Estudo Comparativo de Normas de Gestão de Riscos em Prática: Caso
de Servidores Windows
Mehran Misaghi (SOCIESC) [email protected]
Marcelo Macedo (SOCIESC) [email protected]
Júlio Luiz do Amaral (SOCIESC) [email protected]
Resumo: As incertezas encontradas para o alcance de algum objetivo, tem se tornado cada
vez mais um fator preocupante nas organizações. Essas incertezas, denominadas riscos, são
ainda maiores em se tratando de riscos de segurança da informação, uma vez que o número
de ameaças e vulnerabilidades em sistemas aumenta a cada dia, devido à natural
dependência das operações de negócios a tecnologias. Aspectos que englobam a gestão de
riscos ligada à segurança de informação são automaticamente instigados pelo fato de
minimizar a materialização de riscos que podem provocar perdas potenciais. Muitos são os
desafios da estruturação da segurança de informação e consequentemente da gestão de
riscos, o que encoraja as organizações a procurarem por padrões, técnicas e metodologias
maduras e consistentes o bastante com reconhecimento de nível mundial. Este trabalho
detalha alguns entre os mais reconhecidos padrões e normas que possuem a gestão de riscos
como base, além de proporcionar uma abordagem da norma NRB ISO 31000:2009 em uns
dos ativos da informação mais importantes para área de Tecnologia da Informação (TI) nas
organizações: os servidores com sistema operacional Windows. Tem também como
finalidade, não apenas fornecer informações para uma eficiente gestão de riscos no âmbito
tecnológico, mas também no operacional e mercadológico. Estabelecer uma de gestão de
risco fundamentada em padrões internacionais transparece o processo a outras áreas da
organização, a clientes e fornecedores. Concomitante a isso, a área de segurança da
informação engrandece suas responsabilidades e se torna ainda mais reconhecida como uma
área de negócio. A utilização de normas como corpo de seus processos, consequentemente,
faz com que a organização seja ainda mais competitiva.
Palavras-chave: Gestão de Riscos, Segurança da Informação, Tecnologia da Informação.
1. Introdução
A amplitude dos acontecimentos proporcionados pela enfatização do uso da tecnologia
da informação para as organizações gerirem seus negócios justifica cada vez mais uma
maturidade da organização em relação à gestão de riscos. A visão do risco muito tem mudado
com o passar dos anos, ao ponto que as organizações o encarem como uma realidade. Nos
últimos anos, alguns erros estratégicos, acidentes operacionais e desvios financeiros foram
capazes de levar negócios à falência (OLIVEIRA, 2009).
1
Segundo a NBR ISO 31000:2009, todas as organizações, pelos mais diversos
tipos que existem, lidam com influências e fatores internos ou externos que provocam uma
incerteza no alcance ao seus objetivos. O efeito da incerteza sobre uma organização atingir
determinado objetivo é denominado risco.
Conhecer o risco é importante para uma organização, uma vez que isso permite
compreender quais fraquezas ela está exposta, incluindo a possibilidade de implementação da
gestão de riscos preparando-a para surpresas positivas ou negativas (AS/NZS, 2004).
São inúmeras as normas no que se referem à gestão de risco. Em
contrapartida, não existia nenhuma que disponha de uma visão moderna que abranja qualquer
área ou setor de organizações de todos os tamanhos e tipos. Por isso foi lançada a norma NBR
ISO 31000:2009, que tem o objetivo de fornecer uma estrutura padrão para gerenciar riscos.
Especificamente, dentro da área de Tecnologia de Informação (TI), existem normas
que têm como objetivo definir as melhores práticas em gestão de riscos de segurança da
informação. No entanto, é possível também abordar a norma NBR ISO 31000:2009 sem que
ela seja destinada especificamente para esta área. Além disso, as diretrizes da norma NBR
ISO 31000:2009 também podem ser aplicadas em alguma atividade operacional, iniciativa
estratégica, um processo ou um projeto. Diante disso, há dúvidas em qual norma
melhor aplicada para implantar um modelo de gestão de riscos em segurança de
informação.
O presente artigo tem finalidade de apresentar um estudo entre normas existentes que
possuem a gestão de risco de TI como base e a norma NBR ISO 31000:2009. Tais
comparativos são aplicados em um ambiente que possui servidores Windows.
