Paulo Hideo Ohtoshi
Análise Comparativa de Metodologias de
Gestão e de Análise de Riscos sob a Ótica da
Norma NBR-ISO/IEC 27005
Brasília, 10 de dezembro de 2008
Paulo Hideo Ohtoshi
Análise Comparativa de Metodologias de
Gestão e de Análise de Riscos sob a Ótica da
Norma NBR-ISO/IEC 27005
Monografia apresentada ao Departamento de Ciência da Computação da
Universidade de Brasília como requisito
parcial para a obtenção do título de
Especialista em Ciência da Computação: Gestão da Segurança da
Informação e Comunicações
Orientador: Prof. Dr. Edgard Costa Oliveira
Universidade de Brasília – UnB
Departamento de Ciência da Computação
Brasília
Dezembro de 2008
Análise Comparativa de Metodologias de Gestão e de
Análise de Riscos sob a Ótica da Norma NBR-ISO/IEC
27005
Paulo Hideo Ohtoshi
Monografia de Especialização submetida e aprovada pela Universidade de
Brasília como parte do requisito parcial para obtenção do certificado de
Especialista em Gestão de Segurança da Informação Comunicações.
Aprovada em:
Prof. Edgard Costa Oliveira, Dr. (Orientador)
Universidade de Brasília
Prof. Jorge Henrique Cabral Fernandes, Dr. (Coordenador)
Universidade de Brasília
Prof. José Carlos Loureiro Ralha, Dr.
Universidade de Brasília
Brasília
Dezembro de 2008
i
Dedicatória
Dedico esta pesquisa a Deus por iluminar o meu caminho, a meus pais
que sempre me incentivaram e me orientaram, a minha família, especialmente
a minha esposa Maria Aurélia, cujo apoio e compreensão foram fundamentais
para a concretização deste trabalho. Aos meus filhos Eduardo e Fernando,
fontes de inspiração e de incentivo para prosseguir a vida acadêmica.
ii
Agradecimentos
Ao Prof. Dr. Edgard Costa Oliveira, por me incentivar, fazer acreditar e orientar
o desenvolvimento desse trabalho de pesquisa e a quem expresso a imensa
gratidão, o sentimento de orgulho e a satisfação em tê-lo como orientador.
Ao Prof. Dr. Jorge Henrique Cabral Fernandes, pela sabedoria, pela paciência
e pela forma como coordenou o Curso de Especialização.
Ao Dr. Raphael Mandarino Junior e ao Cel. Reinaldo Silva Simião, cujo esforço
e dedicação tornaram possível a realização desse Curso na Universidade de
Brasília.
A Professora Georgina Mandarino pelo apoio incondicional durante todo o
curso.
Ao Dr. Luizoberto Pedroni e ao Professor Marlos Ribas Lima, que
compreenderam a necessidade de me ausentar da Abin para realização desse
Curso de Especialização na Universidade de Brasília.
Aos colegas de turma e, em especial, aos amigos Antônio Magno Figueiredo
de Oliveira, Iná Monteiro e Danielle Rocha pelo companheirismo e colaboração
durante todo o curso.
A minha família e, particularmente a minha esposa Maria Aurélia, companheira
de todas as horas, pela paciência, compreensão e incentivo nos momentos
certos que me fizeram superar o cansaço e prosseguir nessa longa jornada.
Aos alunos da Universidade de Brasília, cujo trabalho e dedicação contribuíram
para o bom andamento do curso.
iii
“A revolução na Tecnologia da Informação
está ampliando nossa habilidade de criar
e compartilhar os conhecimentos técnicos.
O resultado disso é que a Tecnologia da
Informação tornou-se fator primordial,
proporcionando um rápido e extraordinário
desenvolvimento técnico e acelerando, dessa
forma, avanços em todas as outras áreas.”
Halal, William E.
iv
Resumo
Este trabalho de pesquisa visa ao aprimoramento da Gestão de
Segurança de Sistemas de Informação e Comunicações da Administração
Pública Federal. Reúne os conceitos recentes de gestão de riscos, descreve as
principais metodologias e ferramentas de gestão e de análise de riscos
existentes no mundo. Apresenta um estudo comparativo entre as principais
metodologias e ferramentas e serve como instrumento de avaliação que pode
ser utilizado na escolha da metodologia a ser aplicada pelos órgãos
Administração Pública Federal. Os resultados desse trabalho são um inventário
de metodologias e ferramentas e quadros comparativos que destacam algumas
qualidades e benefícios que cada uma delas oferece. O estudo dessas normas,
metodologias e ferramentas demonstra uma tendência de convergência e de
integração entre essas metodologias.
Palavras-chave: Gestão de riscos, normas, metodologias, ferramentas,
inventário,
análise
comparativa,
riscos,
conformidade.
v
ameaças,
vulnerabilidades,
Abstract
This research, aiming at enhancing the Information Systems Security
Management for the Brazilian Federal Government, gathers the most modern
technologies in Risk Management, describing the main methodologies and tools
for Risk Analysis and Management existing today. Presents a comparative
study of them and can be used as an instrument for evaluating and selecting
methodologies to be applied by the Brazilian Federal Government Agencies.
The results of this work are an inventory of methodologies, tools and
comparative tables that outline some of benefits that each of them provides.
The study of these standards, methodologies and tools demonstrates a
tendency of convergence and integration of them.
Keywords: Risk assessment, standards, methodologies, tools, inventory,
comparative analysis, risks, threats, vulnerabilities, compliance.
vi
Sumário
Dedicatória...........................................................................................................ii
Agradecimentos..................................................................................................iii
Resumo................................................................................................................v
Abstract...............................................................................................................vi
Sumário..............................................................................................................vii
Lista de Acrônimos..............................................................................................ix
Lista de Tabelas..................................................................................................xi
Lista de Figuras..................................................................................................xii
1 Introdução........................................................................................................xiii
2 Objetivos.........................................................................................................xvi
2.1. Objetivo Geral...............................................................................xvi
2.2. Objetivos Específicos...................................................................xvi
3 Metodologia......................................................................................................xx
4 Conceitos Gerais de Gestão e de Análise de Riscos.....................................xxi
4.1. O que é Gestão de Riscos...........................................................xxi
4.2. A Análise e a Gestão de Riscos.................................................xxiv
4.3. O Arcabouço da Gestão de Riscos............................................xxvi
4.4. A Gestão de Riscos dentro de um SGSI.....................................xxx
5 Normas de Gestão e de Análise de Riscos................................................xxxvii
5.1. AS/NZS 4360...........................................................................xxxvii
5.2. ISO/IEC 13335..........................................................................xxxix
5.3. NBR ISO/IEC 17799 (BS7799-1)...................................................xl
5.4. NBR ISO/IEC 27001 (BS7799-2)..................................................xli
5.5. NBR ISO/IEC 27002 (NBR ISO/IEC 17799).................................xlii
5.6. NBR ISO/IEC 27005 (ISO/IEC 13335-2)......................................xlii
6 Metodologias de Gestão e de Análise de Riscos...........................................xliii
6.1. Austrian IT Security Handbook....................................................xliii
6.2. CORAS.........................................................................................xliii
6.3. CRAMM........................................................................................xlvi
6.4. Dutch A&K Analysis....................................................................xlvii
vii
6.5. EBIOS.........................................................................................xlviii
6.6. ISAMM.............................................................................................li
6.7. ISF Methods...................................................................................liii
6.8. IT-Grundschutz (IT Baseline Protection Manual)..........................lvi
6.9. MAGERIT.....................................................................................lviii
6.10. Marion...........................................................................................lx
6.11. Mehari..........................................................................................lxi
6.12. Migra..........................................................................................lxiii
6.13. OCTAVE....................................................................................lxiv
6.14. NIST SP 800-30.......................................................................lxviii
7 Ferramentas de Gestão e de Análise de Risco............................................lxxii
7.1. Axur.............................................................................................lxxii
7.2. CALLIO.......................................................................................lxxiii
7.3. CASIS.........................................................................................lxxv
7.4. COBRA.......................................................................................lxxv
7.5. CRAMM.......................................................................................lxxv
7.6. EAR/PILAR................................................................................lxxvi
7.7. EBIOS........................................................................................lxxvii
7.8. GSTool......................................................................................lxxviii
7.9. GxSGSI.....................................................................................lxxviii
7.10. ISAMM....................................................................................lxxviii
7.11. MIGRA Tool.............................................................................lxxix
7.12. Modulo Risk Manager..............................................................lxxxi
7.13. OCTAVE..................................................................................lxxxi
7.14. PROTEUS...............................................................................lxxxii
7.15. Ra2..........................................................................................lxxxii
7.16. Resolver Ballot.......................................................................lxxxiii
7.17. Resolver Risk.........................................................................lxxxiii
7.18. RiskWatch..............................................................................lxxxiv
7.19. RM Studio...............................................................................lxxxv
8 Quadro comparativo........................................................................................87
9 Conclusão........................................................................................................95
10 Referências Bibliográficas.............................................................................97
viii
Lista de Acrônimos
ABNT - Associação Brasileira de Normas Técnicas
APF – A d m i n i s t r a ç ã o P ú b li c a Fe d e r a l
BPLC – Business Process Life Cycle
CCTA – Central Computer and Telecommunications Agency
COBIT - Control Objectives for Information and related Technology
CRAMM - CCTA Risk Analysis and Method Management
FIPS- Federal Information Processing Standards
FISAP - Financial Institution Shared Assessments Program
FISMA - Federal Information Security Management Act
HIPAA - Health Insurance Portability and Accountability Act
ISO - International Standards Organization
ITIL - Information Technology Infrastructure Library
GLBA - Gramm-Leach-Bliley Act
GRC – Governance, Risk and Compliance
NIST – National Institute of Standards and Technology
MEHARI – “MEthode Harmonisée d'Analyse de RIsque 2007”
PDCA – Plan, Do, Check and Act
OCTAVE - Operationally Critical Threat, Asset, and Vulnerability Evaluation
ix
SOX – Sarbanes-Oxley Law
UML – Unified Modeling Language
x
Lista de Tabelas
Tabela 4.1 – Correspondência entre o processo do SGSI com o processo de
Gestão de Riscos de Segurança da Informação (ABNT, 2008)....................xxxiv
Tabela 6.2 – Características da Austrian Security Handbook..........................xliii
Tabela 6.3 – Características da Coras..............................................................xlvi
Tabela 6.4 - Características da CRAMM..........................................................xlvii
Tabela 6.5 – Características da Dutch A&K Analysis.....................................xlviii
Tabela 6.6 – Características da EBIOS................................................................li
Tabela 6.7 – Características da ISAMM..............................................................lii
Tabela 6.8 – Características da ISF Methods.....................................................lvi
Tabela 6.9 – Características da IT Grundschutz...............................................lvii
Tabela 6.10 – Características da Marion............................................................lxi
Tabela 6.11 – Características da Mehari..........................................................lxiii
Tabela 6.12 - Conteúdo do Guia de Implantação da Metodologia OCTAVE (SEI,
2005).................................................................................................................lxvii
Tabela 6.13 – Características da OCTAVE 2.0 (SEI, 2005)............................lxvii
Tabela 6.14 – Características da SP 800-30 (STONEBURNER, 2002)...........lxxi
Tabela 8.15 - Quadro Comparativo 1.................................................................89
Tabela 8.16 - Quadro Comparativo 2.................................................................92
xi
Lista de Figuras
Figura 4.1 - Análise e Gestão de Riscos Segundo o Modelo OCTAVE
(ALBERTS, 2001)..............................................................................................xxv
Figura 4.2 - Arcabouço do SGSI (ENISA, 2006)............................................xxxiii
Figura 5.3 - Etapas do Processo de Gestão de Riscos AS/NZS 4360 (AS/NZS,
2004).............................................................................................................xxxviii
Figura 5.4 - Etapas do Processo de Gestão de Riscos ISO/IEC 13335 (ISO,
1998)....................................................................................................................xl
Figura 6.5 - Atividades do Modelo CRAMM......................................................xlvi
Figura 6.6 – Processos
da
Gestão
de
Riscos. Fonte: SP 800-30
(STONEBURNER, 2002).................................................................................lxviii
Figura 6.7 - Fluxograma do Processo de Análise e Avaliação de Riscos. Fonte:
SP 800-30 (STONEBURNER, 2002)................................................................lxix
Figura 6.8 - Fluxograma do Processo de Mitigação do Risco. Fonte: SP 800-30
(STONEBURNER, 2002)...................................................................................lxx
Figura 7.9 – EBIOS. Fonte: EBIOS (CISSD, 2004)........................................lxxvii
xii
1 Introdução
A importância crescente da tecnologia da informação nas organizações
e o aumento das ameaças e dos riscos a que essas informações estão
submetidas tornaram a gestão de riscos de TI uma preocupação constante das
organizações. Simultaneamente ao crescimento dessas ameaças e da
insegurança do mercado, surgiram inúmeras normas e regulamentos com as
quais as organizações têm de estar em conformidade para manter a eficiência,
a segurança e a credibilidade. A gestão da segurança da informação tornou-se
uma questão de sobrevivência nesse cenário extremamente dinâmico e
competitivo, na qual a gestão da inovação, do conhecimento e da inteligência
competitiva são recursos amplamente empregados pelas organizações para se
manterem no topo.
Neste contexto, a gestão de riscos assume um papel de fundamental
importância na adoção de medidas de proteção adequadas das informações
críticas da organização. Sem o uso de instrumentos de gestão adequados, não
há garantias do emprego correto dos investimentos e das medidas apropriadas
de proteção. A segurança depende mais da gestão de determinados fatores do
que da adoção e aquisição de tecnologias e ferramentas de última geração.
Elas serão úteis se selecionadas criteriosamente e aplicadas segundo as
normas e metodologias que orientam a escolha correta tanto das medidas de
proteção quanto da forma como implantá-las, apoiando a tomada de decisão
daqueles que são responsáveis pela gestão corporativa da organização.
As questões que pretendemos investigar tratam da diversidade de
metodologias e ferramentas de gestão e de análise de riscos existentes. Além
de abordar a evolução e a dinâmica causada pela permanente mudança do
ambiente corporativo e das questões relacionadas com a dificuldade de
escolha do modelo de gestão e de análise de riscos a ser adotado na
implantação da gestão da segurança da informação e comunicações na
Administração Pública Federal.
Tendo como perspectiva a adoção de metodologia de gestão e de
xiii
análise de riscos que atendam as necessidades dos órgãos e entidades
federais, este estudo apresenta as metodologias hoje existentes no mercado.
Uma análise comparativa entre essas metodologias e ferramentas, possibilita,
por meio de uma linguagem e características comuns, propor meios para a
escolha daquela que melhor se adapta às necessidades de determinada
organização.
A quantidade de normas, metodologias e ferramentas torna difícil a
tarefa de escolha do gestor. Como selecionar o conjunto ideal normas,
metodologias e ferramentas a ser aplicado em um determinado órgão? Quais
as características são fundamentais em cada uma dessas metodologias e
quais as vantagens e benefícios que cada uma delas oferece?
Para responder a essas questões, esse trabalho procura abordar um
conjunto de normas, metodologias e ferramentas, com ênfase nos aspectos
que são essenciais na escolha e na adoção daquela que melhor se adapta a
uma determinada organização. Como o trabalho aborda um fenômeno em
permanente evolução, as tecnologias aqui tratadas representam o que há de
novo até o presente momento.
Ao comparar normas, metodologias e ferramentas, depara-se com
situações comuns encontradas tanto no setor público como no setor privado:
i.
Falta de uma linguagem comum, facilmente compreendida entre as
partes interessadas. Os termos e definições são usados com
significados diferentes, dificultando a tarefa de comparação entre as
metodologias e as ferramentas, assim com dos resultados obtidos
por cada uma delas;
ii.
Ausência de uma pesquisa que compare as principais normas,
metodologias e ferramentas utilizando uma linguagem comum e um
conjunto de propriedades e características que permitam comparar
essas metodologias. As organizações usualmente realizam estudos
pautados na viabilidade econômica para a escolha das ferramentas
existentes no mercado;
xiv
iii.
Falta de interoperabilidade entre as diversas soluções, que dificulta a
integração entre as ferramentas de gestão de riscos com a
governança corporativa.
Nesse mercado em permanente evolução, muitas iniciativas isoladas
tendem a convergir e a se integrar a outras. É o caso do grupo de normas
ISO/IEC 13335 (ISO, 1999). Desse grupo, a ISO/IEC 13335-2 (ISO, 2002) está
sendo readaptada e renomeada para integrar a família de normas ISO/IEC
27000 (ISO, 2002) como ISO/IEC 27005 (ISO, 2006). A diversidade de normas,
metodologias e ferramentas dificulta a tarefa do gestor na tomada de decisão
quanto ao investimento que deve ser feito em termos de instrumentos e
tecnologias de gestão.
xv
2 Objetivos
2.1. Objetivo Geral
O objetivo geral deste trabalho é apresentar o estado-da-arte das
normas, metodologias e ferramentas de gestão e de análise de riscos e as
possíveis contribuições para o aprimoramento da gestão da segurança da
informação da Administração Pública Federal. Um estudo comparativo das
normas, metodologias e ferramentas pode auxiliar na adoção da melhor
solução para a gestão da segurança da informação de um determinado órgão
da Administração Pública Federal.
Portanto, o objetivo é oferecer uma visão de como essas normas,
metodologias e ferramentas interagem, quais as que oferecem os melhores
recursos, além das informações sobre custos e benefícios. A contribuição que
o estudo comparativo dessas metodologias pode trazer ao planejamento da
segurança da informação na APF é servir de base para a adoção e escolha dos
