U NIVERSIDADE DE BRASÍLIA - UNB
DEPARTAMENTO DE CIÊNCIAS DA COMPUTAÇÃO
ANÁLISE/AVALIAÇÃO DE RISCOS DE SEGURANÇA DA
INFORMAÇÃO PARA A ADMINISTRAÇÃO PÚBLICA
FEDERAL: UM ENFOQUE DE ALTO NÍVEL BASEADO NA
ISO/IEC 27005
PEDRO JORGE SUCENA SILVA
MONOGRAFIA DE C ONCLUSÃO DO CURSO DE ESPECIALIZAÇÃO EM C IÊNCIAS
DA C OMPUTAÇÃO: GESTÃO DA SEGURANÇA DA INFORMAÇÃO E
COMUNICAÇÕES
Orientador: Prof. Dr. Jorge Henrique Cabral Fernandes
II
Brasília, 29 de maio de 2009.
ANÁLISE/AVALIAÇÃO DE RISCOS DE SEGURANÇA
DA INFORMAÇÃO PARA A ADMINISTRAÇÃO
PÚBLICA FEDERAL: UM ENFOQUE DE ALTO NÍVEL
BASEADO NA ISO:IEC 27005
Trabalho de conclusão de curso apresentado
como parte das atividades para obtenção do
título de Especialista em Ciências da
Computação do curso de Especialização em
Ciências da Computação: Gestão da
Segurança da Informação e Comunicações do
Departamento de Ciências da Computação da
Universidade de Brasília.
Profº orientador: Jorge Henrique Cabral Fernandes
Brasília, 2009
III
Autoria: Pedro Jorge Sucena Silva
Título: Análise/avaliação de riscos de segurança da informação para a Administração Pública
Federal: um enfoque de alto nível baseado na ISO:IEC 27005.
Trabalho de conclusão de curso apresentado
como parte das atividades para obtenção do
título de Especialista em Ciências da
Computação do curso de Especialização em
Ciências da Computação: Gestão da Segurança
da Informação
e
Comunicações do
Departamento de Ciências da Computação da
Universidade de Brasília.
Os componentes da banca de avaliação, abaixo listados,
consideram este trabalho aprovado.
Nome
Titulação
Assinatura
Instituição
1
Jorge Henrique Cabral Fernandes
Doutor
Universidade de Brasília
2
Jacir Luiz Bordim
Doutor
Universidade de Brasília
3
Edgard Costa Oliveira
Doutor
Universidade de Brasília
Data da aprovação: ____ de _____________________ de ________.
IV
RESUMO
Este trabalho apresenta um modelo preliminar de análise/avaliação de riscos de segurança
da informação, capaz de identificar os riscos com alto potencial de impacto em uma
organização pública. A análise/avaliação de riscos é uma atividade do processo de gestão de
riscos em que são identificados os riscos e seus componentes – ativos, ameaças,
vulnerabilidades e conseqüências. A probabilidade de ocorrência do cenário de risco e suas
conseqüências são avaliadas, resultando em um nível de risco. Esse risco é então avaliado
segundo critérios pré-definidos que determinarão a sua importância para a organização. A
norma ISO/IEC 27005 recomenda iniciar o processo de gestão de riscos com uma
análise/avaliação com um enfoque de alto nível, isto é, uma abordagem mais global que vise
os principais riscos que envolvem o negócio. É uma abordagem simplificada que considera os
aspectos tecnológicos de forma independente das questões de negócio. A partir dos resultados
dessa primeira iteração é possível definir as prioridades, os riscos que precisam ser detalhados
em uma segunda iteração e uma cronologia para a execução de ações. Este trabalho propõe
um modelo com essas características, tendo como base a Norma ABNT ISO/IEC 27005 e
considerando algumas especificidades da Administração Pública Federal.
Palavras-chave: segurança da informação, gestão de riscos, administração pública.
V
SUMÁRIO
1
Introdução ........................................................................................................1
2.1
Objetivos ..................................................................................................................... 3
2
Requisítos Pré-pesquisa.................................................................................3
2.1.1
Objetivo Geral......................................................................................................................3
2.1.2
Objetivos Específicos...........................................................................................................3
2.2
Justificativa ................................................................................................................. 3
3
Revisão de literatura e fundamentos .............................................................7
2.3
3.1
Metodologia ................................................................................................................ 5
Gestão de riscos: norma ISO/IEC 27005..................................................................... 7
3.1.1
Conceitos ............................................................................................................................8
3.1.2
O processo de gestão de riscos .........................................................................................12
3.1.3
3.1.3.1
3.1.3.2
3.1.3.3
3.1.4
3.1.4.1
Definição do contexto ........................................................................................................14
Critérios básicos ................................................................................................................14
Definição do escopo e limites.............................................................................................15
Organização para gestão de riscos ....................................................................................15
Análise/avaliação de riscos................................................................................................16
Análise de riscos................................................................................................................16
3.1.4.2
Avaliação de riscos ............................................................................................................22
3.1.5
Tratamento do risco ...........................................................................................................23
3.1.6
Aceitação do risco .............................................................................................................27
3.1.7
3.1.8
3.2
3.2.1
4
4.1
4.1.1
Comunicação do risco .......................................................................................................27
Monitoramento e análise crítica de riscos...........................................................................28
Administração pública ............................................................................................... 30
Princípios da administração pública ...................................................................................32
instrumentos para análise/avaliação de risco – enfoque de alto nível .....37
Definição do contexto................................................................................................ 38
Definição do escopo ..........................................................................................................38
4.1.1.1
Especificidades da Administração Pública Federal .............................................................40
4.1.2
Critérios de risco................................................................................................................42
4.2
4.2.1
Análise/avaliação de riscos ....................................................................................... 46
Análise de riscos................................................................................................................46
VI
4.2.1.1
Identificação de riscos .......................................................................................................46
4.2.1.2
Estimativa de riscos...........................................................................................................49
4.2.2
Avaliação de riscos ............................................................................................................51
4.3
Tratamento do risco................................................................................................... 51
6
Conclusão e trabalhos futuros.....................................................................67
5
Exemplo de aplicação ...................................................................................53
Referências bibliográficas......................................................................................69
1
1
INTRODUÇÃO
Em um levantamento sobre a governança de tecnologia da informação (TI) na
Administração Pública Federal1 (APF), o Tribunal de Contas da União constatou que a
segurança da informação não consta na agenda da maioria dos órgãos públicos. O
levantamento apontou que 64% deles não possuem uma política da segurança da informação
nem uma área específica para lidar com a segurança da informação. Além disso, 75% não
fazem análise de risco de TI, 80% não classificam as informações e 88% não possuem plano
de continuidade de negócio.
Diante desses dados é possível afirmar que a gestão de risco de segurança da informação
(GRSI) não é uma prática comum na APF. Há vários fatores que podem explicar essa
situação. Primeiramente a aplicação da gestão de risco à segurança da informação é um
produto recente, considerando que a APF normalmente absorve as mudanças ou novas
ferramentas de gestão de modo mais lento do que a iniciativa privada. Em segundo lugar, a
GRSI precisa do apoio da direção do órgão, visto que é um processo transversal que perpassa
diversas frações da organização e necessita do apoio especializado de muitas delas. Vale
destacar ainda que os métodos de análise/avaliação de riscos normalmente são complexos,
exigem a coleta de uma enorme quantidade de dados e consomem muito tempo e recursos
para a sua operacionalização.
A proposta deste trabalho aponta para a necessidade de um método de análise/avaliação
de riscos que considere as especificidades da APF, que seja capaz de identificar os riscos com
alto potencial de impacto e que, ao mesmo tempo, seja simples, de baixo custo e que possa ser
executado por um grupo pequeno de pessoas.
1
TRIBUNAL DE CONTAS DA UNIÃO. Acórdão 1603/2008. Brasília, 2008.
2
A análise/avaliação de riscos é uma atividade do processo de gestão de riscos em que são
identificados os riscos e seus componentes – ativos, ameaças, vulnerabilidades e
conseqüências. A probabilidade de ocorrência do cenário de risco e suas conseqüências são
avaliadas, resultando em um nível de risco. Esse risco é então avaliado segundo critérios prédefinidos que determinarão a sua importância para a organização.
A gestão de riscos de segurança da informação, em que está inserida a análise/avaliação
de riscos, é uma metodologia que procura identificar os riscos que envolvem uma
organização, priorizá-los e propor estratégias de tratamento desses riscos. Para a norma
ISO/IEC 27005, risco de segurança da informação é medido em função da combinação da
probabilidade de um evento e de sua conseqüência. Desse modo, riscos podem ser
gerenciados mudando-se tanto a natureza de suas conseqüências como a probabilidade de que
determinado evento ocorra.
A gestão de riscos é estabelecida em um processo de melhoria contínua com um enfoque
iterativo na execução da análise/avaliação de risco o que permite detalhar a avaliação a cada
repetição. Por conseguinte, é recomendado pela norma iniciar o processo de gestão de riscos
com uma análise/avaliação com um enfoque de alto nível, isto é, uma abordagem global que
visa os principais riscos que envolvem o negócio. É uma abordagem simplificada que
considera os aspectos tecnológicos de forma independente das questões de negócio. A partir
dos resultados dessa primeira iteração é possível definir as prioridades, os riscos que precisam
ser detalhados em uma segunda iteração e uma cronologia para a execução de ações.
Este trabalho vem propor instrumentos que ajudaram a compor um método com essas
características, tendo como base a norma ISO/IEC 27005 e considerando as especificidades da
Administração Pública Federal.
3
2
2.1
REQUISÍTOS PRÉ-PESQUISA
Objetivos
2.1.1
Objetivo Geral
Propor instrumentos para um método preliminar de análise/avaliação de riscos para
Administração Pública Federal em um enfoque de alto nível.
2.1.2
Objetivos Específicos
São objetivos específicos do trabalho:
1. Desenvolver os instrumentos para um método de análise/avaliação com um
enfoque de alto nível.
2. Aplicar os instrumentos propostos em uma organização fictícia.
3. Rever a literatura sobre o processo de gestão de riscos e sobre a administração
pública.
2.2
Justificativa
O avanço tecnológico vivido desde a segunda metade do século XX catalisou a explosão
informacional dos últimos trinta anos, proporcionando mudanças na forma como as
organizações manipulam o seu conhecimento. O aumento do fluxo de informações expõe o
conhecimento crítico das organizações a diversos riscos. Por isso, a demanda de proteção
dessas informações constitui um enorme desafio. Assim, a segurança da informação entrou na
agenda das organizações privadas e vem entrando lentamente na das organizações públicas.
A preocupação com a proteção da informação como ativo no âmbito das organizações
criou a necessidade de sistematização e padronização dos conceitos de segurança da
4
informação, de modo a consolidar as bases para o desenvolvimento seguro e uniforme de
soluções para os problemas emergentes dessa questão. Dentre as normas e padrões surgidos
dessa preocupação destacamos a série de normas ISO/IEC 27000:

