Uma Iniciativa Para Aprimorar a Gestão de Riscos de
Segurança da Informação na Administração Pública Federal
Paulo Marcos Siqueira Bueno, Fabio Sato Ikuno1, Anderson Souza de Araújo,
José Ney de Oliveira Lima, Juliana Rocha Munita Moreira, Loriza Andrade Vaz de Melo2
1
Divisão de Segurança de Sistemas de Informação (DSSI)
Centro de Tecnologia da Informação Renato Archer – CTI / Facti
Rod. D. Pedro I (SP-65), km 143,6 - 13069-901 – Campinas – SP
2
Coordenação-Geral de Segurança da Informação,
Secretaria de Logística e Tecnologia da Informação (SLTI),
Ministério do Planejamento, Orçamento e Gestão – Brasília - DF
{paulo.bueno, fabio.ikuno}@cti.gov.br, {anderson.s.araujo,
joseney.lima, juliana.m.moreira, loriza.melo}@planejamento.gov.br
Abstract. This paper presents the MGR-SISP Risk Management Methodology.
Based on best practices and grounded in international standards, our goal is achieving
a higher protection to Information Assets and Information and Communication
Technologies in the Federal Administration, and also improving the investments in
Information Security.
Resumo. Este artigo apresenta a Metodologia de Gestão de Riscos MGR-SISP.
Baseada em melhores práticas, consolidadas em normas e padrões internacionais,
esta iniciativa tem como objetivo trazer um maior nível de proteção aos Ativos de
Informação (AI) e às Tecnologias de Informação e Comunicação (TIC) na esfera da
APF e também racionalizar os investimentos em Segurança da Informação.
1. Introdução
No âmbito da Administração Pública Federal (APF) do Brasil a manutenção de níveis
satisfatórios de Segurança da Informação (SI) é de suma importância para se assegurar o
fornecimento de serviços aos cidadãos e organizações, sobretudo em setores críticos
como os de Energia, Transporte, Telecomunicações e Finanças. Não menos importante,
esta manutenção contribui para evitar atos de espionagem, terrorismo, fraudes e crimes,
que ameacem a soberania, os direitos individuais e a privacidade.
Levantamentos realizados em órgãos da APF identificaram deficiências significativas no
tratamento da SI [Acordão TCU 2585, 2012]. Por exemplo: 55% das organizações não
possuem política corporativa de SI; 83% não classificam a informação para o negócio e
90% não analisam os riscos. Estes dados sugerem que, mesmo com as importantes
iniciativas conduzidas na APF nos últimos 15 anos [B823e, 2015], há a necessidade de
ações estratégicas para a melhoria da Segurança da Informação.
Este contexto motivou a elaboração de uma Metodologia de Gestão de Riscos de
Segurança da Informação e de uma Ferramenta de Apoio, a serem disponibilizadas para
adoção por parte de órgãos da APF. O objetivo principal desta iniciativa é de
sistematizar a Gestão de Riscos, para assim prover informações objetivas, que tornem
mais efetiva a identificação de ameaças e que orientem a adoção de controles eficazes e
de custo viável. Um objetivo secundário é o de disseminar a cultura de Gestão de Riscos
na APF. Almeja-se em suma uma abordagem prática, que leve a um maior nível de
proteção dos Ativos de Informação (AI) e das Tecnologias de Informação e
Comunicação (TIC) na esfera da APF.
2. Iniciativas Relacionadas
Podem ser identificadas iniciativas voltadas ao aprimoramento da SI na esfera da APF,
como a Lei de Acesso à Informação, que estabelece um tratamento diferenciado para
informações sigilosas [Lei 12527, 2011]. Destaca-se também o arcabouço normativo
publicado pelo Gabinete de Segurança Institucional da Presidência da República GSI/PR nos últimos anos, destacando a [NC 02, 2008], que apresenta diretrizes para
Metodologia de Gestão de Segurança da Informação e Comunicações; a [NC 03, 2009]
que aborda Política de Segurança da Informação e Comunicações; e em especial, a [NC
04, 2013] que estabelece diretrizes para o processo de Gestão de Riscos de Segurança da
Informação e Comunicações na APF.
