBR 27005

11 Como fazer a comunicação dos riscos.

126

q

10 Executar o monitoramento e a análise de riscos.

conceitos

Monitoramento de riscos e análise crítica.

Introdução Paralelamente às etapas da análise de risco ocorre também uma etapa importantíssima para a verificação e controle dos resultados do trabalho: a etapa do Monitoramento. A execução desta etapa durante toda a realização do projeto permitirá que a organização e a equipe acompanhem a eficiência dos resultados e a eficácia dos controles.

Exercício de nivelamento 1 e Monitoramento de riscos Como é realizado o monitoramento na sua organização? Explique.

Processo de monitoramento e análise crítica de riscos de segurança da informação 11 Monitoramento é a observação contínua e o registro regular das atividades e ações da gestão de riscos. 11 Processo rotineiro de coleta de informações da gestão de riscos em todos os seus aspectos. 11 Monitorar é verificar e acompanhar o progresso das atividades da gestão de riscos. 22 É uma observação sistemática, regular e com propósito de verificar o desenvolvimento da gestão de riscos.

q

Capítulo 10 - Monitoramento dos riscos

objetivos

Monitoramento dos riscos

127

11 A análise crítica é uma avaliação geral e criteriosa sobre os resultados e ações da

q

gestão de riscos com relação a requisitos pré-estabelecidos. 22 Objetivo da análise crítica é levantar e identificar problemas e pontos de melhoria. 11 A análise crítica ocorre simultaneamente às demais fases da gestão de riscos. 11 Durante esta fase são executadas duas atividades: 22 Monitoramento e análise crítica dos fatores de risco. 22 Monitoramento, análise crítica e melhoria do processo de gestão de riscos.

DEFINIÇÃO DO CONTEXTO

IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS

AVALIAÇÃO DE RISCOS

PONTO DE DECISÃO 1

Não

Avaliação satisfatória Sim TRATAMENTO DO RISCO PONTO DE DECISÃO 2

MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

COMUNICAÇÃO E CONSULTA DO RISCO

PROCESSO DE AVALIAÇÃO DE RISCOS

Não

Tratamento satisfatório Sim ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES O monitoramento pode ser definido como a observação contínua e o registro regular das

Gestão de Riscos de TI NBR 27005

atividades e ações da gestão de riscos. É um processo rotineiro de coleta de informações da

128

gestão de riscos em todos os seus aspectos. Monitorar é verificar e acompanhar o progresso das atividades da gestão de riscos, ou seja, uma observação sistemática, regular e com propósito de verificar o desenvolvimento da gestão de riscos. A análise crítica é uma avaliação geral e criteriosa sobre os resultados e ações da gestão de riscos com relação a requisitos pré-estabelecidos, com o objetivo de fazer o levantamento e a identificação de problemas e pontos de melhoria, para com isso solucionar os problemas e aprimorar continuamente o processo de gestão de riscos.

Figura 10.1 Fase de monitoramento e análise crítica de riscos no processo da gestão de riscos.

Esta fase ocorre simultaneamente às demais fase da gestão de riscos. Durante todo o processo de gestão de riscos, a equipe de análise estará também realizando atividades de monitoramento e análise crítica, a fim de fazer as correções necessárias o quanto antes. Durante esta fase são executadas duas atividades: 11 Monitoramento e análise crítica dos fatores de risco; 11 Monitoramento, análise crítica e melhoria do processo de gestão de riscos.

Monitoramento e análise crítica dos fatores de risco 11 O monitoramento é a atividade de identificar e de assegurar o controle do risco,

q

monitorando riscos residuais e identificando novas ameaças e vulnerabilidades, assegurando a execução dos planos de tratamento do risco e avaliando sua eficiência e eficácia na redução dos riscos. 11 A equipe deve estar atenta e preparada para lidar com o dinamismo dos riscos e ameaças. 11 O acompanhamento do dinamismo dos riscos e ameaças deve ser feito através do monitoramento dos ativos, vulnerabilidades e probabilidades, para que seja possível a rápida identificação de qualquer mudança. 11 A contratação de serviços de terceiros para este monitoramento pode representar um ganho de eficiência no atendimento às novas ameaças que surgirem. 11 O monitoramento deve ser feito para garantir que: 22 O tratamento do risco está sendo implementado conforme planejado. 22 Novos ativos foram incluídos no escopo da gestão de riscos. 22 Os controles selecionados como de resposta ao risco ainda estão eficazes. 11 O monitoramento deve ser feito ainda para verificar se: 22 As hipóteses de cenários de incidentes e probabilidades ainda são válidas. 22 Surgiu um novo agente de ameaça capaz de explorar novos riscos. 22 As políticas e procedimentos estão sendo executados de forma adequada. 22 Tem havido incidentes relacionados à segurança da informação. 22 Surgiram novos riscos não identificados anteriormente. 22 Surgiram novos riscos que elevaram as consequências e impactos a um nível de risco inaceitável. 11 A análise crítica deve ser feita pela alta direção da organização no nível estratégico, para verificar se a gestão de riscos está atendendo aos objetivos de negócio da organização.