2. Fundamentos da gestão de riscos
Qualquer atividade dentro de uma organização envolve riscos. Por isso a
gestão de riscos está ligada com todos os processos organizacionais, mas é um processo
autônomo, um processo separado das atividades e processos da organização. Também
é entendido como um elemento crucial que auxilia na tomada de decisões, possibilitando aos
decisores da organização uma escolha com o mínimo de incerteza, um caminho para quais
ações a tomar e a definição de prioridades.
Como também define a norma NBR ISO 31000:2009- ABNT (2009) o processo
sistemático de atividades coordenadas para o tratamento do que se refere a risco dentro de
uma organização, ou seja, à gestão de riscos, deve ser um processo que inclui a
identificação, análise, avaliação, tratamento, aceitação, comunicação, monitoramento e
revisão do risco. Na norma NBR ISO 31000:2009 a abordagem da gestão de riscos é
genérica, isso por que ela fornece princípios e diretrizes para gerenciar riscos de qualquer
setor.
2.1 Avaliação de Risco
Avaliação de risco é um processo que faz parte da gestão de riscos e, pode ser
considerado como um elemento central. Consiste em uma fase do gerenciamento de riscos
que proporciona um processo estruturado e possibilita a identificação de como os objetivos
podem ser afetados, além de analisar o risco em termos de consequências e suas
probabilidades antes de decidir se algum tratamento adicional é necessário.
2
De maneira mais abrangente, Brasiliano (2009), define que a análise de riscos visa
promover o entendimento do nível de risco e de sua natureza, auxiliando na definição de
prioridades e opções de tratamento aos perigos identificados. Através da análise de
riscos, é possível compreender quais as chances, as probabilidades de riscos virem a
ocorrer e calcular seus respectivos impactos na empresa, sob o ponto de vista financeiro,
operacional e legal. Ainda como define, Brasiliano (2009, p.86), "A análise de riscos é uma
forma do gestor de riscos da empresa acompanhar a evolução de suas exposições de maneira
geral".
2.2 DIRETRIZES DO GUIA NIST 800-30 PARA ANÁLISE DE RISCOS
Para o guia NIST 800-30, a avaliação de risco é o primeiro processo na metodologia
de gerenciamento de risco. Organizações utilizam a avaliação de riscos para determinar o
tamanho de uma potencial ameaça e os riscos associados a área de TI ao longo do
desenvolvimento de seu SGSI. O resultado deste processo possibilitará a identificação de
controles adequados para redução ou eliminação de riscos durante o processo de mitigação de
risco. A metodologia de avaliação de risco proposta pelo guia NIST 800-30 abrange nove
etapas principais, que é apresentada na figura 1.
Figura 1 – Fluxograma de análise de risco conforme NIST 800-30
3
2.3 DIRETRIZES DA NORMA ISO/IEC 27005:2008 PARA ANÁLISE RISCOS
A norma ISO/IEC 27005:2008 é uma norma internacional e fornece diretrizes para o
gerenciamento de riscos de segurança da informação de uma organização, atendendo
particularmente aos requisitos de um SGSI em comum acordo com a ABNT NBR
ISO/IEC 27001. Entretanto, ela não inclui uma metodologia específica para a gestão de riscos
de segurança da informação (ABNT, 2008).
De acordo com a ABNT (2008, p.02), "cabe à organização definir a sua
abordagem ao processo de gestão de riscos levando em conta, por exemplo, o escopo do seu
SGSI, o contexto da gestão de riscos e o seu setor de atividade econômica". O que a
norma NBR ISO/IEC 27005 propõe é uma estrutura para o gerenciamento de riscos, e,
conforme a própria também afirma, existem várias metodologias que podem ser utilizadas e
estão em comum acordo com a estrutura proposta. Assim como qualquer outra norma que
possui a gestão de riscos como base, a NBR ISO/IEC 27005 apresenta suas diretrizes
para realização da análise/avaliação de riscos e, de forma mais abrangente, da avaliação de
riscos nas organizações. A avaliação de risco consiste em identificação de riscos, estimativa
de riscos e a avaliação de riscos propriamente dita.