A Gestão de Riscos de Segurança da Informação (GRSI) é reconhecida como um
caminho eficaz para se tratar questões de SI de maneira sistemática e voltada à
racionalização e à priorização de investimentos.
A [ABNT NBR ISO/IEC 27001, 2013], referência em SI, apresenta uma abordagem
para estabelecer, implementar, operar, analisar criticamente, manter, melhorar e
monitorar um Sistema de Gestão de SI. Um elemento crucial identificado é a
necessidade de um modelo para análise, avaliação e aceitação de riscos. Este ponto é
abordado de forma específica pela [ABNT NBR ISO/IEC 27005, 2011]. Esta Norma,
que inclusive é base para iniciativas na APF, como a [NC 04, 2013], estabelece uma
visão de alto nível da Gestão de Riscos de SI, com ênfase no processo, mas sem detalhar
atividades e técnicas.
A metodologia IT-Grundschutz [BSI 100-2, 2008], desenvolvida pela agência de
Segurança da Informação da Alemanha (sigla BSI), que estabelece um sistema de
gerenciamento de SI, que visa a “atingir e manter um nível apropriado de Segurança da
Informação”. A ferramenta [GSTOOL, 2004] apoia a utilização da Metodologia. Um
aspecto importante a ser apontado é a redução de custos alcançada com procedimentos
reutilizáveis, registrados em catálogos que contém ameaças padrão e proteções de
segurança aplicáveis para processos de negócio e sistemas de TI típicos.
A abordagem do NIST (National Institute of Standards and Technology) [NIST 800-39,
2011], agência do departamento de comércio dos Estados Unidos, que integra as
melhores práticas de gestão de riscos em TI, complementada pela [NIST 800-30, 2011]
que apresenta um guia para a realização da atividade de avaliação de riscos. Como
destaque tem-se a abstração de camadas para abordar riscos: i) nível da organização; ii)
nível de missão e processos de negócio; e iii) nível de sistemas de informação.
Existem outras abordagens, não descritas neste artigo por motivo de concisão.
3. A Metodologia de Gestão de Riscos do SISP (MGR-SISP)
A seguir é feita uma breve apresentação da Metodologia de Gestão de Riscos de
Segurança da Informação do Sistema de Administração dos Recursos de Tecnologia da
Informação [SISP, 2015] (MGR-SISP), que é apoiada pela ferramenta denominada
FAGR-SISP.
3.1. Estruturação e Representação
A MGR-SISP é associada a um processo, composto por subprocessos, que por sua vez
são decompostos em atividades, e estas em tarefas. Os subprocessos são associados a
objetivos parciais específicos relacionados à gestão de riscos e são definidos com base
nas fases principais estabelecidas na [ABNT NBR ISO/IEC 27005, 2011].
O processo e cada subprocesso são caracterizados por descrições e por diagramas de
fluxo de atividades, representados em BPMN (Business Process Model and Notation)
[OMG, 2014]. Cada atividade (de cada subprocesso) é caracterizada pelos seguintes
elementos: nome; descrição; diagrama de fluxo de tarefas (em BPMN); descrição das
tarefas e dos respectivos responsáveis; condição para ser realizada; informações
utilizadas; informações produzidas; condição para ser finalizada; templates e exemplos.
Os subprocessos e as atividades da MGR-SISP geram informações que devem ser
avaliadas e validadas (em geral, por um papel em um nível superior da GRSI) no final
do subprocesso ou da atividade. Por exemplo, critérios de tratamento de riscos definidos
pelo Gestor de Riscos (atividade Definir Critérios) são avaliados e aprovados (ou não)
por um Representante da Alta Administração. São previstas, portanto, repetições de
atividades para ajustes de informações e de decisões (por exemplo, para redefinir
critérios de tratamento de riscos) e também repetições de subprocessos quando as
informações forem inadequadas ou insuficientes para as decisões (por exemplo, para
selecionar uma opção de tratamento de risco).