riscos residuais e identificando novas ameaças, vulnerabilidades e riscos, assegurando a execução dos planos de tratamento do risco e avaliando sua eficiência e eficácia na redução dos riscos. A equipe deve estar atenta ao dinamismo dos riscos e ameaças. Bons procedimentos de monitoramento e análise crítica do risco fornecem informações que suportam as tomadas de decisão eficazes em relação ao surgimento de novas ocorrências dos riscos. Da atividade de monitoramento e análise crítica, a equipe de análise terá como: 11 Entrada: TODAS as informações sobre os riscos obtidos e atividades desenvolvidas; 11 Ação: é a realização de procedimentos de monitoramento e análise crítica para a identificação de eventuais mudanças no contexto e manutenção de uma visão geral dos riscos.

Capítulo 10 - Monitoramento dos riscos

O monitoramento é a atividade de identificar e de assegurar o controle do risco, monitorando

129

11 Saída: o alinhamento contínuo da gestão de riscos com os objetivos de negócios e com os critérios de aceitação do risco. O acompanhamento do dinamismo dos riscos e ameaças deve ser feito através do monitoramento dos ativos, vulnerabilidades, probabilidades, entre outros, para que seja possível a rápida identificação de qualquer mudança. Neste tipo de atividade, a contratação de serviços de terceiros para o monitoramento pode representar para a organização um ganho de eficiência no atendimento às novas ameaças que surgirem. Os resultados do monitoramento serão utilizados como dados de entrada para a realização de uma análise crítica, que deve ser feita pela alta direção da organização no nível estratégico, para verificar se a gestão de riscos está atendendo aos objetivos de negócio da organização. No processo de análise de riscos, a equipe de análise deve identificar problemas e pontos de atenção que necessitam de melhorias.

Entrada TODAS as informações sobre os riscos obtidas nas atividades

Ação Monitoramento e análise crítica dos fatores de risco (12.1 da ABNT NBR ISO/IEC 27005)

Saída Alinhamento contínuo da gestão de riscos com os objetivos de negócio e com os critérios de risco

Figura 10.2 Atividade de monitoramento e análise crítica.

Exercício de fixação 1 e Monitoramento e análise crítica dos riscos O que é monitoramento e análise crítica dos riscos? Explique sua finalidade.

Monitoramento, análise crítica e melhoria do processo de gestão de riscos 11 Garante que o processo de gestão de riscos atende aos requisitos estratégicos do negócio da organização. 22 Entrada: TODAS as informações obtidas sobre os riscos e atividades desenvolvidas.

Gestão de Riscos de TI NBR 27005

22 Ação: monitoramento, análise crítica e melhoria do processo de gestão de riscos

130

de segurança da informação. 22 Saída: a garantia permanente da relevância do processo de gestão de riscos de segurança para os objetivos de negócio da organização ou a atualização do processo. 11 Permite que a organização analise seu processo de gestão de riscos e execute as melhorias necessárias ao processo. 11 O trabalho da equipe de análise nesta atividade é ter realizado a atividade anterior e ter passado os resultados para a organização, para que estes sejam utilizados como subsídios para o monitoramento, análise crítica e melhorias do processo de gestão de riscos para toda a organização.

q

q

11 O monitoramento e análise da organização permitirão: 22 A verificação da disponibilidade dos recursos necessários à gestão e tratamento do risco. 22 A verificação da necessidade de mudanças nos critérios, na metodologia ou nas ferramentas utilizadas.