A análise/avaliação de riscos determina o valor dos ativos de informação, identifica as
ameaças e vulnerabilidades aplicáveis existentes (ou que poderiam existir), identifica os
controles existentes e seus efeitos no risco identificado, determina as consequências possíveis
e, finalmente, prioriza os riscos derivados e ordena-os de acordo com os critérios de
avaliação de riscos estabelecidos na definição do contexto (ABNT, 2008).
2.4 DIRETRIZES DA NORMA NBR ISO 31000:2009
A norma NBR ISO 31000:2009 oferece diretrizes e princípios de abordagem genérica
para gerenciar qualquer forma de risco, por mais que a prática tem sido desenvolvida para
atender necessidades de setores específicos, a adoção de um padrão consistente pode ajudar a
assegurar que o risco seja gerenciado de formar eficaz, eficientemente e coerentemente ao
longo de uma organização. Por tanto, ela não inclui uma metodologia específica para a gestão
de riscos de segurança de informação (ABNT, 2009).
Conforme a norma ABNT (2009), uma caraterística-chave desta norma é a
inclusão do estabelecimento do contexto como uma atividade de início deste processo
genérico de gestão de risco. Existem peculiaridades distintas de cada setor quando se vai
implantar um processo de gestão de riscos, por exemplo, a gestão de riscos de
segurança de informação não é o mesma para gestão de riscos financeiros. Logo cabe a
organização definir sua abordagem ao processo de gestão de riscos.
3. SEGURANÇA EM SERVIDORES COM O SISTEMA OPERACIONAL WINDOWS
Conforme, Meirelles (2011), em sua pesquisa anual sobre Administração de Recursos
de TI nas empresas brasileiras, pela Fundação Getúlio Vargas, a Microsoft continua
dominando o mercado tanto de sistemas operacionais de servidores como o de estações de
trabalho. Como apresentado na pesquisa, o sistema operacional Windows para servidor é
menos aceito quando comparado à proporção de uso em estações de trabalho, no entanto,
ainda é maior que outros sistemas operacionais não Microsoft. Segundo, Meirelles (2011),
4
ainda com dados da sua pesquisa, servidores com o sistema operacional GNU/Linux nas
organizações brasileiras evoluíram, porém está paralisado nos 20% do mercado há três anos,
no que vai contra ao Windows, que sempre conteve a maior parte deste mercado.
Certamente, servidores são essenciais para suporte ao negócio da organização, uma
vez que, possuem serviços que são cruciais para funcionamento de toda a infraestrutura
computacional, ou então, são responsáveis por armazenar dados sensíveis. Em questão
disso, os servidores, são considerados uns dos ativos mais importantes para a organização e,
portanto, existe uma preocupação dos responsáveis por tais, mantê-los sempre íntegros,
disponíveis e confiáveis.
Independente do tamanho da organização, hoje em dia, não é de se estranhar
mais de um servidor em produção a favor dos negócios, dentre os quais, operam sobre a
plataforma Microsoft. Este fato, de que o sistema Windows é comumente utilizado em
servidores, também explica o porquê de ser uns dos mais comprometidos. Por exemplo,
desenvolvedores de malwares procuram infectar o maior numero possível de servidores no
menor período de tempo e, por isso, focalizam seus esforços no sistema Windows.
3.1 RECURSOS E FERRAMENTAS DE PROTEÇÃO
O atual produto da Microsoft é o Windows Server 2008, do qual, foi o
primeiro sistema operacional desenvolvido como parte da iniciativa Trusted Computing da
Microsoft e, por isso, é o sistema mais seguro já desenvolvido. Dispõem de uma série
de recursos de segurança nativos que permitem, inclusive, que infraestrutura de Tecnologia
da Informação baseada em um ambiente Microsoft seja compatível com um SGSI baseado na
norma ISO/IEC 27001 (HONAN,2010). Bem como recursos de segurança também
disponíveis em versões anteriores do Windows Servers, alguns dos recursos integrados nos
Windows Server 2008 serão descritos a seguir:
Controlador de Domínio Somente Leitura
Cifragem de Unidade com Bitlocker
Windows Server Core
Controle de Acesso a Rede
Serviço Roteamento e Acesso Remoto Serviço
Windows Firewall com Segurança Avançada
Active Directory Certificate Services
Active Directory Rights Management Services
Políticas de Grupo
4. ANÁLISE DE RISCOS CONFORME NBR ISO 31000:2009 PARA SERVIDORES
COM O SISTEMA OPERACIONAL WINDOWS
Como visto anteriormente, a norma ISO 31000:2009, propõem uma abordagem
sistêmica e genérica para o gerenciamento de riscos, podendo ser amplamente utilizada dentro
de uma organização. Possuir uma efetiva gestão de riscos seguindo uma norma, como a em
questão, pode contribuir para que a organização atinja seus objetivos com uma maior
exatidão, inibindo os fatores da incerteza. Para tanto, é necessário conhecer os riscos que
podem diretamente impactar sobre os seus negócios. Contudo, o gerenciamento de riscos vem
tendo uma atenção cada vez maior no meio empresarial, uma vez que a administração dos
5
riscos potenciais é, hoje, uma questão de competividade e sobrevivência (BRASILIANO,
2009).
A gestão de riscos deve estar presente entre toda a organização, sem nenhuma
prioridade em gerir riscos quanto os demais setores, os riscos que também se justifica
investimentos e a preocupação são a dos riscos relacionados com os sistemas de informação.
Nas organizações, sejam elas de qualquer porte, necessitam que suas atividades sejam
informatizadas e, já não de hoje. A organização que ainda não está com grande parte migrada,
no mínimo, já deve estar empenhando grandes esforços para tal. Assim, a informatização no
âmbito corporativo força que um de seu maior bem, a informação, esteja sobre tecnologias
que em muitos casos não se tem o controle. Faz-se necessário o manuseio com essas
tecnologias, para controlar, gerir e manter as informações protegidas e resguardadas.
Portanto, nos dias atuais, a área de TI é considerada como uma área que faz parte dos
negócios de uma organização.
Dentro do setor de TI, na busca pela garantia da disponibilidade, integridade,
confiabilidade das informações, está incubada a área de segurança de informação. Está área
deverá responder pela segurança dos ativos da informação e deve manter um SGSI eficaz. O
SGSI surgiu para auxiliar as organizações a proteger seus ativos de informação, controlando
riscos, diminuindo impactos, procurando minimizar prejuízos e aumentar a lucratividade.
Como parte de um processo maior e dependente de outras circunstancias para se tornar
um completo SGSI, a gestão de riscos de TI, tende a ser um elemento central na gestão
estratégica do SGSI (SILVA, 2009). No entanto, pouco se vê uma gestão de riscos de TI
efetiva, ainda é bem pouco aplicada, muitas vezes, por negligencia, falta de interesse,
falta de recursos e outros fatores. A gestão de riscos também possui desvantagens, a
complexidade e o longo tempo para conclusão do processo pode ser um fator negativo e os
motivos seriam os mais variáveis possíveis, conforme Lima (2011):
Profissionais têm pouca disponibilidade de tempo, sem contar a
dificuldade de formar uma equipe de trabalho que esteja trabalhando em conjunto;
Muitas vezes haverá necessidade de investimento de recursos
financeiros dos quais à empresa não dispõe;
O Processo de análise de risco é trabalhoso e demorado;
O profissional que está à frente do projeto deve ter firmeza para
justificar os gastos, para apresentar os riscos às autoridades, para negociação e gerir
projetos, para capacidade de coordenar e realizar as tomada de decisões corretas.
4.1
ESTABELECIMENTO DE CONTEXTO
Uma atividade prévia e inicial dentro de um processo de gestão de risco, conforme já
evidenciado nas seções acima, é o estabelecimento do contexto. A gestão de riscos deve ser o
onipresente entre toda a organização, no entanto, nem sempre é possível fazer isso de uma
única vez, em um primeiro momento. Por esta razão é necessário que o contexto seja
estabelecido, momento em que a organização articula seus objetivos, define os parâmetros
básicos, estabelece o escopo e os critérios dos riscos. Certamente, o estabelecimento do
contexto é considerado um processo chave visto a abordagem genérica da norma NBR ISO
31000:2009 Ao aplicar diretrizes da norma NBR ISO 31000:2009 para a gestão de riscos de
6
servidores com o sistema operacional Windows, tem-se um processo independente, no que
difere de uma análise de riscos como parte de um sistema de gestão de segurança da
informação (SGSI), como é o objetivo da norma ISO/IEC 27005:2008. No entanto, a gestão
de riscos seguindo a norma NBR ISO 31000:2009 deve condizer com os objetivos da
organização como um todo. Portanto, como define a norma NBR ISO 31000:2009, são três os
contextos a serem definidos e alinhados: Estabelecimento do contexto Externo,
Estabelecimento do contexto Interno e o Estabelecimento do contexto para a gestão de
riscos.
4.2 IDENTIFICAÇÃO DE RISCO
Com a definição do contexto para a gestão de riscos em servidores Windows, o passo
seguinte é a identificação dos riscos. Fase na qual se procura reunir Informações na tentativa
de justificar e compreender o motivo da existência do risco, o que direciona e limita quais
informações serão relevantes é o contexto estabelecido. Não atingir a contento uma boa
identificação dos riscos pode representar um estudo muito superficial do que está sendo
gerido e analisado e, consequentemente expõem objetivos estratégicos da empresa
(BRASILIANO, 2009).
Segundo a norma NBR ISO 31000:2009 esta fase deve procurar identificar as
fontes de riscos, áreas de impactos, eventos suas causas e consequências potenciais. O
objetivo dessa etapa é gerar uma lista bastante abrangente dos riscos envolvidos no processo
com o maior nível de detalhes possível. Lembrando que o nível de detalhes não deve ser
exagerado de modo que possa atrapalhar e atribuir complexidade no processo e nem pouco
sólido impossibilitando a compreensão de um perigo existente na organização.
Assim sendo, a identificação dos riscos que envolvem os servidores Windows devem
estar alinhados com os objetivos geral da organização e também com os objetivos específicos
considerados crucias para área de TI, conforme estabelecimento do contexto. Em se tratando
de um ativo da informação muito importante para suporte ao negócio, para uma análise de
riscos em servidores com o sistema operacional Windows naturalmente deve-se considerar
alguns itens chaves na coleta de informações para o processo de identificação de riscos. Por
exemplo, informações sobre as ameaças e vulnerabilidades de um sistema fornece uma
evidencia técnica que pode ser utilizada para priorizar o tratamento de um determinado risco
em um servidor. Em virtude disso, a norma NBR ISO/IEC 27005:2008, propõem a
identificação de ativos envolvidos, as ameaças, os controles, as vulnerabilidades e as
consequências como itens chave para processo de identificação de riscos em sistemas de
informações.
Estes itens-chave não estão implícitos na norma NBR ISO 31000:2009, devido à
abrangência da norma, como já visto. Por isso, busca-se através de literaturas e normas da
área uma desmistificação mais apurada para o processo de identificação de riscos. Portanto,
não diferente do que alguns especialistas da área e de um consenso a nível mundial, para a
análise de riscos em servidores Windows, se faz necessária a coleta de informações
pertinentes dividida nas seguintes etapas:
a. Identificação dos servidores
b. Identificação dos ativos envolvidos
c. Identificação de ameaças nos servidores
7
d. Identificação dos controles
e. Identificação das vulnerabilidades dos servidores
f. Identificação de consequências
4.2.1 Identificação dos servidores envolvidos
Impreterivelmente a identificação dos servidores que farão parte dessa gestão de
riscos deve ser realizada. Conhecer os elementos que serão tratados do inicio ao fim do
processo é imperiosa para o processo e, por esta razão convém aspirar sobre tais.
Normalmente, até mesmo através de uma visita técnica no ambiente pode-se conceber essa
fase. No entanto, poupa-se trabalho consultas em documentações, inventários ou diagramas,
se existir.
4.2.2 Identificação dos ativos envolvidos
Uma vez identificados os servidores com o sistema operacional Windows, cabe
identificar quais ativos compõem um servidor. O servidor por si só não consegue operar,
necessita de outros fatores disponibilizados pela a organização que devem ser considerados na
analise de riscos. Isso inclui requisitos de infraestrutura tais como: alimentação elétrica,
ativos de rede, espaço físico no rack ou datacenter além de pessoas, partes envolvidas.