A MGR-SISP estabelece também papéis (atores), conforme ideia presente em [NIST
800-39, 2011], de estabelecer ações e responsabilidades em todos os níveis da
organização, a saber: Representantes da Alta Administração; Gestores de Riscos;
Responsáveis por Unidades da Organização; Proprietários de Ativos; e Auditores.
3.2. Subprocessos e Atividades
A Figura 1 mostra o fluxo de execução dos subprocessos da MGR-SISP. Os
subprocessos e atividades, descritos sumariamente a seguir, são realizados com o apoio
da FAGR-SISP.
Figura 1. Processo MGR-SISP
Estabelecer Contexto (EC)
Este subprocesso trata dos pontos a serem definidos para o início da utilização da MGRSISP e da FAGR-SISP na organização. As principais atividades e tarefas são:
 Definir os papéis e as responsabilidades e alocar recursos humanos. A estrutura atual
de SI na organização é identificada. Papéis para a GRSI são identificados e adaptados
e profissionais são alocados aos papéis.
 Definir os objetivos, o escopo e as restrições da GRSI. Os objetivos estratégicos da
organização, em especial que impactam o estado, a sociedade, e os cidadãos devem
ser a base para identificar os objetivos da GRSI. Devem-se identificar as unidades
(setores) da organização envolvidas, conforme os requisitos de segurança e as
restrições existentes, sobretudo as associadas a leis e regulações específicas do setor.
 Realizar pré-análise da organização. Trata-se da aplicação de um questionário do
Método de Avaliação de Nível de Segurança [YOO, 2007], que abrange 12
categorias de controle e 54 itens de controle. Cada item deve ter o nível de
implementação classificado entre 1 e 5. O resultado é uma avaliação abrangente do
nível de maturidade da organização em cada categoria e a identificação de pontos
fracos. Este resultado apoia decisões estratégicas e é útil para avaliar progressos.
 Realizar pré-análise de unidades da organização. Também por meio de um
questionário cada unidade (setor) avalia a criticidade dos seus ativos primários
(processos de negócio e informações) com respeito aos atributos: Confidencialidade;
Integridade; e Disponibilidade, em uma escala entre 1 e 5. O resultado é uma
avaliação de criticidade de cada unidade e a ponderação da importância de cada
atributo de segurança. Este resultado permite priorizar o investimento em SI.
 Definir critérios. Trata de definir questões de apoio que orientem as avaliações a
serem realizadas em atividades posteriores, nas quais as consequências e as
probabilidades de riscos são identificadas em 5 classes: 1 - Muito Baixa (MB), 2 Baixa (B), 3 - Moderada (M), 4 - Alta (A), 5 - Muito Alta (MA) [NIST 800-30,
2011]. Isto envolve definir e documentar as seguintes questões e ações: 1) questões
para apoiar a avaliação de consequências (impactos) de riscos para cada atributo
(Confidencialidade; Integridade; e Disponibilidade) em cada classe de risco (MB, B,
M, A, MA); 2) questões para apoiar a avaliação probabilidades de riscos em cada
classe de risco; e tipos de ações que devem ser tomadas para o tratamento de riscos,
para cada classe de risco.
As informações de status da Segurança da Informação na organização, de requisitos de
proteção, e as definições iniciais sobre a Gestão de Riscos, são a base para todas as
ações subsequentes.
Identificar Riscos (IR)
Já este subprocesso busca identificar os riscos existentes e a adequação dos controles
utilizados. Cada unidade da organização levanta as várias informações (possivelmente
de forma simultânea e independente), que são validadas pelo Gestor de Riscos.
Os responsáveis de cada unidade (e/ou proprietários de ativos) devem identificar e
cadastrar os ativos (processos de negócio, hardware, software, locais físicos, etc.) e as
respectivas informações. A FAGR-SISP filtra, de uma lista genérica de ameaças,
àquelas que se aplicam a cada tipo de ativo, facilitando a identificação e descrição de
ameaças associadas aos ativos. Analogamente, para cada ameaça, a FAGR-SISP filtra,
de uma lista genérica de controles, àqueles que protegem o ativo da ameaça. O status de
cada controle dever ser então investigado, documentado, e avaliado, da seguinte forma:
não implementado, parcialmente implementado, totalmente implementado, ou não se
aplica. Por fim, para cada controle não (ou parcialmente) implementado a FAGR-SISP
filtra, de uma lista genérica de vulnerabilidades, àquelas relacionadas à ausência de
controles para as ameaças aos ativos. Neste ponto quaisquer vulnerabilidades de ativos
(associadas ou não a controles) devem ser identificadas e documentadas.
As informações sobre ativos, ameaças, controles e vulnerabilidades, geradas de forma
paulatina, e incrementalmente avaliadas, são consolidadas em um Mapa de Riscos.
Estimar Riscos (ER)
Este subprocesso trata de estimar cada risco identificado, o que deve ser realizado em
cada unidade da organização (também possivelmente de forma simultânea e
independente). A estimativa leva em conta: consequências; probabilidades; e também os
controles existentes, que quando eficazes reduzem à exposição aos riscos.
Inicia-se com a identificação e avaliação de possíveis consequências de riscos. Para cada
ativo e ameaça (um risco) a FAGR-SISP apresenta as questões de apoio cadastradas, de
forma que o responsável possa estimar a consequência do risco, para cada atributo
(Confidencialidade; Integridade; e Disponibilidade), associando-o em uma classe (MB,
B, M, A, MA). O mesmo ocorre para a estimativa de probabilidades, pela associação do
risco a uma das classes (MB, B, M, A, MA). As consequências dos riscos e as
justificativas para as estimativas devem ser documentadas. A partir das estimativas
efetuadas, a FAGR-SISP gera (aplicando uma matriz consequência-probabilidade) a
estimativa do nível (valor numérico entre 1 e 9) e a classe (MB, B, M, A, ou MA) para
cada risco. As estimativas são geradas separadamente em cada unidade da organização.
O Mapa de Riscos é atualizado associando um nível para cada risco (ameaça a ativo).
Avaliar Riscos (AR) e Tratar Riscos (TR)
Nestes subprocessos os riscos são avaliados e tratados. É feita a consolidação dos riscos
de todas as unidades da organização em um único Mapa de Riscos, que apresenta todos
os riscos, ordenados por nível, de forma decrescente. Neste ponto, decide-se sobre a
necessidade de retornar a subprocessos anteriores para obter mais informações ou para
refiná-las.
Todas as informações apuradas são utilizadas para tomar decisões sobre como tratar
cada risco: reduzir, reter, transferir, ou evitar. Permitem também planejar ações futuras.
Para cada risco e cada alternativa de tratamento, devem ser feitas estimativas de custo e
prazo, e ser levantadas as possíveis restrições. Em especial, para opção “reduzir risco”, a
FAGR-SISP recupera a informação sobre os controles não (ou parcialmente)
implementados para os riscos. Cada controle destes representa uma opção de tratamento
dos riscos identificados, para a qual as estimativas devem ser feitas.
O Mapa de Riscos consolidado, ordenado, com as opções de tratamento de riscos e
respectivas estimativas, é utilizado para as decisões sobre os tratamentos a serem
realizados (controles a serem implementados). As decisões devem ser documentadas e a
forma de monitoramento dos riscos deve ser definida. Enfim, devem ser elaborados
Planos de Tratamento de Riscos (PTR), alocados a responsáveis definidos.
Comunicar Riscos (CR) e Monitorar Riscos (MR)
Estes subprocessos abordam as atividades de comunicação e de monitoramento, que
estão embutidas nos outros subprocessos e são apoiadas pela FAGR-SISP. Além destas,
destacam-se aqui as atividades para monitorar os status de execução dos PTRs, para
monitorar os riscos e identificar a necessidade de reavaliações, e para monitorar e
registrar incidentes de SI.