Esta atividade tem por objetivo garantir que o processo de gestão de riscos esteja realmente atendendo aos requisitos estratégicos do negócio da organização. Na atividade de monitoramento, análise crítica e melhoria do processo de gestão de riscos: 11 Entrada: são TODAS as informações sobre os riscos obtidos e atividades desenvolvidas 11 Ação: monitoramento, análise crítica e melhoria do processo de gestão de riscos de segurança da informação. 11 Saída: a garantia permanente da relevância do processo de gestão de riscos de segurança para os objetivos de negócio da organização ou a atualização do processo. Esta atividade permite que a organização analise seu processo de gestão de riscos e a possibilidade de execução das melhorias necessárias ao processo. Nesta atividade, o trabalho da equipe de análise é ter realizado a atividade anterior e ter passado os resultados para a organização, para que sejam utilizados como subsídios para o monitoramento, análise crítica e melhoria do processo de gestão de riscos, para toda a organização. O monitoramento permite que a organização verifique se todos os recursos necessários à gestão e tratamento do risco estão disponíveis, e também a verificação da necessidade de mudanças nos critérios, na metodologia ou nas ferramentas utilizadas.

Entrada

TODAS as informações sobre os riscos obtidas nas atividades

Monitoramento, Análise crítica e Melhoria do processo (12.2 da ABNT NBR ISO/IEC 27005)

Saída Garantia permanente do processo de gestão de riscos para os objetivos de negócios ou atualização do processo

Leitura complementar 11 Sessão 12.1 da norma ABNT NBR ISO/IEC 27005. 11 Sessão 12.2 da norma ABNT NBR ISO/IEC 27005.

Capítulo 10 - Monitoramento dos riscos

Figura 10.3 Atividade de monitoramento, análise crítica e melhoria do processo de gestão de riscos.

Ação

131

132

Gestão de Riscos de TI NBR 27005

Roteiro de Atividades 10 Visão geral da atividade Nesta atividade, serão realizadas as atividades necessárias para a “Análise de risco – monitoramento dos riscos”. A figura a seguir apresenta graficamente a localização destas atividades no processo de gestão de riscos:

DEFINIÇÃO DO CONTEXTO

IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS

AVALIAÇÃO DE RISCOS

PONTO DE DECISÃO 1

Não

Avaliação satisfatória Sim TRATAMENTO DO RISCO PONTO DE DECISÃO 2

MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

COMUNICAÇÃO E CONSULTA DO RISCO

PROCESSO DE AVALIAÇÃO DE RISCOS

Não

Tratamento satisfatório Sim ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES A realização desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivência e experiência em sua organização. Para esta atividade o aluno deve se valer das observações da empresa KWX. A sequência das atividades será: 1. Leitura da Seção 12 da ABNT NBR ISO/IEC 27005; 2. Explicação e demonstração da planilha de análise de risco pelo instrutor; 3. Execução das atividades da planilha;

Capítulo 10 - Roteiro de Atividades

Figura 10.4 Atividades do processo de gestão de riscos.

133

Na guia Sessão 10 da Planilha encontram-se duas guias:

q

1º) a guia “Monitoramento dos Riscos” 2º) a guia “Monitoramento_Melhoria_Processo” a. Exercício da guia “Monitoramento dos Riscos” – Monitoramento e análise crítica dos riscos de segurança da informação. Neste exercício, a equipe de análise realizará as atividades necessárias para o monitoramento e análise crítica dos riscos. Estas atividades na realidade são desenvolvidas desde a primeira atividade do processo de gestão de riscos. Esta atividade visa fazer o monitoramento e a análise crítica dos riscos encontrados. A equipe está encontrando os riscos? Está deixando de observar alguma coisa? Para o exercício, a equipe de análise de risco responderá a uma sequência de perguntas que visam mostrar um processo lógico de monitoramento e análise crítica de riscos durante toda a gestão de riscos, para permitir um perfeito entendimento desta importante atividade da organização. O monitoramento e a análise crítica de riscos permitirão orientar e aperfeiçoar a execução dos trabalhos da equipe de análise da gestão de riscos. A planilha permite a edição apenas das células azuis. Só passe para a guia seguinte após concluir. b. Exercício da guia “Monitoramento_Melhoria_Processo” – Monitoramento, análise crítica e melhoria do processo de gestão dos riscos. Neste exercício, a equipe de análise realizará juntamente com a organização as atividades necessárias para o monitoramento, análise crítica e melhoria do processo de gestão dos riscos. Estas atividades são desenvolvidas com o objetivo de identificar se a gestão dos riscos está sendo eficiente, eficaz e atendendo aos requisitos dos negócios. Esta atividade visa fazer o monitoramento do processo de gestão dos riscos e a análise crítica para a melhoria contínua da gestão dos riscos. O processo de gestão dos riscos está funcionando? O que é necessário melhorar no processo de gestão dos riscos? Para o exercício, a equipe de análise de risco responderá a uma sequência de perguntas que visam mostrar um processo lógico do monitoramento, análise crítica e melhoria do processo da gestão dos riscos na organização, visando o aperfeiçoamento contínuo do processo e das atividades que o compõem. A planilha permite a edição apenas das células azuis.