ISO/IEC 27001 – Sistemas de gestão de segurança da informação: originária da

ISO/IEC 27002 – Código de prática para a gestão da segurança da informação: foi

ISO/IEC 27005 – Gestão de riscos de segurança da informação: teve como base a
parte 2 da norma britânica BS 7799;
desenvolvida a partir da parte 1 da norma britânica BS 7799;
parte 3 da BS 7799 e a norma australiana neozelandesa AS/NZS 4360.
O primeiro passo para gerir a segurança da informação segundo essas normas é a gestão
de risco. Trata-se de uma metodologia que procura evitar que riscos e ameaças se concretizem
e gerem prejuízos das mais diversas ordens. Procura delimitar os possíveis problemas e
possibilidades de interferência nas atividades de uma organização e transformá-los em riscos
mensuráveis e manejáveis.2 Trata-se da aplicação de um método lógico e sistemático para
estabelecer os contextos, bem como para identificar, estimar, avaliar, tratar, aceitar, monitorar
e comunicar os riscos associados a qualquer ativo, função, atividade, ou processo, de modo
que as organizações possam minimizar as perdas resultantes de incidentes de segurança da
informação.
A gestão eficaz de riscos reduz a probabilidade e a severidade de incidentes de segurança.
É possível evitar eventos indesejáveis ou negativos prevendo sistematicamente os riscos,
avaliando a sua importância, gerenciando suas conseqüências e aprendendo enquanto se
atravessa esse ciclo. No entanto, a gestão eficaz de riscos implica também prever os riscos
futuros e saber lidar de maneira pró-ativa com eles – gestão pró-ativa em vez de reativa.
Freqüentemente, é possível superar adversidades sendo pró-ativo na previsão de riscos e na
criação de condições que permitam evitá-los.3
A gestão de riscos proporciona uma série de benefícios às organizações. Fornece uma
base sólida e segura para a tomada de decisão e planejamento; torna mais eficaz a alocação e
o uso de recursos; melhora a gestão de incidentes e reduz perdas e custos com riscos, melhora
ZAMITH, José Luís Cardoso. Gestão de Riscos e Prevenção de Perdas. Rio de Janeiro: FGV, 2007.
CENTRO CANADENSE PARA O DESENVOLVIMENTO DA GESTÃO. Uma base para o
desenvolvimento de estratégias de aprendizagem para a gestão de riscos no serviço público / Stephen Hill,
Geoff Dinsdale; traduzido por Luís Marcos B. L. de Vasconcelos. Brasília: ENAP, 2003 (Cadernos ENAP, 23).
2
3
5
a segurança e confiança das partes envolvidas; melhora a conformidade com a legislação
pertinente; e melhorar a governança corporativa.
Portanto, o processo de gestão de riscos constitui uma ferramenta de extrema importância
para o estabelecimento de um Sistema de Gestão de Segurança da Informação (SGSI)
conforme a norma ISO/IEC 27001. E de forma semelhante e complementar ao SGSI, o
processo de gestão de riscos, é estabelecido em um processo de melhoria contínua com um
enfoque iterativo na execução da análise/avaliação de risco o que permite aprofundar e
detalhar a análise a cada repetição.
A primeira iteração dessa atividade deve utilizar uma abordagem de análise/avaliação de
riscos com um enfoque de alto nível. Momento em que se procuram os principais riscos da
organização, os de maior impacto e se estabelece um cronograma de ações. É mais rápida,
mais simples e de menor custo que uma abordagem detalhada, o que facilita a aceitação do
programa de gestão de riscos pelas partes interessadas.
É uma abordagem importante porque a indisponibilidade orçamentária comum na esfera
pública não permitiria a implementação simultânea de todos os controles que seriam precisos,
logo haveria a necessidade de tratar apenas os riscos mais críticos. Por isso não faz sentido
iniciar um processo de gestão de riscos detalhado se a implementação dos controles seria
completada em um prazo estendido. Vale destacar que uma análise/avaliação de risco perde
sua validade com as mudanças de contexto, de ameaças e de vulnerabilidades trazidas pelo
tempo, portanto uma abordagem com enfoque de alto nível seria mais adequada.
Diante dessas questões é imprescindível que a discussão quanto a um método de
análise/avaliação de riscos com um enfoque de alto nível seja colocada no âmbito do serviço
público, já que são poucos os órgão que se preocupam em gerir os seus riscos de modo
sistemático.
2.3
Metodologia
A presente pesquisa pode ser caracterizada, segundo a utilização dos resultados, como
pesquisa aplicada. Distingue-se pelo seu interesse prático que conforme Ander-Egg4 procura
resultados que possam ser aplicados ou utilizados, imediatamente, na solução de problemas
que ocorrem na realidade.
4
Ander-Egg (1978) apud MARCONI, M. A., LAKATOS, E. M. Técnicas de Pesquisa. São Paulo: Atlas, 2002.
6
A principal técnica utilizada foi a pesquisa bibliográfica, o objetivo era conhecer, discutir
e analisar as contribuições registradas acerca do tema proposto. Vale destacar que a pesquisa
bibliográfica não é mera repetição do que já foi escrito sobre determinado assunto. Ela
permite explorar novas áreas onde os problemas não se cristalizaram o suficiente. Propicia o
exame de um tema sob novo enfoque ou abordagem, podendo chegar a conclusões
inovadoras5.
Inicialmente foi realizado um estudo na literatura sobre a gestão de risco de segurança da
informação com ênfase na norma ISO/IEC 27005:2008. Em seguida o estudo voltou-se a
literatura sobre a administração pública.
Terminada esta etapa, o trabalho foi direcionado à caracterização da administração
pública em aspectos que subsidiem, de maneira geral, o processo de gestão de riscos.
Foram delineados os instrumentos para um método de gestão de riscos para a APF numa
abordagem de alto nível. Por fim, foi elaborado um exemplo de aplicação dos instrumentos
propostos em uma organização fictícia.
5
MARCONI, M. A., LAKATOS, E. M. Técnicas de Pesquisa. São Paulo: Atlas, 2002.
7
3
3.1
REVISÃO DE LITERATURA E FUNDAMENTOS
Gestão de riscos: norma ISO/IEC 27005
A norma ISO/IEC 27005 fornece diretrizes e descreve um processo genérico para a
Gestão de Riscos de Segurança da Informação de uma organização. O processo descrito pela
norma é harmonicamente sincronizado com o ciclo de melhoria contínua “PDCA” utilizado
em um SGSI conforme a ISO/IEC 27001. Além disso, o processo pode também ser usado de
forma independente, como por exemplo, para avaliações de risco em um projeto. Isto permite
flexibilidade e pragmatismo que possibilita a utilização do processo de GRSI em uma vasta
gama de circunstâncias.
Segundo Hervé Schauer6, a ISO/IEC 27005 é o resultado de diversas outras normas e
métodos conforme Figura 1.
Figura 1 – Normas que influenciaram a criação da ISO/IEC 27005.
6
SCHAUER, H. ISO/CEI 27005 : la norme du consensus. Global Security Mag. N°4, p. 52-55, Set. 2008
8
Desse modo, a ISO/IEC 27005 sofreu influência da norma ISO 13335-3, que traz um
modelo de gestão de risco para a área de tecnologia da informação (TI), desde 1992 com o
início da normalização da segurança em TI. O método EBIOS (Expression des Besoins et
Identification des Objectifs de Sécurité) criado pelo Ministério da Defesa francês, contribuiu
com a idéia da divisão do processo de avaliação de riscos de sistemas de informação em
atividades e sub-atividades com insumos de entrada, um trabalho a realizar e resultados a
obter. A norma AS/NZS 4360 apresentou um processo de gestão de risco cujas fases e tarefas
são parecidas com as adotadas pela ISO/IEC 27005. A British Standard BS 7799-3 possui
uma função similar a da ISO/IEC 27005, já que a série de normas BS 7799 foi a base das
normas da família 27000. Ainda, segundo Schauer a norma teria sofrido influências de
diversas outras fontes que não puderam ser identificadas.
3.1.1
Conceitos
É importante destacar o conceito de risco de segurança da informação e os seus
componentes, conforme descrito pela ISO/IEC 27005.
Riscos de segurança da informação: a possibilidade de uma determinada ameaça
explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira
prejudicando a organização. É medido em função da combinação da probabilidade de um
evento e de sua conseqüência.7
Desse conceito é possível depreender quatro elementos que são fundamentais para o
processo de gestão de risco, quais sejam: ativo, ameaça vulnerabilidade e impacto.
Ativo é definido como qualquer coisa que tenha valor para a organização 8. A norma
ISO/IEC 27005 em seu Anexo B sugere a distinção entre ativos primários e ativos de suporte
e infra-estrutura.9 Os ativos primários seriam as informações, os processos e as atividades de
negócio. Os ativos de suporte são aqueles sobre os quais os elementos primários se apóiam,
eles podem ser agrupados da seguinte maneira: hardware, software, rede, recursos humanos,
instalações físicas e estrutura da organização.
Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27005: Gestão de risco de segurança da informação.
Rio de Janeiro, 2008. Grifo nosso.
8
Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001:2006. Sistema de gestão de segurança da
informação – requisitos. Rio de Janeiro, 2006.
9
Os anexos da norma ISO/IEC 27005 possuem valor informativo, logo as tipificações de ativos, ameaças,
exemplos de vulnerabilidade e métodos de análise/avaliação de riscos são colocados como sugestões que podem
ser adaptadas a realidade de cada organização.
7
9
Ameaça é a causa potencial de um incidente indesejado, que pode resultar em dano para
um sistema ou organização10. As ameaças podem ser de origem humana de natureza acidental
ou intencional ou, ainda, de origem ambiental. E podem ser tipificadas nas seguintes
categorias: dano físico, eventos naturais, paralisação de serviços essenciais, distúrbio causado
por radiação, comprometimento da informação, falhas técnicas, ações não autorizadas,
comprometimento de funções. Em relação às ameaças intencionais a norma sugere que seja
dada atenção especial as especificidades da origem e motivações dos agentes que representam
ameaça.
Vulnerabilidade é a fragilidade de um ativo ou grupo de ativos que pode ser explorada
por uma ou mais ameaças11. O Anexo D da ISO/IEC 27005 apresenta uma lista genérica de
exemplos de vulnerabilidades e de possíveis ameaças que poderiam explorá-las. A lista está
organizada segundo o tipo de ativo de suporte e infra-estrutura. Vale destacar que, conforme
colocado por Fernandes12, para o caso de ativos tecnológicos a lista possui pouca
aplicabilidade devido ao seu caráter genérico. Para tal atividade se faz necessário a utilização
de métodos, técnicas e ferramentas específicas.
A norma utiliza as palavras: impacto e conseqüência para se referir aos danos causados a
organização devido à perda ou comprometimento de ativos. Em alguns momentos elas são
usadas como sinônimos, porém é possível delinear algumas diferenças.
A conseqüência está relacionada a perdas operacionais relativas à proteção de ativos. A
sua determinação indica o valor operacional do ativo para a organização. As conseqüências
são avaliadas em função da perda da confidencialidade, integridade e disponibilidade dos
ativos supostamente afetados. Além desses critérios, segundo a ISO/IEC 27005, devem ser
considerados para a determinação das conseqüências operacionais a investigação e tempo de
reparo, o tempo de trabalho perdido, as oportunidades perdidas, saúde e segurança, custo
financeiro das competências específicas necessárias para reparar o prejuízo, imagem e
reputação da organização.
Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002: Código de Prática para a gestão da
segurança da informação. Rio de Janeiro, 2005.
11
Ibid.
12
FERNANDES, J. H. C. Introdução à Gestão de Riscos de Segurança da Informação. 75 f. Texto desenvolvido
para suporte das atividades de Ensino do Programa de Pesquisas e Formação de Especialistas. Universidade de
Brasília (UnB), Brasília, 2009.
10
10
O impacto é definido como uma mudança adversa no nível obtido dos objetivos de
negócios13. Assim, quando se fala em impacto o dano causado por um incidente de segurança
é observado de um modo mais abrangente em relação ao negócio da organização como um
todo. Conforme o Anexo B.3 da norma, o impacto pode ser direto: (i) valor financeiro de
reposição do ativo perdido; (ii) custo de aquisição, configuração e instalação do novo ativo ou
do back-up; (iii) custo das operações suspensas devido ao incidente até que o serviço prestado
pelos ativos afetados seja restaurado; (iv) conseqüências resultantes de violações da segurança
da informação; e indireto: (i) custo de oportunidade; (ii) custo das operações interrompidas;
(iii) mau uso das informações obtidas através da violação da segurança; (iv) violação de
obrigações estatutárias ou regulatórias; (v) violação dos códigos éticos de conduta.
A seguir destacam-se outros conceitos pertinentes à gestão de risco de segurança da
informação. A Figura 2 apresenta um mapa que permite visualizar a relação entre os conceitos
fundamentais da gestão de risco.14
Evento de segurança da informação: “uma ocorrência identificada de um estado de
sistema, serviço ou rede, indicando uma possível violação da política de segurança da
informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser
relevante para a segurança da informação”.15
Risco residual: risco remanescente após o tratamento de riscos.16
Aceitação do risco: decisão de aceitar um risco.17
Avaliação de riscos: processo de comparar o risco estimado com critérios de risco
predefinidos para determinar a importância do risco.18
Tratamento do risco: processo de seleção e implementação de medidas para modificar
um risco.19
Ação de evitar o risco: decisão de não se envolver ou agir de forma a se retirar de uma
situação de risco.20
Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27005: Gestão de risco de segurança da
informação. Rio de Janeiro, 2008.
14
FERNANDES, J. H. C. Op. Cit.
15
Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001:2006. Sistema de gestão de segurança da
informação – requisitos. Rio de Janeiro, 2006.
16
Ibid.
17
Ibid.
18
Ibid.
19
Ibid.
13
11
Comunicação do risco: troca ou compartilhamento de informação sobre o risco entre o
tomador de decisão e outras partes interessadas.21
Estimativa de riscos: processo utilizado para atribuir valores à probabilidade e
conseqüências de um risco.22
Identificação de riscos: processo para localizar, listar e caracterizar elementos do risco.23
Redução do risco: ações tomadas para reduzir a probabilidade, as conseqüências
negativas, ou ambas, associadas a um risco.24
Retenção do risco: aceitação do ônus da perda ou do benefício do ganho associado a um
determinado risco.25
Transferência do risco: compartilhamento com outra entidade do ônus da perda ou do
benefício do ganho associado a um risco.26
No que tange a retenção e transferência do risco, somente conseqüências negativas
(perdas) são consideradas.
Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27005: Gestão de risco de segurança da
informação. Rio de Janeiro, 2008.
21
Ibid.
22
Ibid.
23
Ibid.
24
Ibid.
25
Ibid.
26
Ibid.
20
12
Figura 2 – Um mapa de conceitos sobre risco de segurança da informação. 27
3.1.2
O processo de gestão de riscos
A norma ISO/IEC 27005 contém a descrição e as diretrizes do processo de gestão de
risco de segurança da informação e das suas atividades. A Figura 3 é um esquema do
encadeamento das atividades do processo de gestão de risco.
O processo de gestão de risco começa com a definição do contexto. Em seguida é feita a
análise/avaliação de riscos, em que os riscos são identificados, estimados e avaliados segundo
critérios definidos no momento do estabelecimento do contexto. Finda está fase há o primeiro
ponto de decisão onde é verificado se a avaliação foi satisfatória ou não, caso não seja, o
processo é repetido. Vale destacar que a segunda iteração é para os riscos que precisam ser
detalhados, logo, o contexto da segunda iteração é mais específico que o da primeira. Se a
avaliação for considerada satisfatória passa-se ao tratamento do risco, etapa onde os riscos
podem ser reduzidos, retidos, evitados ou transferidos. É possível que o risco residual que
resulta do tratamento não seja aceitável para a organização, daí faz-se necessária outra
iteração de análise/avaliação de riscos.
27
FERNANDES, J. H. C. Op. Cit.
13
Figura 3 – Visão geral do processo de gestão de risco segundo a norma ISO/IEC 27005.
A aceitação do risco é importante porque os gestores da organização registram
formalmente a aceitação do risco residual. A comunicação do risco deve ser feita durante todo
o processo porque informações sobre os riscos e modo como serão tratados podem ser úteis
para os gestores e para áreas operacionais no gerenciamento de algum incidente. O
monitoramento cotidiano e a análise crítica são necessários para assegurar que o contexto, o
resultado da análise/avaliação de riscos e do tratamento do risco, assim como os planos de
gestão, permaneçam relevantes e adequados às circunstâncias.
As atividades do processo de gestão de risco de segurança da informação, conforme
apresentadas acima, são as seguintes: definição do contexto, análise/avaliação de riscos,
14
tratamento do risco, aceitação do risco, comunicação do risco e monitoramento e análise
crítica de riscos. A seguir serão descritas cada uma dessas atividades.
3.1.3
Definição do contexto
A definição do contexto determina o objeto sobre o qual a gestão de risco vai atuar.
Como sub-processo, a definição do contexto recebe como entrada todas as informações sobre
a organização relevantes para a definição do contexto e presta como saída à especificação dos
critérios básicos; o escopo e os limites do processo de gestão de riscos de segurança da
informação; e a organização responsável pelo processo.
A definição do contexto compreende a definição de critérios básicos necessários para a
gestão de riscos de segurança da informação, a definição do escopo e dos limites e o
estabelecimento de uma organização apropriada para atuar na gestão de riscos.
3.1.3.1
Critérios básicos
Conforme o objetivo da gestão de risco e as especificidades da organização diferentes
critérios de risco podem ser elaborados. Os critérios básicos apresentados pela norma têm o
objetivo de dar suporte e um SGSI e se dividem em critérios para a avaliação de riscos,
critérios de impacto e critérios para a aceitação do risco.

Critérios para a avaliação de riscos: estabelece um parâmetro para a avaliação dos
riscos e são usados para especificar as prioridades para o tratamento do risco. Para sua
elaboração são considerados: (i) o valor estratégico do processo que trata as
informações de negócio; (ii) a criticidade dos ativos de informação envolvidos; (iii)
requisitos legais e regulatórios, bem como as obrigações contratuais; (iv) importância
do ponto de vista operacional e dos negócios, da disponibilidade, da confidencialidade
e da integridade; (v) expectativas e percepções das partes interessadas e conseqüências
negativas para a imagem e a reputação.28

Critérios de impacto: procura definir um termo para avaliar o impacto de um cenário
de incidente. São considerados na sua definição: (i) o nível de classificação do ativo
de informação afetado; (ii) a ocorrências de violação da segurança da informação; (iii)
operações comprometidas; (iv) perda de oportunidades de negócio e de valor
Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27005: Gestão de risco de segurança da
informação. Rio de Janeiro, 2008.
28
15
financeiro; (v) interrupção de planos e o não cumprimento de prazos; (vi) dano à
reputação; (vii) violações de requisitos legais, regulatórios ou contratuais.29

Critérios para a aceitação do risco: estabelece uma escala de níveis de aceitação do
risco, normalmente, depende das políticas, metas e objetivos da organização, assim
como dos interesses das partes interessadas. Segundo a norma, os critérios para a
aceitação do risco podem possuir limites diversos, em que riscos acima do patamar
estabelecido podem ser aceitos sob circunstâncias definidas. Além disso, diferentes
critérios podem ser aplicados a diferentes classes de risco, podem incluir requisitos
para um tratamento adicional futuro, e podem ser diferenciados de acordo com o
tempo de existência previsto do risco. A norma ressalta, ainda, que devem ser
considerados no estabelecimento desses critérios os seguintes itens: (i) critérios de
negócio; (ii) aspectos legais e regulatórios; (iii) operações; (iv) tecnologia; (v)
finanças; e (vi) fatores sociais e humanitários.
3.1.3.2
Definição do escopo e limites
O escopo e o limite do processo de gestão de risco definem a abrangência do processo
sobre os ativos da organização. É importante que sejam reunidas informações sobre a
organização, e que sejam consideradas as seguintes informações: (i) objetivos estratégicos,
políticas e estratégias da organização; (ii) processos de negócio; (iii) funções e estrutura da
organização; (iv) requisitos legais, regulatórios e contratuais aplicáveis à organização; (v)
política de segurança da informação da organização; (vi) abordagem da organização à gestão
de riscos; (vi) ativos de informação; (vii) localidades em que a organização se encontra e suas
características geográficas; (viii) restrições que afetam a organização; (ix) expectativas das
partes interessadas; (x) ambiente sociocultural; e (xi) interfaces, ou seja, a troca de informação
com o ambiente.
3.1.3.3
Organização para gestão de riscos
Um grupo ou fração da organização deve ser estabelecido e mantido para executar o
processo de gestão de risco. Conforme a ISO/IEC 27005, os papéis e responsabilidades desse
grupo são: (i) desenvolvimento do processo de gestão de riscos de segurança da informação
adequado à organização; (ii) identificação e análise das partes interessadas; (iii) definição dos
29
Ibid.
16
papéis e responsabilidades de todas as partes, internas e externas à organização; (iv)
estabelecimento das relações necessárias entre a organização e as partes interessadas, das
interfaces com as funções de alto nível de gestão de riscos da organização, assim como das
interfaces com outros projetos ou atividades relevantes; (v) definição de alçadas para a
tomada de decisões; e (vi) especificação dos registros a serem mantidos.
3.1.4
Análise/avaliação de riscos
A análise/avaliação de riscos identifica, quantifica ou descreve qualitativamente os riscos,
o que capacita os gestores a priorizá-los de acordo com a sua gravidade e com os critérios
estabelecidos na definição do contexto. Tem como entrada os critérios básicos, o escopo e os
limites, e a organização do processo de gestão de riscos, e como saída uma lista de riscos
avaliados, ordenados por prioridade de acordo com os critérios de avaliação de riscos.
Segundo a ISO/IEC 27005 a análise/avaliação de riscos é executada freqüentemente em
duas ou mais iterações. A primeira seria uma avaliação de alto nível que identifica os riscos
com potencial de alto impacto. Esses riscos são avaliados com maior profundidade em uma
segunda iteração. Caso ainda não seja possível avaliar o risco de maneira satisfatória, análises
detalhadas precisarão ser executadas, provavelmente em apenas partes do escopo e
possivelmente usando outro método.
A análise/avaliação de riscos desenvolve duas atividades: análise de risco, que se divide
em identificação e estimativa de riscos; e avaliação de riscos.
3.1.4.1
Análise de riscos
3.1.4.1.1
Identificação de riscos
O objetivo é identificar os elementos constituintes do risco, determinando os eventos que
possam causar uma perda potencial a organização. As atividades desenvolvidas são as
seguintes: (i) identificação de ativos; (ii) identificação de ameaças; (iii) identificação de
controles; (iv) identificação de vulnerabilidades; e (v) identificação de conseqüências. As
informações coletadas servem de entrada para a estimativa de riscos.30
30
Ibid.
17

