XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUÇÃO
A Engenharia de Produção e o Desenvolvimento Sustentável: Integrando Tecnologia e Gestão.
Salvador, BA, Brasil, 06 a 09 de outubro de 2009
FRAMEWORK PARA
GERENCIAMENTO DE RISCOS EM
PROCESSOS DE GESTÃO DE
SEGURANÇA DA INFORMAÇÃO
BASEADO NO MODELO DMAIC
Maria Angélica Figueiredo Oliveira (UFSM)
[email protected]
Cristiane Ellwanger (UFSM)
[email protected]
Raul Ceretta Nunes (UFSM)
[email protected]
Francisco Carlos Vogt (UFSM)
[email protected]
O processo de gerenciamento de riscos se refere ao planejamento,
monitoramento e controle baseado nas informações produzidas pela
atividade de análise de riscos. Entretanto, muitas vezes esse processo é
considerado longo, complexo e onerosoo, contribuindo para que
projetos da área de Tecnologia da Informação (TI) e principalmente de
segurança da informação falhem por não priorizarem esta tarefa. Uma
das formas de se minimizar esta realidade é a adoção de uma
metodologia que contemple aspectos que sejam realmente relevantes
para as organizações, como a usabilidade. Para atender a este anseio
o presente artigo apresenta um framework baseado no modelo DMAIC.
Cinco fases compreendem o framework proposto, as quais servem de
base à demonstração de procedimentos e ferramentas necessários para
orientar todo o processo de condução da gestão de riscos. A atribuição
de conceitos de usabilidade ao framework proposto permite às
organizações gerenciar os riscos, relacionados à segurança da
informação e à infra-estrutura de TI, de maneira organizada, simples,
econômica e eficaz.
Palavras-chaves: DMAIC, gestão, segurança, informação, riscos
XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO
A Engenharia de Produção e o Desenvolvimento Sustentável: Integrando Tecnologia e Gestão
Salvador, BA, Brasil, 06 a 09 de outubro de 2009
1. Introdução
De fato, hoje, as organizações estão convencidas de que a informação é um ativo de grande
valor. Deste modo, a crescente preocupação pela proteção desses ativos vem sendo cada dia
maior, haja vista o surgimento de novas ameaças, sejam elas tecnológicas ou humanas,
demandando que novas ações sejam tomadas para mitigar os riscos que são gerados por essas
ameaças.
Em projetos de implantação de gestão de segurança da informação a prática de gerenciar
riscos tem um papel fundamental, necessitando que este processo seja feito de forma clara e
estruturada. O gerenciamento de riscos é um dos fatores decisivos para o sucesso na
implantação de segurança da informação. No entanto, segundo Baccarini, Geoff, Love (2004)
muitos projetos da área de TI pecam pela ineficácia e acabam falhando por não priorizarem a
etapa de análise de riscos. Esta não priorização deve-se muito a idéia de que a gestão de riscos
seja um processo longo, oneroso e complexo o que acaba resultando em problemas e
ineficiência nos projetos de segurança da informação, gerando frustração por parte da
organização. Por esta razão, características como estas mencionadas, podem ser minimizadas
com uma metodologia que atenda um dos fatores essências aos olhos das organizações para a
tarefa de gerenciar os riscos: a usabilidade (LICHTENSTEIN, 1996).
Conduzir um processo que seja de simples compreensão e de fácil utilização pode ser uma
maneira eficaz para reduzir não somente os fracassos de projetos de TI, mas como também a
elevar o nível de proteção que são exigidos no momento atual. Neste sentido, tendo em vista
às recomendações da norma que estabelece as melhores práticas para a gestão da segurança da
informação (NBR ISO/IEC 17799:2005), no que se refere ao atendimento dos controles para a
prática de gerenciamento de riscos e nas considerações de Lichtenstein (1996), o presente
artigo apresenta um framework para gerenciamento dos riscos relacionados à segurança da
informação. O framework é baseado no modelo DMAIC, considerado um modelo simples e
objetivo, e contribui para as definições de ações que auxiliam na tarefa de melhor gerenciar os
riscos de maneira simples e a um baixo custo.
O artigo está organizado da seguinte maneira: a seção 2 revisa os principais conceitos de
Gestão da Segurança da Informação; a seção 3 apresenta uma visão da Gestão de Riscos; a
seção 4 trata do método DMAIC; a seção 5 descreve a proposta de gerenciamento dos riscos;
a seção 6 faz um comparativo com os trabalhos relacionados e o Framework proposto; e
finalmente a seção 6 relata as considerações finais.
2. Gestão de Segurança da Informação
A Segurança da Informação é obtida através da implementação de controles, processos,
políticas e procedimentos, que juntos fortalecem os objetivos de negócio com a minimização
dos seus riscos e a promoção da segurança da organização (NBR ISO/IEC 17799:2005).