Gestão de Riscos de TI NBR 27005

4. Verificação e correção pelo instrutor.

134

Ao concluir o Roteiro de Atividades 10, a equipe de análise terá concluído todo um ciclo da gestão dos riscos. Os próximos passos serão: 11 A confecção de um relatório contendo os resultados (ativos, ameaças, vulnerabilidades, consequências, impactos e riscos priorizados); 11 Confecção de um plano de tratamento contendo os controles que devem ser implementados para a mitigação dos riscos. Observe a guia “Gráficos_Exemplos” na qual constam alguns exemplos de gráficos que podem ser realizados para ilustrar a apresentação dos resultados e servirem de comparação com outras análises de risco realizadas.

É importante que todo o trabalho seja feito baseado nas normas de segurança da informação que formam a base da gestão da segurança da informação.

O que foi aprendido 11 Conceito de monitoramento, análise crítica e melhoria do processo.

q

11 Razões para a realização do monitoramento. 11 Atividades para realização do monitoramento. 11 Razões para executar a análise crítica e a melhoria contínua.

Conclusão Visão geral da gestão de riscos Neste curso foram vistos todos os aspectos da gestão dos riscos, de acordo com a NBR ISO/ IEC 27005. A figura a seguir apresenta graficamente a localização destas atividades no processo de gestão de riscos.

DEFINIÇÃO DO CONTEXTO

IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS

AVALIAÇÃO DE RISCOS

Não

Avaliação satisfatória Sim TRATAMENTO DO RISCO PONTO DE DECISÃO 2

Não

Tratamento satisfatório Sim Figura 10.5 Atividades no processo de gestão de riscos.

ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES Os objetivos de proporcionar conhecimento sobre a gestão dos riscos e fornecer um ferramental para a realização da gestão de riscos foram detalhados e praticados em cada sessão de aprendizagem deste curso. É importante saber que ao realizar um primeiro ciclo de

Capítulo 10 - Roteiro de Atividades

PONTO DE DECISÃO 1

MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

COMUNICAÇÃO E CONSULTA DO RISCO

PROCESSO DE AVALIAÇÃO DE RISCOS

gestão de riscos, este processo passa a ser cíclico e contínuo. 135

A gestão de riscos é um processo que sempre irá trazer benefícios para a organização. A melhoria das condições de segurança da informação passa obrigatoriamente pelo conhecimento das fraquezas e vulnerabilidades que podem ser exploradas para que as ameaças se

Gestão de Riscos de TI NBR 27005

concretizem. E, indiscutivelmente, a melhor forma de fazer isso é através da gestão de riscos.

136

Bibliografia 11 AS/NZS 4360 – Gestão de riscos – Princípios e diretrizes. 11 BERNSTEIN, Peter L. Desafio aos deuses: a fascinante história do risco. 23ª ed., Editora Campus, 1997. 11 CERIAS – The Center for Education and Research in Information Assurance and Security: http://www.cerias.purdue.edu/ (acesso em julho de 2013). 11 Cert.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil: http://www.cert.br/links/ (acesso em julho de 2013). 11 DE CICCO, Francesco; FANTAZZINI, Mario Luiz. Tecnologias consagradas de gestão de riscos. São Paulo: Risk Tecnologia Editora, 2003. 11 Enterprise Risk Management: Past, Present and Future: http://www.casact. org/education/erm/2004/handouts/kloman.pdf (acesso em julho de 2013). 11 Interdisciplinary Risk Management:, http://www.riskinfo.com/rmr/rmrjun05.htm (acesso em julho de 2013). 11 Marcos Sêmola – website Gestão de Riscos da Informação: http://www.semola.com.br/conceitos.html (acesso em julho de 2013). 11 NBR Guia 73 – Gestão de riscos – Vocabulário 11 NBR ISO/IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos. 11 NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. 11 NBR ISO/IEC 27005 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação. 11 NBR ISO/IEC 31000 – Gestão de riscos – Princípios e diretrizes. 11 PELTIER, Thomas R. Information Security Risk Analysis. CRC Press, 2005. 11 SANS – The Cyber Security Risks: http://www.sans.org/top-cyber-security-risks/?ref=top20 (acesso em julho de 2013). 11 Security Focus – Vulnerabilities: http://www.securityfocus.com/ 11 WESTERMAN, George; HUNTER, Richard. O risco de TI. Harvard Business School Press, 2008.