Identificação de ativos: essa atividade visa identificar os ativos dentro do escopo que
precisa ter os seus riscos gerenciados. Recebe como entrada: o escopo e limites para a
análise/avaliação de riscos, e uma lista de preliminar dos ativos com os respectivos
responsáveis, localidade, função e outras características dos ativos; e como saída: uma
lista de ativos cujos riscos precisam ser controlados, e uma lista de processos do
negócio relacionados aos ativos e suas relevâncias.31
A identificação dos ativos, de acordo com a norma, deve ser executada com um
detalhamento adequado que forneça informações suficientes para as etapas seguintes
do processo. O detalhamento pode ser aprofundado a cada iteração da
análise/avaliação de riscos.
Para cada ativo é importante que seja identificado um responsável, o qual pode não
possuir a propriedade do ativo, mas tem responsabilidade sobre sua produção,
desenvolvimento, manutenção, utilização e segurança. O responsável pelo ativo é
freqüentemente a pessoa mais adequada para determinar o valor do mesmo para a
organização.32

Identificação de ameaças: recebe como entrada: informações sobre ameaças obtidas
a partir da análise crítica de incidentes, dos responsáveis pelos ativos, de usuários e de
outras fontes, incluindo catálogos externos de ameaças; e como saída: uma lista de
ameaças com a identificação do tipo e da fonte das ameaças.33
Conforme a ISO/IEC 27005, uma ameaça tem o potencial de comprometer ativos e
pode provocar impactos diferentes, dependendo de quais ativos são afetados. Além
disso, podem ser de origem natural ou humana, podem ser acidentais ou intencionais e
podem surgir de dentro ou de fora da organização. As fontes das ameaças acidentais e
das intencionais devem ser identificadas. As ameaças podem ser identificadas
genericamente e por classe (por exemplo: ações não autorizadas, comprometimento da
informação, falhas técnicas) e, em situações específicas, elas podem ser detalhadas.
31
Ibid.
Ibid.
33
Ibid.
32
18

Identificação dos controles existentes: recebe como entrada a documentação dos
controles e o plano de tratamento de risco, e como saída uma lista de todos os
controles existentes e planejados, sua implementação e status de utilização.34
Conforme a ISO/IEC 27005 a identificação dos controles evita custos e trabalho
desnecessários. Um controle que não funcione como esperado pode provocar o
surgimento de vulnerabilidades, por isso é importante medir a eficácia dos controles.
Uma maneira para estimar o efeito do controle é ver o quanto ele reduz a
probabilidade da ameaça, a facilidade de exploração de uma vulnerabilidade ou o
impacto do incidente.
Os controles podem ser considerados ineficazes, insuficientes ou não-justificados. Os
controles insuficientes ou não-justificados devem ser avaliados para determinar se
convém que o mesmo seja removido, substituído por outro mais adequado ou se deve
permanecer.
As atividades de identificação dos controles são as seguintes: (i) revisão da
documentação dos controles existentes ou planejados; (ii) verificar com os gestores de
segurança e com os usuários quais controles, relacionados ao escopo, estão realmente
implementados; (iii) revisar, no local, os controles físicos, comparando os controles
implementados com a lista de quais deveriam estar presentes, e verificar se aqueles
implementados estão funcionando efetivamente; (iv) analisar criticamente os
resultados de auditorias internas.35

Identificação das vulnerabilidades: recebe como entrada: (i) uma lista de ameaças
conhecidas; (ii) listas de ativos; e (iii) uma lista de controles existentes; e como saída:
(i) uma lista de vulnerabilidades associadas aos ativos, às ameaças e aos controles; e
(ii) uma lista de vulnerabilidades que não se refere a nenhuma ameaça identificada
para análise.36
As vulnerabilidades, segundo a norma, podem ser identificadas nas seguintes áreas: (i)
organização; (ii) processos e procedimentos; (iii) rotinas de gestão; (iv) recursos
humanos; (v) ambiente físico; (vi) configuração do sistema de informação; (vii)
34
Ibid.
Ibid.
36
Ibid.
35
19
hardware, software ou equipamentos de comunicação; (viii) dependência de entidades
externas.
Uma vulnerabilidade precisa de uma ameaça explorando-a para causar dano à
organização. Assim, uma vulnerabilidade que não tem uma ameaça correspondente
pode não requerer a implementação de um controle no presente, mas ela deve ser
monitorada, no caso de haver mudanças. Inversamente, uma ameaça que não tenha
uma vulnerabilidade correspondente pode não resultar em um risco.37
Vulnerabilidades podem estar ligadas a características do ativo, as quais podem ser
usadas de uma forma ou para um propósito diferente daquele para o qual o ativo foi
adquirido ou desenvolvido.38

Identificação das conseqüências: o objetivo é identificar as conseqüências que a
perda de confidencialidade, de integridade e de disponibilidade podem ter sobre os
ativos. Recebe como entrada: (i) uma lista de ativos; (ii) uma lista de processos do
negócio; e (iii) uma lista de ameaças e vulnerabilidades relacionadas aos ativos e sua
relevância; e como saída: uma lista de cenários de incidentes com suas conseqüências
associadas aos ativos e processos do negócio.
Um cenário de incidente, conforme a ISO/IEC 27005, é a descrição de uma ameaça
explorando certa vulnerabilidade ou um conjunto delas em um incidente de segurança
da informação. O impacto dos cenários de incidentes é considerado em função dos
critérios estabelecidos na definição do contexto.
A definição de valores aos ativos correspondendo aos seus custos financeiros e as
conseqüências aos negócios caso sejam danificados, em sua totalidade ou
parcialmente, contribui para essa atividade. Além disso, para a identificação das
conseqüências vale observar: (i) investigação e tempo de reparo; (ii) tempo de trabalho
perdido; (iii) oportunidade perdida; (iv) saúde e segurança; (v) custo financeiro das
competências específicas necessárias para reparar o prejuízo; (vi) imagem, reputação e
valor de mercado.39
37
Ibid.
Ibid.
39
Ibid.
38
20
3.1.4.1.2
Estimativa de riscos
A estimativa de riscos visa mensurar a conseqüência ou impacto dos cenários de
incidente e estimar a sua probabilidade. As atividades que realiza são as seguintes: (i)
avaliação das conseqüências; (ii) avaliação da probabilidade dos incidentes; (iii) estimativa do
nível de risco.

Metodologias para a estimativa de riscos: a estimativa de risco pode ser realizada
em diversos graus de detalhamento, já que a análise/avaliação de riscos normalmente é
feita em pelo menos duas iterações do processo. A primeira iteração seria de alto nível
com o objetivo de identificar os grandes riscos que a organização está exposta e para
tanto utilizaria um método qualitativo. Uma segunda iteração mais detalhada utilizaria
métodos quantitativos para estimar os riscos considerados mais graves pela
organização.
Os métodos de estimativa qualitativa utilizam uma escala de palavras que
qualificam ou que descrevem a gravidade das conseqüências identificadas, como por
exemplo, pequeno, médio e grande, e a probabilidade das ameaças ocorrerem. Um
método qualitativo é de fácil compreensão por qualquer pessoa e pouco oneroso,
porém a dependência à escolha subjetiva da escala é uma desvantagem. Conforme a
ISO/IEC 27005, a estimativa qualitativa pode ser utilizada: (i) como uma verificação
inicial a fim de identificar riscos que exigirão uma análise mais detalhada; (ii) quando
esse tipo de análise é suficiente para a tomada de decisões; e (iii) quando os dados
numéricos ou recursos são insuficientes para uma estimativa quantitativa.
Os métodos de estimativa quantitativos utilizam escalas com valores numéricos para
definir as conseqüências e a probabilidade. Utilizam, na maioria dos casos, dados
históricos de incidentes que podem ser relacionados aos objetivos e interesses da
organização, porém a falta desses dados principalmente sobre novos riscos inviabiliza
a sua utilização. Uma desvantagem da abordagem quantitativa ocorre quando dados
factuais e auditáveis não estão disponíveis. Nesse caso, a exatidão da análise/avaliação
de riscos e os valores associados tornam-se ilusórios. Por isso, a incerteza e a
variabilidade das conseqüências e da probabilidade devem ser consideradas na análise
e comunicadas de forma eficaz. 40
40
Ibid.
21

Avaliação das conseqüências: o objetivo é avaliar o impacto sobre o negócio da
organização, que pode ser causado por incidentes de segurança da informação. Recebe
como entrada uma lista de cenários de incidentes identificados como relevantes,
incluindo a identificação de ameaças, vulnerabilidades,
ativos afetados e
conseqüências para os ativos e processos do negócio. A saída é uma lista de
conseqüências avaliadas referentes aos cenários de incidentes, relacionadas aos ativos
e critérios de impacto, conforme definido no contexto.41
O valor dos ativos presentes no escopo deve ser considerado, de acordo com a
ISO/IEC 27005, para avaliar as possíveis perdas que a organização está sujeita. Os
ativos são valorados segundo a sua criticidade, isto é, em relação ao seu custo de
reposição e as conseqüências ao negócio relacionadas à perda ou ao comprometimento
do ativo. Essa valoração pode ser determinada a partir de uma análise de impacto no
negócio – BIA (Business Impact Analysis).
Vale destacar que um incidente pode afetar mais de um ativo ou somente parte de um
ativo. Além disso, a criação de modelos com os resultados de um evento ou um
conjunto de eventos a partir de estudos experimentais ou dados passados contribuem
para determinar a extensão dos danos causados por um cenário de incidente e a relação
de dependência entre os ativos. As conseqüências podem ser expressas em função dos
critérios monetários, técnicos ou humanos, de impacto ou de outro critério relevante
para a organização.42

Avaliação da probabilidade dos incidentes: recebe como entrada: (i) uma lista de
cenários de incidentes identificados como relevantes, incluindo a identificação de
ameaças, ativos afetados, vulnerabilidades exploradas e conseqüências para os ativos e
processos do negócio; e (ii) listas com todos os controles existentes e planejados, sua
eficácia, implementação e status de utilização. A saída é a probabilidade dos cenários
de incidentes, utilizando um método quantitativo ou qualitativo.43
É importante observar a freqüência da ocorrência das ameaças e a facilidade com que
as vulnerabilidades podem ser exploradas, considerando o seguinte: (i) a experiência
passadas e estatísticas aplicáveis referentes à probabilidade da ameaça; (ii) a
41
Ibid.
Ibid.
43
Ibid.
42
22
motivação e as competências, que mudam ao longo do tempo, os recursos disponíveis
para possíveis atacantes, bem como a percepção da vulnerabilidade e o poder da
atração dos ativos para um possível atacante, no caso de ameaças intencionais; (iii)
fatores geográficos, a possibilidade de eventos climáticos extremos e fatores que
poderiam acarretar erros humanos e o mau funcionamento de equipamentos, no caso
de ameaças acidentais; (iv) vulnerabilidades, tanto individualmente como em
conjunto; e (v) os controles existentes e a eficácia com que eles reduzem as
vulnerabilidades.44

Estimativa do nível de risco: o objetivo é estimar o nível de riscos de todos cenários
de incidentes considerados relevantes. Recebe como entrada uma lista de cenários de
incidentes com suas conseqüências associadas aos ativos, processos de negócio e suas
probabilidades. A saída é uma lista de riscos com níveis de valores designados.45
Segundo a ISO/IEC 27005, o risco é estimado por meio da combinação entre a
probabilidade de um cenário de incidente e suas conseqüências. Desse modo, são
designados valores, de natureza quantitativa ou qualitativa, para a probabilidade e para
as conseqüências de um risco. Por conseguinte, o nível de risco dos cenários de
incidentes é determinado. Além disso, a estimativa de risco pode considerar o custobenefício, as preocupações das partes interessadas e outras variáveis, conforme
apropriado para a avaliação de riscos.
3.1.4.2
Avaliação de riscos
A avaliação de riscos visa comparar o nível de riscos dos cenários de incidentes
encontrados com os critérios de avaliação de riscos e com os critérios para a aceitação do
risco. As entradas da atividade são (i) uma lista de riscos com níveis de valores designados e
(ii) critérios para a avaliação de riscos. A saída é uma lista de riscos ordenados por prioridade,
de acordo com os critérios de avaliação de riscos, e associados aos cenários de incidentes que
os provocam.46
Os riscos estimados são avaliados por meio dos critérios de avaliação de riscos e dos
critérios para a aceitação do risco estabelecidos durante a definição do contexto. Neste estágio
44
Ibid.
Ibid.
46
Ibid.
45
23
o contexto deve ser revisado detalhadamente em que se conhece mais sobre os riscos
identificados. Além disso, os critérios de avaliação de riscos devem ser consistentes com o
contexto interno e externo da organização e devem considerar os objetivos da organização e o
ponto de vista das partes interessadas. Vale destacar que a agregação de múltiplos riscos
pequenos e médios pode resultar em um risco significativo que precisará ser tratado
adequadamente.47
Segundo a ISO/IEC 27005 os seguintes itens devem ser considerados:

As propriedades da segurança da informação (confidencialidade, integridade e
disponibilidade). Caso um critério não seja importante para a organização, logo, todos
os riscos que provocam esse tipo de impacto podem ser considerados irrelevantes.

A importância do processo de negócios ou da atividade suportada por um determinado
ativo ou conjunto de ativos. Os riscos associados a processos julgados de baixa
importância devem ser menos considerados que os associados a processos mais
importantes.
Com a avaliação de riscos a etapa de análise/avaliação de riscos termina, caso os
resultados tenham sido insatisfatórios deve-se retornar ao estabelecimento do contexto, caso a
avaliação tenha sido satisfatória passa-se ao tratamento do risco.
3.1.5
Tratamento do risco
O tratamento do risco visa selecionar controles para reduzir, reter, evitar ou transferir os
riscos e definir um plano de tratamento do risco Recebe como entrada uma lista de riscos
ordenados por prioridade e associados aos cenários de incidentes que os provocam, e como
saída o plano de tratamento do risco e os riscos residuais, sujeitos à decisão de aceitação por
parte dos gestores da organização.48 A Figura 4 ilustra a atividade de tratamento de risco
dentro do processo de gestão de risco de segurança da informação.
Conforme a ISO/IEC 27005, as opções do tratamento do risco são selecionadas
considerando o resultado da análise/avaliação de riscos, o custo esperado para implementação
dessas opções e os benefícios previstos. Porém os riscos improváveis e de impacto severo
podem exigir controles que não são justificáveis do ponto de vista estritamente econômico,
47
48
Ibid.
Ibid.
24
como por exemplo, controles de continuidade de negócios. Além disso, as quatro opções para
o tratamento do risco não são mutuamente excludentes, pode haver combinações entre elas de
modo a beneficiar a organização.
O plano de tratamento do risco deve identificar claramente a ordem de prioridade em que
as formas de tratamento do risco sejam implementadas, assim como os seus prazos de
execução. Algumas formas de tratamento do risco podem lidar com mais de um risco de
forma efetiva, por exemplo, o treinamento e a conscientização em segurança.
Após a definição do plano de tratamento do risco, os riscos residuais precisam ser
determinados. Para isso, ocorre uma repetição da análise/avaliação de riscos, considerando os
efeitos previstos do tratamento do risco que foi proposto. Caso o risco residual ainda não
satisfaça os critérios para a aceitação do risco da organização, uma nova iteração do
tratamento do risco pode ser necessária antes de se prosseguir à aceitação do risco. 49 A seguir
as opções de tratamento do risco são detalhadas.
Figura 4 – A atividade de tratamento do risco segundo a norma ISO/IEC 27005.
49
Ibid.
25
 Redução do risco: consiste na tomada de ações para reduzir a probabilidade, as
conseqüências negativas, ou ambas, associadas a um risco. Nesse caso o nível de risco
é reduzido através da seleção de controles, para que o risco residual possa ser
reavaliado e então considerado aceitável.50
No âmbito de um sistema de gestão da segurança da informação em que a gestão de
risco está inserida, a seleção de controles para redução do risco se dá dentre as opções
oferecidas pela norma ISO/IEC 27002 – Código de prática para a gestão da segurança
da informação.
A escolha dos controles, de acordo com a ISO/IEC 27005, deve considerar: (i)
critérios para a aceitação do risco; (ii) requisitos legais, regulatórios e contratuais; (iii)
custos e prazos para a aquisição, implementação, administração, operação,
monitoramento e manutenção dos controles em relação ao valor dos ativos sendo
protegidos; (iv) o retorno do investimento em segurança, na forma da redução do risco
e da possibilidade de se explorar novas oportunidades de negócio em função da
existência de certos controles; (v) aspectos técnicos, culturais e ambientais; (vi)
competências especializadas que possam ser necessárias para definir e implementar
novos controles ou modificar os existentes. Vale ressaltar que os controles podem
fornecer os seguintes tipos de proteção: correção, eliminação, prevenção, minimização
do impacto, dissuasão, detecção, recuperação, monitoramento e conscientização.
Um controle pode afetar o desempenho de um sistema ou processos de uma
organização. Por isso é importante que uma solução que satisfaça os requisitos de
desempenho e que possa, ao mesmo tempo, garantir um nível suficiente de segurança
da informação seja encontrada.51
A norma destaca a necessidade de considerar restrições que podem afetar a seleção de
controles, as quais podem ser da seguinte natureza: temporais, financeiras, técnicas,
operacionais, culturais, éticas, ambientais, legais, facilidade de uso, restrições de
recursos humanos e restrições ligadas à integração dos controles novos aos já
existentes.
50
51
Ibid.
Ibid.
26
Retenção do risco: é a aceitação do ônus da perda ou do benefício do ganho
associado a um determinado risco, todavia, no contexto dos riscos de segurança da
informação, somente conseqüências negativas são consideradas. A decisão sobre a
retenção de algum risco é tomada em função da avaliação de risco. Se o nível de risco
atende aos critérios para a aceitação do risco, não há necessidade de se implementar
controles adicionais e pode haver a retenção do risco.52