modelos de gestão e para a aquisição de ferramentas visando à implantação
da gestão de riscos no âmbito da APF, tendo como escopo os órgãos e
entidades da APF.
2.2. Objetivos Específicos
São objetivos específicos do trabalho:
a.
Sistematizar os referenciais teóricos e normativos que regem a
gestão e a análise de riscos;
b. Comparar estas referências, buscando amparar a APF na escolha
de referenciais próprios;
c.
Apresentar e descrever as metodologias de gestão e de análise de
riscos que se aplicam à gestão de segurança da informação e
comunicações dos órgãos da Administração Pública Federal;
Este trabalho aborda alguns problemas comumente encontrados nas
xvi
organizações dentre os quais se destacam a (ENISA, 2006):
1.
Ausência de uma linguagem comum na área de gestão de riscos
que facilite a comunicação entre as partes interessadas. Os termos
da gestão de riscos são usados com significados diferentes. O uso
de uma terminologia não uniforme dificulta a comparação dos
métodos e das ferramentas e dos resultados obtidos.
2.
Carência de pesquisas sobre métodos, ferramentas e boas práticas
existentes no mundo: Embora existam vários métodos e ferramentas
nesta área, não há inventários estruturados com um conjunto
comum
de
propriedades
que
permita
a
comparação
das
metodologias e das ferramentas. As organizações tendem a realizar
estudo de viabilidade de custos para identificar as características
dos métodos e ferramentas existentes em análise e gestão de
riscos.
3.
A falta de interoperabilidade entre as soluções de gestão de riscos
existentes, dificuldades de integração da análise e gestão de riscos
com a governança corporativa. Nos dias de hoje, a gestão e a
análise de riscos em tecnologia da informação não podem ser
tratadas isoladamente. Múltiplos métodos e múltiplas aplicações
podem co-existir. Essa co-existência cria a necessidade de integrar
a gestão e a análise de riscos com os métodos e padrões existentes
na área da tecnologia da informação e dos riscos operacionais e
aplicá-los como um todo dentro da organização.
Um dos objetivos desse trabalho é contribuir para reduzir os problemas
da falta de conscientização e da ausência de uma linguagem comum. Para
fazer isso, o documento apresenta os processos e os ciclos operacionais
pertinentes à gestão de riscos. Os demais itens tratam desses aspectos,
situando a gestão de riscos e descrevendo suas atividades básicas.
Outro objetivo deste trabalho é suprir a carência de pesquisas sobre
métodos, ferramentas e boas práticas existentes, fornecendo uma pesquisa
xvii
inicial sobre as abordagens existentes por meio de um inventário dos métodos
e ferramentas existentes. O Capítulo 8 - Quadros Comparativos - apresenta um
resumo desses inventários.
Finalmente, a falta de interoperabilidade entre as soluções de gestão de
riscos existentes, juntamente com outros padrões que estão surgindo,
dificultam a tarefa do gestor na escolha das melhores normas e metodologias e
ferramentas e a tomada de decisão em relação as possíveis ações futuras. O
presente trabalho apresenta um breve histórico da evolução das normas, da
correlação entre elas e a adoção dessas normas por parte de organizações
internacionais como padrões mundiais. Essas informações auxiliam o gestor a
selecionar o melhor conjunto de normas, metodologias e ferramentas adquirir
pois elas refletem as tendências mundiais na área de segurança da
informação.
Este capítulo descreve as principais características dos processos e
atividades associadas à análise e gestão de riscos. O Capítulo 5 apresenta as
principais normas de gestão e de análise. O Capítulo 6 apresenta um inventário
de metodologias e o Capítulo 7, um inventário de ferramentas que facilitam a
aplicação dessas metodologias.
Este trabalho destina-se aos profissionais e especialistas em segurança
de TI e àqueles que buscam um documento de referência em processos,
atividades e terminologia de gestão de riscos.
Os inventários oferecem uma informação concisa das metodologias e
ferramentas existentes que podem facilitar a rápida identificação e visualização
das principais características de cada uma. Facilita o processo de seleção das
normas, metodologias e ferramentas adequadas para a implantação do
processo de gestão de riscos nos órgão da APF.
Além disso, este trabalho revela as tendências presentes e futuras na
área da gestão de riscos, dando uma idéia das futuras demandas e dos
desenvolvimentos na área.
xviii
Além disso, este documento serve como:
a. Uma descrição genérica dos processos e das atividades para a
implantação da análise e da gestão de riscos;
b. A consolidação de um conjunto de referências a serem usadas no
futuro.
c. Um documento de referência inicial que pode ser expandido no
futuro, incluindo:
d. Integração de processos por meio de exemplos de integração da
gestão de riscos com outros processos ou produtos;
e. Aspectos que permitam a interoperabilidade e a comparação entre os
vários métodos;
f. O material pode ser usado como material de pesquisa, estudo e
treinamento.
xix
3 Metodologia
A presente pesquisa é constituída por três partes. A primeira parte
caracteriza-se como uma pesquisa bibliográfica, exploratória, descritiva,
qualitativa, analítica, construída segundo uma abordagem teórico-metodológica
para a organização e sistematização do conhecimento sobre a análise e a
gestão de riscos aplicáveis à gestão da segurança da informação e
comunicações. A segunda parte apresenta um conjunto de normas,
metodologia e ferramentas, fazendo uma breve descrição de suas principais
características, identificando as qualidades e as deficiências de cada uma. A
terceira parte do trabalho define critérios para a comparação e por meio da
tabulação das informações em quadros comparativos com as principais
metodologias, que permitem identificar aquelas que são as mais apropriadas
para uma determinada organização.
A coleta e análise de informações sobre os métodos e ferramentas em
gestão e análise de riscos foram organizadas a partir de tabelas, contendo os
seguintes itens identificadores: i) nome do método ou ferramenta; ii) autor ou
fabricante; iii) país; iv) atividades da análise/avaliação de riscos (risk
assessment); v) atividades da gestão de riscos (risk management). Esses itens
foram identificados nas tabelas a partir da legenda a seguir:  Atividade
ausente;  Atividade parcialmente presente; 
Atividade presente; 
Atividade totalmente presente.
No capítulo 8 as informações foram agrupadas em dois quadros
comparativos para visualização geral de todas as análises. O quadro
comparativo 8.1 apresenta as seguintes informações: i) metodologias; ii)
ferramentas; iii) custo da metodologia; iv) atividades da análise/avaliação de
riscos (risk assessment); v) atividades da gestão de riscos (risk management).
O quadro comparativo 8.2 apresenta as seguintes informações: i) ferramentas;
ii) metodologias; iii) custo ferramenta; iv) atividades da análise/avaliação de
riscos (risk assessment); v) atividades da gestão de riscos (risk management).
xx
4 Conceitos Gerais de Gestão e de Análise de
Riscos
Para compreender o estudo comparativo deste trabalho, é necessário
apresentar ao leitor uma visão teórica do modelo de gestão de riscos da
segurança da informação, incluindo o arcabouço, seus termos e definições.
Para isso, o modelo teórico adotado foi a NBR ISO/IEC 27005 (ABNT, 2008),
que oferece um arcabouço e uma nomenclatura modernos que são usados na
comparação das metodologias. Ressalta-se, entretanto, que a descrição das
normas, metodologias e ferramentas respeita a nomenclatura original, embora
os modelos teóricos mais recentes tenham revisado essa nomenclatura. Como
exemplo, podemos citar o emprego dos termos fases (phases), passos (steps)
e etapas. Hoje, a visão moderna consagra a gestão como um processo
composto por uma série de atividades. As atividades podem ser realizadas
seqüencialmente ou em paralelo. Os termos passo e fase pressupõem uma
execução em seqüência, isto significa que uma fase só pode ser iniciada após
o encerramento da outra etapa ou fase. Este capítulo trata exatamente de uma
apresentação desse referencial teórico, que servirá de base para a
compreensão dos conceitos, definições, processos e atividades de que a
análise e a gestão fazem uso. Como paradigma de gestão e análise de riscos,
adotamos a NBR ISO/IEC 27005 (ABNT, 2008), o referencial mais moderno e
mundialmente aceito como padrão. Além a NBR ISO/IEC 27005 (ABNT, 2008),
os termos utilizados para descrição do arcabouço (framework) seguem a norma
NBR ISO/IEC GUIA 73 (ABNT, 2003).
Este trabalho dedica-se a abordar a gestão de riscos da segurança da
informação. Qualquer referência a gestão de riscos, a menos que haja alguma
ressalva, entenda-se gestão de riscos da segurança da informação.
4.1. O que é Gestão de Riscos
A gestão de riscos é uma das etapas mais importantes da gestão da
segurança da informação. Podemos definir segurança da informação como a
xxi
área do conhecimento dedicada à proteção de ativos de informação contra
acessos não autorizados, alterações indevidas ou sua indisponibilidade.
“O objetivo do programa de segurança da informação e o processo de
análise/avaliação de risco é determinar o impacto das ameaças aos ativos
de informação baseados em: i) Integridade – A informação se apresenta
conforme desejada, não foi modificada ou corrompida de forma imprópria; ii)
Confidencialidade – A informação está protegida contra a revelação
acidental ou não autorizada; iii) Disponibilidade – Usuários autorizados
podem ter acesso às aplicações e aos sistemas quando necessários ao
exercício de seu trabalho” (PELTIER, 2005).
É por intermédio da gestão de riscos que os riscos são identificados e
devidamente tratados. Quanto a este ponto, destaca-se como elucidativa a
explicação de Carl. A. Roper (1999):
“Gestão de riscos é o processo pelo qual as medidas de segurança são
selecionadas e implementadas para se atingir um nível aceitável de risco,
previamente estabelecido, e a um custo razoável. Risco é também o
potencial de dano ou perda a que um ativo ou grupo de ativos está sujeito.
O nível baseia-se no valor atribuído pelo seu proprietário e no impacto e ou
conseqüência causado por um evento adverso sobre aquele ativo. Risco é
também a probabilidade de uma vulnerabilidade específica ser explorada
por uma determinada ameaça” (ROPER, 1999).
Ainda segundo Roper (1999), nem todas as ameaças são capazes de
ameaçar uma determinada vulnerabilidade.
Na visão de Peltier (2005), a gestão de riscos é um processo que, em
geral, busca um equilíbrio entre a realização das oportunidades de ganhos e a
minimização das vulnerabilidades e das perdas.
“A gestão de riscos é o processo que permite aos gestores de negócios
equilibrarem os custos operacionais e econômicos das medidas de proteção
para obter ganhos protegendo os processos de negócios que apóiam os
objetivos de negócios ou missão da organização. Gestão de Risco é o
processo total usado para identificar, controlar e minimizar o impacto de
eventos incertos. O objetivo do programa de gestão de risco é reduzir o
risco no desempenho de algumas atividades ou funções a um nível
aceitável e obter a aprovação da alta direção” (PELTIER, 2005).
A gestão de riscos é parte integrante da gestão empresarial e elemento
essencial da governança corporativa. A gestão de riscos é um processo cíclico
e contínuo, formado por atividades que, quando adequadamente implantado,
permite a melhoria contínua da tomada de decisão e do desempenho da
xxii
organização.
Para que a gestão de risco seja eficaz, a alta direção deve assegurar
que a organização possui a capacidade necessária para atingir a sua missão e
os objetivos de negócios.
A gestão de riscos da segurança da informação pode ser executada
isoladamente ou como parte da gestão de riscos total da organização. Como a
tecnologia da informação e, em particular, a segurança da informação,
englobam o estado-da-arte em tecnologia e, esta continuamente se modifica e
se expande, é recomendável que a gestão de riscos de segurança da
informação seja estabelecida como um processo permanente dentro da
organização.
4.1.1. O Processo de Gestão de Riscos
A gestão de riscos é de responsabilidades de todos e sua eficácia
depende do grau de integração à cultura, à filosofia, às práticas e aos
processos de negócios da organização.
O projeto e a implantação do processo de gestão de Riscos em uma
determinada organização são sempre influenciados pelos seguintes fatores
(ENISA, 2006):
i.
A missão e os objetivos da organização;
ii.
De seus produtos e serviços;
iii.
Dos processos gerenciais e operacionais;
iv.
Do emprego de práticas específicas;
v.
Das condições físicas, ambientais e regulatórias locais, dentre
outros.
A gestão de riscos, incluindo suas metodologias e ferramentas, é
baseada em valores estatísticos e empíricos extraídos de ataques e incidentes.
xxiii
Na prática, qualquer processo pode ser usado como ponto de entrada
ou de início do processo de gestão de riscos ou pode ser executado
isoladamente. Muitas organizações realizam o tratamento dos riscos sem
realizar formalmente a avaliação dos riscos ou sem uma prévia estratégia de
gestão de riscos corporativa. Outras organizações podem iniciar a análise de
riscos e em seguida executar as demais atividades do SGSI.
Para ilustrar, iremos fazer uma analogia com o tratamento médico.
Quando o paciente comparece ao consultório médico com uma enfermidade de
fácil diagnóstico, o médico examina o paciente e prescreve uma série de
medicamentos (controles) simplesmente com base neste diagnóstico prévio
realizado a partir da descrição dos sintomas e do estado clínico do paciente. O
médico aplica imediatamente o tratamento, recomendando uma série de
medidas e medicamentos (controles) que serão capazes de curar ou aliviar
(tratar) os sintomas (riscos) do paciente. Para realizar um tratamento mais
eficaz e definitivo, o médico deverá solicitar ao paciente que faça análises
laboratoriais e, com base nessas informações, tratará adequadamente da
enfermidade do paciente (CAMPOS, 2007, p.32).
De forma análoga, os problemas de segurança da informação de fácil
identificação e solução podem ser tratados imediatamente, mesmo antes da
aplicação de um processo sistemático de análise e avaliação dos riscos.
A seqüência recomendada de execução das atividades do processo de
gestão de riscos é começar pela elaboração de uma estratégia de gestão de
riscos corporativa.
Cabe mencionar que nenhum sistema eficaz de gestão de riscos pode
ser implantado em uma organização se não existirem as interfaces com os
outros processos operacionais e ou de produção.
4.2. A Análise e a Gestão de Riscos
A gestão e a análise de riscos são os principais componentes de um
SGSI - Sistema de Gestão da Segurança da Informação. Embora sejam
xxiv
amplamente conhecidos, os termos relacionados com a gestão e a análise de
riscos são definidos de formas diferentes em publicações como a NBR ISO/IEC
27005
(ABNT,
2008),
ISO/IEC
13335-2
(ISO,
1998),
SP
800-30
(STONEBURNER, 2002) e a AS/NZS 4360 (AS/NZS, 2004), entre outras. Este
capítulo apresenta uma visão consolidada da gestão e da análise de riscos.
Figura 4.1 - Análise e Gestão de Riscos Segundo o Modelo OCTAVE (ALBERTS,
2001)
A atividade de análise/avaliação dos riscos (risk assessment) é parte do
processo de gestão de riscos (risk management). Depois de iniciado, a gestão
os riscos é um processo cíclico que contempla atividades de análise,
planejamento, implantação, controle e monitoração estabelecida por uma
política de segurança. Por outro lado, a análise/avaliação dos riscos (risk
assessment) é executada de forma esporádica, periodicamente ou sob
demanda e, até a realização da análise/avaliação (assessment) seguinte, os
resultados oferecerão uma visão temporária dos riscos avaliados, servindo
como parâmetro para todo o processo de gestão de riscos. O relacionamento
entre a gestão de riscos e a avaliação de riscos, conforme a metodologia
OCTAVE (ALBERTS, 2001), pode ser vista na Figura 4.1.
xxv
É importante ressaltar que, na Figura 4.1, tanto a gestão de riscos
quanto a análise são apresentadas como processos, isto é, compostas por
seqüências de atividades e representadas por setas nessa figura.
Existem vários padrões e boas práticas que estabelecem esses
processos, estruturando, adaptando, re-configurando essas atividades. Na
prática, as organizações tendem a elaborar as suas próprias configurações
(instâncias) desses métodos, de forma mais adequada à estrutura da
organização e à área de negócios. Padrões nacionais e internacionais são
tomados como base e mecanismos de segurança, políticas e infra-estruturas
são adaptados às atividades e processos da organização. Dessa forma, novas
práticas são criadas a partir da combinação desses diversos padrões.
Embora as organizações tenham a tendência de usar um único método
de gestão de riscos, diferentes métodos podem ser paralelamente aplicados na
análise de riscos. Isso se deve ao fato de diferentes métodos serem
necessários, dependendo da natureza do sistema analisado (estrutura,
gravidade, complexidade, importância, etc.).
4.3. O Arcabouço da Gestão de Riscos
O modelo de arcabouço adotado neste trabalho foi proposto pela norma
NBR ISO/IEC 27005 (ABNT, 2008). O modelo proposto pela norma NBR
ISO/IEC 27005 (ABNT, 2008) compõe-se de oito atividades: i) Definição do
Contexto, ii) Identificação de Riscos, iii) Estimativa de Riscos, iv) Avaliação de
Riscos, v) Tratamento de Riscos, vi) Aceitação do Riscos, vii) Monitoramento e
Análise Crítica dos Riscos e viii) Comunicação dos Riscos.
xxvi
ANÁLISE/AVALIAÇÃO DE RISCOS
(Risk Assessment )
COMUNICAÇÃO DO RISCO
(Risk Communication)
ANÁLISE DOS RISCOS
(Risk Analysis )
IDENTIFICAÇÃO DE RISCOS
(Risk Identification )
ESTIMATIVA DE RISCOS
(Risk Estimation)
AVALIAÇÃO DE RISCOS
(Risk Evaluation)
PONTO DE DECISÃO 1
Avaliação Satisfatória
(Assessment Satisfactory )
Não
Sim
MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS
(Risk Monitoring an d Review)
DEFINIÇÃO DO CONTEXTO
(Context Establishment )
TRATAMENTO DO RISCO
PONTO DE DECISÃO 2
Tratamento Satisfatório
(Treatment Satisfactory)
Não
Sim
ACEITAÇÃO DO RISCO
(Risk Acceptance )
Figura 4.2 - Processo de Gestão de Riscos de Segurança da Informação. Fonte: NBR ISO/
IEC 27005:2008 (ABNT,2008)
4.3.1. Definição do Contexto
É a atividade para a definição dos parâmetros gerais de execução da
gestão de riscos na organização. Na definição do contexto para a gestão de
riscos, tanto os fatores internos quanto externos são levados em consideração.
Envolve a definição dos critérios básicos necessários para a gestão dos
xxvii
riscos de segurança da informação, a definição do escopo e dos limites, a
organização apropriada para operar a gestão de riscos da segurança da
informação.
A definição dos critérios básicos dependerá do escopo e dos objetivos
da gestão de riscos. Entre os critérios que devem ser considerados podemos
incluir: critérios de avaliação de riscos, critérios de impacto e critérios de
aceitação dos riscos.
O escopo e os limites devem ser definidos pela organização de modo a
assegurar que todos os ativos importantes sejam incluídos na análise/avaliação
de riscos.
A organização apropriada e a responsabilidade pelos processos para a
gestão de riscos devem ser estabelecidas, mantidas e aprovadas pelos
gestores
4.3.2. Análise e Avaliação de Riscos (Risk Assessment)
Esta atividade é composta por três sub-atividades: identificação dos
riscos, análise dos riscos (“risk analysis”) e avaliação dos riscos. Se as
informações obtidas forem suficientes para tomar as medidas necessárias para
a redução dos riscos a níveis aceitáveis, inicia-se o tratamento dos riscos.
Caso contrário, inicia-se nova análise/avaliação de riscos, incluindo uma
revisão do contexto estabelecido inicialmente.
4.3.3. Tratamento dos Riscos
Na atividade de Tratamentos de Riscos, as medidas para reduzir os
riscos previamente identificados são selecionadas e implantadas de modo a
manter os níveis de risco em patamares aceitáveis estabelecidos pelo critério
de risco. Também são tomadas as medidas para tratar dos aspectos parciais
com a diminuição do impacto (conseqüências). As medidas podem ser
classificadas em: evitar, transferir, reter e reduzir. Evitar é não se expor a uma
situação de risco. Transferir é repassar, por exemplo, para uma seguradora a
xxviii
cobertura de eventuais prejuízos. Reter é fazer um auto-seguro. Reduzir é
implantar uma proteção que diminua o risco.
A eficácia do tratamento dos riscos depende dos resultados da
análise/avaliação. Se esse tratamento resultar em níveis não aceitáveis, a
atividade deverá ser executada novamente, com mudanças nos critérios para o
tratamento dos riscos
4.3.4. Aceitação dos Riscos
Quando o custo de proteção contra um determinado risco é superior ao
custo do próprio ativo, aceita-se o risco. A aceitação também ocorre quando os
níveis de risco já se encontram em patamares aceitáveis. Aceitar o risco é uma
das formas de tratamento de riscos.
A
aceitação
deve
assegurar
que
os
riscos
residuais
sejam
explicitamente entendidos pelos gestores da organização. Essa explicitação é