Embora possa ser contraditório, visto que os servidores também são considerados ativos da
informação em um SGSI, o foco dessa análise de riscos faz com ele seja o elemento
central. E, desta forma, entende-se por ativos, todos os elementos que são necessários para
o funcionamento de um servidor com sistema operacional Windows. Os principais ativos
que podem ser considerados nesta etapa são: hardware, software, pessoas e
infraestrutura. E para identificação de tais, pode-se utilizar questionamentos direcionados as
partes interessadas como os a seguir:
a. Qual é o hardware dos servidores?
b. Quem são os usuários dos servidores?
c. Quem administra os servidores?
d. Algum servidor é acessado externamente?
externamente?
O que é necessário para acessa-lo
4.2.3 Identificação de ameaças nos servidores
Após identificação dos servidores e ativos que farão parte da análise de risco, se faz
necessária à identificação das ameaças, os perigos que organização está propensa no caso de
uma situação adversa. As ameaças que possivelmente podem abalar negativamente a
organização no atingimento de seus objetivos. Essa identificação deve incluir todas as
ameaças sejam elas potenciais ou não e, estando sobre o controle ou não da unidade de
negócio. Para tanto, uma lista bastante abrangente das ameaças deve ser concebida nesta fase.
4.2.4 Identificação dos controles
Conhecer os controles existentes em cada ativo da informação que envolve os
servidores com o sistema operacional Windows também é uma tarefa necessária para análise
de riscos, visto que isso pode ajudar a determinar se alguma fraqueza já esta devidamente
protegida. Os controles, quando existem, são utilizados para principalmente diminuir as
8
fraquezas, as vulnerabilidades em ativos. Estes controles devem ser identificados para
cada um dos ativos que faram parte da análise de riscos. Por exemplo, se o servidor possui
um software para controle de atualização de patches de segurança, isso pode ser considerado
um controle da qual diminui a vulnerabilidade do ativo possivelmente corrigindo brechas
deixadas por desenvolvedores.
Especificamente em servidores com o sistema operacional Windows alguns exemplos
de controles são: Cifragem de unidade com o Bitlocker, Controle de acesso a rede (NAP),
Windows Firewall, Active Directory Certificate Services, Active Directory Rights
Management Services, Políticas de grupo entre outros conforme já mencionados neste
trabalho.
Existem ainda controles que são utilizados de maneira reativa, ou seja, diminuir
consequência no caso de incidentes. São exemplos de controles que agem da redução das
consequências: mecanismos de tolerância a falhas (RAID, cluster, balanceamento de
recursos), mecanismos de recuperação de desastres (ferramentas de backup, imagens de
instalação de servidores).
4.2.5 Identificação das vulnerabilidades nos servidores
Convém que sejam identificadas as vulnerabilidades existentes nos servidores e nos
ativos envolvidos, pois é um item obrigatório quando se analisa uma ameaça em que um
sistema de informação está exposto (FERREIRA; ARAÚJO, 2008). Em outras palavras,
a vulnerabilidade é simplesmente uma condição, uma brecha que se explorada por uma
ameaça possa vir a causar danos à sua organização, entretanto, possuir uma vulnerabilidade,
ela por si só não causa danos a não ser que exista uma ameaça que faça proveito dessa
vulnerabilidade.
4.2.6 Identificação das consequências
Não menos importante, a identificação das consequências é uma etapa subsequente das
etapas supracitadas. Esta etapa é necessária para que seja possível determinar os prejuízos e
as consequências propriamente dita na ocorrência de algum incidente de segurança de
informação que envolve os servidores Windows. Para isso, baseia-se em nos servidores, nos
ativos, nas vulnerabilidades evidenciados anteriormente.
Para a norma, NBR ISO/IEC 27005:2008, uma consequência pode ser, por
exemplo, a perda da eficácia, condições adversas de operação, a perda de
oportunidades de negócio, reputação afetada, prejuízos. Ainda assim as consequências
podem ser identificadas em função dos princípios da segurança que, por ventura, venham
a ser violados. Por exemplo, quando um usuário solicita um serviço e esse estiver
indisponível tem-se a violação do principio da disponibilidade.
4.3 Análise de Riscos
Após definidas as fases iniciais e requeridas para o próximo passo da gestão, a análise
de riscos se justifica por si só a necessidade de integrar o a estrutura proposta pela norma
NBR ISO 31000:2009. A análise de riscos tende a desacerbar o entendimento do nível de
risco e de sua natureza, propiciando um meio para a determinação de prioridades e opções de
tratamento as ameaças identificadas (BRASILIANO, 2009).
9
A análise de risco pode ter um critério qualitativo ou quantitativo, os dois são critérios
quase que igualáveis, mas no momento que um qualifica valores para os riscos de forma
subjetiva o ou outro atribui valores com maior exatidão. Mas também há que defenda uso de
um ou de outro, como sugere, Campos (2003) : "...aquelas organizações que nunca fizeram
qualquer análise de risco se optarem pelo método qualitativo, que é mais complexo, terão
maior probabilidade de fracassarem em uma primeira tentativa."
Contudo, á de se considerar nesta abordagem para uma análise de riscos em servidores
Windows, o uso de valores qualitativos uma vez que é menos complexo para
organização e ainda assim é suficiente para entender os níveis de riscos. Entretanto, se for de
interesse das partes interessadas realizar um estudo mais minucioso deve ser utilizado então
uma abordagem quantitativa.
Além disso também deve-se, principalmente, analisar os impactos para
organização no caso da materialização do risco e analisar a probabilidade de ocorrência.
5. Aplicação de análise de riscos em Servidores Windows
Por questões de confidencialidade a organização selecionada para o estudo será
referenciada apenas como empresa. A empresa possui um grande quadro de atuação que
abrange a área de TI, mas, especificamente, está focada no ramo de segurança de informação.
Busca prover soluções para proteção da continuidade digital não somente através de
ferramentas e mecanismos, como também através do uso de metodologias e práticas
recomendadas para implementação de recursos de infraestrutura de TI tornando-os mais
disponíveis, estáveis, seguros e com melhor desempenho. Está organizada somente em uma
unidade estratégica, a matriz, no entanto, possui clientes espalhados por todo o Brasil além de
clientes no exterior. Tem como missão a proteção da continuidade digital dos negócios de
seus clientes, reduzir seus custos e aumentar sua produtividade, por meio de soluções
especializadas e baseadas em procedimentos metodológicos. E a visão, é de ser um parceiro
de confiança e referência em soluções para a continuidade digital dos negócios do mercado
corporativo, possibilitando a redução dos custos e o aumento da produtividade.
Sua estrutura organizacional divide-se nas áreas técnica, administrativa e
comercial. A área técnica consiste em profissionais da área de tecnologia de informação em
que trabalham com soluções e tecnologias que a empresa comercializa. A área administrativa
é responsável por todas as atividades inerentes aos processos legais e burocráticos, além
cuidar da questão financeira e RH, essa área também conta com o apoio de uma empresa
terceirizada para a parte contábil. E, a área comercial que conta com profissionais com algum
conhecimento da área de TI e segurança da informação atuando, inclusive, como consultores
(vendas consultivas).
6. Conclusão
Quando se fala em risco, automaticamente já remete a algo alarmante, algo em
que se tenha que tomar cuidado, por mais que seja um risco que possa resultar em efeitos
positivos. No âmbito das organizações, a questão do risco é mais abrangente, pois eles estão
por todos os lados e, dependendo de qual for, pode expor objetivos estratégicos de negócio.
Por isso, realizar uma gestão sobre tais, hoje, é algo reconhecido como parte integrante
de uma boa administração. No caso dos riscos que possivelmente expõem a segurança das
informações de uma organização é outro fator crítico. A não garantia de um princípio básico
1
da segurança da informação (indisponibilidade, integridade e confidencialidade), dependendo
da área de negócio da organização, pode levar inclusive ao grande temor da alta
administração, a falência.
Este artigo reuniu o estudo dass principais normas e padrões que possuem a gestão de
risco de segurança de informação como base além do detalhamento na norma NBR
ISO 31000:2009. Devido ao fato de a norma NBR ISO 31000:2009 dispor de uma estrutura
genérica para gerenciar riscos de qualquer setor ela se provou eficiente, no entanto, ao aplicala é importante ter pleno conhecimento sobre os riscos a serem gerenciados uma vez que a
norma por si só não possui especificidades. Além disso, se uma organização seguir a estrutura
proposta pela norma NBR ISO 31000:2009 para todos os riscos que está sujeita, esta possuirá
um processo universal e harmonizado entre toda a organização.
Também, como foi o intuíto deste trabalho, a estrutura proposta pela norma
NBR ISO 31000:2009 está alinhada com as principais normas que possuem a gestão de
riscos de segurança da informação como base. As diferenças são poucas e todas
conseguem chegar a mesmo objetivo e, por isso, a abordagem da norma NBR ISO 31000 é
eficaz apesar de necessitar de conhecimento e até mesmo de outras normas para
complementa-la em algumas etapas da gestão de risco.
Não seguir uma norma da família ISO 27000 para gestão de riscos, como é o caso da
NBR ISO/IEC 27005:2008, talvez possa não ser interessante uma vez que uma organização
esteja em andamento do seu SGSI. Em contrapartida, no caso da NBR ISO 31000:2009, esta
pode ser aplicada a qualquer hora sem necessitar que ela também esteja alinhada com o
escopo do SGSI como também pode estar. A aplicação da análise de riscos em servidores
Windows na empresa estudada foi um exemplo prático disso. A empresa não possui um SGSI
e também nunca havia realizado uma gestão de riscos. Desta forma, pode ser aplicada
normalmente sem nenhum empecilho além de permitir evidenciar os níveis dos riscos que o
servidores estão expostos. Contudo, é possível afirmar que este trabalho foi satisfatório e
conclusivo, visto que respondeu aos objetivos e questões propostas no projeto inicial.
7. Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 17799: Tecnologia da informação
— código de prática para a gestão da segurança de informação. Rio de Janeiro, abr. 2000. 93 p.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: Tecnologia da informação
— técnicas de segurança — sistemas de gestão de segurança da informação — requisitos. Rio de Janeiro, abr.
2006. 34 p.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27005: Tecnologia da informação
— técnicas de segurança — gestão de riscos de segurança da informação. Rio de Janeiro, mar. 2008. 63 p.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO 31000: Gestão de risco - princípios e
diretrizes. Rio de Janeiro, dez. 2009. 23 p.
BRASILIANO, A. C. R. Gestão e Análise de Riscos Corporativos: Método Brasiliano Avançado. 1. ed. São
Paulo: Sicurezza, 2009.
CAMPOS, A. Sistema de Segurança da Informação: Controlando Riscos. Rio de Janeiro: Visual, 2003.
1
FERREIRA, F. N. F.; ARAÚJO, M. T. de. Política de Segurança da Informação Guia Prático para Elaboração e
Implementação. 1. ed. Rio de Janeiro: Ciência Moderna, 2008.
FONTES, E. Praticando a Segurança da Informação. 2. ed. Rio de Janeiro: Brasport, 2008.
HONAN, B. ISO27001 in a Windows Environment. 2. ed. United Kingdom: IT Governance Publishing, 2010.
INTERNATIONAL ELECTROTECHNICAL COMMISSION. ISO IEC 31010: Risk management - risk
assessment techniques. UK, dez. 2009. 176 p.
JOINT STANDARDS AUSTRALIA / STANDARDS NEW ZEALAND COMMITTEE. as/nzs 4360: Risk
management,. Sydney, 2004.
LIMA, W. D. de. GESTÃO DE RISCO PARA ROTEADORES E SWITCHES. 100 f. Monografia
(Especialização) — Serviço Nacional de Aprendizagem Industrial, SENAI, Florianópolis, 2011.
MEIRELLES, F. S. 22 Pesquisa Anual do Uso de TI. 22. ed. São Paulo: Fundação Getulio Vargas, 2011.
MICROSOFT. Relatório de Análise de Segurança da Microsoft. 11. ed. Redmond: Microsoft Corporation, 2011.
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. NIST 800-30: Risk management
guide for information technology systems. [S.l.], July 2002. 55 p.
OLIVEIRA, E. C. de. Gestão de Riscos de TI Conforme Norma ISO/IEC 27005:2008. 53 f. Monografia
(Graduação) — Instituto Superior Tupy, SOCIESC, Joinville, 2009.
SILVA, M. A. da. Desenvolvimento de um Método para Realização em Pequenas e Médias Empresas de
Análise de Riscos Baseada nas Diretrizes da Norma ISO/IEC 27005:2008. 117 f. Monografia (Especialização)
— Faculdade de Tecnologia, SENAI, Florianópolis, 2009.
1