Ação de evitar o risco: é a decisão de não se envolver ou agir de forma a se retirar de
uma situação de risco, isto é, a organização evita a atividade ou condição que dá
origem a um determinado risco. Esta ação é realizada quando o risco é demasiado e
quando os custos para a redução do risco são superiores aos benefícios. Por exemplo:
para riscos causados por fenômenos naturais, pode ser uma alternativa mais rentável
mover fisicamente as instalações de processamento de informações para um local
onde o risco não existe ou está sob controle.53

Transferência do risco: é o compartilhamento com outra entidade do ônus da perda
ou do benefício do ganho associado a um risco, isto é, a transferência de um risco para
outra entidade externa a organização que possa gerenciá-lo de forma mais eficaz. A
transferência do risco pode criar novos riscos ou modificar riscos existentes e já
identificados. Portanto, uma nova iteração do processo de gestão de risco pode vir a
ser necessária.
Uma forma de transferir o risco é a contratação de um seguro que cubra o impacto de
incidente outra forma seria a subcontratação de um parceiro cujo papel seria o de
monitorar o sistema de informação e tomar medidas imediatas que impeçam um
ataque antes que ele possa causar um determinado nível de dano ou prejuízo. Desse
modo é possível transferir a responsabilidade pelo gerenciamento do risco, entretanto a
responsabilidade legal pelo impacto normalmente não é possível ser transferida.
Assim, os clientes provavelmente irão atribuir a culpa por um efeito adverso à
organização. 54
52
Ibid.
Ibid.
54
Ibid.
53
27
3.1.6
Aceitação do risco
A aceitação do risco é a formalização pela autoridade competente da decisão de aceitar o
risco. Recebe como entrada: o plano de tratamento do risco e a análise/avaliação do risco
residual sujeito à decisão dos gestores da organização relativa à aceitação do mesmo. A saída
da atividade é uma lista de riscos aceitos, incluindo uma justificativa para aqueles que não
satisfaçam os critérios normais para aceitação do risco.55
Os gestores da organização devem analisar o plano de tratamento de risco e os riscos
residuais e, no caso de aprovação dos mesmos, as condições associadas à aprovação devem
ser registradas.
Conforme a ISO/IEC 27005, os critérios para a aceitação do risco podem ser mais
complexos do que a verificação se o risco residual está acima ou abaixo do limite
determinado pela organização. É possível que o nível de risco residual não satisfaça os
critérios para a aceitação do risco aplicados no momento. Em algum destes casos os gestores
podem aceitar o risco desce que a decisão seja formalizada e comente explicitamente sobre o
risco e inclua uma justificativa para ultrapassar os critérios normais para a aceitação do risco.
3.1.7
Comunicação do risco
A comunicação do risco preconiza o compartilhamento contínuo das informações
referentes aos riscos entre as partes interessadas durante todo o processo de gestão de risco.
Recebe como entrada todas as informações sobre os riscos obtidas através das atividades de
gestão de riscos. A saída da atividade é o entendimento contínuo do processo de gestão de
riscos de segurança da informação da organização e dos resultados obtidos.56
A comunicação do risco é uma atividade bidirecional, em que se busca o consenso entre
os tomadores de decisão e as partes interessadas sobre como os riscos devem ser gerenciados.
Entretanto, a percepção do risco varia devido a diferenças de suposições, conceitos,
necessidades, interesses e preocupações das partes interessadas quando lidam com o risco. É
importante que a sua percepção do risco, as razões subjacentes e a sua percepção dos
benefícios sejam claramente entendidas, consideradas e documentadas. Além disso, a
comunicação eficaz impacta significativamente sobre a tomada de decisão, já que ela
55
56
Ibid.
Ibid.
28
assegurará que todos tenham um bom entendimento do por que as decisões são tomadas e dos
motivos que tornam certas ações necessárias.57
As informações que devem ser compartilhadas, conforme a ISO/IEC 27005, incluem,
dentre outros fatores, a existência do risco, sua natureza, forma, probabilidade, severidade,
tratamento e aceitabilidade.
A norma aponta que a comunicação do risco é realizada com a finalidade de: (i) fornecer
garantia do resultado da gestão de riscos da organização; (ii) coletar informações sobre os
riscos; (iii) compartilhar os resultados da análise/avaliação de riscos e apresentar o plano de
tratamento do risco; (iv) evitar ou reduzir tanto a ocorrência quanto as conseqüências das
violações da segurança da informação que aconteçam devido à falta de entendimento mútuo
entre os tomadores de decisão e as partes interessadas; (v) dar suporte ao processo decisório;
(vi) obter novo conhecimento sobre a segurança da informação; (vii) coordenar com outras
partes e planejar respostas para reduzir as conseqüências de um incidente; (viii) dar aos
tomadores de decisão e as partes interessadas um senso de responsabilidade sobre riscos; e
(ix) melhorar a conscientização.
3.1.8
Monitoramento e análise crítica de riscos
O monitoramento e análise crítica de riscos é um conjunto de atividade continuamente
executo que visa monitorar as mudanças no contexto, nos componentes do risco e aprimorar o
processo de gestão de risco. Dividi-se em duas atividades: (i) monitoramento e análise crítica
dos fatores de risco, e (ii) monitoramento, análise crítica e melhoria do processo de gestão de
risco.
 Monitoramento e análise crítica dos fatores de risco: os componentes do risco, isto
é, valor dos ativos, impactos, ameaças, vulnerabilidades, probabilidade de ocorrência,
devem ser monitorados a analisados criticamente para detectar qualquer mudança no
contexto da organização. Recebe como entrada todas as informações sobre os riscos
obtidas através das atividades de gestão de riscos. A saída da atividade é o
alinhamento contínuo da gestão de riscos com os objetivos de negócios da organização
e com os critérios para a aceitação do risco.58
57
58
Ibid.
Ibid.
29
Os riscos não são estáticos, os seus componentes podem mudar repentinamente, sem
qualquer indicação, daí a importância do monitoramento e análise crítica. Segundo a
norma os seguintes itens devem ser monitorados: (i) novos ativos que tenham sido
incluídos no escopo da gestão de riscos; (ii) modificações necessárias dos valores dos
ativos; (iii) novas ameaças que podem estar ativas tanto fora quanto dentro da
organização; (iv) o surgimento de vulnerabilidades novas ou as que já identificadas se
ampliem devido às novas ameaças; (v) as conseqüências ou o impacto ampliado de
ameaças, vulnerabilidades e riscos avaliados em conjunto; e (vi) incidentes
relacionados à segurança da informação.
 Monitoramento, análise crítica e melhoria do processo de gestão de risco: o
processo de gestão de riscos deve ser continuamente monitorado, analisado
criticamente e melhorado. Recebe como entrada: todas as informações sobre os riscos
obtidos através das atividades de gestão de riscos, e como saídos: a garantia
permanente da relevância do processo de gestão de riscos de segurança da informação
para os objetivos de negócios da organização ou a atualização do processo.59
As atividades e os resultados do processo de gestão de risco devem ser acompanhados
para verificar se permanecem apropriados as circunstâncias da organização. As
melhorias devem ser comunicadas aos gestores apropriados, para aumentar a garantia
de que os riscos foram corretamente considerados e para garantir uma compreensão
realista do risco e da capacidade de reação. Além disso, os critérios utilizados para
mensurar o risco devem ser avaliados se continuam válidos e coerentes com as
necessidades da organização.60
A atividade de monitoramento e análise crítica, de acordo com a ISO/IEC 27005, deve
acompanhar as mudanças nos seguintes aspectos: (i) contexto legal e do ambiente; (ii)
contexto da concorrência; (iii) método de análise/avaliação de riscos; (iv) valor e as
categorias dos ativos; (v) critérios de impacto; (vi) critérios para a avaliação de riscos;
(vii) critérios para a aceitação do risco; (viii) custo total de propriedade; e (ix) recursos
necessários.
O monitoramento da gestão de riscos pode resultar em modificação ou acréscimo da
abordagem, metodologia ou ferramentas utilizadas, dependendo: (i) das mudanças
59
60
Ibid.
Ibid.
30
identificadas; (ii) da iteração da análise/avaliação de riscos; (iii) do objetivo do
processo de gestão de riscos de segurança da informação; e (iv) do objeto de interesse
do processo de gestão de riscos de segurança da informação.61
3.2
Administração pública
Segundo Hely Lopes Meirelles62 a administração pública, em sentido formal, é o
conjunto de órgãos instituídos para consecução dos objetivos do Governo; em sentido
material, é o conjunto das funções necessárias aos serviços públicos em geral; em acepção
operacional, é o desempenho perene e sistemático, legal e técnico, dos serviços próprios do
Estado ou por ele assumidos em beneficio da coletividade. Numa visão global, a
Administração é, pois, todo o aparelhamento do Estado preordenado à realização de seus
serviços, visando à satisfação das necessidades coletivas. A Administração não pratica atos de
governo; pratica, tão-somente, atos de execução, com maior ou menor autonomia funcional,
segundo a competência do órgão e de seus agentes.
Em sentido material ou objetivo, conforme Maria Sylvia Zanella Di Pietro63, a
administração pública abrange as seguintes atividades o fomento, a polícia administrativa e
o serviço público.
O fomento abrange a atividade administrativa de incentivo a iniciativa privada de
utilidade pública. São exemplos de fomento auxílios financeiros ou subvenções,
financiamentos sob condições especiais, favores fiscais, desapropriações e a intervenção. Esta
última compreende a regulamentação e fiscalização da atividade econômica de natureza
privada, bem como a atuação direta do Estado no domínio econômico, o que se dá
normalmente por meio das empresas estatais.
A polícia administrativa compreende toda atividade de execução das limitações
administrativas, que são restrições impostas por lei ao exercício de direitos individuais em
benefício do interesse coletivo. Compreende medidas de polícia, como ordens, notificações,
licenças, autorizações, fiscalização e sanções.
61
Ibid.
MEIRELLES, H. L. Direito Administrativo Brasileiro. São Paulo: Malheiros, 2005.
63
DI PIETRO, M. S. Z. Direito Administrativo. São Paulo: Atlas, 2006.
62
31
Serviço público é toda atividade que a Administração Pública executa, direta ou
indiretamente, para satisfazer à necessidade coletiva. Quanto ao objeto, os serviços públicos
podem ser classificados como administrativos, comerciais ou industriais e sociais64.

Os serviços administrativos são os que a Administração Pública executa para
atender às suas necessidades internas ou preparar outros serviços que serão
prestados ao público, tais como os da imprensa oficial, das estações
experimentais e outros dessa natureza65.

Serviço público comercial ou industrial é aquele que a Administração Pública
executa, direta ou indiretamente, para atender às necessidades coletivas de ordem
econômica.
É
o
caso
dos
serviços
de
transportes,
energia
elétrica,
telecomunicações e outros. Esses serviços não se confundem com a atividade
econômica que só pode ser prestada pelo Estado em caráter suplementar da
iniciativa privada, os quais são considerados como atividade de fomento.

Serviço público social é o que atende a necessidades coletivas em que a atuação
do Estado é essencial, mas que convivem com a iniciativa privada, tal como
ocorre com os serviços de saúde, educação, previdência, cultura, meio ambiente;
Órgãos públicos são centros de competência instituídos para o desempenho de funções
estatais, através de seus agentes, cuja atuação é imputada à pessoa jurídica a que pertencem.
São unidades de ação com atribuições especificas na organização estatal. Cada órgão, como
centro de competência governamental ou administrativa, tem necessariamente funções, cargos
e agentes, mas é distinto desses elementos, que podem ser modificados, substituídos ou
retirados sem supressão da unidade orgânica. Isto explica por que a alteração de funções, ou a
vacância dos cargos, ou a mudança de seus titulares não acarreta a extinção do órgão.
Os órgãos integram a estrutura do Estado e das demais pessoas jurídicas como partes
desses corpos vivos, dotados de vontade e capazes de exercer direitos e obrigações para a
consecução de seus fins institucionais. Por isso mesmo, os órgãos não têm personalidade
jurídica nem vontade própria, que são atributos do corpo e não das partes, mas na área de suas
atribuições e nos limites de sua competência funcional expressam a vontade da entidade a que
pertencem e a vinculam por seus atos, manifestados através de seus agentes (pessoas físicas).
64
65
Ibid.
MEIRELLES, op. cit.
32
A natureza da administração pública é a de um múnus público para quem a exerce, isto é,
a de um encargo de defesa, conservação e aprimoramento dos bens, serviços e interesses da
coletividade. Como tal, impõe-se ao administrador público a obrigação de cumprir fielmente
os preceitos do Direito e da moral administrativa que regem a sua atuação. Ao ser investido
em função ou cargo público, todo agente do poder assume para com a coletividade o
compromisso de bem servi-la, porque outro não é o desejo do povo, como legitimo
destinatário dos bens, serviços e interesses administrados pelo Estado.
Os fins da administração pública resumem-se num único objetivo: o bem comum da
coletividade administrada. Toda atividade do administrador público deve ser orientada para
esse objetivo. Se dele o administrador se afasta ou desvia, trai o mandato de que está
investido, porque a comunidade não institui a administração sendo como meio de atingir o
bem-estar social. Ilícito e imoral será todo ato administrativo que não for praticado no
interesse da coletividade.
3.2.1
Princípios da administração pública
Conforme Meirelles66, os princípios básicos da administração pública estão
consubstanciados em regras de observância permanente e obrigatória: legalidade, moralidade,
impessoalidade e publicidade, eficiência, razoabilidade, proporcionalidade, ampla defesa,
contraditório, segurança jurídica, motivação e supremacia do interesse público. Di Pietro
ainda acrescenta, dentre outros, o princípio da continuidade do serviço público. Por esses
padrões é que se pautam todos os atos administrativos. Constituem os fundamentos da ação
administrativa, são os sustentáculos da atividade pública. Serão abordados em mais detalhes
alguns desses princípios.
A legalidade, como principio de administração, significa que o administrador público
está sujeito aos mandamentos da lei e às exigências do bem comum, e deles não se pode
afastar ou desviar, sob pena de praticar ato inválido e expor-se a responsabilidade disciplinar,
civil e criminal, conforme o caso. A eficácia de toda atividade administrativa está
condicionada ao atendimento da lei. Na Administração Pública não há vontade pessoal.
Enquanto na administração particular é lícito fazer tudo que a lei não proíbe, na
Administração Pública só é permitido fazer o que a lei autoriza.67
66
67
MEIRELLES, op. cit.
Ibid.
33
A moralidade administrativa significa atuação segundo padrões éticos de probidade,
decoro e boa-fé. Constitui um pressuposto de validade de todo ato da Administração Pública.
O agente público não poderá desprezar o elemento ético de sua conduta. Ele não terá que
distinguir somente entre o bem e o mal, o legal e o ilegal, o justo e o injusto, o conveniente e
o inconveniente, o oportuno e o inoportuno, mas também entre o honesto e o desonesto. Há
uma moral institucional contida na lei e há uma moral administrativa, que é imposta de dentro
e vigora no próprio ambiente institucional e condiciona a utilização de qualquer poder
jurídico, mesmo o discricionário.68 O ato administrativo não terá que obedecer somente à lei
jurídica, mas também à lei ética da própria instituição, porque nem tudo que é legal é honesto.
A moral comum é imposta ao homem para sua conduta externa; a moral administrativa é
imposta ao agente público para sua conduta interna, segundo as exigências da instituição a
que serve e a finalidade de sua ação: o bem comum.69
O princípio da impessoalidade, ou ainda princípio da finalidade, impõe ao administrador
público que só pratique o ato para o seu fim legal. Significa que Administração Pública não
pode atuar com vistas a prejudicar ou beneficiar pessoas determinadas, visto que é sempre o
interesse público que deve nortear o seu comportamento. O ato administrativo que se afastar
desse objetivo estará sujeito a invalidação por desvio de finalidade, isto é, fim diverso daquele
previsto, explícita ou implicitamente, na regra de competência do agente. Esse princípio
também se aplica no sentido de excluir a promoção pessoal de autoridades ou servidores
públicos sobre suas realizações administrativas. 70
Publicidade é a divulgação oficial do ato para conhecimento público e início de seus
efeitos externos. Por isso as leis, atos e contratos administrativos que produzem
conseqüências jurídicas fora dos órgãos que os emitem exigem publicidade para adquirirem
validade universal, isto é, perante as partes e terceiros. A publicidade é requisito de eficácia e
moralidade. Em princípio, todo ato administrativo deve ser publicado só se admitindo sigilo
nos casos em que a divulgação ponha em risco a segurança da sociedade e do Estado; ou viole
a intimidade, a vida privada, a honra e a imagem das pessoas; e investigações policiais,
conforme prescrição legal. O princípio da publicidade dos atos e contratos administrativos
68
DI PIETRO, op. cit.
MEIRELLES, op. cit.
70
Ibid..
69
34
visa propiciar seu conhecimento e controle pelos interessados diretos e pela sociedade em
geral. 71
O princípio da razoabilidade e proporcionalidade objetiva adequar os meios e os fins
de um ato da administração, de modo a evitar restrições desnecessárias ou abusivas. A idéia é
que seja guardada uma proporção adequada entre os meios que emprega e o fim que a lei
deseja alcançar, isto é, que não se trate de uma medida desproporcionada, excessiva em
relação ao que se deseja alcançar. Deve haver uma relação de pertinência entre oportunidade e
conveniência, de um lado, e a finalidade, de outro. A razoabilidade, agindo como um limite à
discrição na avaliação dos motivos, exige que sejam eles adequáveis, compatíveis e
proporcionais, de modo a que o ato atenda a sua finalidade pública específica.72
A proporcionalidade deve ser medida não pelos critérios pessoais do administrador, mas
segundo padrões comuns na sociedade em que vive, e não pode ser medida diante dos termos
frios da lei, mas diante do caso concreto. Com efeito, embora a norma legal deixe um espaço
livre para decisão administrativa, segundo critérios de oportunidade e conveniência, essa
liberdade às vezes se reduz no caso concreto, onde os fatos podem apontar para o
administrador a melhor solução.73
O princípio da motivação exige que a Administração Pública indique os fundamentos de
fato e de direito de suas decisões. Trata-se de uma formalidade necessária para permitir o
controle de legalidade dos atos administrativos. A motivação, normalmente, não exige formas
específicas, podendo ser ou não concomitante com o ato, além de ser feita, muitas vezes, por
órgão diverso daquele que proferiu a decisão. Freqüentemente, a motivação consta de
pareceres, informações, laudos, relatórios, feitos por outros órgãos, sendo apenas indicados
como fundamento da decisão. Nesse caso, eles constituem a motivação do ato, dele sendo
parte integrante.74
O princípio de eficiência exige que a atividade administrativa seja exercida com presteza,
perfeição e rendimento funcional.75 Este princípio apresenta dois aspectos: pode ser
considerado em relação ao modo de atuação do agente público, da qual se espera o melhor
desempenho possível de suas atribuições, para lograr os melhores resultados; e em relação ao
71
Ibid.
DI PIETRO, op.cit.
73
Ibid.
74
Ibid.
75
MEIRELLES, op.cit.
72
35
modo de organizar, estruturar, disciplinar a Administração Pública, também com o mesmo
objetivo de alcançar os melhores resultados na prestação do serviço público.76
Di Pietro ressalta que há uma oposição entre o princípio da eficiência e o princípio da
legalidade, pois o que importa aos cidadãos é que os serviços públicos sejam prestados
adequadamente. Entretanto, a eficácia não deve se confundir com a eficiência das
organizações privadas nem é, tampouco, um valor absoluto diante dos demais. O princípio da
legalidade deve ficar resguardado, porque a eficácia proposta pode sempre ser alcançada
conforme o ordenamento jurídico. Vale dizer que a eficiência é princípio que se sorna aos
demais princípios impostos à Administração, não podendo sobrepor-se a nenhum deles,
especialmente ao da legalidade.77
A continuidade do serviço público exige que o serviço público, sendo a forma pela qual
o Estado desempenha funções essenciais ou necessárias à coletividade, não pode parar. É
possível citar como exemplo da aplicação desse princípio a necessidade de regulamentação
específica, imposta pela Constituição, a greve de servidores públicos e de trabalhadores de
setores essenciais a sociedade. Outro exemplo, para evitar a paralisação de obras e serviços, é
a vedação ao particular contratado, dentro de certos limites, opor em face da Administração a
exceção de contrato não cumprido.78 Um exemplo mais recente, afeto a segurança da
informação, seria a gestão de continuidade de negócios, em que uma organização mantém
suas atividades principais na ocorrência de um desastre ou comprometimento de ativos vitais.
A supremacia do interesse público ou princípio da finalidade pública significa que a
Administração deve atuar atendendo aos fins de interesse geral, sendo vedada a renúncia total
ou parcial de poderes ou competências. A primazia do interesse público sobre o privado é
inerente à atuação estatal e domina-a, na medida em que a existência do Estado justifica-se
pela busca do interesse geral.79 Por exemplo, se a lei dá à Administração os poderes de
desapropriar, de requisitar, de intervir, de policiar, de punir, é porque tem em vista atender ao
interesse geral, que não pode ceder diante do interesse individual. Em conseqüência, se, ao
usar de tais poderes, a autoridade administrativa objetiva prejudicar um inimigo político,
beneficiar um amigo, conseguir vantagens pessoais para si ou para terceiros, estará fazendo
prevalecer o interesse individual sobre o interesse público e, em conseqüência, estará se
76
DI PIETRO, op.cit.
Ibid.
78
FILHO, J. S. C. Manual de Direito Administrativo. Rio de Janeiro: Lúmen Juris, 2006.
79
MEIRELLES, op.cit.
77
36
desviando da finalidade pública prevista na lei. Daí o vício do desvio de poder ou desvio de
finalidade, que torna o ato ilegal.80
80
DI PIETRO, op.cit.
37
4
INSTRUMENTOS PARA ANÁLISE/AVALIAÇÃO DE
RISCO – ENFOQUE DE ALTO NÍVEL
Os instrumentos para análise/avaliação de risco com um enfoque de alto nível propostos
objetivam identificar os requisitos de segurança da informação para um órgão da
Administração Pública e suportar a criação de um sistema de gestão de segurança da
informação. Os instrumentos foram desenvolvidos com o propósito de ser a primeira iteração
do processo de gestão de riscos segundo a ISO/IEC 27005. Por isso utilizam uma estimativa
qualitativa para os riscos, em que o impacto e a probabilidade dos cenários de incidente são
mensurados a partir de escalas com atributos qualificadores.
As vantagens dessa abordagem em relação ao risco são a facilidade de compreensão pelas
pessoas envolvidas, é mais rápida e menos custosa que uma estimativa quantitativa. Porém
uma desvantagem que vale destacar é a escolha subjetiva das escalas. Para tentar minimizar o
caráter subjetivo do processo é indicado que uma equipe multidisciplinar trabalhe com a
gestão de risco, além disso é importante ouvir as pessoas das frações da organização
envolvidas no escopo, por meio de reuniões, entrevistas, brainstorm, visitas, etc.
Na abordagem proposta, a organização é abordada de um modo global, os aspectos
tecnológicos são considerados independentes das questões de negócio, isto é, concentra-se
sobre o negócio e sobre o ambiente operacional e menos sobre os elementos tecnológicos. Os
riscos decorrentes dessa análise são considerados como categorias ou classes gerais. O
tratamento dos riscos caminha no sentido de propor controles organizacionais, considerando
os aspectos gerenciais de controles técnicos. Logicamente, os riscos considerados graves
38
serão objetos de outras iterações do processo de análise/avaliação de riscos em que seus
componentes serão detalhados.81
Os instrumentos foram desenvolvidos para as seguintes atividades do processo de gestão
de risco de segurança da informação conforme a ISO/IEC 27005:
i. Definição do contexto: definição do escopo e dos critérios de risco;
ii. Análise/Avaliação de riscos;

Identificação de riscos: os ativos, processos, ameaças, vulnerabilidades e o impacto

Estimativa de riscos: o nível de impacto, probabilidade e nível de risco são definidos;

Avaliação de riscos: os cenários de incidentes são priorizados conforme os critérios
dos cenários de riscos são identificados;
de risco;
As outras atividades da GRSI, aceitação do risco, comunicação do risco, e monitoramento
e análise crítica dos riscos, seguirão as orientações da norma ISO/IEC 27005:2008.
4.1
Definição do contexto
A definição do contexto é um dos principais fatores do sucesso da gestão de risco.
Envolve a definição dos critérios básicos de risco, a definição do escopo e limites da gestão
de riscos.
4.1.1
Definição do escopo
A norma ISO/IEC 27005 sugere tacitamente que os critérios básicos sejam definidos
antes do escopo, porém o sentido natural do processo parece ser o contrário. Para especificar
os critérios é preciso considerar os processos estratégicos da organização, os ativos críticos,
dentre outras informações que necessariamente deverão estar no escopo. Além disso, os
critérios devem ser estabelecidos observando as características da organização e também as
especificidades do escopo.
O processo de gestão de risco envolve algumas escolhas em termos de abrangência. O
escopo é o conjunto de ativos que será coberto pelo processo. Um fator crítico para uma
As diretrizes para uma metodologia de análise/avaliação de riscos com um enfoque de alto nível são descritos
no Anexo E da norma ISO/IEC 27005:2008.
81
39
organização que está começando um processo de gestão de risco é o tamanho do escopo.
Escopos pequenos podem não ser eficientes, por não cobrirem todos os ativos críticos da
organização e escopos muito grandes podem gerar projetos que não acabam nunca.82
O enfoque de alto nível como primeira iteração do processo de gestão de risco visa à
organização como um todo. Porém não será preciso uma análise exaustiva de todos os
elementos presentes no escopo, já que a abordagem concentra-se em aspectos gerais da
organização. Todavia, vale destacar que o escopo deve ser definido de modo que o processo
de gestão de risco seja sustentável.
Um ponto crítico da abordagem proposta é o potencial de menos precisão por utilizar
uma estimativa qualitativa para os riscos, então pode haver o perigo de algum ativo não ser
identificado entre aqueles que requerem uma segunda iteração. Isso pode ser contornado se o
levantamento de informações sobre a organização for adequado.
Uma forma de definir o escopo é a elaboração de um documento com a estrutura
conforme a indicada abaixo ou que aborde os mesmos itens. 83
1. Identificação da organização
Negócio público: (Definido pelas técnicas e know-how de seus funcionários,
viabiliza o cumprimento de sua missão. É específico à área de atividade da
organização e freqüentemente define sua cultura).
Missão: (A organização atinge seu propósito ao cumprir sua missão. Para bem
identificá-la os serviços prestados devem ser relacionados aos seus públicos-alvos)
Valores: (São os princípios fundamentais ou um código de conduta bem
definido, aplicados na rotina de um negócio público. Normalmente, incluem os
recursos humanos, as relações com agentes externos, a qualidade dos produtos
fornecidos ou dos serviços prestados. A APF possui seu código de ética em que
muitos desses valores podem ser encontrados, todavia é válido verificar se os
valores apontados são de fato aplicados a rotina do órgão).
Organograma: (É a estrutura da organização esquematizada. Essa
representação precisa deixar claro quem se reporta a quem, destacando também a
linha de comando que legitima a delegação de autoridade. Convém que inclua
também outros tipos de relacionamentos, os quais, mesmo que não sejam
baseados em uma autoridade oficial, criam de qualquer forma caminhos para o
fluxo de informação).
Objetivos: (São as metas, o que se pretende alcançar).
Estratégia: (É a expressão formalizada dos princípios que norteiam a
organização).
Localidade e características geográficas: (São as características da região ou
RAMOS, A. et al. Security Officer 1: guia oficial para a formação de gestores de segurança da
informação. Porto Alegre: Zouk, 2006.
83
Alguns itens foram retirados do Anexo A da norma ISO/IEC 27005:2008.
82
40
vizinhança onde a organização está instalada).
2. Legislação aplicável à organização: (São leis, decretos, portarias e
regulamentos internos que dizem respeito à organização. Englobam também
contratos, acordos e, mais genericamente, qualquer obrigação de natureza legal ou
regulatória).
3. Limites do escopo: (São os limites organizacionais e físicos do escopo, como
por exemplo uma fração ou unidade da organização, um processo ou serviço
específico ou uma certa localidade geográfica).
4. Ativos de informação: (Neste ponto são listados os ativos de informação que
farão parte do escopo. Os ativos primários e os de suporte e infra-estrutura poderão
ser relacionados em categorias conforme a profundidade que se que imprimir na
análise, embora em uma abordagem de alto nível não convenha descrições muito
detalhadas. É importante que sejam elencados também os processos estratégicos da
organização relacionados ao escopo, visto que os ativos que os suportam são
considerados mais relevantes).
5. Características da organização
Restrições que afetam a organização: (As restrições que afetam a
organização e determinam o direcionamento da segurança da informação devem
ser elencadas. As suas origens podem ser encontradas na própria organização, o
que lhe dá um certo controle sobre as restrições ou talvez sejam externas à
organização, o que as tornariam, provavelmente, inegociáveis)
Expectativa das partes interessadas: (São as expectativas dos entes
interessados nas atividades da organização. No caso da Administração Pública
temos os cidadãos, a opinião pública, o governo, outros órgãos públicos, entidades
de classe, empresas, etc.).
Dentre esses requisitos de informação vale destacar algumas especificidades da
Administração Pública Federal.
4.1.1.1
Especificidades da Administração Pública Federal
A Administração Pública de modo geral tem sua atuação marcadamente distinta da
iniciativa privada. O ponto de maior destaque é o princípio da legalidade que determina que a
eficácia da atividade administrativa esteja condicionada ao atendimento da lei. Enquanto na
iniciativa privada é permitido fazer tudo que a lei não proíbe, na administração pública só é
permitido fazer o que a lei autoriza.84 Nesse quesito há uma gama de diplomas legais relativos
à segurança da informação, a contratação de serviços e de pessoal, bem como a compra de
materiais, que os órgãos públicos devem observar.
84
MEIRELLES, op. cit. p. 88.
41
Há ainda algumas restrições que são comuns aos órgãos públicos que valem ser
destacadas:

Restrições de natureza política: a Administração Pública precisa aplicar as decisões
governamentais relativas a orientações estratégicas, operacionais, ou a políticas
públicas. Nesta questão merece destaque a descontinuidade administrativa. As
mudanças de direção normalmente são marcadas pelo rompimento de atividades e
programas, por modificações na estrutura órgão, e nas chefias intermediárias. A troca
de governo, ou de gestor, é vista como um momento em que naturalmente tudo vai
mudar, atividades e programas são rompidos, independentemente de política pública,
partido ou sua efetividade anterior. O pressuposto dessa prática é que o novo é novo e
o anterior é passado, para o novo se estabelecer é necessário ignorar o anterior.
Conseqüentemente, o novo se concebe virando a página para começar com uma
página em branco; os demais esperam para ver as novas direções – aceitando a
autoridade do novo mandatário.85 Portanto, o planejamento de uma ação sistemática
de gestão de risco ou de gestão de segurança da informação deve procurar se
estabelecer de modo formal e bem fundamentado para que não fique ao sabor das
mudanças ocasionadas pela descontinuidade administrativa.

Restrições orçamentárias: a gestão do dinheiro público é um processo complicado,
regido pelo Sistema de Planejamento e de Orçamento Federal, o qual é formado por
um conjunto de agentes, métodos e processos, tecnologias, recursos, normas técnicas,
articulados entre si, orientados para as atividades de elaboração, acompanhamento e
avaliação de planos, programas e orçamento. O modelo orçamentário do governo é
composto por três instrumentos básicos o plano plurianual, a lei de diretrizes
orçamentárias e a lei orçamentária anual, os quais correspondem respectivamente aos
níveis estratégico, tático e operacional.86 A principal implicação desse sistema é que a
dotação orçamentária anual dos órgãos públicos é feita com antecedência. Então a
previsão de gastos com a gestão de riscos, implementação de controle, dentre outros,
precisa ser feita com a mesma antecedência.
SPINK, Peter. Continuidade e Descontinuidade Administrativa. São Paulo: FGV, 2001.
VOLPE, Ricardo Alberto. Visão abrangente do processo político e institucional de planejamento e
orçamento. Disponível em: <http://www.amefpp.org.mx/centrodoc/XXIXSemIPP/RicardoV.pdf>. Acesso em
10 out. 2008.
85
86
42

Restrições relativas aos recursos humanos: a Constituição diz que a investidura em
cargo ou emprego público depende de aprovação prévia em concurso público de
provas ou de provas e títulos, de acordo com a natureza e a complexidade do cargo ou
emprego. A realização de um concurso público é um processo demorado, precisa de
diversas autorizações e estudos, por isso a contratação de pessoal para atender as
demandas da gestão de risco ou da segurança da informação pode se tornar um
processo intricado. Todavia, é possível a contratação de servidores temporários,
mediante processo seletivo simplificado, para atender à necessidade transitória de
excepcional interesse público, no caso em que a demora do procedimento do concurso
público pode ser incompatível com as exigências imediatas da Administração. A
contratação de terceirizados é possível para os serviços de vigilância, de conservação e
limpeza, bem como para serviços especializados ligados à atividade-meio da
organização, desde que não exista a pessoalidade e a subordinação direta do
trabalhador terceirizado. A subordinação aqui tratada não é técnica, o terceirizado não
pode ter seu trabalho dirigido diretamente pela organização, isto é, recebendo ordens e
submetendo-se ao poder disciplinar da organização. Com relação à pessoalidade
pressupõe a realização da atividade por sujeito que não seja certo nem determinado. É
irrelevante a identidade do agente que desempenha a atividade, dado que a finalidade
da contratação limita-se à obtenção do resultado material pactuado. Vale destacar que
o inadimplemento das obrigações trabalhistas, por parte do empregador, implica a
responsabilidade subsidiária da Administração Pública. 87
4.1.2
Critérios de risco
Os critérios de risco são termos de referência por meio dos quais a significância do risco
é avaliada. A definição de critérios está relacionada de maneira íntima a atividade
desempenhada pela organização e ao escopo do processo de gestão de risco. De modo que é
inviável determinar critérios que sejam aplicáveis indiscriminadamente a todos os órgãos da
Administração Pública Federal.
87
DI PIETRO, op.cit.
43
Os critérios de risco subsidiam a decisão do gestor público quanto às opções de
tratamento do risco, por isso é importante que eles sejam bem fundamentados para que o
gestor possa justificar suas decisões e atender aos princípios da Administração Pública.
A norma ISO/IEC 27005 sugere pelo menos três tipos: critérios para avaliação de riscos,
critérios de impacto e critérios para aceitação do risco.
Critérios para a avaliação de riscos: eles são utilizados para determinar as
prioridades de tratamento dos riscos, serve para especificar os riscos que são
considerados mais significativos para a organização. Por exemplo, os incidentes que
envolvam determinado processo ou conjunto de ativos críticos podem ser
considerados mais importantes que outros, ou incidentes que envolvam a perda da
confidencialidade são mais graves do que aqueles que comprometem a
disponibilidade.
A planilha abaixo representa uma forma de avaliar riscos e de priorizá-los. O
momento de utilizá-la será na etapa de avaliação de riscos, após os riscos terem sido
identificados e mensurados. O primeiro elemento da planilha é o cenário de incidente,
isto é, a descrição da ameaça explorando a vulnerabilidade de um ativo. Em seguida
há o nível de risco (NR), que é a referência da combinação da probabilidade e do
impacto da ocorrência do cenário de incidente. O NR é um índice muito importante
para a avaliação e priorização dos riscos. As respostas aos quesitos que vem em
seguida na planilha ajudam a definir a ordem de prioridade de tratamento dos riscos
identificados, a qual será indicada na última coluna. Os quesitos devem ser adaptados
Tabela 1 – Critério para a avaliação de risco.
Priorização dos riscos.
Viola qual atributo da
segurança da informação?
Causa dano a imagem a do
governo ou do país?
Causa dano a imagem ou
reputação da organização?
Viola algum requisito legal?
NR
Atinge algum ativo crítico?
Cenário de incidente
Atinge algum processo
estratégico?
conforme as necessidades da organização.
44

Critérios de impacto: determinam a gravidade das conseqüências de um incidente,
são desenvolvidos em função do valor de reposição do ativo e da conseqüência para o
negócio público relacionada à perda do ativo. O primeiro está relacionado à criticidade
do ativo, ao seu custo e tempo de recuperação ou de reposição da informação. O
segundo refere-se aos prejuízos organizacionais, como violação de segurança da
informação, violação de requisitos legais, perda de oportunidades, comprometimento
de operações, perda da eficiência, dano a reputação. A tabela abaixo representa uma
forma como os critérios de impacto podem ser apresentados. Serão elaboradas
definições para os graus de importância dos ativos como um todo e para a graduação
da conseqüência para a atividade do órgão.
Critério
Alta
Média
Baixa
Valor de reposição
do ativo
Conseqüência para o
negócio público
relacionada à perda
do ativo
Tabela 2 – Critério de impacto.
Vale ressaltar que os prejuízos intangíveis, como danos a reputação, tomam uma
proporção diferente quando se trata da Administração Pública. Uma empresa privada
quando sofre um incidente que prejudica sua reputação, por exemplo, pode perder a
confiança de seus clientes, oportunidades, dentre outras coisas, porém o prejuízo quase
sempre é restrito apenas a empresa. Para a Administração Pública as conseqüências
vão além do órgão atingido, podem alcançar o governo e até o próprio país.

Critérios para aceitação do risco: o estabelecimento desses critérios depende dos
marcos legais, políticas, metas e objetivos da organização. Outros aspectos também
devem ser observados como critérios de negócio, finanças, tecnologia, fatores sociais
e humanitários. Podem ser estabelecidos limites diferentes para partes específicas do
45
escopo, assim como um risco pode ser aceito mediante um compromisso de
tratamento em um tempo futuro.
É importante que seja definida uma escala de níveis de aceitação de risco. Desse
modo, o NR variará de 1 a 25 e dentro desse intervalo defini-se uma classificação
geral da grandeza do risco, como por exemplo, riscos alto, médio e baixo. Esses
degraus podem ser ajustados de modos diferentes para atender as necessidades da
organização ou do escopo. A tabela abaixo representa uma forma de sistematizar os
critérios de aceitação de risco. A organização pode definir, por exemplo, que de
maneira geral os riscos alto e médio não serão aceitos, todavia, é possível que sejam
postas exceções e diferentes níveis de aceitação de risco. Vale destacar que as
exceções devem ser justificadas.
Nível de risco
(1 – 25)
Descrição
Aceitabilidade
Exceções
Observações
Alto (15 – 25)
Médio (4 – 12)
Baixo (1 – 4)
Justificativa das exceções:
Tabela 3 – Critério para a aceitação de risco.
A definição de critérios de aceitação de riscos suscita uma discussão sobre o apetite de
risco na Administração Pública Federal. Até onde um gestor público pode aceitar
riscos? De um modo geral a finalidade da administração pública88 é o bem comum da
coletividade administrada. Toda a atividade do gestor público deve ser orientada para
esse objetivo89. Assim, um risco que contrarie essa premissa não pode ser aceito, do
mesmo modo que um risco que implique em violação de qualquer dos princípios da
administração pública. Logo, riscos que, por exemplo, impliquem em violação da
88
89
Refere-se à atividade “administração pública” e não aos seus órgãos, por isso foi escrita em letras minúsculas.
MEIRELLES, op. cit. p.86.
46
legislação, que comprometa a eficiência ou a continuidade da prestação do serviço
público não poderão ser aceitos.
4.2
Análise/avaliação de riscos
4.2.1
Análise de riscos
O processo de análise de risco em um enfoque de alto nível parte de uma premissa
generalizante. Os ativos, ameaças, vulnerabilidades e por conseguinte os riscos serão visto por
uma perspectiva mais ampla. A abordagem é qualitativa, define o nível de risco (NR)
multiplicando o valor do nível de impacto (NI) pelo nível de probabilidade (NP). O valor de
NI e de NP são definidos por meio de uma matriz de valores pré-definidos que relacionam
duas variáveis, como será visto no tópico estimativa de riscos. Para cada ativo identificado
serão elencados as ameaças as vulnerabilidades e o impacto do respectivo cenário. A
sistematização da análise de riscos poderá ser feita em uma tabela como a ilustrada abaixo.
ANÁLISE DE RISCOS
Identificação de riscos
Ativo
Ameaça
Vulnerabilidade
Estimativa de riscos
Impacto
NI
NP
Nível
de risco
Tabela 4 – Análise de riscos.
4.2.1.1
Identificação de riscos
O objetivo da identificação de riscos é determinar os cenários de incidente que a
organização está exposta, determinar os eventos que possam causar uma perda potencial. Para
este fim é preciso coletar dados que vão subsidiar a estimativa de risco. Para cada ativo
identificado serão elencadas as ameaças, vulnerabilidades e conseqüências correspondentes,
essas informações serão organizadas conforme a tabela acima.
47

Identificação dos ativos: no enfoque de alto nível os ativos são identificados sem
muitos pormenores, não é interesse detalhar ativos que poderão ser melhor
especificados em outras interações do processo de análise/avaliação de riscos. Os
ativos podem ser identificados por meio de categorias ou conjuntos de ativos que
podem ser avaliados simultaneamente. A norma ISO/IEC 27005 sugere a seguinte
classificação de ativos90:
o Ativos primários: informações e processos de negócio;
o Ativos de suporte e infra-estrutura: hardware, software, rede, recursos
humanos, instalações físicas e estrutura da organização.

Identificação das ameaças: um ativo pode ser alvo de uma infinidade de ameaças, as
quais mudam e evoluem constantemente. Por isso as ameaças são identificadas de
modo genérico, por classes, como por exemplo: dano físico ou comprometimento da
informação. Desse modo, diferentes formas de uma ameaça causar um dano serão
consideradas, inclusive as que ainda estão sendo descobertas. Catálogos de ameaças
podem ser utilizados, porém é preciso atentar para a atualidade das informações. Vale
destacar o trabalho de Murilo Cunha e de Mauro Soares91 que caracteriza uma ameaça
ainda comum na Administração Pública: o desvio ético. Essa ameaça pode causar
vários tipos incidentes de segurança relacionados à perda da confidencialidade,
integridade ou disponibilidade de ativos de informação.

Identificação das vulnerabilidades: vulnerabilidade é a fragilidade de um ativo que
pode ser explorada por uma ameaça acarretando prejuízo. Para a abordagem proposta
as vulnerabilidades podem ser procuradas nas seguintes áreas:
o Organização: está ligado a problemas relacionados a procedimentos, processos,
normas ou a questões inerentes a organização. Exemplos:92 inexistência de
auditorias periódicas, provisões relativas à segurança insuficientes ou
inexistentes, inexistência de um plano de continuidade, atribuição inadequada
Esta classificação é sugerida no anexo B da norma ISO/IEC 27005, os anexos possuem valor apenas
informativo. Outras classificações são possíveis e devem ser ajustadas ao contexto específico da organização.
91
CUNHA, M., SOARES, M. Um estudo introdutório para mensurar o grau de exposição dos órgãos
governamentais ao risco do desvio ético. In: COMISSÃO DE ÉTICA PÚBLICA, Desvios Éticos: risco
institucional. Brasília, 2002.
92
Os exemplos deste tópico e dos que se seguem foram extraídos do Anexo D da norma ISO/IEC 27005.
90
48
das responsabilidades pela segurança da informação, inexistência de análises
críticas periódicas por parte da direção;
o Recursos humanos: são falhas na gestão das pessoas no que se refere a
segurança. Exemplos: ausência de recursos humanos, inexistência de
mecanismos de monitoramento, treinamento insuficiente em segurança, falta
de conscientização em segurança, trabalho não supervisionado de pessoal de
limpeza ou de terceirizados;
o Ambiente físico: refere-se à localização do imóvel, características da
edificação e serviços essenciais. Exemplos: uso inadequado ou sem os
cuidados necessários dos mecanismos de controle do acesso físico a prédios e
aposentos, localização em área suscetível a inundações, fornecimento de
energia instável, inexistência de mecanismos de proteção física no prédio,
portas e janelas.
o Hardware, software e equipamentos de comunicação: são as vulnerabilidades
ligadas aos sistemas de informação e infra-estrutura de tecnologia da
informação. Exemplos: manutenção insuficiente, sensibilidade a variações de
voltagem, sensibilidade a variações de temperatura, falta de cuidado durante o
descarte, procedimentos de teste de software insuficientes ou inexistentes,
inexistência de uma trilha de auditoria, download e uso não controlado de
software, inexistência de cópias de segurança, inexistência de evidências que
comprovem o envio ou o recebimento de mensagens, linhas de comunicação
desprotegidas, arquitetura insegura da rede.

Identificação das conseqüências: as conseqüências são identificadas a partir dos
cenários de incidentes, que são a descrição de uma ameaça explorando uma
vulnerabilidade ou um conjunto delas. A norma ISO/IEC 27005 sugere que sejam
identificadas as conseqüências operacionais dos cenários de incidentes em função de:
o Investigação e tempo de reparo
o Tempo de trabalho perdido
o Oportunidade perdida
o Saúde e segurança
49
o Custo financeiro das competências específicas necessárias para reparar o
prejuízo
o Imagem e reputação.
Na coluna impacto da Tabela 4 deverão ser descritas as conseqüências dos respectivos
cenários de incidente.
4.2.1.2
Estimativa de riscos
A estimativa de risco compreende três atividades: avaliação das conseqüências, avaliação
da probabilidade dos incidentes e estimativas dos níveis de risco.

Avaliação das conseqüências: para avaliar as conseqüências propõe-se uma matriz
com valores pré-definidos que relaciona duas variáveis para definir o nível de
impacto: a importância do ativo e a conseqüência para o negócio. Para cada uma
dessas variáveis são estipulados três níveis (baixo, médio ou alto) e a sua combinação
define o nível de impacto do cenário de incidente. O critério de impacto conforme
apontado anteriormente trará descrições dos níveis de cada uma das variáveis.
Valor de reposição do ativo
Baixa
Média
Alta
Conseqüência para o
negócio público relacionada
à perda do ativo
B
M
A
B
M
A
B
M
A
Nível de impacto (NI)
1
2
3
2
3
4
3
4
5
Tabela 5 – Determinação do nível de impacto.

Avaliação da probabilidade dos incidentes: a probabilidade da ocorrência de um
cenário de incidente decorre de dois elementos: probabilidade da ocorrência da
ameaça93 e facilidade da exploração da vulnerabilidade. Essas variáveis devem ser
descritos em três níveis (baixo, médio ou alto), conforme a tabela abaixo.
Segundo Cunha e Soares (2002), a probabilidade da ameaça de desvio ético é proporcional ao poder de
regulamentação das atividades econômicas e civis e ao poder de aquisição de bens e serviços do órgão público
em questão.
93
50
Critério
Alto
Médio
Baixo
Probabilidade da ameaça
Facilidade de exploração
da vulnerabilidade
Tabela 6 – Avaliação da probabilidade dos incidentes.
Em seguida e a combinação dessas variáveis define o nível de probabilidade do cenário
de incidente conforme a tabela abaixo.
Probabilidade da ameaça
Baixa
Média
Alta
Facilidade de exploração da
vulnerabilidade
B
M
A
B
M
A
B
M
A
Nível de probabilidade (NP)
1
2
3
2
3
4
3
4
5
Tabela 7 – Determinação do nível de probabilidade.
Segundo a norma ISO/IEC 27005 é importante considerar na avaliação da
probabilidade dos incidentes as experiências passadas, a motivação, as competências e
os recursos disponíveis para possíveis atacantes, bem como a percepção da
vulnerabilidade e o poder de atração dos ativos para um possível atacante.

Estimativa do nível de risco: o nível de risco será calculado multiplicando o nível de
impacto pelo nível de probabilidade (NR = NI x NP). A matriz abaixo representa a
evolução do nível de risco.
51
Probabilidade (NP)
Muito baixa (1) Baixa (2)
Média (3)
Alta (4)
Muito alta (5)
Muito alto (5)
5
10
15
20
25
Alto (4)
4
8
12
16
20
Impacto
Médio (3)
(NI)
3
6
9
12
15
Baixo (2)
2
4
6
8
10
Muito baixo (1)
1
2
3
4
5
Tabela 8 – Matriz do nível de risco.
4.2.2
Avaliação de riscos
Neste ponto os riscos encontrados são comparados com os critérios de avaliação de riscos
e com os critérios de aceitação de risco, os quais foram estabelecidos na definição do
contexto. O principal produto dessa etapa é a tomada de decisões sobre ações futuras, por
meio da determinação de prioridades para o tratamento do risco e da indicação dos riscos que
precisarão passar por uma segunda iteração do processo. A Tabela 1, referente aos critérios de
aceitação do risco, elenca alguns quesitos que ajudarão nessa atividade.
Após a avaliação de riscos está o primeiro ponto de decisão, se a análise/avaliação de
riscos foi satisfatória. Para uma abordagem de alto nível esse momento tem uma importância
singular, visto que alguns riscos encontrados podem merecer um maior aprofundamento em
uma segunda iteração do processo. Isso seria requerido para os casos em que o ativo ou
conjunto de ativos atingidos necessitem de um nível alto investimento para reposição,
manutenção ou desenvolvimento, ou ainda para os ativos que suportem processos estratégicos
da organização. De um modo geral, quando o incidente de segurança resultar em um impacto
significativo para a organização, uma segunda iteração do processo, mais específica e
detalhada, é necessária.
A saída da atividade de avaliação de risco é uma lista de riscos ordenados por prioridade
de tratamento.
4.3
Tratamento do risco
O tratamento do risco em uma abordagem de alto nível preconiza a relação entre tipos ou
classes de ameaças ou de cenários de incidente e determinados controles. Notadamente os
52
controles organizacionais e os aspectos gerenciais de controles técnicos. Destaca-se a
necessidade de trabalhos futuros que estabeleçam uma classificação de ameaças próprias para
a administração pública e sua relação com os referidos controles.
53
5
EXEMPLO DE APLICAÇÃO
Com a finalidade de avaliar os instrumentos propostos foi elaborado um exemplo de
aplicação em cima de uma organização fictícia. Trata-se do Hospital Universitário do Distrito
Federal (HUDF) ligado a uma universidade pública federal.
O HUDF é considerado um hospital de grande porte e de alta complexidade, tem a
capacidade para realizar cerca de 800 atendimentos ambulatoriais e de emergência por dia,
além de uma média de 30 cirurgias diárias. Circulam pelas instalações do hospital cerca de 8
mil pessoas por dia. O HUDF conta com 250 leitos ativos (20 de UTI), 15 enfermarias, 12
salas cirúrgicas gerais, seis salas cirúrgicas ambulatoriais e serviços de laboratório e de
diagnóstico.
1. Definição do contexto
1.1 Definição do escopo
a. Identificação da organização
Negócio público: Assistência, ensino e pesquisa na área de saúde para o
desenvolvimento da região.
Missão:
Preservar e manter a vida, promovendo a saúde, formando profissionais, produzindo e
socializando conhecimentos, com ética e responsabilidade social.
Valores:

Respeito ao ser humano e aos seus direitos;

Oferecer tratamento humanizado e personalizado, valorizando as pessoas;

Compromisso com a função social;
54

Ética nas relações internas e externas;

Respeito aos princípios do Sistema Único de Saúde (SUS): integralidade,

Valorização, qualificação e competência profissional.
universalidade, eqüidade, resolutividade;
Organograma:
Conselho de
Administração
Direção
Geral
Coordenação de
Tecnologia da
Informação
Assessoria de
Planejamento
Diretoria
Clínica
Diretoria de
Enfermagem
Diretoria
Administrativa
Diretoria de
Ensino e Pesquisa
Figura 5 – Organograma do HUDF.
Objetivos:

Prestar assistência à população, por meio da aplicação de medidas de proteção e

Prestar assistência à saúde da população, sem distinção de qualquer natureza, agindo

Prestar assistência integral ao paciente e à família, desenvolvendo ações de promoção,
recuperação da saúde;
com o máximo zelo e capacidade profissional;
prevenção, recuperação e reabilitação, no processo saúde-doença;
55

Operar de forma articulada com outras unidades de saúde, atendendo às demandas
técnico-científicas do SUS;

Servir de campo de treinamento para o ensino de graduação das profissões de saúde no

Propiciar a realização de cursos de pós-graduação e de especialização das unidades
que se refere à assistência de média e alta complexidade;
docentes,
enfatizando
os programas
de
Residência
Médica
e
Residência
Interdisciplinar;

Treinar pessoal de nível médio e auxiliar com vistas ao aprimoramento da qualidade
dos próprios serviços e no Sistema de Saúde e à manutenção de bons padrões de rotina
de atendimento;
Estratégia:

Satisfação dos clientes:

Nosso esforço deve estar centrado às necessidades do cliente externo e interno
e a qualidade na prestação de serviços.

Informatização global em rede de todos os processos.

Fornecedores:

Passar aos fornecedores, a responsabilidade e o compromisso com toda
comunidade, dos produtos aqui ofertados.

Honrar os compromissos dentro do prazo estabelecido.

Assistência, Ensino e Pesquisa:


Integrar ensino e assistência;

Impulsionar as atividades de pesquisa;

Incentivar o comprometimento dos serviços;

Incentivar e fomentar áreas de excelência;
Priorizar a manutenção, reposição e ampliação da estrutura a fim de dar
prosseguimento ao desenvolvimento institucional;
56
Localidade e características geográficas:
O HUDF está localizado no Setor Médico Hospitalar Sul (SMHS) na região central de
Brasília. Nas proximidades do hospital há prédios comerciais, um shopping, quadras
residências e vias de grande circulação de veículos.
b. Legislação aplicável à organização:

Constituição Federal (artigos 196 a 200)

Lei nº 8.142, de 28 de dezembro de 1990. Dispõe sobre a participação da comunidade
na gestão do Sistema Único de Saúde (SUS) e sobre as transferências
intergovernamentais de recursos financeiros na área da saúde e dá outras providências.

Lei nº 8.080, de 19 de setembro de 1990. Lei orgânica da Saúde que dispõe sobre as
condições para a promoção, proteção e recuperação da saúde, a organização e o
funcionamento dos serviços correspondentes e dá outras providências.

Portaria nº 373, de 27 de fevereiro de 2002. Aprova a Norma Operacional da
Assistência à Saúde (NOAS-SUS 01/2002) que amplia as responsabilidades dos
municípios na Atenção Básica; estabelece o processo de regionalização como
estratégia de hierarquização dos serviços de saúde e de busca de maior eqüidade; cria
mecanismos para o fortalecimento da capacidade de gestão do SUS e atualiza os
critérios de habilitação de estados e municípios.

Portaria nº 2.203, de 5 de novembro de 1996. Aprova a Norma Operacional Básica
(NOB 01/96), que redefine o modelo de gestão do Sistema Único de Saúde,
constituindo instrumento imprescindível à viabilização da atenção integral à saúde da
população e ao disciplinamento das relações entre as três esferas de gestão do Sistema.

Outras portarias do Ministério da Saúde.

Regimento interno do hospital e da universidade.
c. Limites do escopo:
A gestão de riscos será limitada aos ativos de informação específicos da Diretoria
Clínica. Os serviços de conexão a internet, e-mail e os sistemas administrativos estão fora do
escopo, embora sejam utilizados também pelos servidores da Diretoria Clínica.
57
d. Ativos de informação:
A Diretoria Clínica possui três processos fundamentais: serviços clínicos94, serviços
cirúrgicos e serviços complementares de diagnósticos. Os ativos relacionados a seguir dão
suporte a essas atividades.

Sistema de informações médicas de pacientes (SIMP): é uma aplicação distribuída que
possui um servidor exclusivo e uma rede compartilhada por computadores dispostos
pelo hospital. Os componentes apóiam uma variedade de aplicações médicas e de
bases de dados. Além disso, é integrado com o Sistema de análises laboratoriais,
imagem e diagnóstico (SALID), descrito a baixo, de maneira que os resultados dos
exames realizados no hospital podem ser consultados pelo SIMP. Os dados de
paciente podem ser inseridos a qualquer momento a partir de qualquer estação de
trabalho. Médicos, funcionários administrativos, técnicos de laboratório, e enfermeiros
têm autorização para introduzir dados no SIMP.

Sistema de análises laboratoriais, imagem e diagnóstico (SALID): é um sistema que
permite a gestão dos resultados de exames laboratoriais, a edição de laudos, a captura
de imagens e de vídeos digitais integrados aos exames. Alem disso, por meio do SIMP
é possível visualizar essas informações.

Sistema de documentação de equipamentos médicos (SDOC): esse sistema reúne as
informações dos equipamentos médicos desde sua entrada no hospital até o momento
em que são descartados, por exemplo, manuais de operação, procedimentos de
calibração e ajuste, peças trocadas, acidentes que envolveram o equipamento,
relatórios de manutenção. Trata-se de um sistema de gerenciamento eletrônico de
documentos que permite gerar ou implantar, controlar, armazenar, compartilhar e
recuperar as informações constantes nos documentos.

Computadores fixos: distribuídos nos consultórios, salas de exame, laboratórios e
ambulatório.

Equipamentos de processamentos de dados dedicados ao SIMP, ao SALID e ao
SDOC.

Recursos humanos: usuários e pessoal da manutenção e gestores dos sistemas.
Os serviços clínicos referem-se ao atendimento médico normal nas diferentes especialidades e ao atendimento
ambulatorial.
94
58
e. Características da organização
Restrições que afetam a organização:

Descontinuidade administrativa: mudanças nos cargos de direção e nas políticas
públicas.

A gestão orçamentária, financeira e de pessoal é atrelada a da universidade, não há
autonomia.

Não há autorização governamental para a realização de concurso público em curto ou

Número insuficiente de médicos e de servidores técnico-administrativos do quadro
médio prazo.
permanente. Alguns serviços estão sendo desativados devido a não reposição de
pessoal, bolsistas estão substituindo profissionais do quadro efetivo, servidores
desmotivados.
Corporativismo em determinadas categorias profissionais.
Expectativa das partes interessadas:
Os cidadãos usuários do HUDF esperam um acesso ordenado e organizado aos serviços
do hospital; um tratamento adequado e efetivo para seu problema; um atendimento
humanizado, acolhedor e livre de qualquer discriminação; e um atendimento que respeite a
sua pessoa, seus valores e seus direitos.
Os alunos dos cursos realizados no hospital esperam encontrar um ambiente de estímulo à
aprendizagem e à pesquisa.
O governo espera que hospital alcance suas metas, realize seus objetivos para o
cumprimento de sua missão.
1.2 Critérios básicos
a. Critério para avaliação de risco:

A tabela 16 será utilizada para ponderar a prioridade dos riscos.

Os cenários de incidente que tenham o nível de risco (NR) mais elevado devem ser
considerados primeiro.
59

Os riscos que envolvam a perda da disponibilidade e da integridade das informações

Os riscos que impliquem violação da legislação são considerados graves.

Os riscos que causem dano a imagem e reputação do hospital ou dano a imagem do
médicas dos pacientes são considerados graves.
governo ou do país são considerados graves.
b. Critério de impacto
CRITÉRIO
VALOR DE REPOSIÇÃO
DO ATIVO
CONSEQÜÊNCIA PARA
O NEGÓCIO PÚBLICO
RELACIONADA À
PERDA DO ATIVO
ALTA
MÉDIA
Ativos de grande valor
financeiro ou de difícil
recuperação.
A compra de ativos
desse tipo exige uma
dotação orçamentária
específica que normalmente só é possível
para o ano seguinte.
Ativos de valor
financeiro médio.
Sua reposição normalmente pode ser feita
no mesmo ano fiscal,
porém pode haver
necessidade de
licitação.
Paralisação de
processos críticos da
do hospital
Tabela 9 – Critério de impacto.
BAIXA
Ativos de fácil
reposição.
Alguns processos
Efeitos mínimos para
podem ser afetados.
o negócio.
Perda de eficiência em
alguns serviços.
60
c. Critério para aceitação de risco
NÍVEL DE
(1 – 25)
RISCO
DESCRIÇÃO
ACEITABILIDADE
ALTO
A maioria dos objetivos
não pode ser atingida.
Paralisação dos serviços
à população.
Dano grave a imagem
do hospital e do
governo.
Alguns objetivos não
podem ser atingidos.
Alguns processos
podem ser afetados.
Inaceitável,
requer ação
imediata para
manejar o risco.
Efeitos menores que
são facilmente
remediados
Risco aceitável,
nenhuma ação é
requerida.
(15 – 25)
MÉDIO
(4 – 12)
BAIXO
(1 – 4)
EXCEÇÕES
Não pode ser
aceito, requer
ação para
manejar o risco.
OBSERVAÇÕES
O NR igual a 4 formado
por NI 1 e NP 4 e vice
versa são considerados
risco médio.
O manejo desse tipo de
risco pode ser condicionado a um tratamento
futuro.
O NR igual a 4 formado
por NI 2 e NP 2 é
considerado risco baixo.
Justificativa das exceções:
Tabela 10 – Critério para a aceitação de risco.
2. Análise/avaliação de riscos
2.1 Tabelas de referência
Valor de reposição do ativo
Baixa
Média
Alta
Conseqüência para o
negócio público relacionada
à perda do ativo
B
M
A
B
M
A
B
M
A
Nível de impacto (NI)
1
2
3
2
3
4
3
4
5
Tabela 11 – Determinação do nível de impacto.
61
Critério
Alto
Médio
Ameaças comuns
que ocorrem rotineiProbabilidade da ameaça ramente no cotidiano do hospital.
Baixo
Ameaças com uma
freqüência variável,
mas que não ultrapassa três ocorrências por ano.
Vulnerabilidades
facilmente exploradas e de amplo
conhecimento.
Vulnerabilidades
recém descobertas
e/ou que precisam
de certo conhecimento técnico
para sua exploração.
Facilidade de exploração
Em alguns casos, há
da vulnerabilidade
ferramentas próprias ou tutoriais
para sua exploração.
Ameaças raras, sua
freqüência é de uma
ocorrência a cada
cinco ou dez anos.
Vulnerabilidades de
difícil exploração.
Existe a necessidade
de um amplo conhecimento técnico ou
de uma grande
capa-cidade de
proces-samento
para sua exploração.
Tabela 12 – Avaliação da probabilidade dos incidentes.
Probabilidade da ameaça
Baixa
Média
Alta
Facilidade de exploração da
vulnerabilidade
B
M
A
B
M
A
B
M
A
Nível de probabilidade (NP)
1
2
3
2
3
4
3
4
5
Tabela 13 – Determinação do nível de probabilidade.
Probabilidade (NP)
Muito baixa (1) Baixa (2)
Média (3)
Alta (4)
Muito alta (5)
Muito alto (5)
5
10
15
20
25
Alto (4)
4
8
12
16
20
Impacto
Médio (3)
(NI)
3
6
9
12
15
Baixo (2)
2
4
6
8
10
Muito baixo (1)
1
2
3
4
5
Tabela 14 – Matriz do nível de risco.
62
2.1 Análise de risco
ANÁLISE DE RISCOS
Identificação de riscos
Nº
1
Ativo
SIMP
Ameaça
Comprometimento
de dados
Vulnerabilidade
Falhas conhecidas no
software
Estimativa de riscos
Conseqüência
Violação da legislação que protege o sigilo
das informações referentes à vida privada
das pessoas.
SIMP
Gerenciamento de
senhas mal feito
Forjamento de direitos
Violação da legislação que protege o sigilo
das informações referentes à vida privada
das pessoas.
4
SIMP
SALID
Abuso de direitos
Erro durante o uso
Nível de
risco
4
4
16
4
4
16
3
3
9
4
2
8
Perda da confidencialidade, integridade e
disponibilidade de dados.
Comprometimento dos serviços clínicos.
3
NP
Perda da confidencialidade e integridade
de dados.
Comprometimento dos serviços clínicos.
2
NI
Inexistência de uma
trilha de auditoria
Prejudica a implementação de controles.
Interface de usuário
complicada
Perda da integridade de dados.
Prejudica a investigação de eventos de
segurança.
Perda de eficiência.
63
ANÁLISE DE RISCOS
Identificação de riscos
Nº
Ativo
Ameaça
Vulnerabilidade
Estimativa de riscos
Conseqüência
5
SALID
Defeito de software Software novo ou
imaturo
Perda da confidencialidade, integridade e
disponibilidade de dados.
6
SALID
Forjamento de
direitos
Perda da confidencialidade, integridade e
disponibilidade de dados.
Tabelas de senhas
desprotegidas
Comprometimento dos serviços clínicos.
Violação da legislação que protege o sigilo
das informações referentes à vida privada
das pessoas.
7
8
9
SDOC
SDOC
Computadores
fixos
Erro durante o uso
Documentação
inexistente
Comprometimento
de dados
Inexistência de cópias de
segurança
Destruição de
equipamento
Falta de uma rotina de
substituição periódica
Perda da integridade de dados.
Perda de eficiência.
NI
NP
Nível de
risco
3
2
6
4
4
16
4
2
8
5
3
15
2
3
6
Perda da disponibilidade de dados.
Comprometimento dos serviços clínicos e
cirúrgicos.
Perda da eficiência.
Comprometimento dos serviços clínicos.
64
ANÁLISE DE RISCOS
Identificação de riscos
Nº
10
Ativo
Computadores
fixos
Ameaça
Furto de mídia ou
documentos
Vulnerabilidade
Armazenamento não
protegido
Estimativa de riscos
Conseqüência
12
Equipamentos de Poeira, corrosão,
processamentos
temperatura
de dados
elevada
Sensibilidade à umidade,
poeira, sujeira e
temperatura
Recursos
humanos
Treinamento insuficiente
em segurança
Erro durante o uso
de software
NP
Nível de
risco
3
4
12
4
4
16
3
2
6
3
4
12
Perda da confidencialidade de dados.
Perda da eficiência.
Violação da legislação que protege o sigilo
das informações referentes à vida privada
das pessoas.
11
NI
Perda da disponibilidade de dados.
Comprometimento dos serviços clínicos e
cirúrgicos.
Perda da confidencialidade e integridade
de dados.
Perda da eficiência.
13
Recursos
humanos
Comprometimento
de dados
Falta de conscientização
em segurança
Perda da confidencialidade de dados.
Perda da eficiência.
Violação da legislação que protege o sigilo
das informações referentes à vida privada
das pessoas.
Tabela 15 – Análise de riscos.
65
10
13
3
4
7
5
9
12
Priorização dos riscos.
8
Viola qual atributo da
segurança da informação?
11
Causa dano a imagem a do
governo ou do país?
6
Causa dano a imagem ou
reputação da organização?
2
Comprometimento de dados do
SIMP devido a falhas conhecidas
no software.
Forjamento de direitos do SIMP
devido ao gerenciamento de
senhas mal feito.
Forjamento de direitos do
SALID devido às tabelas de
senhas desprotegidas.
Equipamentos de processamentos de dados sujeitos a poeira,
corrosão e temperatura elevada.
Comprometimento de dados do
SDOC devido à inexistência de
cópias de segurança.
Furto de mídia ou documentos
de computadores fixos devido ao
armazenamento não protegido.
Comprometimento de dados
devido à falta de conscientização
em segurança dos usuários.
Abuso de direitos no SIMP
devido à inexistência de trilhas
de auditoria.
Erro durante o uso do SALID
devido à interface de usuário
complicada.
Erro durante o uso do SDOC
devido à documentação
inexistente.
Defeito no SALID por ser um
software novo.
Destruição dos computadores
fixos devido à falta de uma
rotina de substituição periódica.
Erro durante o uso de software
devido ao treinamento
insuficiente em segurança.
NR
Viola algum requisito legal?
1
Cenário de risco
Atinge algum ativo crítico?
Nº
Atinge algum processo
estratégico?
2.2 Avaliação de risco
16
Sim
Sim
Sim
Sim
Não
C/I
2
16
Sim
Sim
Sim
Sim
Não
C/I/D
1
16
Sim
Sim
Sim
Sim
Não
C/I/D
3
16
Sim
Sim
Não
Sim
Não
D
4
15
Sim
Sim
Não
Sim
Não
D
5
12
Não
Não
Sim
Sim
Não
C
7
12
Sim
Sim
Não
Não
Não
C
6
9
Não
Sim
Não
Não
Não
Não
8
8
Sim
Sim
Não
Não
Não
I
10
8
Sim
Não
Sim
Sim
Não
I
9
6
Não
Sim
Não
Não
Não
C/I/D
11
6
Sim
Não
Não
Sim
Não
Não
13
6
Não
Sim
Não
Não
Não
C/I
12
Tabela 16 – Critério para a avaliação de risco.
66
3. Lista de riscos ordenados por prioridade
1
2
3
4
5
6
7
8
9
Forjamento de direitos do SIMP devido ao gerenciamento de
senhas mal feito.
Comprometimento de dados do SIMP devido a falhas conhecidas
no software.
Forjamento de direitos do SALID
devido às tabelas de senhas
desprotegidas.
Equipamentos de processamen-tos de dados sujeitos a poeira,
corrosão e temperatura elevada.
Comprometimento de dados do SDOC devido à inexistência de
cópias de segurança.
Comprometimento de dados devido à falta de conscientização
em segurança dos usuários.
Furto de mídia ou documentos de computadores fixos devido ao
armazenamento não protegido.
Abuso de direitos no SIMP devido à inexistência de trilhas de
auditoria.
Erro durante o uso do SDOC devido à documentação inexistente.
10
Erro durante o uso do SALID devido à interface de usuário
complicada.
11
Defeito no SALID por ser um software novo.
12
13
Erro durante o uso de software devido ao treinamento
insuficiente em segurança.
Destruição dos computadores fixos devido à falta de uma rotina
de substituição periódica.
Tabela 17 – Riscos ordenados por prioridade.
Após a identificação dos elementos constitutivos do risco (ativo, ameaça,
vulnerabilidade e conseqüência) e após a estimativa do impacto e da probabilidade dos
cenários de incidentes, os riscos foram avaliados segundo os critérios elencados na Tabela 16.
O resultado desse percurso é uma lista de riscos ordenados por prioridade de tratamento
conforme a tabela acima. Desse modo, os riscos encontrados por meio de uma
análise/avaliação de riscos com enfoque de alto nível apontam para os principais problemas
de segurança da informação do escopo considerado.
67
6
CONCLUSÃO E TRABALHOS FUTUROS
A Administração Pública Federal é um conjunto de instituição que se dedicam a
atividades completamente diversas, desde atividades de fomento a iniciativa privada, de
polícia administrativa e de prestação de serviços públicos. Mesmo considerando toda a sua
amplitude e diversidade é possível, conforme demonstrado, que haja um método de
análise/avaliação de riscos, em um enfoque de alto nível, que seja capaz de atender a maioria
dessas instituições na primeira iteração do processo de gestão de risco de segurança da
informação.
É possível porque a APF precisa perseguir um único objetivo: o bem comum da
coletividade administrada. E para alcançar tal fim a APF pauta seus atos em princípios que
são regras de observância permanente e obrigatória, dentre eles destacam-se a legalidade, a
moralidade, a eficiência, a proporcionalidade, a publicidade, a continuidade do serviço
público e a supremacia do interesse público. Esse delineamento básico da APF permite
visualizar um método análise/avaliação de risco genérico o suficiente para detectar os
principais problemas de segurança da informação relacionados a esses princípios.
Vale destacar que a partir de uma segunda iteração do processo de gestão de risco com o
detalhamento dos ativos a especificidade de cada instituição obriga a criação ou adaptação de
um método próprio para analisar e avaliar seus riscos.
As vantagens de uma abordagem com enfoque de alto nível são a facilidade de
compreensão do método e de seus resultados, a rapidez e o baixo custo em relação a uma
análise detalhada dos ativos e seus riscos. Além disso, a organização orçamentária da APF
exige ordinariamente um planejamento antecipado dos gastos. Isto reforça a necessidade de
um método simples, ágio e eficaz que aponte os principais problemas de segurança da
informação em que será necessária a alocação de recursos.
68
Todavia, a principal limitação da abordagem proposta é a dependência de escalas
subjetivas que podem diminuir a precisão dos resultados. A utilização de critérios subjetivos é
inerente a primeira iteração do processo de gestão de risco em um enfoque de alto nível
conforme a ISO/IEC 27005. O seu objetivo não é apontar os riscos com uma precisão
refinada, antes, porém, os seus achados são como categorias de riscos que precisaram ser
dissecadas em futuras iterações.
Desse modo, os objetivos desse trabalho foram alcançados já que os instrumentos
propostos de análise e avaliação de riscos contribuem na sistematização de um método que
compreenda a APF numa perspectiva genérica conforme demonstrado no exemplo de
aplicação dos instrumentos.
Dentro da temática pesquisada existem ainda várias lacunas que precisam ser preenchidas
com trabalhos monográficos, foram destacadas algumas como sugestões de trabalhos futuros.
 Um aprofundamento das especificidades e restrições próprias da Administração
Pública em relação à segurança da informação;
 A elaboração de uma ontologia das ameaças próprias ao setor público, sua tipificação,
agentes, origem e motivação.
 A elaboração de um método que relacione e sistematize a dependência entre ativos e a
relação entre eventos de segurança para a composição de cenários de incidentes. Vale
lembra que o método Octave de análise e avaliação de riscos traz uma interessante
abordagem desse tópico.
69
REFERÊNCIAS BIBLIOGRÁFICAS
Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001:2006. Sistema de gestão
de segurança da informação – requisitos. Rio de Janeiro, 2006.
__________. NBR ISO/IEC 27002: Código de Prática para a gestão da segurança da
informação. Rio de Janeiro, 2005.
__________. NBR ISO/IEC 27005: Gestão de risco de segurança da informação. Rio de
Janeiro, 2008.
BEAL, A. Segurança da informação: princípios e melhores práticas para a proteção dos
ativos de informação nas organizações. São Paulo: Atlas, 2005.
BERNSTEIN, P. L. Desafio aos deuses: a fascinante história do risco. Rio de Janeiro:
Campus, 1997.
BRASIL, Ministério da Saúde. Segurança no Ambiente Hospitalar. Brasília, 1995.
BRASILIANO, A. C. R. Análise de risco corporativo. São Paulo: Sicurezza, 2007.
CENTRO CANADENSE PARA O DESENVOLVIMENTO DA GESTÃO. Uma base para o
desenvolvimento de estratégias de aprendizagem para a gestão de riscos no serviço
público / Stephen Hill, Geoff Dinsdale; traduzido por Luís Marcos B. L. de Vasconcelos.
Brasília: ENAP, 2003 (Cadernos ENAP, 23).
CHERUBIN, N. A. Fundamentos da Administração Hospitalar. São Paulo: Hospital São
Camilo, 1977.
CUNHA, M., SOARES, M. Um estudo introdutório para mensurar o grau de exposição
dos órgãos governamentais ao risco do desvio ético. In: COMISSÃO DE ÉTICA
PÚBLICA, Desvios Éticos: risco institucional. Brasília, 2002.
DI PIETRO, M. S. Z. Direito Administrativo. São Paulo: Atlas, 2006.
FERNANDES, J. H. C. Introdução à Gestão de Riscos de Segurança da Informação. 75 f.
Texto desenvolvido para suporte das atividades de Ensino do Programa de Pesquisas e
Formação de Especialistas. Universidade de Brasília (UnB), Brasília, 2009.
FILHO, J. S. C. Manual de Direito Administrativo. Rio de Janeiro: Lúmen Juris, 2006.
FONTINELE, K. Administração Hospitalar. Goiânia: AB Editora, 2002.
FRAGA FILHO, C. A Implantação do Hospital Universitário da UFRJ. Rio de Janeiro:
FUJB, 2000.
70
Hospital Universitário da Universidade Federal de Juiz de Fora. Juiz de Fora, desenvolvido
por João Carlos Gonzaga, 2007. Portal da instituição. Disponível em:
<http://www.hu.ufjf.br/>. Acesso em 10 jan. 2009.
Hospital Universitário Clementino Fraga Filho. Rio de janeiro. Portal da instituição.
Disponível em: <http://www.hucff.ufrj.br/>. Acesso em 10 jan. 2009.
Hospital Universitário de Brasília. Brasília. Portal da instituição. Disponível em:
<http://www.hub.unb.br>. Acesso em 10 jan. 2009.
Hospital Universitário Ernani Polydoro São Thiago. Florianópolis. Portal da instituição.
Disponível em: <http://www.hu.ufsc.br>. Acesso em 10 jan. 2009.
LORENS, E. M. Aspectos normativos da segurança da informação: um modelo de cadeia
de regulamentação. 2007. 128 f. Dissertação (mestrado) – Departamento de Ciência da
Informação e Documentação, Universidade de Brasília (UnB), Brasília, 2007. Disponível em:
<http://bdtd.bce.unb.br/tedesimplificado/tde_busca/arquivo.php?codArquivo=2504>. Acesso
em: 07 ago. 2008.
MANDARINI, M. Segurança Corporativa Estratégica: fundamentos. Barueri: Manole,
2005.
MARCIANO, J. L. P. Segurança da Informação: uma abordagem social. 2006. 211 f. Tese
(Doutorado) – Departamento de Ciência da Informação e Documentação, Universidade de
Brasília (UnB), Brasília, 2006. Disponível em:
<http://www.enancib.ppgci.ufba.br/premio/UnB_Marciano.pdf>. Acesso em: 07 ago. 2008.
MARCONI, M. A., LAKATOS, E. M. Metodologia Científica. São Paulo: Atlas, 2000.
__________. Técnicas de Pesquisa. São Paulo: Atlas, 2002.
MEIRELLES, H. L. Direito Administrativo Brasileiro. São Paulo: Malheiros, 2005.
NASCIMENTO, M. S. O. Proteção ao Conhecimento: uma proposta de fundamentação
teórica. 2008. 181 f. Dissertação (mestrado) – Departamento de Ciência da Informação e
Documentação, Universidade de Brasília (UnB), Brasília, 2008.
PÁDUA, E. M. M. Metodologia da pesquisa: abordagem teórico-prática. Campinas:
Papirus, 2007.
PARRA, D. F., SANTOS, J. A. Apresentação de trabalhos científicos: monografia, TCC,
teses e dissertações. São Paulo: Futura, 2000.
PEREIRA, J. C. R. Análise de dados qualitativos: estratégias para as ciências da saúde,
humanas e sociais. São Paulo: Edusp, 2001.
RAMOS, A. et al. Security Officer 1: guia oficial para a formação de gestores de
segurança da informação. Porto Alegre: Zouk, 2006.
RAMPAZZO, L. Metodologia Científica. São Paulo: Loyola, 2002.
SCHAUER, H. ISO/CEI 27005: la norme du consensus. Global Security Mag. N°4, p. 5255, Set. 2008. Disponível em:
<http://www.hsc.fr/presse/globalsecuritymag/HS_iso27005.pdf>. Acesso em 15 nov. 2008.
SÊMOLA, M. Gestão da Segurança da Informação: uma visão executiva. Rio de Janeiro:
Elsevier, 2003.
SPINK, Peter. Continuidade e Descontinuidade Administrativa. São Paulo: FGV, 2001.
TRIBUNAL DE CONTAS DA UNIÃO. Acórdão 1603/2008. Brasília, 2008.
71
VOLPE, Ricardo Alberto. Visão abrangente do processo político e institucional de
planejamento e orçamento. Disponível em:
<http://www.amefpp.org.mx/centrodoc/XXIXSemIPP/RicardoV.pdf>. Acesso em 10 out.
2008.
ZAMITH, J. L. C. Gestão de Riscos e Prevenção de Perdas. Rio de Janeiro: FGV, 2007.