importante nos casos em que ocorre a omissão ou adiamento da aplicação das
medidas para tratar os riscos residuais, por exemplo, devido a custos.
4.3.5. Comunicação dos Riscos
A comunicação dos riscos é importante durante todo o processo de
gestão de riscos. Tem como meta alcançar o consenso sobre como os riscos
devem ser gerenciados entre os tomadores de decisão e as partes
interessadas. A comunicação dos riscos inclui a informação sobre a existência,
natureza, forma, probabilidade, severidade, tratamento, aceitabilidade dos
riscos, entre outros.
As informações sobre os riscos identificados são importantes mesmo
antes do tratamento. Elas poderão ser úteis para o gerenciamento de
incidentes que ajudarão a reduzir possíveis prejuízos.
A Comunicação de Riscos pode ocorrer durante todo o ciclo de gestão
de riscos e é nesta atividade que as informações sobre os riscos que foram
xxix
identificados, tratados ou não, são divulgadas às partes interessadas que
precisam ter conhecimento a respeito desses riscos. Ao comunicar os riscos às
partes interessadas, compartilham-se as responsabilidades. A comunicação é
muito importante porque alguns riscos não são tratados por falta de recursos.
A comunicação eficaz é importante porque pode ter impacto significativo
sobre a tomada de decisão. Ela assegurará aos responsáveis pela implantação
da gestão de riscos e às partes interessadas, compreender a razão pela qual
as decisões foram tomadas e os motivos que as tornaram necessárias.
4.3.6. Monitoramento e Análise Crítica dos Riscos
Os riscos, ativos, impactos, ameaças, vulnerabilidades e probabilidades
de ocorrência devem ser monitorados constantemente para detectar mudanças
no contexto da organização. Os riscos e seus fatores são dinâmicos e podem
mudar abruptamente. Novas ameaças e vulnerabilidades podem alterar a
situação dos riscos considerados aceitáveis. O monitoramento constante e a
análise crítica podem contribuir para a melhoria do processo de gestão de
riscos.
4.4. A Gestão de Riscos dentro de um SGSI
Neste item serão apresentados o conteúdo e a estrutura de um SGSI
(Sistema de Gestão de Segurança da Informação) e o posicionamento da
gestão de riscos dentro desse arcabouço. Essa abordagem demonstrará a
importância da gestão de riscos dentro o SGSI, além de apresentar as
interfaces com outras atividades de segurança e as informações que alimentam
a gestão e a análise de riscos e os resultados desses processos.
4.4.1. As necessidades de um SGSI
As principais necessidades do SGSI são (ENISA, 2006):
a. Os gestores de segurança de tecnologia da informação devem
dedicar aproximadamente um terço de seu tempo tratando de
xxx
aspectos tecnológicos. Os dois terços restantes devem ser
consumidos no desenvolvimento de políticas e procedimentos,
realizando revisões de segurança e de análise de riscos, tratando de
planos de contingência e promovendo a conscientização em
segurança;
b. A segurança depende mais das pessoas do que da tecnologia;
c. Os funcionários internos constituem uma ameaça maior do que as
pessoas externas à organização.
d. O grau de segurança depende de três fatores: do risco que se quer
assumir, da funcionalidade do sistema e dos custos que se deseja
investir.
e. A segurança não é um estado estático e instantâneo e sim um
resultado de processo dinâmico, em permanente execução.
Esses fatos conduzem à seguinte conclusão: “a gestão da segurança
não é um problema simplesmente gerencial nem um aspecto puramente
técnico”. Portanto, a implantação, a manutenção e a contínua atualização de
um SGSI é uma forte indicação de que a organização está utilizando uma
abordagem sistemática para a identificação, análise e gestão dos riscos de
segurança da informação. Além disso, é também uma indicação de que a
organização será capaz de executar um tratamento bem-sucedido dos
requisitos de confidencialidade, integridade e disponibilidade da informação,
que por sua vez implicam: a continuidade dos negócios; a minimização dos
danos e das perdas; a manutenção da competitividade no mercado; os lucros e
a rentabilidade; a boa imagem da organização e a conformidade legal.
4.4.2. Fatores Críticos de Sucesso do SGSI
A eficiência do SGSI depende dos seguintes fatores (ENISA, 2006):
a. Apoio e comprometimento da alta direção;
xxxi
b. Gestão centralizada, baseada em uma estratégia comum e na
política de toda a organização;
c. Deve ser parte integrante da gestão estratégica da organização e
estabelecer a gestão de riscos, os objetivos de controle, os controles
e o nível de garantia necessário;
d. Os objetivos e as atividades de segurança devem ser baseados nos
requisitos e objetivos de negócios;
e. Estar em total conformidade com os objetivos e a missão da
organização, oferecendo um sistema que, ao invés de simplesmente
garantir que as pessoas executem as suas atividades, deve também
permitir à organização realizar o controle dessas atividades;
f.
Ser um processo contínuo, que permita a organização melhorar a
segurança, selecionando melhor os controles aplicados e adaptandose às mudanças constantes a que estão submetidas os seus
processo de negócios.
4.4.3. O Arcabouço do SGSI
O principal objetivo de um SGSI é garantir a aplicação de medidas
apropriadas para eliminar ou minimizar o impacto que as ameaças e
vulnerabilidades relacionadas com a segurança podem causar à organização.
A gestão da segurança da informação possibilitará à organização oferecer
serviços com características qualitativas desejáveis: disponibilidade de
serviços, preservação da confidencialidade e da integridade dos dados.
O tamanho da organização e as atividades específicas de negócios
determinam os requisitos relacionados à segurança da informação em termos
operacionais, regulatórios e legais.
xxxii
SAÍDA
DEFINIÇÃO DA POLÍTICA
DE SEGURANÇA
Documento da
Política
DEFINIÇÃO DO ESCOPO
DO SGSI
Escopo do SGSI
ENTRADA
Identificação e
Informações
sobre Ameaças,
Impactos e
Vulnerabilidades
Lista de Riscos
Analisados e
Avaliados
ANÁLISE E AVALIAÇÃO DE
RISCO
Estratégia de
Gestão de Risco
GESTÃO DE RISCO
Identificação das
Vulnerabilidades
dos Ativos
SELEÇÃO DOS
CONTROLES
Implementação e
melhoria dos
Controles
DECLARAÇÃO DE
APLICABILIDADE
Documnto da
Declaração de
Aplicabilidade
Controles
Figura 4.2 - Arcabouço do SGSI (ENISA, 2006)
Organizações pequenas, com uma infra-estrutura de sistemas de
informação
limitada,
cujas
operações
não
demandam
o
manuseio,
armazenamento e processamento de dados confidenciais e pessoais, em geral,
enfrentam pequenos riscos ou riscos com menor probabilidade ou impacto.
Essas organizações tendem a lidar com os riscos de segurança da informação
de forma ad-hoc ou como parte de um processo de gestão de riscos mais
amplo. Grandes organizações, bancos e instituições financeiras, operadoras de
telecomunicações, hospitais e instituições de saúde do setor público ou do
setor privado têm que tratar sistematicamente a segurança da informação.
Entretanto, pequenas e grandes organizações estão sujeitas aos requisitos
legais e regulatórios que visam à proteção de dados pessoais ou sensíveis ou
requisitos de segurança públicos que os impele a dedicar o máximo de atenção
aos riscos de segurança da informação.
A alternativa é desenvolver e aplicar um processo de gestão
xxxiii
denominado Sistema de Gestão da Segurança da Informação. A norma NBR
ISO/IEC 27001 (ABNT, 2006) propõe um modelo de SGSI composto por quatro
fases principais:
1. Planejar;
2. Executar;
3. Verificar;
4. Agir.
Os processos de gestão e de análise de riscos constituem o núcleo do
SGSI e são os processos que transformam de um lado, as regras e diretrizes
da política de segurança e os objetivos; do outro, os objetivos do SGSI em
planos específicos para a implantação dos controles e mecanismos que visam
à minimização das ameaças e vulnerabilidades.
Processo do SGSI
Processo de gestão de riscos da segurança da informação
Planejar
Definição do Contexto
Análise/avaliação de riscos
Definição do plano de tratamento de riscos
Aceitação dos riscos
Executar
Implementação do plano de tratamento de riscos
Verificar
Monitoramento contínuo e análise crítica de riscos
Agir
Manter e melhorar o processo de Gestão de Riscos da Segurança da
Informação
Tabela 4.1 – Correspondência entre o processo do SGSI com o processo de Gestão de
Riscos de Segurança da Informação (ABNT, 2008)
Fazendo a correspondência entre o processo do SGSI e o processo de
gestão de riscos, a definição do contexto, a análise/avaliação de riscos, o
desenvolvimento do plano de tratamento de riscos e a aceitação dos riscos
fazem parte da fase “planejar”. O plano de tratamento de riscos, que envolve as
ações e controles necessários para reduzir os riscos a um nível aceitável, é
xxxiv
realizado na fase “executar”. Na fase “verificar”, a necessidade de revisão da
avaliação e do tratamento de riscos em face dos incidentes e das mudanças
nas circunstâncias são determinadas pelos gestores. Na fase “agir”, são
tomadas as ações necessárias para manter e melhorar o processo de gestão
(ABNT, 2008, p.6).
Podemos concluir que, com a evolução da tecnologia e com o aumento
da complexidade dos processos e metodologias de gestão, observa-se uma
forte tendência a convergência dessas metodologias e das normas que regem
esses processos. A interdependência entre as metodologias e entre os
processos de negócios e a TI tem levado as organizações a adotarem
metodologias que se integram. Essa tendência pode ser observada com o
surgimento do termo GRC, que nada mais é do que uma visão única e
aplicação de diversas metodologias de forma integrada. O GRC é a
consolidação dessas diversas disciplinas que são aplicadas por meio de
múltiplas atividades, mas administradas de forma integrada.
O termo GRC - “Governance, Risk, Compliance” ou “Governança, Risco
e Conformidade” reflete uma nova maneira de as organizações adotarem essas
três abordagens de forma integrada.
Governança – de responsabilidade da gerência sênior executiva, trata
da transparência da criação organizacional, definindo os mecanismos que uma
organização utiliza para garantir que as partes seguem as políticas e os
processos estabelecidos. Uma estratégia de governança apropriada implanta
sistemas que monitoram e registram as atividades de negócios correntes, toma
medidas que garantem a conformidade com as políticas estabelecidas em
acordos e realiza as ações corretivas nos casos em que as regras foram
ignoradas ou mal aplicadas.
Gestão de Riscos – é o processo por meio do qual uma organização
estabelece o apetite ao risco, identifica os riscos potenciais e prioriza a
tolerância aos riscos baseados nos objetivos de negócios da organização. A
gestão de riscos alavanca os controles internos que gerenciam ou reduzem o
xxxv
risco da organização.
Conformidade – é o processo que registra e monitora as políticas,
procedimentos e controles necessários que possibilitam a conformidade com a
legislação e com as políticas internas.
Freqüentemente vista como uma atividade única, a GRC é na realidade
composta por múltiplas atividades que se sobrepõem e se relacionam dentro
de uma organização, tais como a auditoria interna, programas de conformidade
como a SOX, ERM – Enterprise Risk Management ou Gestão Empresarial de
Riscos, Riscos Operacionais, Gestão de Incidentes, entre outros.
xxxvi
5 Normas de Gestão e de Análise de Riscos
Antes de iniciar o estudo das normas, metodologias e ferramentas,
apresentados nos capítulos 5, 6 e 7, respectivamente, cabe elucidar alguns
conceitos sobre cada um desses elementos.
“As normas apenas apontam os aspectos que merecem atenção, indicando O
QUE fazer para o adequado gerenciamento, sem, no entanto, indicar com
precisão metodológica COMO se devem realizar as atividades. É o mesmo que
sermos instruídos a realizar com periodicidade anual um check-up de nosso
estado de saúde, considerando os sistemas respiratório, circulatório, digestivo,
etc., sem que soubéssemos exatamente como fazê-lo, senão procurar um
especialista. Este, por sua vez, que detém especificidade, irá aplicar toda a sua
base de conhecimento seguindo, com riqueza de detalhes e precisão inerentes à
atividade, uma metodologia própria. Um grande “manual” que permitirá considerar
todos os pontos importantes para análise e apontará as ferramentas mais
apropriadas para cada tipo de exame” (SÊMOLA, 2003).
As ferramentas são instrumentos que facilitam a aplicação de
determinada metodologia. São normalmente elaborados em software para
gerar simples planilhas e formulários ou compor sistemas complexos baseados
em bases de conhecimento que analisam as informações fornecidas pelo
usuário e geram relatórios completos e toda a documentação necessária para a
implantação de um sistema.
Algumas
normas
apresentadas
neste
capítulo
não
tratam
especificamente de gestão ou de análise de riscos, mas admitem em seu
arcabouço outras normas de gestão e de análise de riscos.
5.1. AS/NZS 4360
A
AS/NZS
4360
(AS/NZS,
2004)
é
uma
norma
Australiana/
Neozelandesa para a gestão de riscos que pode ser aplicada a riscos de
qualquer natureza. Ao contrário da maioria dos padrões de segurança
existentes, que consideram risco como perigo ou impacto negativo para as
organizações, para a AS/NZS 4360 (AS/NZS, 2004), a gestão de riscos tem
xxxvii
como objetivo o equilíbrio entre as oportunidades de ganho e a redução das
perdas. O risco é considerado a exposição às conseqüências da incerteza ou a
potenciais desvios do que foi planejado ou do que era esperado. A principal
característica da AS/NZS 4360 (AS/NZS, 2004) é avaliar tanto os riscos com
resultados positivos (ganhos potenciais) quanto os riscos com resultados
negativos (perdas potenciais).
COMUNICAÇÃO E CONSULTA
Análise e Avaliação de Riscos
IDENTIFICAÇÃO DE RISCOS
ANÁLISE DE RISCOS
AVALIAÇÃO DE RISCOS
MONITORAMENTO E ANÁLISE CRÍTICA
ESTABELECIMENTO DOS CONTEXTOS
TRATAMENTO DE RISCOS
Figura 5.3 - Etapas do Processo de Gestão de Riscos AS/NZS 4360 (AS/NZS, 2004)
Segundo a AS/NZS 4360 (AS/NZS, 2004), a gestão de riscos implica a
manutenção de uma infra-estrutura e cultura adequadas e a aplicação de um
método lógico e sistemático para estabelecer contextos, identificar, analisar,
avaliar, tratar, monitorar e comunicar os riscos.
As principais atividades da gestão de riscos, segundo a AS/NZS 4360
(AS/NZS, 2004) são:
Comunicação e Consulta: Comunicar às partes interessadas, internas
e externas, e consultá-las, se necessário, em cada etapa do processo de
gestão de riscos e em relação ao processo como um todo.
xxxviii
Estabelecimento dos Contextos: Estabelecer os contextos interno e
externo e da gestão de riscos nos quais o restante do processo será aplicado.
Uma estrutura de análise e seu escopo, bem como os critérios segundo os
quais os riscos serão avaliados devem ser estabelecidos.
Identificação dos Riscos: identificar quando, como, onde e por que os
eventos podem impedir, atrapalhar, atrasar ou melhorar a consecução dos
objetivos.
Análise de Riscos: Identificar e avaliar os controles existentes,
determinar as probabilidades e conseqüências e, por conseguinte, o nível de
risco. Essa análise deve considerar as diversas conseqüências potenciais e
como elas podem ocorrer.
Avaliação de Riscos: Comparar os níveis de risco estimados com os
critérios estabelecidos previamente e considerar o equilíbrio entre custos e os
resultados adversos dos riscos identificados. Isso permite que sejam tomadas
decisões quanto à extensão e à natureza e a prioridade dos tratamentos
necessários.
Tratamento de Riscos: Desenvolver e implantar estratégias e planos de
ação específicos para reduzir os riscos potenciais.
Monitoramento e Análise Crítica: é fundamental monitorar a eficácia
de todas as etapas do processo de gestão de riscos de forma a garantir a
melhoria contínua do processo.
5.2. ISO/IEC 13335
O conjunto de normas ISO/IEC 13335 (ISO, 1998) é composto por 5
partes que tratam da gestão da segurança da informação no ambiente de TI.
As partes 1 e 2 já estão na versão final. As demais estão na versão Relatório
Técnico “Technical Report” (TR). Estas normas caíram em desuso com o
lançamento das normas NBR ISO/IEC 17799 (ABNT, 2005), porém a parte 2,
ISO/IEC 13335-2 (ISO, 1998), está sendo revisada e lançada como NBR
xxxix
ISO/IEC 27005 (ABNT, 2008).
ESTABELECIMENTO DO CONTEXTO
COMUNICAÇÃO DOS RISCOS
ANÁLISE DE RISCO
IDENTIFICAÇÃO DOS RISCOS
ESTIMATIVA DOS RISCOS
AVALIAÇÃO DOS RISCOS
Não
PONTO DE DECISÃO DE RISCO 1
Assessment Satisfactory
MONITORAMENTO E REVISÃO DO RISCO
RISK ASSESSMENT
Sim
TRATAMENTO DOS RISCOS
Não
PONTO DE DECISÃO DE RISCO 2
Aceitação dos Riscos
Sim
ACEITAÇÃO DOS RISCOS
Figura 5.4 - Etapas do Processo de Gestão de Riscos ISO/IEC 13335 (ISO, 1998)
5.3. NBR ISO/IEC 17799 (BS7799-1)
A norma NBR ISO/IEC 17799 (ABNT, 2005) - Segurança da Informação
– Código de Práticas para a Gestão de Segurança da Informação é padrão de
origem britânica. Surgiu como BS7799 parte 1 (BS, 1999), foi adaptada às
necessidades internacionais e renomeada como NBR ISO/IEC 17799 (ABNT,
2005). Este documento reúne um conjunto de boas práticas no processamento
da informação. Não se trata nem de uma norma de avaliação, nem de gestão
xl
de riscos, embora contenha um capítulo específico que trate sobre o assunto.
O documento reúne vários aspectos que devem ser levados em consideração
para gerenciar adequadamente um sistema de informação, embora alguns
controles recomendados não se apliquem a todas as organizações.
5.4. NBR ISO/IEC 27001 (BS7799-2)
A norma NBR ISO/IEC 27001 (ABNT, 2006) - Tecnologia da informação
- técnicas de segurança - sistemas de gerência da segurança da informação é
uma evolução da norma britânica BS 7799-2 (BS, 2002) que define a
implantação de um SGSI - Sistema de Gestão de Segurança da Informação.
Foi publicada pela Organização Internacional de Padrões (“ISO – International
Organization for Standardization”) em 2006. Atua em conjunto com a norma
NBR ISO/IEC 27002 (ABNT, 2006), antiga BS 7799-1 (BS, 1999), que contém
um conjunto de boas práticas de segurança da informação. Ao implantar o
Sistema de Gestão de Segurnança da Informação usando a norma NBR
ISO/IEC 27001 (ABNT, 2006) e seguindo o ciclo PDCA, faz-se a análise de
riscos seguindo o padrão estabelecido pela NBR ISO/IEC 27005 (ABNT, 2008)
e selecionam-se controles e objetivos de controles constantes na norma NBR
ISO/IEC 27002 (ABNT, 2006). Esses mesmos controles no estão descritos no
anexo da norma NBR ISO/IEC 27001 (ABNT, 2006).
A norma NBR ISO/IEC 27001 (ABNT, 2006) destina-se ao processo de
implantação e certificação do SGSI. Possibilita a implantação de um sistema de
gestão de segurança da informação por meio da implantação uma série de
controles definidos na análise de riscos. A própria norma não cobre a análise
de riscos ou a certificação da gestão de riscos, sugere apenas normas e
metodologias que podem ser usadas para fazer essa análise de riscos. A
norma é de origem britânica e foi adotada pela ISO após uma série de
modificações. A obtenção da certificação com base neste padrão garante a
conformidade da organização com os requisitos definidos para a gestão da
segurança da informação e com o conjunto de controles de segurança
recomendados pela norma.
xli
5.5. NBR ISO/IEC 27002 (NBR ISO/IEC 17799)
A norma NBR ISO/IEC 27002 (ABNT, 2006) é parte integrante do
conjunto de normas NBR ISO/IEC 27000 para a gestão da segurança da
informação. Surgiu como uma norma britânica BS 7799-1 (BS, 1999) e foi
adotada pela ISO e pela ABNT como NBR ISO/IEC 17799 (ABNT, 2005) e
posteriormente renomeada como NBR ISO/IEC 27002 (ABNT, 2006)
Segurança da Informação – Código de Práticas para a Gestão de Segurança
da Informação em 2006 para compor a série NBR ISO/IEC 27000.
5.6. NBR ISO/IEC 27005 (ISO/IEC 13335-2)
A norma NBR ISO/IEC 27005 (ABNT, 2008) é parte integrante do
conjunto de normas NBR ISO/IEC 27000 para a gestão da segurança da
informação. Surgiu como uma norma ISO/IEC 13335:2 (ISO, 2002) para a
gestão de riscos e foi remodelada e renomeada pela ISO como NBR ISO/IEC
27005 (ABNT, 2008) Segurança da Informação – Técnicas de Segurança –
Gestão de Riscos de Segurança da Informação, em junho de 2008.
xlii
6 Metodologias de Gestão e de Análise de
Riscos
6.1. Austrian IT Security Handbook
A metodologia “Austrian IT Security Handbook” (AFC, 2003) ou Manual
de Tecnologia da Informação, foi elaborada pelo “Austrian Federal Chancellery”
do governo austríaco. É composto por duas partes: a primeira descreve
detalhadamente o processo de gestão da segurança de TI, incluindo a
elaboração de políticas de segurança, a análise de riscos, os conceitos de
projetos de segurança, a implantação de planos de segurança e de atividades
de acompanhamento (“follow up”); a segunda parte é uma coleção de 230
medidas de segurança de servem como referência. Uma ferramenta de apoio à
implantação já está disponível, mas ainda na fase de protótipo. Essa
metodologia foi originalmente desenvolvida por organizações governamentais,
mas está disponível para o setor privado. O manual está em conformidades
com
as
seguintes
normas:
ISO/IEC
13335,
o
“German
IT-
Grundschutzhandbuch”, e parcialmente em conformidade com a ISO/IEC
  