Bibliografia

(acesso em julho de 2013).

137

138

Gestão de Riscos de TI NBR 27005

Edson Kowask Bezerra é profissional da área de segurança da informação e governança há mais de quinze anos, atuando como auditor líder, pesquisador, gerente de projeto e gerente técnico, em inúmeros projetos de gestão de riscos, gestão de segurança da informação, continuidade de negócios, PCI, auditoria e recuperação de desastres em empresas de grande porte do setor de telecomunicações, financeiro, energia, indústria e governo. Com vasta experiência nos temas de segurança e governança, tem atuado também como palestrante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em segurança e governança. É professor e coordenador de cursos de pós-graduação na área de segurança da informação, gestão integrada, inovação e tecnologias web. Hoje atua como Coordenador Acadêmico de Segurança e Governança de TI da Escola Superior de Redes. Possui a certificação CRISC da ISACA, além de diversas outras em segurança e governança.

A RNP – Rede Nacional de Ensino e Pesquisa – é qualificada como uma Organização Social (OS), sendo ligada ao Ministério da Ciência, Tecnologia e Inovação (MCTI)

e

responsável

pelo

Programa Interministerial RNP,

LIVRO DE APOIO AO CURSO

que conta com a participação dos

O livro de apoio ao curso apresenta os conceitos de gestão de riscos a partir da norma NBR ISO 27005. Define conceitos e trabalha a contextualização do ambiente, identificação e levantamento dos riscos através do conhecimento das ameaças, ativos, vulnerabilidades, probabilidade de ocorrência e impactos. São realizados a estimativa e o cálculo de risco e definido o tratamento mais adequado. Todo o trabalho é baseado em um estudo de caso, visando consolidar o conhecimento teórico. Este livro inclui os roteiros das atividades práticas e o conteúdo dos slides apresentados em sala de aula, apoiando profissionais na disseminação deste conhecimento em suas organizações ou localidades de origem.

Gestão de Riscos de TI – NBR 27005

Edson Kowask Bezerra é profissional da área de segurança da informação e governança há mais de quinze anos, atuando como auditor líder, pesquisador, gerente de projeto e gerente técnico, em inúmeros projetos de gestão de riscos, gestão de segurança da informação, continuidade de negócios, PCI, auditoria e recuperação de desastres em empresas de grande porte do setor de telecomunicações, financeiro, energia, indústria e governo. Com vasta experiência nos temas de segurança e governança, tem atuado também como palestrante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em segurança e governança. É professor e coordenador de cursos de pós-graduação na área de segurança da informação, gestão integrada, inovação e tecnologias web. Hoje atua como Coordenador Acadêmico de Segurança e Governança de TI da Escola Superior de Redes. Possui a certificação CRISC da ISACA, além de diversas outras em segurança e governança.

Gestão de

Riscos de TI NBR 27005

ministérios da Educação (MEC), da Saúde (MS) e da Cultura (MinC). Pioneira no acesso à Internet no Brasil, a RNP planeja e mantém a rede Ipê, a rede óptica nacional acadêmica de alto desempenho. Com Pontos de Presença nas 27 unidades da federação, a rede tem mais de 800 instituições conectadas. São aproximadamente 3,5 milhões de usuários usufruindo de uma infraestrutura de redes avançadas para comunicação, computação e experimentação,

Edson Kowask Bezerra

que contribui para a integração entre o sistema de Ciência e Tecnologia, Educação Superior, Saúde e Cultura.

Ministério da Cultura Ministério da Saúde Ministério da Educação ISBN 9 7 8 - 8 5 - 6 3 6 3 0 - 3 2 - 2

9

788563 630322

Ministério da Ciência, Tecnologia e Inovação

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF