BANCO CENTRAL DO BRASIL
2009/2010
ANÁLISE E GERENCIAMENTO
DE RISCOS
- Identificação e classificação de ativos;
- Vulnerabilidades;
- Ameaças;
- Probabilidades;
- Impactos; e
- Alternativas de mitigação.
Professor: Hêlbert
Em um mundo onde a competição, a
evolução e a mudança desempenham papel
importante para a inovação e o desenvolvimento
de organizações, a gestão de segurança da
informação é elemento fundamental para o
sucesso das instituições e empresas.
Dentre os diversos assuntos tratados pela
gestão de segurança da informação, um dos
principais elementos que direcionam as ações é o
gerenciamento de risco, iniciado com a
implementação de um processo de análise de
risco.
Cada vez mais as organizações, seus
sistemas de informação e redes de computadores
são colocados à prova por diversos tipos de
ameaças, incluindo vazamento de informações,
fraudes, roubos e invasões (físicas e lógicas).
Problemas causados por vírus e hackers são
freqüentes e se proliferam rapidamente.
A Análise de Riscos tem por objetivo:
- Mapear e tratar adequadamente as ameaças
e vulnerabilidades do ambiente;
- Identificar riscos;
- Quantificar o impacto das ameaças; e
- Conseguir um equilíbrio financeiro entre o
impacto do risco e custo da contramedida.
A identificação dos riscos e seu correto
entendimento irá direcionar os investimentos de
forma consciente, obtendo melhores resultados.
Nesse processo é necessário se quantificar o
impacto dos riscos existentes no ambiente sobre os
resultados da empresa ou instituição.
Com a análise de risco é possível verificar
qual o investimento necessário à infra-estrutura de
segurança de modo que os riscos inaceitáveis sejam
gerenciados.
Riscos
Probabilidade de ocorrência de um acidente
ou evento adverso;
Probabilidade de danos potenciais;
Fator, evento ou condição incerta, com efeito
positivo ou negativo sobre os objetivos da
instituição ou empresa;
O Risco é a relação existente entre a
probabilidade de que uma ameaça de evento
adverso ou acidente determinado se concretize e o
grau de vulnerabilidade do sistema receptor e seus
efeitos.
Risco é a probabilidade de um agente de
ameaça efetivar uma ameaça, via exploração de
uma vulnerabilidade de um ativo, causando
impactos que comprometem o cumprimento da
missão.
Risco Ambiental
Possibilidade de dano, enfermidade ou morte
resultante da exposição de seres humanos, animais
ou vegetais a agentes ou condições ambientais
potencialmente perigosas.
Ameaças
Ação ou evento que potencialmente pode
romper a segurança e causar danos.
Agentes ou condições dispostos a explorar
vulnerabilidades para geração de incidentes.
Ex.: funcionários insatisfeitos, enchentes,
temperatura, ex-funcionários, concorrentes.
É necessário identificar as falhas de
segurança e as ameaças ativas, reagindo de acordo
com o nível de gravidade do risco e as potenciais
perdas.
Identificação da Ameaça
Identificação do agente ou evento adverso,
efeitos favoráveis e desfavoráveis, população
vulnerável e condições de exposição.
Caracterização do Risco
Descrição dos diferentes efeitos potenciais
relacionados com a ameaça.
É a etapa final da avaliação de risco, ou seja,
descrição da natureza, incluindo a sua intensidade
para os seres humanos e o grau de incerteza
concomitante (probabilidade de ocorrência).
Descrição dos diferentes efeitos potenciais
(danos possíveis) e a quantificação da relação entre
a magnitude do evento e a intensidade do dano
esperado, mediante metodologia científica.
Enumeração dos dados esperados a saúde, ao
patrimônio, instalações, meio ambiente, etc.
Quantificação e definição da proporção, por
meio de estudos epidemiológicos e de modelos
matemáticos, entre a magnitude do evento e a
intensidade dos danos esperados (causa e efeito).
Definição da área e da população em risco.
Avaliação da Exposição
Estudo da evolução do
considerando-se a variável tempo.
fenômeno,
Definição dos níveis de alerta e alarme.
Estimativa de Risco
Conclusão sobre o grau de risco, obtida após
a comparação entre a caracterização do risco e a
avaliação da exposição.