Tabela 6.2 – Características da Austrian Security Handbook
6.2. CORAS
xliii
Comunicação

Aceitação
Avaliação

Tratamento
Estimativa

AvaliaçãoAnálise/
Identificação
Atividades
País
Atividades
Áustria
GESTÃO
(Management)
Fabricante
ANÁLISE/AVALIAÇÃO
(Assessment)
Austrian Federal
Chancelery
Austrian IT Security
Handbook
Método/
Ferramenta
17799

A Metodologia Coras (2008) ou “The Coras Method” é um método para
realizar a análise de riscos de segurança. Ela oferece uma linguagem
customizada para a modelagem de riscos e de ameaças. Um guia detalhado
explica como a linguagem deve ser utilizada para capturar e modelar as
informações importantes durante os vários estágios da análise. A metodologia
Coras é baseada em modelos. A linguagem de modelagem UML (“Unified
Modeling Language”) é utilizada para modelar o alvo (“target”) da análise. Para
a documentação dos resultados intermediários e para a apresentação das
conclusões gerais são usados diagramas especiais inspirados na UML. A
metodologia CORAS oferece uma ferramenta automatizada (computadorizada)
e projetada para documentar, manter e gerar relatórios de análise por meio da
modelagem de riscos.
No método CORAS, a análise de riscos compreende sete passos: i)
Introdução; ii) Análise de Alto Nível; iii) Aprovação; iv) Identificação dos Riscos;
v) Estimativa dos Riscos; vi) Avaliação dos Riscos; vii) Tratamento dos Riscos.
Resumidamente, estes são os sete passos da metodologia CORAS:
i)
Introdução
- O primeiro
passo contempla uma reunião
introdutória com o cliente. O principal objetivo dessa reunião é
obter dele os objetivos gerais da análise e do alvo a ser
analisado. Dessa forma, durante essa etapa, os analistas irão
coletar as informações com base nos relatos e nas interpretações
apresentados pelo cliente durante as reuniões.
ii)
Análise de Alto Nível - O segundo passo também envolve uma
reunião com o cliente. Entretanto, nessa segunda reunião, os
analistas irão apresentar o entendimento da equipe com base no
que foi discutido na primeira reunião e também no estudo da
documentação disponibilizada pelo cliente. Essa etapa também
contempla uma análise superficial e de alto-nível. Durante essa
análise são identificadas as primeiras ameaças, vulnerabilidades,
cenários de ameaças e de incidentes indesejáveis. Essas
xliv
informações
serão
usadas
no
direcionamento
e
na
contextualização de uma análise posterior mais detalhada.
iii)
Aprovação - O terceiro passo envolve uma descrição mais
detalhada do alvo analisado e também de todas as premissas e
outras pré-condições que foram estabelecidas anteriormente. O
terceiro passo se encerra quando toda a documentação for
aprovada pelo cliente.
iv)
Identificação dos Riscos - O quarto passo é organizado como
um workshop, destinado a pessoas com experiência no objeto
sob análise. A meta é identificar o máximo de incidentes
indesejáveis possíveis, bem como ameaças, vulnerabilidades e
cenários de ameaças.
v)
Estimativa dos Riscos - O quinto passo é também organizado
na forma de um workshop. Esta etapa se concentra na estimativa
dos valores das conseqüências e das probabilidades de cada um
dos incidentes indesejáveis identificados.
vi)
Avaliação dos Riscos - O sexto passo oferece ao cliente a
primeira visão geral dos riscos. Durante este etapa serão feitos
alguns ajustes e correções.
vii)
Tratamento dos Riscos - O sétimo e último passo destina-se a
identificação do tratamento, bem como da análise custo/benefício
dos tratamentos. Essa fase é mais bem organizada na forma de
Comunicação
Avaliação
xlv
Aceitação
Atividades
Tratamento
Atividades
AvaliaçãoAnálise/
GESTÃO
(Management)
Estimativa
ANÁLISE/AVALIAÇÃO
(Assessment)
Identificação
País
Fabricante
Método/
Ferramenta
um workshop.
Internacional
SourceForge
CORAS







Tabela 6.3 – Características da Coras
6.3. CRAMM
ATIVOS
AMEAÇAS
VULNERABILIDADES
ANÁLISE
RISCOS
CONTRAMEDIDAS
IMPLEMENTAÇÃO
GESTÃO
AUDITORIA
Figura 6.5 - Atividades do Modelo CRAMM
A CRAMM (SIEMENS, 2005) - CCTA Risk Analysis and Method
Management ou Método de Análise e Gestão de Riscos do CCTA foi
desenvolvida
em
1987
pela
CCTA
–
Central
Computer
and
Telecommunications Agency ou Agência Central de Computadores e
Telecomunicações do governo britânico. Atualmente na versão 5.0, é formada
por três estágios - os dois primeiros tratam da identificação e da análise dos
riscos aos sistemas e o terceiro estágio faz uma série de recomendações sobre
a forma como esses riscos devem ser gerenciados:
Estágio 1 – Estabelecimento dos objetivos de segurança:
1. Definindo o escopo de estudo;
2. Identificando e avaliando os ativos físicos que compõe o
sistema;
3. Determinando o valor do dado mantido pelos usuários
entrevistados sobre os impactos potenciais aos negócios que
xlvi
poderiam resultar da indisponibilidade, destruição, revelação
ou modificação;
4. Identificando e avaliando dos ativos de software que compõem
o sistema.
Estágio 2 – Análise dos riscos para o sistema proposto e os requisitos para a
segurança:
1. Identificando e analisando o tipo e o nível das ameaças que
podem afetar o sistema;
2. Analisando a extensão das vulnerabilidades do sistema para
as ameaças identificadas;
3. Combinando análises de ameaças e vulnerabilidades com os
valores dos ativos para calcular os valores dos riscos.
Estágio 3 – Identificação e seleção das contramedidas:
1. Que tratam dos riscos calculados no estágio 2. A CRAMM
contém uma biblioteca muito ampla contendo cerca de 3000
contramedidas detalhadas e organizadas em 70 grupos
Identificação
Estimativa
Avaliação
AvaliaçãoAnálise/
Tratamento
Aceitação
Comunicação
Atividades
País
Atividades
Reino Unido
GESTÃO
(Management)
Fabricante
ANÁLISE/AVALIAÇÃO
(Assessment)
Insight
Consulting
CRAMM
Método/
Ferramenta
lógicos.







Tabela 6.4 - Características da CRAMM
6.4. Dutch A&K Analysis
O Ministério de Assuntos Internos do governo holandês desenvolveu a
xlvii
metodologia A&K Analysis (RCC, 1996) com base num esboço elaborado pela
empresa pública holandesa RCC. O Ministério de Assuntos Internos do
governo holandês concluiu o desenvolvimento dessa metodologia e publicou
um manual descrevendo o método em 1996. O método não sofreu atualizações
desde então. A A&K Analysis é a metodologia mais utilizada para a análise de
riscos pelos órgãos do governo holandês. Além dos órgãos do governo
Avaliação
AvaliaçãoAnálise/
Tratamento
Aceitação
Comunicação
Atividades
Estimativa
Atividades
Identificação
GESTÃO
(Management)
País
ANÁLISE/AVALIAÇÃO
(Assessment)
Holanda
Fabricante
Dutch Ministry of
Internal Affairs
A&K Analysis
Método/
Ferramenta
holandês, organizações do setor privado também utilizam essa metodologia.







Tabela 6.5 – Características da Dutch A&K Analysis
6.5. EBIOS
A metodologia EBIOS (DCSSI, 2004) é um conjunto de guias
abrangente, que acompanha uma ferramenta baseada em software livre,
dirigida aos gestores de riscos de segurança da informação. Foi a princípio
desenvolvida pelo governo francês e, logo depois, apoiada por um grupo de
especialistas de diversos países. Esse grupo pertence a um fórum de gestão
de riscos que atua ativamente na manutenção da metodologia, estabelece as
boas práticas e documenta as aplicações voltadas aos usuários finais em
diversos contextos. A metodologia EBIOS é amplamente utilizada tanto pelo
setor público quanto pelo setor privado, na França e em diversos outros países.
xlviii
É um padrão que está em conformidade com a maior parte dos padrões e
normas de segurança de TI.
A metodologia oferece aos gestores de riscos uma abordagem de alto
nível para o tratamento riscos. Oferece uma visão geral dos riscos
organizacionais, que facilita a tomada de decisão pela alta direção sobre os
projetos corporativos (plano de continuidade dos negócios, plano estratégico de
segurança e política de segurança) assim como em sistemas mais específicos
(correio eletrônico, redes e sites de Internet). A EBIOS facilita o diálogo entre o
proprietário e o gerente do projeto sobre os aspectos de segurança. Contribui,
dessa forma, com a comunicação entre as partes interessadas e com
conscientização em segurança.
A metodologia EBIOS compõe-se de um ciclo de cinco fases: a fase 1
trata da análise do contexto em termos globais da dependência entre os
processos de negócios e os sistemas de informação (contribui para o
estabelecimento do limites globais, a delimitação precisa do perímetro, a
decomposição das funções e a definição fluxo de informação).
Tanto a análise das necessidades de segurança quanto a análise das
ameaças são executadas na fase 2 e 3. Esses dois fatores de natureza
antagônica produzem uma visão conflitante.
Nas fases 4 e 5, este conflito, depois de um julgamento feito por meio de
um raciocínio lógico claro, produz um diagnóstico objetivo dos riscos. Os
objetivos de segurança necessários e suficientes (e os requisitos adicionais de
segurança) são então estabelecidos, uma prova da cobertura é oferecida e os
riscos residuais são explicitados.
A EBIOS é uma ferramenta que além de flexível, produz uma extensa
lista de entregáveis1 (SSRS, “security target” ou alvo de segurança, “protection
profile” ou perfil de proteção, “action plan” ou plano de ação, entre outros). Os
padrões de bases de dados locais (como a “German IT Grundschutz” métodos de ataque, entidades, vulnerabilidades) além das normas de melhores
1
Entregáveis – Do inglês “deliverables” é o conjunto de produtos gerados por um determinado processo
xlix
práticas, entre as quais a de melhores práticas da EBIOS e o da ISO/IEC
17799), são facilmente incluídos na sua base de conhecimento (knowledge
base).
l
Autor
País
Identificação
Estimativa
Avaliação
AvaliaçãoAnálise/
Tratamento
Aceitação
Comunicação
França
Atividades
Central Information Systems
Security Division
Atividades
Método/
Ferramenta
GESTÃO
(Management)
EBIOS
ANÁLISE/AVALIAÇÃO
(Assessment)







Tabela 6.6 – Características da EBIOS
6.6. ISAMM
A metodologia ISAMM (TELLINDUS, 2002) - “Information Security
Assessment & Monitoring Method” ou Método de Monitoração e Análise de
Segurança da Informação é um método de gestão de riscos para um SGSI,
com ferramentas de apoio. Projetada e continuamente melhorada com base na
experiência da Telindus, que, em 20 anos de experiência, reuniu milhares de
projetos de gestão de riscos e de segurança da informação e dezenas de
outras ferramentas e métodos de gestão de riscos. É uma metodologia de
gestão de riscos do tipo qualitativa, na qual os riscos são expressos em
unidades monetárias, por meio do indicador de EAP - Expectativa Anual de
Perdas (“ALE-Annual Loss Expectancy”). A EAP é a perda ou custo anual
esperado caso uma ameaça se materialize.
Expectativa Anual de Perdas (EAP) = [probabilidade] x [impacto médio]
Constitui a base da abordagem baseada no Retorno do Investimento
(“ROI-Return of Investment”) e na capacidade econômica da metodologia
li
ISAMM em relação ao plano de tratamento de riscos. A ISAMM simula e exibe
o efeito da redução de riscos EAP para cada controle de melhoria e o compara
ao custo de sua implantação.
Devido a sua excelência, a metodologia permite realizar uma excelente
análise de riscos com o mínimo de tempo e de esforço. Para conseguir isso,
grande parte da experiência em segurança da informação acumulada foi
incorporada e disponibilizada para imediata reutilização em cada análise. As
etapas necessárias na análise de riscos foram reduzidas usando o maior
número possível de controles da ISO/IEC 27002 (ISO, 2006). O forte apoio à
norma ISO/IEC 27001 (ISO, 2006) foi considerado um aspecto importante no
projeto e no desenvolvimento da ISAMM.
A última versão da metodologia ISAMM introduziu uma abordagem
baseada em ativos, isto significa que ela pode ser usada para realizar a análise
de riscos de um único ativo ou em um grupo de ativos.
Definição do Escopo;
ii.
Análise - Ameaças e Conformidade;
iii.
Resultados – Cálculo e Emissão de Relatório.
Avaliação
AvaliaçãoAnálise/
Tratamento
Aceitação
Comunicação
Atividades
Estimativa
Atividades
Identificação
GESTÃO
(Management)
País
ANÁLISE/AVALIAÇÃO
(Assessment)
França
Autor
i.
Telindus
ISAMM
Método/
Ferramenta
A análise de riscos ISAMM compõe-se de três partes principais:







Tabela 6.7 – Características da ISAMM
lii
6.7. ISF Methods
As metodologias ISF (ISF FORUM, 2005) são compostas por seis
sistemas: i) Padrão de Boas Práticas (The Standard of Good Practice for
Information Security) ii) FIRM (Fundamental Information Risk Management); iii)
SPRINT iv) The ISF’s Information Security Status Survey; v) Information Risk
Analysis Methodologies (IRAM) project 5) vi) SARA (Simple to Apply Risk
Analysis) 6) SPRINT (Simplified Process for Risk Identification) oferece um
conjunto de princípios e de objetivos de alto nível para a segurança da
informação associadas às orientações de boas práticas. Podem ser usadas
para melhorar o nível de segurança de uma organização de diferentes formas.
O Padrão de Boas Práticas para a Segurança da Informação (The
Standard of Good Practice for Information Security) está dividido em cinco
partes distintas, cada qual abordando um tipo particular de ambiente, a saber:
i.
Gestão da Segurança (abrangência empresarial);
ii.
Aplicações Críticas dos Negócios;
iii.
Instalação dos Computadores (“Processamento da Informação”
nas versões anteriores);
iv.
A
Desenvolvimento de Sistemas.
FIRM
(Fundamental
Information
Risk
Management)
é
uma
metodologia detalhada voltada para a monitoração e controle da informação de
risco empresarial. Foi elaborada como uma abordagem prática para monitorar
a eficácia da segurança da informação. Para tanto, ela permite a gestão
sistemática de riscos associados à informação em organizações de todos os
portes. Inclui guias completos que explicam como implantar o método e como
mantê-lo em funcionamento.
A “Information Risk Scorecard” ou Tabela de Marcação de Informação
dos Riscos é uma parte integral do FIRM. A Tabela de Marcação é um
formulário usado para coletar um conjunto de detalhes importantes sobre um
liii
recurso de informação específico, como o nome do proprietário, o nível de
criticidade, o nível da ameaça, a vulnerabilidade e o impacto nos negócios.
A ferramenta “Pesquisa sobre o Estado da Segurança da Informação”
“The ISF’s Information Security Status Survey (the Survey)” é uma ferramenta
de gestão de riscos completa que avalia um extenso conjunto de controles de
segurança usado pelas organizações para controlar os riscos associados aos
negócios e baseados em sistemas de tecnologia da informação.
A SARA (Simple to Apply Risk Analysis) é uma metodologia detalhada
para a análise de riscos associados às informações de sistemas críticos.
Compõe-se de quatro fases:
1. Planejamento;
2. Identificação dos Requisitos de Negócios para a Segurança;
3. Analisar a vulnerabilidade e os requisitos de controle;
4. Geração Relatório.
A metodologia SPRINT (Simplified Process for Risk Identification) é
relativamente rápida e fácil de usar para a análise de impacto nos negócios e
para a análise da informação sobre os riscos em sistemas de informação
fundamentais, mas não críticos. A metodologia SPRINT complementa a
metodologia SARA, a qual se adapta melhor à análise dos riscos associados
aos sistemas críticos de negócios.
A SPRINT, a princípio, ajuda estabelecer o nível de risco associado ao
sistema. Depois que os riscos são entendidos, a SPRINT ajuda a determinar
como realizar as atividades seguintes. Caso o processo SPRINT continue, o
resultado é um plano de ação estabelecido para manter os riscos dentro de
limites aceitáveis. Além desses recursos, a metodologia SPRINT ajuda a:
i.
Identificar as vulnerabilidades dos sistemas existentes e as medidas
necessárias
para
proteger-se
liv
contra
as
ameaças
a
essas
vulnerabilidades;
ii.
Definir
os
requisitos
de
segurança
para
sistemas
desenvolvimento e os controles necessários para protegê-los.
lv
em
Autor
País
Identificação
Estimativa
Avaliação
AvaliaçãoAnálise/
Tratamento
Aceitação
Comunicação
Internacional
Atividades
Information
Security Forum
Atividades
Método/ Ferramenta
GESTÃO
(Management)
ISF Methods
ANÁLISE/AVALIAÇÃO
(Assessment)







Tabela 6.8 – Características da ISF Methods
6.8. IT-Grundschutz (IT Baseline Protection Manual)
A metodologia IT-Grundschutz (BSI, 2005) (IT Baseline Protection
Manual) Manual de Referência de Proteção de TI é uma metodologia para
ajudar uma organização a estabelecer um SGSI. A metodologia inclui não só
recomendações genéricas de segurança de TI para o estabelecimento de um
processo de segurança de TI, mas também recomendações detalhadas para
se atingir o nível de segurança necessário para um determinado escopo. O
processo de segurança de TI proposto pelo IT-Grundschutz (IT Baseline
Protection Manual) é composto pelas seguintes fases:
a. Inicialização do Processo;
b. Definição da metas de segurança de TI e do ambiente de negócios;
c. Estabelecimento de uma estrutura organizacional para a segurança
de TI;
d. Provimento dos recursos necessários;
e. Criação do conceito de segurança de TI:
lvi
f. Análise da infra-estrutura de TI;
g. Análise dos requisitos de proteção;
h. Modelagem;
i. Verificação da segurança de TI;
j. Análise suplementar de segurança;
k. Planejamento e cumprimento da implantação;
l. Manutenção, monitoramento e melhoria do processo;
m. Certificação IT-Grundschutz (opcional).
O objetivo principal da metodologia IT-Grundschutz é fornecer um
arcabouço para a gestão da segurança de TI, contendo informação sobre os
componentes (módulos) normalmente utilizados. Os módulos da metodologia
IT-Grundschutz incluem listas das ameaças mais conhecidas e as medidas
necessárias em um nível relativamente técnico. Esses elementos podem ser
expandidos, complementados ou adaptados às necessidades de uma
organização.
Autor
País
Identificação
Estimativa
Avaliação
AvaliaçãoAnálise/
Tratamento
Aceitação
Comunicação
Alemanha
Atividades
BSI
Atividades
Método/ Ferramenta
GESTÃO
(Management)
IT Grundschutz
ANÁLISE/AVALIAÇÃO
(Assessment)







Tabela 6.9 – Características da IT Grundschutz
lvii
6.9. MAGERIT
A “MAGERIT (2005) – versión 2. Metodología de Analisis y GEstión del
Riesgo de IT é uma metodologia aberta para a análise e gestão de riscos,
desenvolvida pelo Ministério de Administração Pública do Governo Espanhol, e
oferecida como um arcabouço e um guia para a Administração Pública
Espanhola. Devido à sua natureza aberta, é também utilizada fora da
Administração Pública.
Os objetivos da Metodologia Magerit são:
1. Conscientizar os responsáveis pelos sistemas de informação sobre a
existência dos riscos e sobre a necessidade de tratá-los no tempo
adequado.
2. Fornecer um método sistemático para analisar estes riscos.
3. Auxiliar a descrição e o planejamento das medidas apropriadas para
manter os riscos sob controle.
4. Indiretamente, preparar a organização para os processos de
avaliação, auditoria, certificação ou credenciamento, conforme o
caso.
O Software associado (EAR/PILAR) produz uma grande variedade de
documentos em formatos padronizados e customizados, no formato de texto ou
na forma de gráficos.
A MAGERIT é uma metodologia aberta de gestão e de análise de risco,
elaborada pelo governo espanhol, fornecido como um arcabouço e um guia
para a Administração Pública Espanhola. Por ser gratuita e aberta, é também
utilizada por organizações privadas.
Esta metodologia tem como meta atingir os seguintes objetivos:
lviii
1. Conscientizar os responsáveis pelos sistemas de informação sobre a
existência dos riscos e da necessidade de tratá-los;
2. Oferecer um método sistemático para analisar estes riscos;
3. Auxiliar na descrição e no planejamento de medidas adequadas para
manter os riscos sob controle;
4. Indiretamente, preparar a organização para os processos de
avaliação, auditoria, certificação e credenciamento, de acordo com a
relevância de cada caso;
A Versão 2 da Metodologia MAGERIT está organizada em três livros:
Livro 1 – Metodologia: Descreve os passos essenciais e as tarefas
básicas tais como a elaboração de um projeto de gestão e de análise de risco;
a descrição formal do projeto; a aplicação no desenvolvimento dos sistemas de
informação, além de oferecer um grande número de sugestões práticas e de
fundamentos teóricos e algumas informações complementares.
Livro 2 - Catálogo de Elementos: Oferece os elementos padrões e um
critério para a modelagem de risco de sistemas de informação: ativos, classes,
medidas de avaliação, critérios de avaliação, ameaças críticas e medidas de
controle a serem implantadas; descreve os relatórios contendo os resultados e
as conclusões (modelo de avaliação, mapa de risco, avaliação das medidas de
proteção, estado do risco, relatórios de fraquezas e plano de segurança),
contribuindo, dessa forma, para alcançar a homogeneidade.
Livro 3 - Técnicas Práticas: Descreve as técnicas normalmente usadas
para elaborar projetos de gestão e de análise de riscos tais como: algoritmos
de análise e de tabulação; árvore de ameaças; análise de custo/benefício;
diagramas de fluxo de dados; diagramas de processos; técnicas para a
elaboração de gráficos; planejamento de processos; sessões de trabalho
(entrevistas, reuniões, apresentações) e Análise Delphi2. A aplicação da
2
O Método Delphi consiste na aplicação de uma pesquisa junto aos formadores de opinião
lix
metodologia pode ser realizada com a ajuda da ferramenta de software PILAR/
EAR, que melhora a eficiência e explora as potencialidades da metodologia. A
ferramenta PILAR é restrita à administração pública espanhola e a EAR é um
produto comercial.
A metodologia MAGERIT possui duas versões: a versão 1 foi publicada
em 1997 e a versão 2, em 2005. Estão disponíveis em língua inglesa e
espanhola e são gratuitamente distribuídas.
6.10. Marion
A metodologia MARION3 (CLUSIF, 1998), Metodologia de Riscos
Computacionais Orientada por Níveis, foi elaborada pelo CLUSIF4, Clube de
Segurança da Informação Francês e é gratuitamente distribuída. A última
versão foi publicada em 1998 e seu conteúdo baseia-se em metodologia de
auditoria, que, conforme seu próprio nome indica, permite estimar o nível de
riscos de segurança de TI de uma organização por meio de questionários com
indicadores na forma de notas atribuídas aos vários aspectos relacionados à
segurança. O objetivo do método é obter uma visão da organização em relação
a um nível considerado “correto”, com base nas informações de outras
organizações que tenham respondido o mesmo questionário. O nível de
segurança é estimado de acordo com 27 indicadores distribuído em 6 grandes
grupos, a cada qual se atribui um nível de 0 a 4. O nível 3 é o nível considerado
seguro. Na conclusão desta análise, uma análise mais detalhada do risco é
realizada para identificar os riscos, ameaças e vulnerabilidades a que a
organização esta sujeita. O CLUSIF não é mais responsável por esta
metodologia, já que ela foi substituída pela MEHARI (CLUSIF, 2007), embora
muitas organizações ainda utilizem a MARION (CLUSIF, 1998).
3
MARION “Méthodologie d'Analyse des Risques Informatiques et d'Optimisation par Niveau”
4
CLUSIF “CLUSIF: Club de la sécurité de l’Information Français”
lx
Autor
País
Identificação
Estimativa
Avaliação
AvaliaçãoAnálise/
Tratamento
Aceitação
Comunicação
França
Atividades
CLUSIF
Atividades
Método/ Ferramenta
GESTÃO
(Management)
Marion
ANÁLISE/AVALIAÇÃO
(Assessment)







Tabela 6.10 – Características da Marion
6.11. Mehari
A Mehari5 (CLUSIF, 2007) é uma metodologia francesa, desenvolvida
pelo CLUSIF. Dentre as principais características da metodologia podemos
destacar:
a. Modelo de gestão de riscos baseado em processos e componentes
modulares;
b. Inclui uma classificação de ativos – identifica as vulnerabilidades por
meio de auditoria;
c. Analisa uma lista de situações de risco estabelecendo um nível de
criticidade para cada uma delas;
d. A análise baseia-se em fórmula e parâmetros;
e. Permite uma seleção otimizada de ações corretivas;
f. Fornece medidas de proteção adicionais em conformidade com a
NBR ISO/IEC 27002 (NBR ISO/IEC 17799).
5
MEHARI “MEthode Harmonisée d'Analyse de RIsque 2007”
lxi
A metodologia MEHARI (CLUSIF, 2007) foi inicialmente projetada para
auxiliar os CISOs6 na tarefa de implantação da gestão da segurança da
informação. Informações mais detalhadas sobre a metodologia podem ser
encontradas nos seguintes documentos:
1. MEHARI V3: Conceitos e Mecanismos;
2. MEHARI V3: Guia de Revisão de Vulnerabilidades;
3. MEHARI V3: Guia de Análise de Risco;
4. Manuais de referência (serviços de segurança e cenários de riscos)
estão disponíveis em CD-ROM.
A MEHARI (CLUSIF, 2007) é composta por um conjunto de ferramentas
especificamente projetadas para a gestão da segurança, que envolve um grupo
de ações de gerenciamento, cada qual com um objetivo específico:
a. Desenvolvimento de planos estratégicos e de segurança;
b. Implantação de políticas e regras de segurança, agrupadas em um
conjunto denominado arcabouço de referência de segurança;
c. Aplicação de análises superficiais ou detalhadas do estado da
segurança;
d. Gestão e avaliação de riscos;
e. Garantia de inclusão do requisito segurança na gestão de
desenvolvimento de projetos;
f. Sessões de treinamento e conscientização em segurança;
g. Gestão da segurança operacional e controle e monitoração das
ações declaradas (committed actions).
ANÁLISE/AVALIAÇÃO
(Assessment)
6
Chief Information Security Officer – Chefe de Segurança da Informação
lxii
GESTÃO
(Management)
Método/ Ferramenta
Autor
País
Identificação
Estimativa
Avaliação
AvaliaçãoAnálise/
Tratamento
Aceitação
Comunicação
Mehari
CLUSIF
França







Tabela 6.11 – Características da Mehari
6.12. Migra
A metodologia MIGRA7 (AMTEC, 2007), de origem italiana, produzida
pela empresa AMTEC/Elsag Datamat S.p.A., é uma metodologia de análise e
gestão de riscos qualitativa apropriada para tratar tanto de riscos associados a
ativos tangíveis quanto de riscos associados a ativos de informação
(intangíveis). A metodologia oferece um arcabouço e um processo de análise
baseados na visão clássica de risco como uma entidade multidimensional,
dependendo da resposta a três questões:
a) O que pode dar errado?
b) Qual a probabilidade de o erro acontecer?
c) Caso ocorra, quais serão as conseqüências?
Com base nessa visão, a metodologia MIGRA (AMTEC, 2006) define:
a. Uma taxonomia de risco e de segurança para os dois domínios
(ativos tangíveis e de informação);
b. Um arcabouço lógico para a geração de um modelo para o perímetro
7
MIGRA “Metodologia Integrata per la Gestione del Rischio Aziendale”
lxiii
de segurança a ser analisado;
c. Um algoritmo baseado em questionários para a análise, em uma
escala de quatro níveis (Alta, Média, Baixa, Inelegível/Não aplicável),
do valor dos ativos tangíveis e de informação relevantes no escopo
(perímetro) especificado;
d. Um esquema para realizar a análise de vulnerabilidade e de
ameaças;
e. Um procedimento para o cálculo do risco (em escala qualitativa);
f. Um mecanismo para identificar o conjunto de medidas de segurança
para cada cenário;
g. Um procedimento para executar a análise de insuficiência (gap
analysis8) e de conformidade referentes à segurança corporativa,
políticas, normas, padrões, guias e melhores práticas.
Ao contrário de outras metodologias, a metodologia MIGRA ajuda e
força o analista correlacionar, de forma precisa, as ameaças, ataques, medidas
de segurança e os seus componentes no perímetro de segurança especificado.
Dessa
forma,
a
metodologia
possibilita
um
claro
entendimento
das
conseqüências (em termos de riscos e de custos) que ajuda o analista a decidir
se implanta ou não cada medida de segurança.
6.13. OCTAVE
A OCTAVE (SEI, 2005) – Operationally Critical Assets Vulnerability
Evaluation é uma metodologia de análise de riscos desenvolvida pelo Instituto
de Engenharia de Software da Universidade Carnegie-Mellon (“Software
Engineering Institute – Carnegie-Mellon University”). Destina-se a pequenas e
grandes organizações. É amplamente documentada e gratuitamente distribuída
8
Gap Analysis - Esta avaliação analisa como o sistema de gestão abordou, ou planeja abordar, os requisitos de uma
norma de avaliação. O avaliador informará as “insuficiências” no sistema e identificará o que precisa ser feito para
eliminá-las
lxiv
pelo órgão responsável pelo seu desenvolvimento. A versão original é bastante
complexa e muito bem documentada. São 18 volumes de informações que
incluem a forma como devem ser realizadas as sessões de workshop, os
questionários que devem ser respondidos com o apoio dos entrevistadores e
os formulários de pesquisa (“surveys”), que podem ser preenchidos pelos
funcionários dos três níveis organizacionais: estratégico, tático e operacional.
A OCTAVE (SEI, 2005) é um conjunto de ferramentas, técnicas e
métodos para o planejamento e a análise estratégica de segurança da
informação baseada em risco.
Há três métodos OCTAVE (SEI, 2005):
A metodologia original, que forma a base da OCTAVE;
A OCTAVE-S, para pequenas organizações com até 300 funcionários;
A OCTAVE-Allegro destinada à análise e garantia da segurança da
informação.
A metodologia OCTAVE (SEI, 2005) baseia-se no Critério OCTAVE,
uma abordagem orientada a riscos e baseada na prática da avaliação de
segurança da informação. O Critério OCTAVE estabelece os princípios e
atributos fundamentais da gestão de riscos usados pelas Metodologias
OCTAVE.
As principais características e benefícios da Metodologia OCTAVE (SEI,
2005) são:
Auto-aplicável (“self-directed”) – Pequenas equipes de funcionários
das unidades de negócios e de TI da organização trabalham juntas para tratar
das necessidades de segurança da organização;
Flexível – Cada método pode ser adaptado para o ambiente de risco;
para os objetivos de resiliência e de segurança; para o nível de experiência da
organização;
lxv
Evolutiva – A OCTAVE (SEI, 2005) orienta a organização em direção a
uma visão de segurança baseada em riscos e trata a tecnologia no contexto
dos negócios.
A metodologia OCTAVE (SEI, 2005) foi desenvolvida para grandes
organizações, com 300 ou mais funcionários, mas este não é o principal
aspecto dessa metodologia. Por exemplo, grandes organizações possuem uma
hierarquia distribuída em níveis e mantêm sua própria infra-estrutura
computacional, além de manter uma capacidade interna para executar suas
próprias ferramentas de avaliação de vulnerabilidade e interpretar os resultados
em relação aos ativos críticos.
A OCTAVE (SEI, 2005) divide-se em três fases que se baseiam no
exame dos aspectos tecnológicos e organizacionais, cujos resultados
constituem um retrato completo das necessidades de segurança da informação
da organização. O processo é realizado em uma série de reuniões
(“workshops”) conduzidas por uma equipe de análise multidisciplinar que atua
de forma a facilitar o trabalho de análise. Essa equipe é composta de 3 a 5
elementos da própria organização. O método baseia-se no conhecimento do
quadro de funcionários dos diversos níveis organizacionais sobre:
I.
Identificação dos ativos críticos e das ameaças a esses ativos;
II.
Identificação das vulnerabilidades organizacionais e tecnológicas,
que expostas a essas vulnerabilidades, criam um risco para a
organização;
III.
Desenvolvimento de uma proteção baseada na prática e planos de
mitigação de risco para apoiar a missão e as prioridades da
organização.
Essas atividades são apoiadas por um catálogo de boas práticas, além
de pesquisas e formulários que podem ser usados para obtenção e coleta das
informações durante as reuniões de discussão e de solução de problemas.
lxvi
Guia de Implantação do Método OCTAVE
Material Introdutório
Material do Método
Material Adicional
Orientação preparatória
Para cada fase e processo:
Caderno de perfis de ativos
Orientação para adequação
Resumo
Catálogo de práticas
Breve orientação para a
Gerência Sênior
Diretrizes detalhadas
Fluxo de dados da OCTAVE
Formulários
Resultados de exemplo
completos
Breve orientação para os
participantes
Slides e lembretes
Tabela 6.12 - Conteúdo do Guia de Implantação da Metodologia OCTAVE (SEI, 2005)
A metodologia fornece um Guia de Implantação do Método OCTAVE
(SEI, 2005) que contém todas as informações de que uma equipe de análise
necessita para usar a Metodologia OCTAVE (SEI, 2005) para conduzir uma
avaliação da organização. Inclui um conjunto completo de processos
detalhados, formulários e instruções de cada etapa da metodologia, além de
Identificação
Estimativa
Avaliação
AvaliaçãoAnálise/
Tratamento
Aceitação
Comunicação
Atividades
País
Atividades
EUA
GESTÃO
(Management)
Autor
ANÁLISE/AVALIAÇÃO
(Assessment)
SEI
OCTAVE 2.0
Método/ Ferramenta
extenso material de apoio e de orientação para a adequação da metodologia.







Tabela 6.13 – Características da OCTAVE 2.0 (SEI, 2005)
lxvii
6.14. NIST SP 800-30
Processos da Gestão dos Riscos
Processo 1.
Análise e Avaliação dos Risco
(Risk Assessment)
Processo 2.
Mitigação do Risco
(Risk Mitigation)
Processo 3.
Estimativa e Análise
(Evaluation and Analysis)
Figura 6.6 – Processos da Gestão de Riscos. Fonte: SP 800-30 (STONEBURNER, 2002)
A publicação SP 800-30 (STONEBURNER, 2002) faz parte de um
conjunto de publicações especiais. Contém uma orientação detalhada sobre o
que deve ser feito na análise e na gestão de riscos de TI. Inclui gráficos, listas
de verificação, fluxogramas, fórmulas matemáticas e referências baseadas nas
leis e regulamentos norte-americanos.
Na visão da Metodologia SP 800-30 (STONEBURNER, 2002), a gestão
de riscos é composta por três processos: i) Análise e Avaliação dos Riscos
(Risk Assessment); ii) Mitigação dos Riscos; iii) Estimativa e Análise. A gestão
de riscos, segundo a metodologia SP 800-30 (STONEBURNER, 2002), é o
processo que permite equilibrar os custos operacionais e econômicos das
medidas de proteção e dos ganhos obtidos pela realização da missão ao
proteger os sistemas de TI e os dados que apóiam a missão da organização.
a) Análise e Avaliação dos Riscos (Risk Assessment)
A Análise e Avaliação do Risco, primeira atividade da metodologia, é
usada para determinar a extensão da ameaça potencial e o risco associado
lxviii
com a TI da organização. As saídas dessa atividade ajudam a identificar os
controles para a redução ou eliminação dos riscos realizados na atividade
seguinte de mitigação do risco. O processo compõe-se de nove atividades: 1 Caracterização do Sistema, 2 - Identificação de Ameaças, 3 - Identificação das
Vulnerabilidades, 4 - Análise dos Controles, 5 - Determinação da Probabilidade,
6 - Análise de Impacto, 7 - Determinação do Risco, 8 - Recomendações de
Controles e 9 - Documentação dos Resultados.
Entrada
- Hardware
- Software
- Interfaces do Sistema
- Dados e Informações
- Pessoas
- Missão do Sistema
- Histórico de Ataques
ao Sistema
- Dados de Fontes de
Referência
- Relatórios da Análise e
Avaliação Anterior
- Qualquer Comentário
de Auditoria
- Requisitos de
Segurança
- Resultado dos Testes
de Segurança
- Controles Atuais
- Controles Planejados
- Motivação da Fonte de
Ameaça
- Capacidade da
Ameaça
- Natureza da
Vulnerabilidade
- Controles Atuais
- Análise de Impacto da
Missão
- Análise e Avaliação
dos Ativos Críticos
- Criticidade dos Dados
- Sensibilidade dos
Dados
- Probabilidade de
Exploração da
Ameaça
- Magnitude do Impacto
- Adequação dos
Controles Planejados
Atuais
Atividades da Análise e Avaliação dos Riscos
Atividade 1.
Caracterização do Sistema
Saida
- Limites do Sistema
- Funções do Sistema
- Criticidade dos Dados e do
Sistema
- Sensibilidade dos Dados e do
Sistema
Atividade 2.
Identificação das Ameaças
Relação de Ameaças
Atividade 3.
Identificação das Vulnerabilidades
Análise Custo/Benefício
Atividade 4.
Análise dos Controles
Lista dos Controles
Planejados Atuais
Atividade 5.
Determinação da Probabilidade
Taxa de Probabilidade
Atividade 6.
Análise de Impacto
- Perda de Integridade
- Perda de Disponibilidade
- Perda de Confidencialidade
Taxa de Impacto
Atividade 7.
Determinação do Risco
Riscos e Níveis de Riscos
Associados
Atividade 8.
Recomendação de Controles
Controles
Recomendados
Atividade 9.
Documentação dos Resultados
Relatório da Análise e
Avaliação do Risco
Figura 6.7 - Fluxograma do Processo de Análise e Avaliação de Riscos. Fonte: SP 800-30
lxix
(STONEBURNER, 2002)
Níveis de Risco do
Relatório de Análise e
Avaliação de Riscos
(Risk Assessment )
Relatório de Análise e
Avaliação de Riscos
(Risk Assessment )
Atividade 1.
Priorizar as Ações
Atividade 2
Avaliar Opções de Controle Recomendadas
- Viabilidade
- Eficácia
Ações Variando de Alto
para Baixo
Lista de Possíveis
Controles
Atividade 3
Conduzir a Análise Custo/Benefício
- Impacto da Implementação
- Impacto da Não Implementação
- Custos Associados
Análise Custo/Benefício
Atividade 4.
Selecionar os Controles
Controles Selecionados
Atividade 5.
Atribuição de Responsabilidades
Lista das Pessoas
Responsáveis
Atividade 6
Desenvolver Plano de Implementação das
Proteções
- Riscos e Níveis de Riscos Associados
- Ações Prioritárias
-Controles Recomendados
- Seleção dos Controles Planejados
- Pessoas Responsáveis
- Data de Início
- Data de Conclusão Almejado
- Requisitos de Manutenção
Atividade 7.
Controles Selecionados Implementados
Plano de
Implementação das
Proteções
Riscos
Residuais
Figura 6.8 - Fluxograma do Processo de Mitigação do Risco. Fonte: SP 800-30
(STONEBURNER, 2002)
b) Mitigação do Risco
lxx
A Mitigação do Risco é a segunda atividade da gestão de riscos no
modelo proposto pelo SP 800-30 (STONEBURNER, 2002). A atividade envolve
a priorização, estimativa e implantação de controles adequados, recomendados
a partir do Processo de Análise e Avaliação de Risco. Como a eliminação total
dos riscos é impraticável ou impossível, é responsabilidade dos gerentes
responsáveis usarem abordagens de menor custo e implantar os controles
adequados para reduzir os riscos a um nível aceitável, minimizando o impacto
adverso sobre os recursos e sobre a missão da organização. A mitigação do
risco envolve as seguintes atividades: Atividade 1 – Priorizar as Ações;
Atividade 2 – Estimar (“Evaluate”); Atividade 3 – Conduzir uma Análise
Custo/Benefício; Atividade 4 – Seleção dos Controles; Atividade 5 – Atribuição
de Responsabilidades; Atividade 6 – Desenvolver um Plano de Implantação de
Proteção; Atividade 7 – Implantação dos Controles Selecionados.
c) Estimativa e Análise
Na maioria das organizações, as redes continuarão a se expandir e se
atualizar, seus componentes serão substituídos, as aplicações de software
serão atualizadas com novas versões. Permanente renovação do quadro de
funcionários, das políticas de segurança irão provavelmente ocorrer ao longo
do tempo. Essas mudanças implicarão o surgimento de novos riscos e os
riscos previamente tratados poderão tornar-se novamente uma preocupação.
Portanto, a gestão é um processo cíclico em permanente evolução.
lxxi
7 Ferramentas de Gestão e de Análise de
Risco
Ferramentas automatizadas são programas de software que, em geral,
estão associadas a determinadas metodologias e normas. Essas ferramentas
auxiliam a aplicação do conjunto de atividades proposto por essas
metodologias. A quantidade de tarefas e informações que a gestão e a análise
de riscos envolvem requerem o uso de ferramentas automatizadas que
facilitem a sua execução. Muitas das metodologias estudadas até aqui estão
associadas a uma ou mais ferramentas.
A maioria das metodologias envolve uma infindável quantidade de dados
e informações organizacionais, relatórios, formulários e questionários. As
análises quantitativas, por sua vez, exigem inúmeros cálculos e fórmulas.
Todas essas tarefas podem ser facilmente implantadas em programas de
software que, além de estruturar e seqüenciar as atividades, facilita o
preenchimento dos dados, a consulta a banco de informações e a realização
de cálculos. São normalmente baseadas em metodologias e normas
internacionalmente reconhecidas. Essas ferramentas por si sós não resolvem e
não dispensam a análise humana, porque as decisões e o raciocínio, se
elaboradas em software, envolveriam heurísticas complexas, que dificultariam
e encareceriam o seu desenvolvimento.
7.1. Axur
A Ferramenta AXUR (AXUR, 2008) ISMS, desenvolvida pela AXUR
Information Security americana, auxilia a implantação de um SGSI baseado na
norma NBR ISO/IEC 27001 (ABNT, 2006). É uma solução para gerenciar os
riscos da organização, os controles e os objetivos de controle de forma simples
e organizada, garantindo resultados comparáveis e reproduzíveis. A interface
com o usuário do AXUR ISMS é baseada em Web, possibilitando aos usuários
receber mensagens e obter informações por meio de um quadro de riscos,
relatórios, estatísticas, gráficos analíticos de alto nível. A ferramenta AXUR
lxxii
ISMS contempla os itens 4.3.2 e 4.3.3 da NBR ISO/IEC 27001 (ABNT, 2006)
automaticamente. Os documentos podem ser eletronicamente distribuídos,
podem registrar os usuários que não leram os documentos, ser notificado de
revisões programadas e proteger em um único local todas as políticas,
regulamentos, documentos de gerenciamento, procedimentos, modelos de
documentos e registros relativos ao SGSI.
O AXUR ISMS oferece uma solução de melhoria continua reportando
não-conformidades
e
consolidando
os
incidentes,
categorizando-os
e
determinando os procedimentos de resposta apropriados. Incluindo a gestão de
risco, uma solução de melhoria contínua, possibilita à organização avaliar o
impacto de um incidente por meio de sua matriz de risco. O AUXUR ISMS
também oferece um quadro com as métricas para acompanhar e reportar os
custos, incidentes associados e ações de acompanhamento preventivas e
corretivas.
Inclui mais de 150 relatórios e mais de uma centena de diagramas e
dados estatísticos, que possibilitam a visualização dos atributos principais
relacionados com o seu SGSI.
7.2. CALLIO
A ferramenta CALLIO SECURA (CALLIO, 2005) foi desenvolvida pela
Callio Technologies do Canadá. É uma ferramenta baseada na Web com
suporte a banco de dados que permite ao usuário implantar e certificar um
SGSI (Sistema de Gestão de Segurança da Informação). Suporta os padrões
NBR ISO/IEC 17799 (ABNT, 2000) e NBR ISO/IEC 27001 (ABNT, 2006) e
produz toda documentação necessária para obter a certificação. Além disso,
oferece a funcionalidade de gestão de documentos, bem como a customização
das ferramentas de banco de dados. Há uma versão de avaliação disponível na
Internet.
O software está disponível nas versões em inglês, francês, espanhol e
chinês. Orienta o usuário a obter a conformidade com a norma NBR ISO/IEC
lxxiii
27001 (ABNT, 2006) e a certificação BS7799-2 (BS, 2002) por meio da
implantação de cada uma de suas atividades. Suas múltiplas funcionalidades,
interface fácil de usar e flexibilidade a tornam uma ferramenta útil na aplicação
da Gestão de Segurança da Informação.
Com a versão 2 dessa aplicação web multiusuário, o usuário pode
desenvolver, implantar, gerenciar e certificar o seu SGSI (Sistema de Gestão
da Segurança da Informação) de acordo com as normas NBR ISO/IEC 27001
(ABNT, 2006); NBR ISO/IEC 17799 (ABNT, 2000) e BS7799-2 (BS, 2002). É
possível também realizar auditorias para outros padrões tais como o COBIT,
HIPAA e Sarbanes & Oxley, importando seus respectivos questionários.
A ferramenta Callio apresenta uma série de recursos dentre os quais se
destacam:
a. Verificação do nível de conformidade com a norma NBR ISO/IEC
27001 (ABNT, 2006) / NBR ISO/IEC 17799 (ABNT, 2000);
b. Compilação de um inventário dos ativos mais importantes da
organização;
c. Realização de Análise de Gap completa;
d. Definição da estrutura e de seus processos dentro do SGSI;
e. Auxílio no esboço da política de segurança com cerca de 50
exemplos;
f. Gerenciamento da documentação sobre as políticas da organização;
g. Orientação na alocação dos recursos orçamentários;
h. Aprovação ou revogação dos documentos que aguardam a
aprovação;
i. Adequação dos questionários;
j. Permissão para importação e exportação de questionários;
lxxiv
k. Exame de verificação se o SGSI da organização atende os requisitos
de certificação BS7799-2;
l. Documentação e justificativa da aplicação dos controles da NBR ISO/
IEC 27001 (ABNT, 2006) / NBR ISO/IEC 17799 (ABNT, 2000) dentro
do arcabouço de gestão;
7.3. CASIS
O software CASIS (APRICO, 2005), da Aprico Consultants, uma
empresa belga, é um "Advanced Security Audit Trail Analyzer" ou Analisador
Avançado de Trilhas de Auditoria de Segurança, cujo propósito é coletar
arquivos de log de múltiplos sistemas, correlacionar esses dados e produzir
alertas de segurança baseados em regras definidas pelos usuários. O usuário
é capaz de definir novas fontes de dados, assim como de especificar as
mensagens de alerta.
7.4. COBRA
COBRA (C&A, 2005) é uma ferramenta de análise de riscos de
segurança (security risk assessment) desenvolvida pela C&A Systems Security,
do Reino Unido, que pode ser executada pelas próprias organizações. Avalia a
importância relativa de todas as ameaças e vulnerabilidades e gera as
soluções e recomendações adequadas. Associa automaticamente os riscos
identificados com as implicações potenciais para unidade de negócios. De
modo alternativo, um aspecto ou área particular pode ser examinado
isoladamente, sem qualquer impacto associado. Inclui quatro bases de
conhecimento (“knowledge bases”) que podem ser customizadas usando o
componente Module Manager.
7.5. CRAMM
A ferramenta CRAMM (SIEMENS, 2008), desenvolvida pela Insight
Consulting do Reino Unido e depois modificada pela Siemens, que adquiriu
lxxv
seus direitos, permite facilmente aplicar o Método CRAMM. Os três estágios do
método são completamente atendidos por meio de uma abordagem
disciplinada e por estágios. A ferramenta é distribuída em três versões:
CRAMM Expert, CRAMM Express e BS 7799 Review. Há uma versão gratuita
disponível para avaliação
A ferramenta CRAMM, baseada na Metodologia preferida do governo
britânico,
foi
completamente
remodelada
pela
Siemens
Enterprise
Communications Limited para transformar-se em uma nova ferramenta que
inclui os seguintes recursos:
1. Ferramenta de análise/avaliação de riscos (risk assessment) em
conformidade com a NBR ISO/IEC 27001 (ABNT, 2006);
2. Um conjunto de ferramentas que auxilia os gestores de segurança da
informação a planejar e gerenciar a segurança;
3. Criação de políticas de segurança da informação e toda a
documentação;
4. Ferramentas que apóiam as principais atividades dos processos de
GCN;
5. Base de dados com mais de 3000 controles de segurança dos riscos
mais relevantes, classificados segundo a ordem de eficácia e de
custo;
6. Ajuda a organização obter a certificação e a conformidade com a
NBR ISO/IEC 27001 (ABNT, 2006).
7.6. EAR/PILAR
As ferramentas EAR/Pilar (MAÑAS, A.L.H.J., 2006) são de origem
espanhola e produzidas pela empresa A.L.H.J. Mañas. A EAR de uso
comercial e a PILAR, restrita à Administração Pública Espanhola.
lxxvi
As ferramentas EAR/PILAR são softwares que auxiliam a aplicação da
Metodologia de Gestão e de Análise de riscos MAGERIT. Foram projetadas
para suportar o processo de gestão de riscos por longo tempo, oferecendo um
método de análise incremental que evolui à proporção que as medidas de
proteção vão melhorando. Incluem-se entre as suas funcionalidades:
i.
Análise e Gestão de Riscos Qualitativa e Quantitativa
ii.
Análise Qualitativa e Quantitativa de Impacto nos Negócios e de
Continuidade das Operações
O uso das ferramentas é intuitivo, permitem efetuar cálculos rápidos e
geram os resultados numéricos de forma textual e gráfica.
7.7. EBIOS
O EBIOS (CISSD, 2004) é um software de origem francesa.
Desenvolvido pela “Central Information Systems Security Division” (França)
para dar suporte ao Método EBIOS. Esta ferramenta auxilia o usuário a
executar todos os passos da análise e da gestão de riscos de acordo com as 5
fases do método EBIOS, permitindo que todos os resultados do estudo sejam
registrados e que um resumo dos documentos exigidos seja produzido. A
ferramenta EBIOS é do tipo software livre (open source).
Figura 7.9 – EBIOS. Fonte: EBIOS (CISSD, 2004)
lxxvii
7.8. GSTool
A GSTool (BSI, 2004) é uma ferramenta desenvolvida pela “Federal
Office for Information Security (BSI)” para o apoio aos usuários da metodologia
“IT Baseline Protection Manual”. Após coletar a informação necessária, os
usuários têm a disposição um sistema de relatórios para executar a análise
estrutural de todos os dados compilados e para emitir relatórios em papel ou no
formato eletrônico. O GSTool é uma aplicação stand-alone, com suporte para
banco de dados. Há uma versão de avaliação disponível.
7.9. GxSGSI
A GxSGSI (SIGEA, 2004) é uma ferramenta de gestão de riscos
produzida pela SIGEA espanhola, que opera no modo cliente-servidor e
permite manter as ameaças, vulnerabilidades, impactos, riscos residuais e
intrínsecos, medidas de controle e controles para a implantação de um SGSI.
7.10. ISAMM
A ferramenta ISAMM (TELLINDUS, 2008) (“Information Security
Assessment and Monitoring Method”) ou Método para Monitoramento e Análise
da Segurança da Informação segue o conjunto de melhores práticas da
Segurança da Informação contidas na norma NBR ISO/IEC 27002 (ABNT,
2006). A Análise de riscos da ferramenta ISAMM compõe-se de três partes: a)
definição do escopo, b) análise, c) emissão de relatório.
Conforme a norma NBR ISO/IEC 27001 (ABNT, 2006), o primeiro passo
na análise de riscos é selecionar os tipos de ativos relevantes e pré-definidos e
definir os ativos mais importantes de cada um desses tipos. Os ativos
selecionados devem ser avaliados quanto à confidencialidade, integridade,
disponibilidade e substituição. O segundo passo consiste em selecionar as
ameaças relevantes entre 15 ameaças genéricas pré-definidas. Baseada nessa
seleção, a ferramenta ISAMM (TELLINDUS, 2008) irá mapear os tipos de
ativos selecionados com suas respectivas ameaças para gerar um número
lxxviii
adequado de cenários de ameaças. Após o mapeamento das ameaças, a
ferramenta listará todos os controles que podem afetar esses cenários de
riscos. Opcionalmente, o usuário poderá indicar um estado obrigatório para um
determinado controle. É possível avaliar a existência de políticas ou requisitos
legais ou regulatórios (FDA, Sarbanes-Oxley, ou leis locais).
Análise – Nesta fase, para cada controle da norma NBR ISO/IEC 27002
(ABNT, 2006), o usuário tem que definir o nível de conformidade real. Como
opção, o usuário tem um número de questões de conformidade para cada
controle que oferecem diferentes percepções e detalhes sobre o nível real de
vulnerabilidade. Quando não estiver em completa conformidade, o usuário tem
que fornecer uma estimativa de custo adicional anual para atingir a
conformidade total. Algumas questões adicionais são feitas para definir a
motivação da ameaça e o número de pontos expostos a essas ameaças.
Baseado nesta informação, a ferramenta é capaz de calcular a probabilidade
da ameaça e o impacto para cada cenário de ameaça e determinar o nível de
risco real de cada para cada ameaça.
Emissão de Relatório – Usando as características de redução de risco
do controle de cada ameaça, a ferramenta é também capaz de simular o efeito
ou a melhoria causado pela redução do risco de cada controle e selecionar os
mais adequados, passo-a-passo. Nesse modo, um plano otimizado de
tratamento de riscos, com riscos residuais, pode ser obtido. Após a conclusão
dos dados de entrada e dos cálculos, a ferramenta irá gerar uma variedade de
gráficos e tabelas, listando todas as informações relevantes.
7.11. MIGRA Tool
A ferramenta MIGRA (AMTEC, 2007), de origem italiana, é uma
aplicação baseada em Web inspirada na metodologia MIGRA9. Projetada para
dar apoio aos Security Officers10 durante todo o processo de projeto e de
9
MIGRA “Metodologia Integrata per la Gestione del Rischio Aziendale”
10
SecurityOfficers: responsáveis pela segurança da informação de uma determinada organização.
lxxix
manutenção de um sistema de proteção eficiente e de custo efetivo, tanto para
os ativos tangíveis quanto intangíveis. Quando adotada, torna-se o núcleo do
sistema de gestão da segurança, fornecendo as informações necessárias para
a tomada de decisão, para justificar essa decisão e entender as suas
conseqüências. Oferece algumas funções como:
1.
Geração de um modelo de organização adequado à análise de
segurança;
2.
Análise da adequação e eficácia das medidas de segurança face
às ameaças e requisitos normativos ou organizacionais da política
de segurança;
3.
Identificação e alocação dos papéis e responsabilidades pela
segurança;
4.
Consolidação e compartilhamento do know-how de segurança
tanto para ameaças quanto para contramedidas;
5.
Execução da análise qualitativa de risco;
6.
Execução da análise de conformidade em relação à legislação,
regras e padrões ou políticas internas;
7.
Fornecimento de indicadores de risco;
8.
Execução da Análise what-if;
9.
Produção de relatórios operacionais e de gerenciamento.
A ferramenta é composta por cinco módulos: a base de conhecimento,
em total conformidade com a NBR ISO/IEC 27001 (ABNT, 2005); ferramenta
de modelagem de cenários; o mecanismo de análise de riscos e de
conformidade; o mecanismo da análise de what-if; o mecanismo de geração de
relatório.
A ferramenta oferece suporte para múltiplos idiomas e uma única
lxxx
instalação da ferramenta pode ser usada para gerenciar várias organizações.
7.12. Modulo Risk Manager
A ferramenta Modulo Risk Manager (MODULO SECURITY, 2008),
desenvolvida pela Modulo Security Solutions, auxilia as organizações a
modernizar e automatizar processos necessários aos projetos de análise de
riscos e de conformidade independentes, coletando e centralizando dos dados
relacionados com os ativos tecnológicos, tais como software e equipamentos; e
com os ativos não tecnológicos, tais como pessoas, processos e instalações
físicas dentro de uma organização, para analisar o risco e assegurar a
conformidade. O software também permite a geração de relatórios a partir dos
dados coletados.
O Modulo Risk Manager inclui bases de conhecimento (“knowledges
bases”) que ajudam as organizações na avaliação e na obtenção da
conformidade com diversos padrões e normas, a saber: SOX, PICI, ISO 27001,
HIPAA, COBIT, ITIL, FISAP, FISMA, NIST 800-53a, FIPS 199, A 130 e DOD
8500.2, além de permitir a customização para a análise de conformidade com
outros padrões.
7.13. OCTAVE
A ferramenta OAT11 (ATI, 2007) ou Ferramenta Automatizada OCTAVE
foi elaborada pela ATI12 Instituto de Tecnologia Avançada para auxiliar os
usuários com a implantação da metodologia OCTAVE ou OCTAVE S13. A
ferramenta auxilia o usuário durante a fase de coleta de dados, organiza a
informação coletada e finalmente produz os relatórios de análise. Há versões
disponíveis tanto para avaliação quanto para demonstração.
11
OAT “OCTAVE Automated Tool”
12
ATI “Advanced Technology Institute”
13
OCTAVE S – Small Octave para empresas com até 300 funcionários
lxxxi
7.14. PROTEUS
A ferramenta Proteus Enterprise (INFOGOV, 2007), da Infogov
(Information Governance Limited), do Reino Unido. Por meio de seus
componentes, o usuário pode realizar uma Análise de Gap em relação aos
padrões NBR ISO/IEC 17799 (ABNT, 2000) ou criar e gerenciar um SGSI de
acordo com a NBR ISO/IEC 27001 (ABNT, 2006). A ferramenta é baseada em
Web, com suporte a banco de dados, e pode ser avaliada por meio de sua
versão de teste (trial version).
A ferramenta Proteus (INFOGOV, 2007) é um software para governança
corporativa, de gestão de riscos e de segurança da informação baseada em
servidor Web e desenvolvida pela “Information Governance Ltd”. Todas as
ferramentas da Proteus e suas versões anteriores foram distribuídas pela
“British Standards Institution”, desde 1995, embora a maior parte das vendas
seja feita pela “Information Governance Ltd.” e sua rede de distribuição mundial
seja gerenciada pela Veridion Inc., Canadá. O Proteus permite que as
organizações implementem controles de qualquer padrão ou norma, NBR
ISO/IEC 17799 (ABNT, 2000), NBR ISO/IEC 27001 (ABNT, 2006), BS 25999
(BS, 2007), SOX, Cobit, PCI DSS, entre outros.
7.15. Ra2
A ferramenta RA2 (AEXIS, 2005), produzida pela AEXIS alemã, destinase à gestão de riscos que se baseiam nos padrões NBR ISO/IEC 17799
(ABNT, 2000) e NBR ISO/IEC 27001 (ABNT, 2006). Para cada etapa do
processo, a ferramenta contém uma etapa dedicada à geração de relatórios e à
impressão dos resultados. O RA2 “Information Collection Device” ou dispositivo
de coleta de informação é um componente que é distribuído com a ferramenta
e pode ser instalado em qualquer organização para coletar e fornecer
informações para o processo de Análise de riscos (“Risk Assessment”). A
AEXIS oferece uma ferramenta gratuita para avaliação.
A ferramenta RA2 (AEXIS, 2005) trata das diferentes fases no processo
lxxxii
de estabelecimento e implantação de um SGSI, de acordo com os requisitos
estabelecidos pela NBR ISO/IEC 27001 (ABNT, 2006). Para cada uma das
fases do processo, a ferramenta contém uma fase dedicada à geração de
relatório e a impressão de resultados. Com o uso dessa ferramenta, é possível
seguir todas as etapas descritas na NBR ISO/IEC 27001 (ABNT, 2006) e
produzir documentação necessária do processo de Gestão e de Análise de
Risco.
As funções incluem toda a orientação necessária para a implantação
dos processos do SGSI, cálculo dos riscos, execução automática e atualização
dos resultados. Contém uma função de auxílio (help) sensível ao contexto, isto
é, ao solicitar o auxílio por meio da tecla F1, as orientações que serão exibidas
corresponderão à tela ou à função que estiver sendo utilizada pelo usuário, não
sendo necessário fornecer a informação que se deseja buscar. A ferramenta
“RA2 art of risk V1.1” vem acompanhada da ferramenta “RA2 Information
Collection Device” (dispositivo de coleta de informações) que pode ser
instalada em qualquer lugar na organização conforme necessário para coletar e
fornecer informações para o processo de Análise de Risco.
7.16. Resolver Ballot
A ferramenta Resolver Ballot (RESOLVER, 2008), da Resolver
canadense, é tipicamente usada em reuniões de diretores, do comitê de
auditoria ou da alta gerência dos departamentos. A Resolver Ballot é uma
aplicação de análise de riscos para ser usada em grupos, possibilitando aos
participantes opinarem anonimamente sobre os impactos e as probabilidades
dos riscos da organização.
Como não existem metodologias idênticas, a Resolver Ballot pode ser
facilmente configurada, permitindo selecionar o idioma, a terminologia e o
critério de riscos. Os resultados das pesquisas coletados são exibidos em
tempo real, possibilitando a todos uma visão sobre determinado tópico.
7.17. Resolver Risk
lxxxiii
A Resolver Risk (RESOLVER, 2008), também da Resolver canadense, é
um banco de dados para Governança, Gestão de Riscos e Conformidade em
uma plataforma web, que gera relatórios por meio dos quais se fazem as
correções. Configurado pelos administradores da organização, com base nas
normas e riscos conhecidos, a aplicação poderá adaptar-se a qualquer
metodologia de análise de riscos, gerando relatórios em tempo real, análise,
gestão, mitigação, aceitação e trilha de auditoria. Aplicação baseada em Web
que permite o controle de acesso em diferentes níveis, dependendo do papel
desempenhado pelo usuário.
7.18. RiskWatch
A RiskWatch for Information System & ISO 17799 (RISKWATCH, 2002),
uma solução da empresa RiskWatch americana, é um software para a gestão
de riscos de segurança da informação. A ferramenta realiza a análise de riscos
e de vulnerabilidades dos sistemas de informação de forma automática. As
bases de conhecimento (“knowledge bases”) fornecidas com o produto são
completamente adaptáveis pelo usuário, incluindo a habilidade de criar novas
categorias de ativos, de ameaças, vulnerabilidades, proteções, problemas e
grupo de problemas. A ferramenta inclui controles das normas NBR ISO/IEC
17799 (ABNT, 2000) e SP 800-26 (NIST, 1999). Há uma versão para avaliação
online da ferramenta RiskWatch.
O software RiskWatch permite ao usuário avaliar os riscos e gerar
relatórios e gráficos, detalhando especificamente a conformidade com as
normas e exibindo os controles necessários.
A ferramenta executa uma análise total de conformidade, reduzindo em
20% o tempo de realização do processo manual. A coleta de dados
simplificada, por meio de pesquisas baseadas em web e da geração
automática de relatórios, não somente cria um relatório de alto nível com trilhas
de auditoria, mas também apóia o investimento seguro do orçamento,
recomendando os controles adequados pelo método do Retorno de
lxxxiv
Investimento - ROI14.
As análises de segurança física exigidas pela Joint Commission15 e por
organizações militares necessitam ser completas. Os resultados dessa análise
podem ser usados para a Análise de Impacto nos Negócios (BIA - Business
Impact Analysis), recuperação de desastres e planos de continuidade dos
negócios, criando uma verdadeira base de referência16 total de segurança.
A empresa oferece consultoria de apoio para os iniciantes na ferramenta
por meio de relatórios de revisão. Também realiza toda a análise e elabora as
políticas e os planos, se necessário.
7.19. RM Studio
A ferramenta de software RM Studio (STIKI, 2008) foi projetada para
garantir a segurança da informação de organizações públicas e privadas. O
programa foi elaborado com base na metodologia NBR ISO/IEC 27002 (ABNT,
2006) e no padrão de segurança NBR ISO/IEC 27001 (ABNT, 2006).
A “Risk Management Studio” ajuda a organização a ter uma visão de
futuro e a elaborar a política de segurança da informação e de gestão de risco.
Além desses recursos, a ferramenta:
a. Ajuda a identificar os ativos de informação;
b. Orienta a avaliação desses ativos;
c. Fornece uma lista de categoria de ativos e de ameaças;
d. Sugere um conjunto de possíveis ameaças aos ativos selecionados;
e. Inclui os controles da NBR ISO/IEC 27001 (ABNT, 2006);
14
ROI “Return of Investment”
15
Joint Comission – Organização independente e sem fins lucrativos que credencia e certifica 15.000 entidades de
assistência médica nos EUA
16
Base de Referência – Do inglês “baseline”
lxxxv
f. Sugere os controles apropriados para a proteção contra os riscos de
segurança;
g. Ajuda a identificar o nível de segurança com base na NBR ISO/IEC
27001 (ABNT, 2006);
h. Gera relatórios;
i. Acelera o processo de análise de risco;
j. Facilita o processo de certificação;
k. Torna a análise de riscos facilmente gerenciável.
O padrão de segurança da informação NBR ISO/IEC 27002 (ABNT,
2006), que está incluído na ferramenta, requer uma implantação mínima e foi
desenvolvida conforme padrões de qualidade internacionais. A ferramenta RM
Studio é compatível com a Microsoft e foi desenvolvida com o software
Microsoft Visual Studio. O desenvolvimento foi feito de acordo com
procedimentos da Microsoft Solutions Framework e certificada pelo Instituto de
Padrões Britânicos (“British Standards Institution”) de acordo com a NBR
ISO/IEC 9001 (ABNT, 2003) e NBR ISO/IEC 27001 (ABNT, 2006).
lxxxvi
8 Quadro comparativo
Neste capítulo, apresentamos os quadros comparativos das metodologias analisadas, a fim de mostrar a ausência ou
presença e o nível dos elementos que sustentam as atividades preconizadas na gestão e na análise de riscos. Ela está organizada
por atividades e indicadas por uma legenda:




Atividade ausente
Atividade parcialmente presente
Atividade presente
Atividade totalmente presente
Dutch A&K Analysis
Ebios
ISF Methods
ISO/IEC IS 13335-2
ISO/IEC IS 17799
ISO/IEC IS 27001
IT Grundschutz
Marion (substituída pela
Mehari)
Mehari
Octave
Protótipo Gratuito
CRAMM Expert
CRAMM Express
EBIOS Versão 2
Várias ferramentas
ISF (para os
associados)
Diversas
Diversas
Diversas
Risicare
Comunicação do Risco
Aceitação do Risco
Tratamento do Risco
Avaliação de Risco
Atividades
Análise de Risco
CUSTO
Atividades
Análise/Avaliação do Risco
Austrian IT Security Handbook
Cramm
FERRAMENTA
GESTÃO DE RISCO
(Risk Management - RM)
Identificação de Riscos
METODOLOGIA
ANÁLISE /AVALIAÇÃO DE
RISCO
(Risk Assessment - RA)














Gratuita
Gratuita
Para associados
ISF





















100 Euros
130 Euros
80 Euros
Gratuita
Paga



































100-500 Euros
Gratuita














Gratuita
Paga
SP800-30
Gratuita


Tabela 8.15 - Quadro Comparativo 1





Esta tabela apresenta o quadro comparativo das ferramentas analisadas e as metodologias às quais estão associadas,
além das informações sobre a ausência ou presença dos elementos que sustentam as atividades preconizadas na gestão e na
análise de riscos. Ela está organizada por atividades e indicadas por uma legenda:


Atividade ausente
Atividade presente
Cobra
CounterMeasures
CRAMM
Ebios
GSTOOL
ISAMM
Modulo Risk Manager
Octave Automated
Tool
Proteus
Ra2
RiskWatch



US$ 1.995
US$ 2.500 a 14.500
2.950 Libras



Gratuita
Comunicação do Risco

































887 a 23.200 Euros
Paga
Paga





















Diversas
Gratuita







ISO 27001 e ISO 27002
ISO 27001 e ISO 27002
ISO 27002 e NIST 80026
600 a 6000 Libras
200-1100 Libras














US$ 15.000







ISO 17799
ISO 27001, PCI DSS,
SOX, HIPAA, FISMA

Aceitação do Risco

ISO 17799 e ISO 27001
Ferramenta de Análise
de Trilha de Auditoria
ISO 17799
NIST série 800
ISO 27001 e ISO 27002
ISO 13355, ISO 15408
ISO 17799, ISO 27001

Tratamento do Risco
Avaliação de Risco
Atividades
Análise de Risco
CUSTO
Atividades
Análise/Avaliação do Risco
Callio Secura 17799
Casis
METODOLOGIA
GESTÃO DE RISCO
(Risk Management - RM)
Identificação de Riscos
FERRAMENTA
ANÁLISE /AVALIAÇÃO DE
RISCO
(Risk Assessment - RA)
4.495 Euros
45.000 euros
Tabela 8.16 - Quadro Comparativo 2
A análise da tabela 8.1 demonstra que existem duas metodologias: a
EBIOS, da DCSSI (Direction Centrale de la Sécurité des Systémes
d'Information) e a IT Grundschutz, da Federal Office for Information Security
(BSI), um órgão de segurança da informação do governo alemão, que são
completas
e
gratuitas.
Ambas
contemplam
todas
as
atividades
de
Análise/Avaliação (Identificação de Riscos, Análise de Riscos e Avaliação de
Riscos) e de Gestão de Riscos (Análise/Avaliação de Risco, Tratamento de
Risco, Aceitação de Risco, Comunicação de Risco).
Para a Metodologia EBIOS, existe uma ferramenta, a EBIOS Versão 2,
também gratuitamente distribuída. Existem várias ferramentas para a
Metodologia IT Grundschultz: GSTOOL gratuita, BSI GSTOOL, HiSolutions AG
HiScout SME, Swiss Infosec AG - Baseline-Tool, distribuídas comercialmente.
Além dessas duas metodologias, a ISF Methods, de autoria da ISF
Forum, uma organização internacional que disponibiliza a metodologia para
todos os seus associados, é também uma metodologia que contempla todas as
atividades de Risk Assessment e Risk management. As ferramentas que
automatizam a Metodologia ISF Methods são disponibilizadas pela ISF Forum
somente aos seus associados.
As metodologias CRAMM, Dutch A&K Analysis e MARION e MEHARI
são
destinadas
especificamente
para
Risk
Assessment.
As
demais
metodologias contemplam parcialmente atividades de risk assessment e de risk
management.
A análise do quadro comparativo 8.2, nos mostra as ferramentas e a
quais as normas/metodologias estão associadas e quais as atividades estão
presentes nessas ferramentas, além do preço da cada uma delas.
A ferramenta CounterMeasures baseia-se nas normas do NIST série
800 e contempla todas as atividades de análise/avaliação e de gestão. A
ferramenta CRAMM é a mais completa e contempla as normas ISO 27001 e
ISO 27002. A RiskWatch contempla as metodologias ISO 27002 e alguns
recursos da NIST 800-26.
A EBIOS, além de gratuita, contempla uma série de normas ISO 13335,
ISO 15408, ISO 17799 e a ISO 27001. Todas as atividades, exceto a de
comunicação de riscos estão presentes na ferramenta.
9 Conclusão
No mundo atual, a dependência crescente da tecnologia da informação
pelas organizações trouxe consigo uma série de conseqüências. Novas
ameaças, riscos e vulnerabilidades surgem a cada dia. A necessidade de
proteger a informação criou uma nova ciência: a segurança da informação.
Como o mercado global continua a evoluir e a aumentar dependência
tecnológica, a necessidade de implantar a gestão da segurança da informação
tem se tornado um grande desafio e um problema cada vez mais complexo. As
organizações dependem cada vez mais de profissionais com capacitação em
gestão
de
segurança
da
informação.
Com
a
convergência
das
telecomunicações e da tecnologia da informação, algumas possibilidades antes
impossíveis, estão agora disponíveis.
É nesse contexto que a gestão e a análise de riscos, assim como as
metodologias e as ferramentas assumem papeis de extrema importância. Elas
constituem o conjunto de recursos sem os quais a implantação e a gestão da
segurança da informação se tornariam inviáveis.
As organizações têm que se adaptar a essa nova realidade para se
tornar eficientes e flexíveis. Para continuarem a crescer e serem competitivas,
as organizações tem que adaptar suas práticas e processos. Quanto maior a
dependência tecnologia, maior a exposição a riscos. O próprio termo
globalização significa que as organizações, que antes operavam dentro de
suas próprias fronteiras, estão agora operando num ambiente multinacional,
que as expõe a uma série de aspectos culturais, legais e de negócios com os
quais não tinha que se preocupar. Como lidar com a maneira como os
negócios são conduzidos em outros países para se estabelecer a um acordo
de cooperação e de negócios? Quais serão os riscos envolvidos nesse novo
ambiente, de compartilhamento de informações, com nações com diferentes
formas de tratar a legislação de Internet.
À medida que a tecnologia evoluiu, desenvolveu e convergiu, esse
desenvolvimento foi direcionado a reduzir custos e aumentar a flexibilidade e a
eficiência. O resultado dessa dependência tecnológica é que nós não somos
capazes de fazer nada sem ela. Uma falha em um desses sistemas faz com
que a organização se torne inoperante. É neste cenário que a gestão de riscos
e a gestão da continuidade dos negócios assumem papéis de fundamental
importância. A primeira tem o papel de evitar ou reduzir as conseqüências em
caso de uma eventual catástrofe e panes dos sistemas de uma organização e a
segunda visa a recuperar a capacidade de operação de uma organização, na
ocorrência de um grave incidente.
Como fenômeno em permanente evolução, a área de gestão da
segurança da informação está sempre criando novas normas, metodologias e
ferramentas. Algumas dessas normas e metodologias interagem com outras
normas e metodologias e formam famílias de normas, agrupadas segundo
objetivos e metas comuns.
A enorme quantidade de normas, metodologias e ferramentas dificulta a
escolha e a adoção do melhor conjunto de soluções. Além disso, as diferentes
de definições para os mesmos termos dificultam a compreensão do assunto e
das vantagens e desvantagens que cada solução oferece. O uso de linguagem
comum visa a facilitar a tarefa de comparação. A contribuição que esse
trabalho oferece à APF é um estudo comparativo entre as principais
metodologias e ferramentas existentes no mercado. O trabalho apresenta uma
breve descrição de cada norma, metodologia e ferramenta, destaca seus
aspectos positivos e mostra quais as atividades de gestão e de análise de
riscos que cada uma contempla. Essa pesquisa, por tratar de tema em
permanente evolução, deve ser periodicamente revisada e atualizada.
O resultado permite concluir, a partir do estudo das principais normas,
metodologias e ferramentas, que há uma forte tendência de convergência e de
integração das principais metodologias existentes. Esse processo de
convergência entre as diversas metodologias existentes e a tendência de
integração das soluções pode ser observado com o surgimento do tema GRC
(Governance, Risk and Compliance) que traduz esse fenômeno, além disso,
observa-se que as metodologias americanas, européias e australianas estão
sendo adotadas pela ISO e se transformando em padrões mundiais.
10 Referências Bibliográficas
ABNT NBR ISO/IEC 17799. Tecnologia da informação – Código de
prática para a gestão de segurança da informação - 2005.
ABNT NBR ISO/IEC 27001. Tecnologia da informação – Técnicas de
segurança – Sistemas de gestão de segurança da informação –
Requisitos - 2006.
ABNT NBR ISO/IEC 27002. Tecnologia da informação – Código de
prática para a gestão de segurança da informação - 2006.
ABNT NBR ISO/IEC 27005. Tecnologia da informação – Técnicas de
segurança – Gestão de riscos de segurança da informação –
Requisitos - 2008.
ABNT NBR ISO/IEC GUIA 73. Vocabulário – Recomendações para uso
em normas – 2003.
AEXIS SECURITY CONSULTANTS. Ra2 Art of Risk. Alemanha, 2005.
Disponível em: < http://www.aexis.de/RA2ToolPage.htm>. Acesso em: 29
ago. 2008.
AFC - AUSTRIAN FEDERAL CHANCELLERY. Austrian IT Security
Handbook.
Áustria,
2004.
Disponível
em:
<
http://www.digitales.
oesterreich.gv.at/site/6497/Default. aspx>. Acesso em: 29 ago. 2008.
ALBERTS, C.J. Octave Criteria – Version 2.0 – 2001. Disponível em: <
SM
http://www.cert.org/archive/pdf/01tr016.pdf>. Acesso em: 30 ago, 2008.
AMTEC/ELSAG Datamat S.p.A. Migra Tool. Itália, 2007. Disponível em: <
http://www.elsagdatamat.com/EN/PDF/Sicurezza/sicurezza.pdf >. Acesso
em: 11 ago. 2008.
APRICO CONSULTANTS. Casis Advanced Security Audit Trail
Analyzer.
Bélgica,
2005.
Disponível
em:
<http://www.aprico-
consult.com/corporate/index. htm>. Acesso em: 30 ago. 2008.
AS/NZS 4360. Gestão de Riscos - 2004.
ATI ADVANCED TECHNOLOGY INSTITUTE. Octave Automated Tool.
EUA, 2007. Disponível em: < http://oattool.aticorp.org/Tool_Info.html>.
Acesso em: 8 set. 2008.
AXUR INFORMATION SECURITY. Axur ISMS. Brasil, 2008. Disponível
em: <http://www.axur.com.br/>. Acesso em: 3 set. 2008.
BS 7799-1 Information technology -- Security techniques -- Code of
practice for information security management – 1999.
BS
7799-2
Information
technology
--
Security
techniques
--
Information security management systems -- Requirements – 2002.
BSI - Federal Office for Information Security. GSTOOL. Disponível em: <
http://www.bsi.bund.de/english/gstool>. Acesso em: 28 ago. 2008.
CALLIO TECHNOLOGIES. Callio Secura 17799. Canadá, 2005.
Disponível em: <http://www.callio.com/>. Acesso em: 30 ago. 2008.
CAMPOS, André. Sistemas de Segurança da Informação. 2.ed.
Florianópolis : Visual Books, 2007.
CISSD - C&A Central Information Systems Security Division. Ebios
Method.
França,
2004.
Disponível
em:
<http://www.ssi.gouv.fr/en/
confidence/ebiospresentation. html>. Acesso em: 2 set. 2008.
CISSD Information Security. Cobra Risk Consultant Methodology.
França, 2004. Disponível em: < http://www.riskworld. net/>. Acesso em: 2
set. 2008.
Club
de
la
Sécurité
Informatique
Français
(CLUSIF).
MARION:
Méthodologie d'Analyse des Risques Informatiques et d'Optimisation
par Niveau. França, 1998. Disponível em: <https://www.clusif.asso.fr/
en/clusif/present/ >. Acesso em: 2 set. 2008.
Direction Centrale de la Sécurité des Systémes d'Information (DCSSI).
Expression des Besoins et Identification des Objectifs de Sécurité
(EBIOS.
França,
2004.
Disponível
em:
<http://www.ssi.gouv.fr/
en/index.html>. Acesso em: 10 set. 2008.
Dutch Public Company (RCC). Dutch A&K Analysis. Holanda, 1996.
Disponível em: < http://www.minbuza.nl/en/ministry>. Acesso em: 9 set.
2008.
ENISA. European Network and Information Agency. Disponível em:
<http://www.enisa.europa. eu/>. Acesso em: 9 set. 2008.
Information Governance Limited (INFOGOV). Proteus Enterprise. Reino
Unido,
2007.
Disponível
em:
<
http://www.infogov.co.uk/
proteus_enterprise/ step2.php>. Acesso em: 11 set. 2008.
ISO/IEC 13335-2. Management of information and communications
technology security - Part2: Information security risk management.
1998.
Information Security Forum(ISF). ISF Methods . 2005. Disponível em: <
http:// www.securityforum.org/>. Acesso em: 9 set. 2008.
JONES, Andy, ASHENDEN, Debi. Risk Management for Computer
Security: Protecting Your Network and Information Assets. 1.ed. EUA
: Elsevier Butterworth-Heinemann Publications : 2005.
GIL, A. C. Métodos e Técnicas de Pesquisa Social. São Paulo : Atlas,
1999.
NIST. NIST SP 800-30 Risk Management Guide for Information
Technology Systems. Disponível em: < http://csrc.nist.gov/publications/
nistpubs/800-30/sp800-30.pdf>. Acesso em: 5 ago. 2008.
MAÑAS, A.L.H.J. Herramienta Ear. Espanha, 2006. Disponível em:
<http://www.ar-tools.com/>. Acesso em: 2 ago. 2008
MAÑAS, A.L.H.J. Herramienta Pilar. Espanha, 2006. Disponível em: <
http://www.ccn-cert.cni.es/>. Acesso em: 2 ago. 2008
MODULO SOLUTIONS. Modulo Risk Manager. Brasil, 2008. Disponível
em: < http://www.modulo.com.br/>. Acesso em: 5 ago. 2008.
PELTIER, Thomas R. Information Security Risk Analysis. 2.ed. EUA :
Auerbach Publications : 2005.
RAMOS, Anderson (organizador). Security Officer 1. Guia Oficial para
Formação de Gestores em Segurança da Informação. Porto Alegre :
Zouk, 2006.
RESOLVER INC. Resolver Risk Governance, Risk and Compliance
Software Solutions. Canadá, 2008. Disponível em < http://www.resolver.
ca/>. Acesso em: 2 set. 2008.
RISKWATCH. Risk for Information Systems. EUA, 2002. Disponível em
< http://www.riskwatch.com/ISRiskWatchProduct.html>. Acesso em: 2 set.
2008.
ROPER, Carl A. Risk Management for Security Professionals. EUA :
Butterworth Heinemann, 1999.
SCHMITZ, Eber A., ALENCAR, Antonio J., Villar, Carlos B. Modelos
Qualitativos de Análise de riscos para Projetos de Tecnologia da
Informação. Rio de Janeiro : Brasport, 2007.
SÊMOLA, Marcos. Gestão da Segurança da Informação - Uma Visão
Executiva. Rio de Janeiro : Campus, 2003.
Software Engineering Institute (SEI) - Carnegie Mellon University.
OCTAVE SM v2.0. EUA, 2008. Disponível em: < Disponível em: <
http://www.cert.org/octave/octavemethod.html>. Acesso em: 23 set. 2008.
SIGEA. GxSGSI Risk Analysis. Espanha, 2004. Disponível em:
<http://www.sigea.es/images/stories/SIGEA_Briefing_English.pdf>.
Acesso em: 25 set. 2008.
SIEMENS, Insight Consulting. Reino Unido, 2005. CRAMM Expert.
Disponível em: <http://www.enisa.europa. eu/>. Acesso em: 11 set. 2008.
STIKI INFORMATION SECURITY. RM Management Studio. Islândia,
2008. Disponível em < http://www.stiki.is/index.php?lang=en >. Acesso
em: 02 ago. 2008
STONEBURNER, G. et al. NIST Special Publication 800-30: Risk
Management
Guide
for.
Information
Technology
Systems.
Gaitherburg, MD, EUA:NIST National Institute of Standards and
Technology, 2002. Disponível em: <http://csrc.nist.gov/publications/
nistpubs/800-30/sp800-30.pdf>. Acesso em: 9 set. 2008
TELLINDUS GROUP NV. ISAMM Tool. Bélgica, 2002. Disponível em: <
http://www.telindus.com/ >. Acesso em: 02/08/09.
WESTERMAN,
George
&
HUNTER,
Richard.
O
Risco
de
TI.
Convertendo Ameaças aos Negócios em Vantagem Competitiva. São
Paulo : M. Books do Brasil Editora, 2008.