Garantir a proteção da informação é um princípio base para que qualquer organização forneça
um serviço de credibilidade, organizado e controlado independente do meio de
armazenamento da informação sendo ela eletrônica ou em papel. Para se implantar um projeto
centrado na segurança da informação é preciso atender os três pilares básicos:
confidencialidade, integridade e disponibilidade, que conforme NBR/ISO IEC 17799:2005
são os princípios primordiais para garantir a segurança da informação:
 Confidencialidade: a informação somente pode ser acessada por pessoas explicitamente
2
XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO
A Engenharia de Produção e o Desenvolvimento Sustentável: Integrando Tecnologia e Gestão
Salvador, BA, Brasil, 06 a 09 de outubro de 2009
autorizadas;
 Integridade: a informação deve ser encontrada em sua forma original desde o momento em
que foi armazenada mantendo a proteção dos dados ou informações contra modificações
intencionais ou acidentais não-autorizadas;
 Disponibilidade: toda informação deve estar disponível em qualquer momento que for
necessário.
Para obter sucesso na implantação da gestão segurança da informação, fatores críticos devem
ser muito bem trabalhados para que de fato se produza uma filosofia voltada a segurança da
informação na organização. Ela precisa ser vista pelos gestores não como um conjunto de
ações com um objetivo final traçado, mas como um conceito que projete uma nova cultura de
preservação e comprometimento voltado para a proteção da informação. Estes conceitos
podem ser alcançados através de definições de políticas de segurança da informação
(FERREIRA & ARAÚJO, 2006), documento este que deve ser claro, conciso e que aborde as
verdadeiras necessidades da organização estando alinhada com os objetivos do negócio.
Para Nakamura & Geus (2007) a política de segurança da informação deve ser composta por
diretrizes, normas e procedimentos. As diretrizes são os elementos que orientam as ações
dentro do ambiente organizacional e as implementações futuras de uma maneira global,
enquanto as normas descrevem situações, ambientes e processos específicos dando uma
orientação ao uso adequado de informações. Os procedimentos são utilizados para que os
usuários possam cumprir o que foi definido no documento da política. Entretanto, para que a
política seja de fato efetiva, ela precisa ser direcionada aos riscos da organização, evitando
que esforços sejam gastos a problemas ou riscos que não sejam prioritários para organização
(OLIVEIRA, 2008).
2.1 Normas de Segurança da Informação
Na implantação de projetos de gestão de segurança da informação existem algumas normas
que buscam atender as necessidades das organizações no que diz respeito ao contexto da
segurança da informação. A norma NBR/ISO 17799:2005 é um código internacional de
práticas para a gestão da segurança da informação, estabelecendo diretrizes e princípios gerais
para iniciar, manter e melhorar os níveis de segurança relacionados à informação. Os
controles por ela recomendados visam atender os requisitos essenciais para uma análise de
riscos (FERNANDES & ABREU, 2006).
Desenvolvida a partir da norma NBR/ISO 17799:2005 a norma NBR/ISO 27001: 2006 foi
adaptada ao contexto brasileiro no intuito de prover um modelo de implantação de Sistema de
Gestão de Segurança da Informação (SGSI) e adota o ciclo de melhoria contínua denominada
PDCA (Plan-Do-Check-Act). Proposto por Deming (1990), esta metodologia proporciona a
estruturação dos processos na implantação de um SGSI. A especificação de um SGSI nas
organizações ou em um de seus setores específicos é influenciada pelas suas reais
necessidades, objetivos e requisitos de segurança, cabendo a organização definir o que será de
fato implantado. Situações simples requerem soluções simples (NBR/ISO 27001: 2006).
Para a organização ter ciência do que é necessário ser trabalhado com prioridade, tanto a
NBR/ISO 17799:2005 quanto a NBR/ISO 27001: 2006 recomendam a prática de gestão de
riscos como um meio de se alcançar uma gestão de segurança da informação mais eficaz,
sendo está prática caracterizada como um importante papel na condução de todo processo de
implantação da segurança da informação (OLIVEIRA, 2008).
3
XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO
A Engenharia de Produção e o Desenvolvimento Sustentável: Integrando Tecnologia e Gestão
Salvador, BA, Brasil, 06 a 09 de outubro de 2009
3. Gestão de Riscos
Na implantação da gestão de segurança da informação a gestão de riscos é fundamental para o
processo de decisão, sendo ela a responsável por definir o escopo e a priorização dos ativos
que serão protegidos (LICHTENSTEIN, 1996). A NBR ISO/IEC 17799:2005 define um ativo
como todo qualquer recurso, seja ele tecnológico, físico ou humano, que agregue valor para a
organização. Portanto, para uma boa gestão, eles devem passar por um mapeamento que
revele o quanto cada ativo é importante para o cenário organizacional.
A análise dos riscos é uma das fases da gestão de riscos e consiste em se verificar a
probabilidade de haverem perdas causadas por uma ameaça contra um bem específico. No
âmbito da tecnologia da informação, a análise de riscos está associada com a possibilidade de
haver perda de algum dos princípios (disponibilidade, integridade e confidencialidade)
relacionados à segurança da informação (MARTINS, 2003).
A análise de riscos é parte integrante do processo de gerenciamento de risco e sua condução é
dividida em seis etapas distintas (Scudere, 2006): 1- Planejamento e estratégia, que se
caracteriza pelo planejamento de ações e criações de estratégias de avaliação; 2- Identificação,
onde são criados procedimentos que visam uma correta identificação dos riscos; 3Qualificação, que qualifica riscos decorrente de uma vulnerabilidade; 4- Quantificação, que
pontua o nível de risco; 5- Impactos e respostas, que cria procedimentos que determinam o
impacto de um determinado risco e a resposta que deverá ser utilizada; e 6- Monitoramento e
Controle, que define procedimentos para um constante acompanhamento dos riscos e ações
realizadas para minimizá-los.
Uma das partes principais no processo de gerenciamento dos riscos, segundo Jacobson (2002)
e Alberts & Dorofee (2004) são as estratégias ou respostas que serão dadas aos riscos que
forem identificados. Steinberg et al. (2004) define 4 estratégias:
1. Evitar - não se adota tecnologia ou processos que ofereçam riscos ao negócio. A forma de
tratar estes riscos pode gerar um novo risco maior do que o benefício que ele pode vir a
trazer, desta forma opta-se por evitar;
2. Transferir - é transferido o tratamento desses riscos a terceiros ou a outro setor sendo uma
alternativa viável quando o seu tratamento onera o custo de implantação do projeto;
3. Reduzir - são adotados mecanismos ou controles que tenham a ação de mitigar o risco
identificado;
4. Aceitar - consiste em não se tomar nenhuma ação e assumir o risco.
As ações ou conjunto de ações que serão escolhidas em resposta aos riscos identificados irão
depender da natureza do negócio e dos seus objetivos. Dentre as estratégias para responder
aos riscos (evitar, transferir, reduzir e aceitar) a opção por redução do risco implicará na
determinação de um conjunto de medidas a serem implantadas a partir de um nível de
prioridade que é definido pela própria organização. Este nível de prioridade pode variar, como
por exemplo, riscos que possuem um maior impacto serão tratados primeiro. Muitas vezes o
tratamento de determinado risco pode vir a desencadear outros, sendo, portanto uma decisão
que necessita de avaliação, pesando os pós e contras (CAMPOS, 2007). Observa-se que a
definição de medidas precisa ser compreendida como um processo dinâmico, adaptando-se as
mudanças geradas na organização, sendo concretizável tanto pelo lado financeiro ou temporal.
4
XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO
A Engenharia de Produção e o Desenvolvimento Sustentável: Integrando Tecnologia e Gestão
Salvador, BA, Brasil, 06 a 09 de outubro de 2009
Como visto em Scudere (2006) a atividade de gestão de riscos envolve o alinhamento de
ações através de uma metodologia consistente, onde em cada etapa deve-se garantir que ações
consistentes possam ser realizadas. Portanto, é essencial que a gestão de riscos reúna alguns
fatores que permitam a execução de um processo estruturado: fases bem definidas
(simplicidade), objetivos concretos e sustentabilidade. Neste sentido o presente artigo utiliza o
modelo DMAIC, discutido na próxima seção, como base do framework de gerenciamento de
riscos proposto (seção 5).
4. O modelo DMAIC
Existem muitas referências na literatura sobre o DMAIC, sendo que é muito comum encontrar
denominações caracterizando-o como uma metodologia de solução de problemas (AGUIAR,
2006). Pande et al. (2001) definem o DMAIC como sendo uma ferramenta que tem como
fundamentos: identificar, quantificar e minimizar as fontes de variação de um processo, assim
como sustentar e melhorar o desempenho do processo. Snee (2007) define o DMAIC como
um método que auxilia na resolução de problemas de um modo mais rápido, produzindo uma
infra-estrutura de melhoria na organização. Por outro lado Pyzdek (2003) e Blauth (2003)
mencionam o DMAIC como um modelo sistematizado de melhoria contínua de processos.
Deste modo, havendo inúmeras denominações, para fins de padronização, neste artigo o
DMAIC é referenciado como um modelo.
Na concepção de Snee (2007) o DMAIC é o melhor meio para alcançar a qualidade, sendo
considerado um recurso que prevê menos desperdícios, pois trabalha em função dos fatores
chaves para o processo, resultando assim em uma maior eficiência para o alcance das metas.
Segundo Lynch, Bertolino & Cloutier (2003) o DMAIC é análogo a um funil, ou seja,
apresenta uma grande oportunidade para a organização ter seu escopo gradativamente
estreitado através de definições iniciais que são feitas. O resultado produzido pela adoção do
modelo possibilita revelar problemas que podem ser entendidos de forma clara (com um foco
bem definido) e que poder ser correlacionados a variáveis chaves do processo, contribuindo
com a simplicidade do processo (Werkema, 2004).
As fases do DMAIC são (FERNANDES E ABREU, 2006):
1. Definir: tem como objetivo conhecer os processos e definir pontos críticos para a
organização, indicando quais processos são mais relevantes;
2. Medir: tem como objetivo avaliar o desempenho dos processos, descobrindo mais sobre os
pontos em que a organização necessita melhorar;
3. Analisar: identifica o que será melhorado e priorizado, desenvolvendo soluções para
atender esses pontos que foram resultadas da fase de medição;
4. Implementar ou Melhorar: tem por objetivos implementar melhorias que venham atender
requisitos que foram identificados e medidos nas fases anteriores afim de obter a solução
ou a minimização do problema;
5. Controlar: controla e avalia as ações que foram tomadas para atender as melhorias, sendo
nesta fase realizado o recomeço do ciclo do processo de melhoria DMAIC.
A divisão em cinco fases bem definidas torna simples a condução do modelo, que pode ser
considerado de fácil utilização ou compreensão. Na próxima seção cada fase do modelo será
detalhada com sugestões de procedimentos e ferramentas que poderão ser utilizadas para
melhor condução da atividade de gestão de riscos.
5
XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO
A Engenharia de Produção e o Desenvolvimento Sustentável: Integrando Tecnologia e Gestão
Salvador, BA, Brasil, 06 a 09 de outubro de 2009
5 Proposta de Framework para Gerenciamento de Riscos
Como já discutido, muitos projetos da área de Tecnologia da Informação pecam pela
ineficácia e acabam falhando por não priorizarem a etapa de gestão de riscos, o que é
reconhecido inclusive pela NBR ISO/IEC 17799:2005. No entanto, é importante destacar que
muitas metodologias de gestão da segurança da informação (MARTINS & SANTOS, 2005)
(BROOKS & WARREN, 2006) (VERMEULEN & SOLMS, 2002) preocupam-se com o
gerenciamento de riscos, sendo que cada metodologia o trata de forma diferente. Algumas dão
enfoque na gestão de riscos desde a fase inicial, enquanto outras limitam-se a incluí-la em
uma fase intermediária. Porém observa-se que o fracasso deve-se principalmente ao
relaxamento no processo de gestão de riscos, com a justificativa de que ele gera perda de
produtividade e aumento de custo, condicionando a organização a uma idéia de que esta fase
pode ser de certa forma concisa (forma de reduzir a complexidade).
Partindo de um pressuposto diferente, o de que a usabilidade é um fator decisivo para o
gerenciamento de riscos, este artigo explora este conceito para prover um framework de
gerenciamento de risco que minimize a complexidade do processo de gestão. O framework
está baseado nas etapas do modelo DMAIC e orienta todo o processo de condução da gestão
de riscos de forma simples, econômica e eficaz.
A seguir são detalhadas cada uma das etapas do framework com indicação dos procedimentos
e ferramentas a serem utilizados.
5.1 Definir
A etapa definir deve estabelecer o ambiente ou o cenário alvo através do entendimento do
negócio, identificando as características e as funções principais do setor ou organização, bem
como definir pontos críticos para a organização, indicando quais processos/ativos são mais
relevantes. O fluxograma é um recurso simples que pode ser utilizado como auxílio para esta
etapa sendo percebido como uma representação esquemática de um processo, servindo como
uma ferramenta importante na ilustração de todos os meandros operacionais relacionado com
o negócio a ser tratado (AGUIAR, 2006).
O entendimento da representatividade do setor ou área em que se está implantando a gestão da
segurança da informação também é uma das tarefas desta etapa. Para tal, basta prospectar
impactos financeiros e operacionais (interrupção do serviço) possivelmente gerados por
incidentes de segurança. Também é necessário identificar os riscos vistos pelos responsáveis
da área ou por outras pessoas que fazem parte do ambiente e que são inerentes ao processo.
Estas tarefas podem ser resolvidas através de práticas simples de brainstorming (CSILLAG,
1995), onde as lacunas existentes e passíveis de melhoria deverão aflorar com certa facilidade.
Finalmente, é importante relacionar os recursos utilizados no processo, tais como sistemas,
hardware, software e formulários, enfim todos os ativos que são fundamentais para o negócio,
e produzir um conhecimento de todos os ativos vitais para a organização.
5.2 Medir
A etapa de medição tem o objetivo de quantificar a situação do processo. Nesta etapa é
importante identificar o nível de dependência em tecnologia que o negócio possui. Ferreira &
Araujo (2006) cita três níveis que podem ser utilizados para balizar esta determinação:
Moderado: onde a área depende pouco do processamento de dados, realizando diversas
6
XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO
A Engenharia de Produção e o Desenvolvimento Sustentável: Integrando Tecnologia e Gestão
Salvador, BA, Brasil, 06 a 09 de outubro de 2009
atividades manualmente;
Abrangente: onde área depende de tecnologia para a maioria das atividades que são
desenvolvidas; e
Dominante: onde área realiza todas as atividades com o uso da tecnologia.
De posse do levantamento de todos os ativos fundamentais para a organização (resultado da
etapa Definir) nesta etapa deve-se coletar os riscos inerentes ao processo. Para tal, analisa-se
como eles (os riscos) ocorrem e qual o seu efeito sobre o negócio, para então identificar as
reais causas e traçar uma estratégia de solução. Uma ferramenta que auxilia neste processo é o
FMEA (Failure Mode and Effect Analyses) que é usualmente utilizado para descobrir,
visualizar e priorizar as causas de problemas a serem tratados (AGUIAR, 2006).
A ferramenta identifica todos os possíveis modos potencias de falha, determinando o efeito de
cada um sobre o desempenho do processo ou produto. Segundo Helman & Andery (1995) o
FMEA é considerado um método analítico padronizado para realizar a detecção e eliminação
de problemas que são potenciais ao negócio de forma sistemática e completa. A ferramenta é
reconhecida como um dos recursos mais difundidos entre as empresas com o intuito de
colaborar na determinação de prioridades no processo de gerenciamento de riscos
(MADDOX, 2005). Sua característica principal é ter uma dinâmica que preza pela
documentação formal, permitindo padronizar documentos, fazer registros históricos de análise
que poderão auxiliar numa etapa posterior e desta forma facilitar outras revisões do processo
(escopo definido) para o encaminhamento de ações corretivas e selecionar e priorizar ações de
melhoria que devem ser conduzidos. Através do FMEA pode-se estabelecer quatro índices
para a análise do risco:
1. Índice de Gravidade: dimensiona a gravidade do efeito da falha sobre o processo (o
quanto pode prejudicar o desempenho do processo). O índice varia de 1 a 10 e pode ser
adaptado conforme a situação.
2. Índice de Ocorrência: é uma estimativa das probabilidades combinadas do quanto ocorre
uma dada falha. O índice varia de 1 a 10 e determina o nível de ocorrência da falha a ser
tratada.
3. Índice de Detecção: dimensiona o quanto uma dada falha pode ser detectada antes de
prejudicar o funcionamento do processo. É estipulado através de uma variação de índice
que 1 a 10.
4. Índice de Risco: registra o produto dos índices de ocorrência, gravidade e detecção. Esse
índice é também conhecido com NPR - Número de Prioridade do Risco.
O resultado gerado pelo índice de risco define uma maneira mais precisa de hierarquizar os
riscos e com isso priorizar ações mais urgentes para saná-los ou mitigá-los. A figura 1
exemplifica a aplicação da ferramenta FMEA em um projeto de implantação de gestão de
segurança da informação.
5.3 Analisar
Nesta fase é necessário identificar os recursos de segurança existentes que são utilizados na
organização. O formulário FMEA continua sendo usado nesta etapa, pois com a informação
resultante do NPR pode-se determinar os problemas que obtiveram os mais altos níveis de
prioridade. Com esse valor é necessário analisar a estratégia a ser usada, verificando o ônus
que implicará para a organização a resolução destes riscos. Para Ferreira (2006) em alguns
7
XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO
A Engenharia de Produção e o Desenvolvimento Sustentável: Integrando Tecnologia e Gestão
Salvador, BA, Brasil, 06 a 09 de outubro de 2009
casos o tratamento de determinados riscos podem gerar outros, vindo a onerar a concretização
da solução. Deste modo, é preciso estabelecer o que devidamente é mais prioritário para a
organização ou setor que está sendo avaliado, determinando estratégias de tratamento mais
adequadas para o risco.
5.4 Implementar
Ao finalizar a etapa anterior com as definições de estratégias mais adequadas para a
organização, é na fase Implementar que essas estratégias são transformadas em ações,
possibilitando assim a implantação das melhorias. Umas das ferramentas recomendadas para
esta fase é a 5W1H (AGUIAR, 2006).
A 5W1H, também chamada de plano de ação ou planejamento, é capaz de orientar as diversas
ações que deverão ser implementadas. A sua nomenclatura advém do objetivo da ferramenta
reunido pelas expressões “What (o que), Who (Quem), When (Quando), Where (Onde), why
(Porque)”, o que somadas resulta em 5W, mais a denominação H que se refere a expressão
“How (Como)”, formando a sigla 5W1H. A ferramenta serve como referência às decisões,
favorecendo um acompanhamento do desenvolvimento das ações e também servindo de
documento, uma vez que ela divide de forma organizada as ações, responsabilidades e o
tempo pela execução de cada tarefa (Aguiar, 2006).
Figura 1 - Formulário FMEA
6.5 Controlar
Nesta fase acontece a monitoração ou acompanhamento do trabalho que foi realizado,
identificando se as estratégias que foram definidas estão sendo executadas. Avaliar as
medidas ou soluções implantadas são necessários para que ocorra a verificação e o
gerenciamento das atividades e com isso detectar se elas estão correspondendo ao que foi
8
XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO
A Engenharia de Produção e o Desenvolvimento Sustentável: Integrando Tecnologia e Gestão
Salvador, BA, Brasil, 06 a 09 de outubro de 2009
proposto, garantindo assim o controle dos riscos.
Como instrumento de auxilio a esta fase, é fundamental aderir a um plano de controle ou a um
recurso tipo checklist, o qual pode ser a ferramenta FMEA utilizada na fase Medir e Analisar.
A finalidade é manter o gerenciamento de todos os riscos e consequentemente das soluções
que foram elaboradas no plano de ações, sendo possível revê-las caso os resultados não
tenham sido positivos e propor com isso alterações, facilitando o monitoramento de todas as
atividades de uma forma mais estruturada, prezando a organização de todo o processo.
Todas as etapas de gerenciamento do risco proposto neste artigo pode ser melhor visualizadas
na Figura 2, onde é ilustrada uma síntese das principais ações propostas, relacionando-as com
cada fase do modelo DMAIC.
-Visão Geral do negócio
-Entendimento do processo
-Monitorar as ações
-realizar o check list
pelo FMEA
-Propor melhorias
-Elaborar um plano
de ações
-Executar as
estratégias
-Mensurar o nível de
Dependência de TI
-Quantificar os riscos
-Identificar os recursos
de segurança da
informação existentes
-Determinar estratégias
de tratamento do risco
Figura 2 – Síntese do framework de gerenciamento de riscos baseado no modelo
DMAIC
6. Trabalhos Relacionados
Assim como a proposta deste artigo traz um framework para o gerenciamento dos riscos
voltado para o contexto da segurança da informação, alguns estudos apresentam métodos e
metodologias que visam gerenciar os riscos neste processo.
O estudo de Karabacak & Sogukpinar (2005) propõe um método, denominado ISRAM
(Information Security Risk Analysis Method), o qual se baseia em uma abordagem quantitativa
para analisar riscos em segurança da informação. No método proposto, os autores utilizam
instrumentos matemáticos e estatísticos para garantir uma análise mais determinística,
principalmente, tomando como base as reais necessidades da organização. Para os autores
uma análise de riscos pode ser realizada através do desenvolvimento de seis etapas: 1conhecimento do problema, tendo a ciência sobre o que está sendo tratado; 2- listagem e o
peso dos fatores que envolvem o risco; 3- conversão dos fatores que provocam o risco em
questões, determinando valores para as respostas; 4- preparação da tabela de riscos com base
nas respostas da etapa anterior; 5- preparação de fórmulas e atribuição de valores aos riscos e,
finalmente, 6- a análise dos resultados.
9
XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO
A Engenharia de Produção e o Desenvolvimento Sustentável: Integrando Tecnologia e Gestão
Salvador, BA, Brasil, 06 a 09 de outubro de 2009
Coleman (2004) em seu trabalho discute a utilização da metodologia Octave (CARALLI et al.
2007) com uma alternativa para o processo de gerenciamento de riscos. Os princípios que
regem o gerenciamento de riscos segundo esta metodologia são compostos por quatro etapas:
1- identificação dos ativos críticos de informação; 2- das ameaças que afetam os ativos
críticos; 3- das vulnerabilidades associadas com tais ativos; e 4- os níveis atuais de risco
referentes aos ativos críticos. Esta metodologia auxilia a organização a entender melhor os
resultados de suas avaliações de risco, de modo a desenvolver ou refinar, de forma mais
adequada, as estratégias de segurança, visando estabelecer formas de proteção dos ativos e
planos para a mitigação de riscos de acordo com os requisitos de segurança relacionados a
cada ativo.
Em Misra, Kumar & Kumar (2007) apresentam uma abordagem orientada a agentes para o
gerenciamento de riscos, utilizando os conceitos da linguagem UML – Linguagem de
Modelagem Unificada (BEZERRA, 2002) para modelar o processo. A proposta é explorar a
representação dos problemas mediados pelos diagramas fornecidos pela linguagem UML
como forma de entender as origens estruturais dos riscos nos projetos de segurança da
informação, possibilitando assim à verificação das causas reais de sua ocorrência.
Embora estas metodologias e métodos sejam bem fundamentados, elas incluem um grau de
complexidade não desprezível, dificultando a compreensão e conseqüentemente a sua
utilização em empresas de médio e pequeno porte. Karabacak & Sogukpinar (2005) faz uso
do emprego de algumas fórmulas que são necessárias para o cálculo da análise de riscos,
Misra, Kumar & Kumar (2007) adotam a linguagem técnica UML, e Coleman (2004) fornece
um processo que pode vir a ser muito longo e confuso para o seu entendimento, podendo ser
exigido à orientação de um especialista em gestão de projetos para conduzir as análises. Ao
mesmo tempo, nenhuma destas metodologias consideram um requisito que pode ser essencial
para as organizações: a usabilidade.
Neste sentido, o framework proposto neste artigo contribui fornecendo um guia para o
processo de gerenciamento de riscos de forma simples, sem a necessidade de cálculos
complexos, ou o despendimento de tempo muito longo ou mesmo a necessidade de orientação
de especialista. Todas as etapas compostas pelo framework proposto são mediadas por
procedimentos e ferramentas de simples compreensão e fácil aplicabilidade, resultando em
um processo de baixo custo, liberando a organização para investimentos maiores nas
implementações das soluções para os riscos que forem identificados.
7 Considerações Finais
A necessidade de implantar um processo que vise estabelecer uma gestão de segurança da
informação é um fato reconhecido por muitas organizações, o que faz da gestão de riscos uma
prática necessária e impreterível neste campo. Entretanto, a gestão de riscos é vista muitas
vezes como uma tarefa penosa, demorada e às vezes onerosa. Para que estas características
não sejam um empecilho à realização da tarefa de gerenciar os ricos, um fator que pode ser
inegavelmente um indicador positivo em todo processo é a usabilidade. Este conceito vem a
ser o quanto a metodologia é de fácil compreensão e conseqüentemente de fácil
aplicabilidade.
Este artigo propôs um framework que tem sua base operacional fundamentada no modelo
DMAIC, dividido em cinco fases (Definir, Medir, Analisar, Implementar e Controlar), e que
aponta mecanismos que primam pela usabilidade. Cada uma das fases do DMAIC é composta
por procedimentos e ferramentas de fácil compreensão e de simples utilização, não havendo a
10
XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO
A Engenharia de Produção e o Desenvolvimento Sustentável: Integrando Tecnologia e Gestão
Salvador, BA, Brasil, 06 a 09 de outubro de 2009
necessidade de treinamento, o que faz com que todo o processo seja gerado a um custo baixo,
uma vez que não são exigidos especialistas ou muitos recursos para condução do trabalho.
O framework proposto neste artigo foi aplicado nas Unidades de Terapia Intensiva e
Cardiologia Intensiva do Hospital Universitário de Santa Maria (HUSM), onde a gestão de
riscos foi umas das etapas que precisaram ser cumpridas dentro do projeto de gestão da
segurança da informação que estava sendo empregado nas unidades. A aplicação do
framework trouxe ganhos positivos no hospital, principalmente, no que se refere à adesão de
funcionários das mais diversas especialidades para condução do gerenciamento dos riscos, o
que atesta as características de usabilidade presentes no framework, ou seja, de fácil
aplicabilidade e simples compreensão.
O processo de gerenciamento de riscos continua em andamento nas duas unidades, uma vez
que este é um dos princípios do modelo DMAIC, ou seja, sustentabilidade através de um ciclo
de melhoria contínua. Para que este gerenciamento dos riscos seja de certa forma duradoura,
no hospital foi formada uma comissão composta por diferentes áreas a qual tem a meta de
supervisionar o trabalho para que ele ganhe mais sustentabilidade.
Referências Bibliográficas
AGUIAR, Silvio. Integração das Ferramentas da Qualidade ao PDCA e ao Programa Seis Sigma. Nova Lima:
INDG Tecnologia e Serviços Ltda., 2006.
BACCARINI, David; GEOFF. S.; LOVE, Peter E.D. Management of risks in information technology
projects. Industrial Management & Data Systems. Volume 104, Number 4, pp. 286, 2004.
BEZERRA, Eduardo. Princípios de análise e projetos de sistemas com UML. Rio de Janeiro: Campus, 2002.
BLAUTH , Regis. Seis Sigma: Uma estratégia para melhorar resultados. Revista FAE Business, n.5, abr. 2003.
Disponível em: <http://www.est.ipcb.pt/psi/psi_OG/>. Acesso em 10 Abr. 2008.
BROOKS, Warren; WARREN, Matthew. A Metodology of Health information Security Evaluation. Health
Care and Informatics Review Online. 2006.
CAMPOS, André. Sistema de Segurança da informação: Controlando os Riscos. 2.ed. Florianópolis: Visual
Books, 2007.
CARALLI, R. A.; STEVENS, J. F.; YOUNG, L.R.; WILSON, W.R. Introducing OCTAVE Allegro:
Improving the Information Security Risk Assessment Process. Technical Report. Carnegie Mellon University,
2007.
CHANG. Ching-Liang; LIU, Ping-Hung; WEI, Chiu-Chi. Failure mode and effects analysis using grey
theory. Integrated Manufacturing Systems 12/3 [2001] 211- 216
COLEMAN, J. Assessing information security risk in healthcare organizations of different scal.Disponível on
line: www.ics-elsevier.com, 2005.
CSILLAG, João Mario. Análise do Valor. São Paulo: Atlas, 1995.
DEMING, W. E. Qualidade: A Revolução da Administração. Rio de Janeiro: Marques Saraiva, 1990.
FERREIRA, F. N. F.; ARAÚJO, M. T. Política de Segurança da Informação: Guia Prático para
Implementação e Elaboração. Rio de Janeiro: Editora Ciência Moderna Ltda., 2006.
KARABACAK, B.; SOGUKPINAR, I. ISRAM: information security risk analysis method. Computers &
Security, 147 e 159, 2005.
GERBER, M., SOLMS, R.V. Management of risk in the information age. Computers & Security, 16-30, 2005
HELMAN, Horacio; ANDERY, P. R. P. Análise de Falhas (Aplicação dos métodos de FMEA – FTA).
11
XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO
A Engenharia de Produção e o Desenvolvimento Sustentável: Integrando Tecnologia e Gestão
Salvador, BA, Brasil, 06 a 09 de outubro de 2009
Fundação Christiano Ottoni, Belo Horizonte, 1995.
LICHTENSTEIN, Sharman. Factors in the selection of a risk assessment method. Information Mamagement
& Security, 1996. Disponível em: <http://www.emeraldinsight.com.> Acesso em 10 de fev. 2008.
MADDOXX, M.E. Error apparent. Industrial Engineer, v.37, n.5, p. 40-44, 2005.
MARTINS, A. B.; SANTOS. C.A.S. Uma Metodologia para implantação de um Sistema de Gestão de
Segurança da Informação. Revista de Gestão e Tecnologia e Sistema de Informação. Vol. 2, No. 2, 2005, pp.
121-136.
MARTINS. J. C. C. Gestão de Segurança da Informação. Brasport, 2003.
MISRA, S. C.; KUMAR, V.; KUMAR, U. A strategic modeling technique for Information security risk
assessment. Computer Security Vol. 15 No.1, pp. 64-77, 2007.
NAKAMURA, Emilio T.; GEUS, P. L. D. Segurança de Redes em Ambientes Cooperativos. São Paulo:
Novatec Editora, 2007.
NBR ISO/IEC 17799:2005 – Tecnologia da Informação. Código de Prática para Gestão da Segurança da
Informação. Associação Brasileira de Normas Técnicas. Rio de Janeiro, 2005.
NBR ISO/IEC 27001:2006 – Tecnologia da Informação. Sistema de Gestão da Segurança da Informação.
Associação Brasileira de Normas Técnicas. Rio de Janeiro, 2006.
OLIVEIRA, M. A. F; CERETTA, R. N.; AMARAL, E. H.; ZEN, E.; NUNES; S.P. Uma Metodologia de
Gestão de Segurança da Informação direcionada a riscos baseado na abordagem Seis Sigma. XXVIII Encontro
Nacional de Engenharia de Produção ENEGEP, Rio de Janeiro, 2008.
PANDE, Peter S.; NEUMAN, Robert P.; CAVANAGH, Roland R. Estratégia Seis Sigma: como a GE, a
Motorola e outras grandes empresas estão aguçando seu desempenho. 1 ed. Rio de Janeiro: Qualitymark, 2001.
SCUDERE, L. Risco Digital. Rio de Janeiro: Elsivier, 2006.
SNEE, Ronald. 3.4 Per Million: Use DMAIC to Make Improvement Part of ‘The Way We Work’. Quality
Progress. Set.2007 Disponível em: <http://www.asq.org/qic/display-item/index.html?item=21249>. Acesso em
10 Abr. 2008.
STEINBERG, Richard M. et. al. Enterprise Risk Management Framework (DRAFT). Comittee of Sponsoring
Organizations of the Tradeway Commission (COSO). 2004.
VERMEULEN, Clive; SOLMS, R.V. The information security management tollbox – taking the pain out of
security management. Information Management & Computer Security.10/3, pp. 119-125, 2002.
WERKEMA, M. C. C. Criando a Cultura Seis Sigma. Nova Lima, MG: Werkema Ed., 2004.
12