Definição de Alternativas de Gestão
Processo de desenvolvimento e análise de
alternativas, com o objetivo de controlar e
minimizar os riscos e as vulnerabilidades.
Danos
Os desastres não produzem apenas efeitos
facilmente perceptíveis, pois têm conseqüências
que se desenvolvem lentamente e se manifestam
muito tempo depois de ocorrido o desastre.
Danos Indiretos
Referem-se basicamente aos bens e serviços
que deixam de ser produzidos ou prestados durante
um lapso de tempo que se inicia logo depois de
ocorrido o desastre e pode se prolongar durante a
fase de reabilitação e reconstrução.
Danos Diretos
São
aqueles
sofridos
pelos
imobilizados, destruídos ou danificados.
ativos
Trata-se, essencialmente, dos prejuízos que o
patrimônio sofreu durante o sinistro.
Os desastres podem provocar ainda alguns
efeitos indiretos difíceis de se quantificar.
São os efeitos “intangíveis”, como os
sofrimento humano, a insegurança, rejeição pela
forma com que a autoridade enfrentaram as
conseqüências do desastre.
Na análise de risco é realizado um
levantamento das ameaças e vulnerabilidades do
ambiente.
As
informações
resultantes
deste
levantamento são correlacionadas com os ativos da
empresa ou instituição, onde são analisados os
riscos possíveis a cada ativo e o valor financeiro
que este risco representa.
O resultado na análise de risco fornece
informações estratégicas que possibilitam a
definição de um limite entre os investimentos em
segurança e os riscos aceitáveis.
Vulnerabilidades
São falhas existentes em
ambientes, processos ou pessoas.
tecnologias,
Ex.: falta de treinamento de funcionários, bug
em software, falta de manutenção de hardware,
falta de extintores de incêndio, inexistência ou
inadequado controle de acesso a instituição, etc.
Análise de Vulnerabilidades
Tem por objetivo verificar a existência de
falhas de segurança no ambiente.
Esta análise é uma ferramenta importante para
a implementação de controles de segurança
eficientes sobre os ativos da instituição.
Na análise de vulnerabilidades é realizada
uma verificação detalhada do ambiente da
instituição, verificando se o ambiente atual fornece
condições de segurança compatíveis com a
importância estratégica dos serviços realizados.
A análise de vulnerabilidade sobre ativos da
informação compreende Tecnologias, Processos,
Pessoas e Ambientes.
Tecnologias:
Software e hardware usados em servidores,
estações de trabalho e outros equipamentos
pertinentes, como sistemas de telefonia, rádio e
gravadores.
Ex.: estações sem anti-vírus, servidores sem
detecção de intrusão, sistemas sem identificação ou
autenticação.
A vulnerabilidade na computação significa a
existência de brecha em um sistema computacional,
também conhecida como “bug”.
Processos
Análise do fluxo de informação, da geração
da informação e de seu consumo. Analisa também
como a informação é compartilhada entre os setores
da organização.
Pessoas
As pessoas são ativos da informação e
executam processos, logo, precisam ser analisadas.
Pessoas podem possuir grandes e importantes
vulnerabilidades.
Ex.: Desconhecer a importância da segurança,
desconhecer suas obrigações e responsabilidades,
deixando processos com “dois pais” e outros
“órfãos”.
Ambientes
É o espaço físico onde acontecem os
processos, onde as pessoas trabalham e onde estão
instalados os componentes de tecnologia.
Este item é responsável pela análise de áreas
físicas.
Ex.: Acesso não autorizado a servidores,
arquivos, agendas, cofres e fichários.
Impacto
Ainda nesse processo é necessário se
determinar qual o grau de prejuízo da empresa ou
instituição se determinado ativo tornar-se
indisponível, público ou não confiável (sem
integridade).
Benefícios da Análise e Gerenciamento de
Riscos
- Maior conhecimento do ambiente, seus
problemas e riscos;
Possibilidade
vulnerabilidades, com
geradas;
Informações
investimentos;
de
base
tratamento
das
nas informações
estratégicas
sobre
- Maior organização e aderência a padrões de
segurança;
- Maior confiabilidade do ambiente após a
análise;
- Informações para o desenvolvimento da
Política de Segurança da instituição.
- Melhoria na identificação de ameaças e
oportunidades;
- Valoração da incerteza e da variabilidade;
- Gerenciamento pró-ativo ao invés de
reativo;
- Alocação e uso mais efetivo de recursos;
- Melhoria no gerenciamento de incidentes e
redução nas perdas e no custo do risco;
- Melhoria na confiança do stakeholder e no
relacionamento;
- Menos surpresas;
- Exploração de oportunidades;
- Melhoria no planejamento
desempenho da instituição;
- Economia e eficiência;
- Melhoria na reputação;
- Proteção da alta administração;
- Melhoria pessoal.
e
no
Produtos Finais:
- Reunião de conclusão da análise;
- Relatório de Análise de Risco;
- Plano de Ação para curto e médio prazo.
Diagnóstico
Para que isso ocorra é necessário
diagnosticar a situação da segurança na
organização e recomendar ações e contramedidas
para cada vulnerabilidade mapeada.
O Diagnóstico consiste em um processo de
identificação dos riscos de segurança a que a
organização está exposta.
Ele será realizado através de uma avaliação
sistemática que visa o mapeamento das ameaças e
vulnerabilidades.
O Risco deve ser visto e entendido para que
as oportunidades sejam maximizadas e as
potenciais perdas sejam minimizadas.
O Risco representa a capacidade de
enxergar o futuro e suas conseqüências, podendo
ele ser tanto positivo quanto negativo.
De fato, existe o risco de se perder algo,
mas também existe o risco de se ganhar algo.
Os gerenciamento de risco deve ser
modelado, discutido e seguido pelos projetos e
pelas organizações como um instrumento de
tomada de decisões.
A Análise de Riscos é, portanto, fundamental
para maximizar oportunidades e minimizar
potenciais perdas, e deve ser aplicada em todos os
contextos.
“Você deseja uma válvula que não vaze e faz
todo o possível para desenvolvê-la. Mas no mundo
real só existem válvulas que vazam. Você tem de
determinar o grau de vazamento que pode tolerar.”
Foi com esta frase que o The New York Times
apresentou, em 3 de janeiro de 1996, o obituário de
Arthur Rudolph, o cientista responsável pelo
desenvolvimento do foguete Saturno 5, que lançou
a primeira missão Apolo à Lua.
A frase representa, de forma peculiar, a
inquietação dos cientistas quanto ao uso seguro da
tecnologia.
Num mundo de equipamentos complexos,
onde panes podem ter conseqüências desastrosas, é
necessário se estar sempre alerta para possíveis
erros e falhas.
Este fato tem ganhado cada vez mais
importância, uma vez que o uso de diferentes
tecnologias de uma forma interligada aumenta a
complexidade dos sistemas, que ainda sofrem
influência dos processos das organizações.
A Segurança da Informação se insere
fortemente
ao
ambiente
de
negócios,
principalmente porque a Análise de Riscos é uma
premissas cada vez mais adotada pelas
organizações.
A Análise de Riscos tem como um dos
pilares a segurança da informação, existindo uma
inter-relação entre a gestão da segurança da
informação e o gerenciamento de risco.
Uma das visões do risco é que ele está
relacionado com a capacidade de se enxergar o
futuro, de modo a se tomar as ações mais indicadas
e necessárias para minimizar possíveis danos e
também para maximizar as oportunidades.
Gestão de Segurança da Informação e
Gerenciamento de Risco
A gestão de segurança da informação
influencia cada vez mais os processos das
organizações.
Uma boa gestão de segurança começa com
uma análise de risco, que identifica e analisa os
principais riscos capazes de afetar a organização.
Com base nas informações de contexto
obtidas pela análise de risco, as ações mais
indicadas são definidas.
A Análise de Risco é parte do Gerenciamento
de Risco, que é uma abordagem importante para
que as organizações minimizem os riscos negativos
e maximizem as oportunidades.
É crescente o interesse das organizações
brasileiras por saber qual seu grau de exposição
frente às ameaças capazes de comprometer a
estabilidade da suas operações.
São ameaças como: concorrentes, hackers,
funcionários insatisfeitos, que somadas ao grande
número de vulnerabilidades nos sistemas
tecnológicos, materializam o nível de risco de uma
organização.
Arriscar faz parte da estratégia, conhecer e
gerenciar os riscos é administrar o futuro.
Garantir que as suas estratégias alcançarão o
nível desejado significa identificar e entender os
riscos, para então administrá-los.
Estar vivo, por exemplo, significa “arriscarse diariamente”. Atravessar a rua, ir ao jogo de
futebol ou dirigir são exemplos de situações que
envolvem fatores de risco.
Porém, como já estamos acostumados a
enfrentá-los, formamos um instinto natural para o
cálculo de energia utilizada para minimizar e
controlar os riscos.
Podemos utilizar a mesma analogia para o
mundo corporativo onde o “estilo de vida” é a
operação da empresa ou instituição, a exposição é o
alcance da sua operação, e a energia investida para
minimizar os riscos é o investimento despendido
para conhecer e controlar a situação.
Como analisar riscos sem estudar
minuciosamente os processos de negócio que
sustentam sua organização?
Como classificar o risco destes processos sem
antes avaliar as vulnerabilidades dos componentes
de tecnologia relacionados a cada processo?
Quais são os seus processos críticos? Aqueles
que sustentam a área comercial, a área financeira
ou a produção?
Você saberia avaliar qual a importância do
seu servidor de web?
Para cada pergunta, uma mesma resposta:
“CONHECER PARA PROTEGER”.
A Análise de Risco se divide em cinco
partes de igual importância:
Isoladas, estas partes representam muito
pouco ou quase nada.
Alinhados e geridos de forma adequada, estes
componentes da análise de risco podem apontar
caminhos seguros na busca do nível adequado de
segurança de uma organização.
Os cinco pontos são:
• Identificação e Classificação dos Processos
de Negócio;
• Identificação e Classificação dos Ativos
(tecnológicos, humanos e processuais);
• Análise de Ameaças e Danos;
• Análise de Vulnerabilidades;
• Análise de Risco.
Padrões e Normas
O objetivo das normas é fornecer
recomendações para gestão da segurança da
informação para uso por aqueles que são
responsáveis pela introdução, implementação ou
manutenção da segurança em suas empresas.
Elas também se destinam a fornecer uma base
comum para o desenvolvimento de normas e de
práticas
efetivas
voltadas
à
segurança
organizacional e também, a estabelecer a confiança
nos relacionamentos entre as organizações.
Utiliza-se como métrica as melhores práticas
de segurança da informação do mercado, apontadas
na norma ISO/IEC 17799.
A partir destas informações faz-se possível a
elaboração do perfil de risco, que segue a fórmula:
(Ameaça) x (Vulnerabilidade) x (Valor do
Ativo) = RISCO.
Atenção: a ISO/IEC 17799 não ensina a
analisar o risco, serve apenas como referência
normativa.
Por que fazer uma análise de risco?
Durante o planejamento do futuro da empresa
ou instituição, os gestores da organização devem
garantir que todos os cuidados foram tomados para
que seus planos se concretizem.
A formalização de uma Análise de Risco
provê um documento indicador de que este cuidado
foi observado.
O resultado da Análise de Risco dá à
organização o controle sobre seu próprio destino.
Através do relatório final, pode-se identificar
quais controles devem ser implementados em curto,
médio e longo prazo.
Assim, os ativos serão protegidos com
investimentos adequados ao seu valor e ao seu
risco.
Quando fazer uma análise de riscos?
Uma análise de riscos deve ser realizada —
sempre — antecedendo um investimento.
Quem deve participar da análise de riscos?
O processo de análise de riscos deve envolver
especialistas em análise de riscos e especialistas no
negócio da empresa.
Quanto tempo o projeto deve levar?
A execução do projeto deve ser realizada em
tempo mínimo. Em ambientes dinâmicos a
tecnologia muda muito rapidamente.
Um projeto com mais de um mês, em
determinados ambientes pode ao final já estar
desatualizado e não corresponder ao estado atual da
organização.
O conceito de análise de risco está
intimamente relacionado à figura da Inteligência
Competitiva, uma vez que agrega “solidez” à
informação corporativa.
Controlando as ameaças, poderemos chegar
ao conceito de “administração de cenários”.
A Figura 1 apresenta o modelo de
gerenciamento de risco adotado pela AS/NZS
4360:2004. O modelo apresenta os elementos do
gerenciamento de risco:
• Estabelecimento de contexto;
• Identificação de risco;
• Análise de risco;
• Avaliação de risco;
• Tratamento de risco;
• Monitoramento e revisão;
• Comunicação e consulta.
Figura 1: Modelo AS/NZS 4360:2004.
De acordo com a Figura 1, após a análise de
risco são necessárias atividades de avaliação de
risco, de tratamento de risco, de monitoramento e
revisão e de comunicação e consulta.
A análise de risco é feita após o
estabelecimento de contexto e a identificação de
risco.
Um
dos
grandes
benefícios
da
implementação de um processo de análise de risco
é a identificação de pontos que representam ameaça
ao cumprimento da missão estratégica da
organização.
Esses pontos significam riscos que podem
comprometer o bom desenvolvimento da
organização, sendo, portanto, necessário o
tratamento adequado após a sua avaliação, que
decide pela mitigação (intervenção com o intuito de
reduzir ou remediar um determinado impacto),
eliminação, transferência ou aceitação do risco.
Assim, o órgão pode atuar de forma mais
eficaz, criando as melhores condições para que a
missão seja cumprida, com diminuição da
probabilidade de impactos sociais, políticos ou
econômicos.
A ausência de um processo bem estruturado
de segurança da informação implica em potenciais
perdas para a organização, em termos que vão
desde a situação financeira até a produtividade,
passando
pela
oportunidade,
qualidade,
credibilidade e imagem.
Natureza do Risco
É importante ressaltar que o risco pode ser
interpretado de diferentes formas.
As pessoas vivem em risco constante, e a
cada momento avaliam as possibilidades de futuro
para tomar cada ação, mesmo que ela seja do
cotidiano.
O simples fato de atravessar uma rua, por
exemplo, representa o entendimento das
conseqüências para a decisão pelo melhor momento
de atravessá-la.
Investimentos em bolsas de valores também
representam bem o risco, podendo o investidor
obter ganhos e também sair com prejuízos.
Desta forma, todos gerenciam o risco
continuamente:
• Algumas vezes conscientemente;
• Algumas vezes sem que saibamos.
O termo “risco” vem do italiano “risicare”,
que por sua vez é derivado do baixolatim “risicu,
riscu”, que significa arriscar.
O termo indica que o risco significa ousadia,
já que permite uma opção, e não relegar os
acontecimentos para o destino.
Significa também a colocação do futuro a
serviço do presente. Significa desafio e
oportunidade, sendo também ponto-chave da
natureza da tomada de decisões.
O risco, assim, é a chance de algum evento
acontecer, resultando em impactos nos objetivos.
De acordo com a ISO/IEC Guide 73:2002, o
risco é a combinação da probabilidade de um
evento acontecer e a sua conseqüência.
As conseqüências e o impacto podem ser
tanto negativos quanto positivos.
Desta forma, o risco deve ser:
• Compreendido
• Medido
• Avaliado (conseqüências)
As ações tomadas com base na compreensão,
na medição e na avaliação do risco fazem com que
as chances de sucesso aumentem, já que danos são
minimizados e oportunidades são maximizadas.
No entendimento do risco deve se considerar
suas diferentes naturezas. Apesar de haver um
inter-relacionamento entre os diferentes tipos de
risco, eles são normalmente abordados de uma
forma particular para cada área de conhecimento
(Figura 2 ).
A Figura 2 apresenta as diferentes naturezas
do risco:
O gerenciamento de risco deve tratar de uma
forma cada vez mais integrada as diferentes visões
do risco.
Para tanto, o grande desafio está na
sistematização de um gerenciamento de risco,
capaz de realizar essa integração através de uma
comunicação eficaz no qual todos os envolvidos
entendam e estejam comprometidos com os
objetivos do gerenciamento de risco.
Gerenciamento do Risco
O gerenciamento de risco segue um modelo
clássico que é baseado em normas como a AS/NZS
4360:2004.
O grande desafio é a sistematização da forma
como o gerenciamento deve ser realizado, o que
envolve o uso de diferentes metodologias para cada
elemento do gerenciamento de risco.
É interessante notar que o design e
implementação de um sistema de gerenciamento de
risco são influenciados por aspectos que incluem:
• Variedade de necessidades da organização;
• Objetivos particulares;
• Produtos e serviços;
• Processos e práticas específicas.
Assim, a forma como o risco deve ser tratado
é definido levando-se em consideração os aspectos
do projeto e o modelo de gerenciamento de risco
como o da Figura 3.
Figura 3: Modelo de Gestão de Segurança da Informação para APF.
Ciclo PDCA
O Ciclo PDCA nasceu no escopo da
tecnologia TQC (Total Quality Control) como uma
ferramenta que melhor representava o ciclo de
gerenciamento de uma atividade.
O conceito do Ciclo evoluiu ao longo dos
anos vinculando-se também com a idéia de que,
uma organização qualquer, encarregada de atingir
um determinado objetivo, necessita planejar e
controlar as atividades a ela relacionadas.
O Ciclo PDCA compõe o conjunto de ações
em seqüência dada pela ordem estabelecida pelas
letras que compõem a sigla:
P (plan: planejar);
D (do: fazer, executar);
C (check: verificar, controlar); e
A (act: agir, atuar corretivamente).
Como pode ser visto na Figura 4, vários
processos
definidos
no
PMBOK
tratam
especificamente do risco:
• Planejamento do gerenciamento de risco;
• Identificação de risco;
• Análise de risco qualitativa;
• Análise de risco quantitativa;
• Planejamento de resposta ao risco;
• Monitoramento e controle de risco.
Figura 7: Risco no PMBOK.
Figura 4: Risco
no PMBOK.
O
processo
de
planejamento
do
gerenciamento de risco do PMBOK, por exemplo, é
definido da seguinte forma:
• Inputs;
• Fatores organizacionais;
• Atitude e tolerância com relação ao risco;
• Processos organizacionais;
• Categorias de risco;
• Definição de conceitos e termos;
• Papéis e responsabilidades;
• Níveis de autoridade para tomada de
decisão;
• Escopo do projeto;
• Plano de gerenciamento do projeto;
• Ferramentas e técnicas;
• Reuniões e análises;
• Output;
• Plano de gerenciamento de risco.
A estrutura do plano do gerenciamento de
risco segue o seguinte formato:
• Metodologia;
• Papéis e responsabilidades;
• Investimento;
• Cronograma;
• Categorias de risco (RBS);
• Definição da probabilidade e impacto do
risco;
• Matriz de probabilidade e impacto;
• Tolerância dos stakeholders;
• Formato dos relatórios;
• Auditoria.
O RBS pode ser visto na Figura 5, e divide
os riscos identificados como sendo de natureza
técnica, externa, organizacional e do próprio
gerenciamento de projeto.
No exemplo do processo de planejamento de
resposta ao risco do PMBOK, ele possui a seguinte
estrutura:
• Inputs;
• Plano de gerenciamento de risco;
• Registro de risco;
• Ferramentas e técnicas;
• Estratégias para riscos negativas ou
ameaças;
• Evitar, transferir, mitigar;
• Estratégias para riscos positivos ou
oportunidades;
• Explorar, compartilhar, maximizar;
• Estratégia para ameaça e oportunidade;
• Estratégia de contingência;
• Outputs;
• Registro de risco atualizado;
• Plano de gerenciamento de risco atualizado;
• Contrato de acordo sobre os riscos.
Figura 5: Risk Breakdown Structure (RBS) do PMBOK.
Um ponto importante a ser considerado é
quanto aos riscos relacionados à segurança da
informação.
Uma das metodologias de análise de risco que
foca na segurança da informação é a OCTAVE,
desenvolvida pela Universidade de Carnegie
Mellon.
As fases da OCTAVE podem ser vistas na
Figura 6.
Figura 6: OCTAVE e suas fases.
Os elementos do risco tratados, quando
aspectos de segurança da informação são
considerados, podem ser visto na Figura 7, que
teve como foco órgãos e instituições da
Administração Pública Federal.
É possível verificar que, partindo do conceito
definido no ISO Guide 73, de que risco é a
combinação da probabilidade de um evento e de
suas conseqüências, o conceito mais detalhado
seria:
Risco é a probabilidade de um agente de
ameaça efetivar uma ameaça, via exploração de
uma vulnerabilidade de um ativo, causando
impactos que comprometem o cumprimento da
missão.
Os elementos da Figura 7 foram utilizados na
metodologia Risco@Gov, voltada para a
Administração Pública Federal.
A metodologia Risco@Gov conta com 5
fases:
• Fase 1 – Contextualização;
• Fase 2 – Levantamento de informações;
• Fase 3 – Análises;
• Fase 4 – Recomendações;
• Fase 5 – Apresentação dos resultados.
Figura 7: Relacionamentos entre elementos do risco.
O início da metodologia prepara todo o
processo de análise de risco a ser conduzido, de
acordo com o contexto existente.
O levantamento de informações é realizado
usando diferentes técnicas e, após a análise de
risco,
que
envolve
ainda
análises
de
vulnerabilidades e testes de penetração, as
recomendações são geradas, documentadas e
apresentadas.
Os processos definidos na metodologia de
análise de risco Risco@Gov geram resultados
como o da Figura 8, que apresenta o nível de risco
existente em um ativo, que pode comprometer o
cumprimento da missão da organização.
O exemplo mostra uma base de informações
consolidadas e que analisa os componentes do risco
relacionados com a organização.
Figura 8: Um dos resultados do Risco@Gov.
As informações contidas nesse relatório são:
os agentes de ameaça, as ameaças, vulnerabilidades
e os controles utilizados por cada ativo crítico, com
a determinação do nível de risco, que leva em
consideração a probabilidade e o impacto
relacionados.
Nessa etapa é estimado o impacto que um
determinado risco pode causar ao negócio.
Como é praticamente impossível oferecer
proteção total contra todas as ameaças existentes, é
preciso identificar os ativos e as vulnerabilidades
mais críticas, possibilitando a priorização dos
esforços e os gastos com segurança.
Uma vez que os riscos tenham sido
identificados e a organização definiu quais serão
tratados, as medidas de segurança devem ser de
fato implementadas.
O Gerenciamento de Riscos é um processo
contínuo, que não termina com a implementação de
uma medida de segurança.
Através de um monitoramento constante, é
possível identificar quais áreas foram bem
sucedidas e quais precisam de revisões e ajustes.
Nessa etapa ainda podem ser definidas
medidas adicionais de segurança, como os Planos
de Continuidade dos Negócios – que visam manter
em funcionamento os serviços de missão-crítica,
essenciais ao negócio da empresa, em situações
emergenciais – e Response Teams – que
possibilitam a detecção e avaliação dos riscos em
tempo real, permitindo que as providências cabíveis
sejam tomadas rapidamente.
O processo do gerenciamento das áreas de
risco de segurança da informação, normalmente
desenvolve-se em nove etapas:
- Análise e atribuição de valores de ativos.
- Identificação de riscos de segurança.
- Análise e priorização dos riscos.
- Controle, planejamento e agendamento.
- Desenvolvimento de correções.
- Teste de correções.
- Registro de conhecimento.
- Reavaliação de ativos e riscos.
Estabilização
e
Implantação
de
contramedidas novas e alteradas.
Deve-se buscar implantar a gestão pró-ativa
dos riscos, que envolve um conjunto de etapas
predefinidas que devem ser seguidas para impedir
ataques antes que eles ocorram.
Essas etapas incluem verificar como um
ataque poderia afetar ou danificar o sistema de
computador e quais as suas vulnerabilidades.
O conhecimento obtido nessas avaliações
pode ajudar a implementar diretivas de segurança
que vão controlar ou minimizar os ataques.
Quatro são as etapas da estratégia pró-ativa:
- Determinar os danos que o ataque causará;
- Vulnerabilidades e os pontos fracos que
poderão ser explorados;
- Minimizar as vulnerabilidades e os pontos
fracos; e
- Determinar o nível apropriado
contramedidas a serem implementadas.
de
Como pode ser notado, este passo está
totalmente associado ao passo anterior e, portanto,
deve-se ter sempre em mente a necessidade de
equilibrar o custo da perda de dados e o custo da
implementação dos controles de segurança.