4. Considerações Finais
Versões anteriores da MGR-SISP foram avaliadas por especialistas em SI e por
conhecedores da APF, resultando em modificações que levaram ao conteúdo aqui
descrito. A FAGR-SISP encontra-se em desenvolvimento e será utilizada na próxima
etapa de validação, que consistirá em um projeto piloto, com a implantação e o uso da
MGR-SISP e da FAGR-SISP em um órgão da APF.
Não está no escopo deste artigo a comparação detalhada entre metodologias.
A MGR-SISP foi elaborada buscando agregar características de metodologias bem
sucedidas, para atender às necessidades e restrições identificadas na APF. Destacam-se:
(i) alinhamento com leis, normas e com a estratégia de SI existentes na APF. (ii)
flexibilidade e aplicabilidade a organizações com diferentes necessidades e realidades,
levando à incorporação de pré-análises para o diagnóstico de necessidades. (iii)
praticidade. Incitou à descrição de pontos concretos de técnicas e de atividades de GRSI,
como tratadas em [ISO 31010, 2009], além do recurso de pré-estabelecer listas de tipos
de elementos (restrições, consequências, ameaças, controles, vulnerabilidades),
semelhante à solução em [BSI 100-2, 2008]. (iv) extensibilidade. Novos elementos
podem ser adicionados às listas pré-estabelecidas, por exemplo, para contemplar
ameaças e controles identificados como especialmente relevantes na APF.
5. Referências
[ABNT NBR ISO/IEC 27001] Tecnologia da informação — Técnicas de segurança — Sistemas de gestão
da segurança da informação — Requisitos, ABNT, 2013.
[ABNT NBR ISO/IEC 27005] Tecnologia da informação — Técnicas de segurança — Gestão de riscos
de segurança da informação, ABNT, 2011.
[ABNT NBR ISO/IEC 31010] Gestão de riscos Técnicas para o processo de aval. de riscos, ABNT, 2012
[Acordão TCU 2585] Avaliação da governança de tecnologia da informação na administração pública
federal. Oportunidades de melhoria. Recomendações. TCU, 2012.
[B823e] Estratégia de Segurança da Informação e Comunicações (SIC) e de Segurança Cibernética da
Administração Pública Federal (APF) GSI/PR, 2015.
[BSI 100-2, 2008] “IT-Grundschutz Methodology, BSI Standard 100-2”, Version 2.0, Maio 2008.
[GSTOOL] https://www.bsi.bund.de/DE/Themen/weitereThemen/GSTOOL/gstool_node.html.
[Lei 12527] Lei de Acesso à Informação, Novembro, 2011.
[NC 02] Norma Complementar nº 02/IN01/DSIC/GSIPR, Metodologia de Gestão de Segurança da
Informação e Comunicações, 2008.
[NC 03] Norma Complementar nº 03/IN01/DSIC/GSIPR, Diretrizes para a Elaboração de Política de
Segurança da Informação e Comunic. nos Órgãos e Entidades da Administração Pública Federal, 2009.
[NC 04] Norma Complementar nº 04/IN01/DSIC/GSIPR Diretrizes para o processo de Gestão de Riscos
de Segurança da Informação e Comunic. nos órgãos e entidades da Administração Pública Federal, 2013.
[NIST 800-39] NIST 800-39 – “Managing Information Security
<http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf>.
Risk.”
Disponível
em:
[NIST 800-30] “NIST 800-30 – Guide for Conducting Risk Assessment”, 2011. Disponível em:
<http://csrc.nist.gov/publications/nistpubs/800-39/SP800-30-final.pdf>.
[OMG, 2014] Object Management Group: Business Process Model and Notation http://www.bpmn.org/.
[SISP] Sistema de Administração dos Recursos de Tecnologia da informação http://www.sisp.gov.br/
[YOO] Dong-Young Yoo, Jong-Whoi Shin, Gang Shin Lee, and Jae-I Lee. “Improve of Evaluation
Method for Information Security Levels of CIIP (Critical Information Infrastructure Protection)”,
International Scholarly and Scientific Research & Innovation 1(12), 2007, World Academy of Science,
Engineering and Technology.