Identificação dos ativos a serem protegidos
(Inventário de Ativos)
Dados - Quanto à confidencialidade,
integridade e disponibilidade;
Recursos - Quanto à
indisponibilidade, outros; e
má
utilização,
Reputação - Imagem, credibilidade, outros.
Nessa fase é necessário se determinar quais
são as informações relevantes ao funcionamento da
organização, definir responsáveis para estas
informações e classificar o grau necessário de
segurança
destas
informações
para
a
organização.
Dessa forma investiga-se através de
entrevistas,
análises
de
tecnologia
e
checklists os ativos mais relevantes para a
organização. Os ativos listados podem ser
informações propriamente ditas, além de hardware,
softwares, pessoas ou intangíveis que dão suporte
às informações.
A correta definição do inventário de ativos é
importante, pois esta serve de base para o
desenvolvimento dos controles de segurança, ou
seja, os controles são implementados sobre os
ativos.
Benefícios:
-Maior conhecimento as informações da
organização;
-Definição de responsabilidades;
-Clareza para os colaboradores sobre as suas
responsabilidades;
- Conhecimento sobre a segurança necessária
para cada informação da organização.
Classificação de Ativos
Em contabilidade o ativo são os bens e
direitos que a empresa tem num determinado
momento, resultante de suas transações ou eventos
passados da qual futuros benefícios econômicos
podem ser obtidos. Exemplos de ativos incluem
caixa, estoques, equipamentos e prédios.
Para fins de organização em um Ativo do
Balanço Patrimonial, os bens podem ser
classificados da seguinte forma:
Bens tangíveis
São os bens que tem um corpo físico, tais
como terrenos, obras civis, máquinas e utensílios,
móveis, veículos, benfeitorias em propriedades
arrendadas, direitos sobre recursos naturais etc.
Bens intangíveis
Os ativos intangíveis não possuem
característica física e são de difícil avaliação.
São bens não-físicos. Dentro deste grupo
estão as patentes, franquias, direitos autorais,
marcas, etc.
No Ativo do Balanço Patrimonial as contas
devem estar dispostas em ordem decrescente de
grau de liquidez dos elementos nela registrados,
conforme grupos a seguir:
Ativo Circulante
Em contabilidade, é uma referência aos bens e
direitos que podem ser convertidos em dinheiro em
curto prazo. Os ativos que podem ser considerados
como circulantes incluem: dinheiro em caixa, conta
movimento em banco, aplicações financeiras,
contas a receber, estoques, despesas antecipadas,
numerário
em
caixa,
depósito
bancário,
mercadorias, matérias-primas e títulos.
Dinheiro em caixa ou em bancos, bens,
direitos e valores a receber no prazo máximo
realizável até o término do exercício seguinte,
(duplicatas, estoques de mercadorias produzidas,
etc.).
Ativo Não Circulante
Os recursos aplicados no Ativo Fixo ou
Imobilizado, são todas as aplicações de recursos
feitas pela empresa de forma permanente (fixa) que
a empresa utiliza para a realização de suas
atividades, e podem ser classificados em bens
tangíveis ou intangíveis.
Tipo de ativo que a empresa ou a pessoa não
tem intenção de vender em curto prazo e que não
apresenta grande liquidez ou facilidade em ser
convertido imediatamente em dinheiro, diante de
uma necessidade financeira.
O ativo fixo de uma empresa é o conjunto de
tudo o que é essencial para o funcionamento desta
empresa - como imóveis, patentes, ferramentas,
máquinas etc. Também conhecido por ativo
permanente.
Considerações Finais
O gerenciamento de risco é um elemento
chave para o sucesso das organizações, de
tecnologias ou de projetos.
Os benefícios do gerenciamento de risco são
grandes e resultam em ganhos e na melhor
utilização de recursos.
O gerenciamento de risco faz parte da vida
das pessoas e também das empresas.
Um processo formal de gerenciamento de
risco é um elemento importante para as tomadas de
decisão, que são cada vez mais críticas devido à
rápida evolução tecnológica, à concorrência, aos
recursos existentes e à necessidade de retorno
financeiro e de imagem.
Recomenda-se que os projetos adotem uma
abordagem de gerenciamento de risco para as
decisões técnicas, operacionais e estratégicas, a fim
de possibilitar que o sucesso do projeto chegue até
o seu principal destino, que é a sociedade brasileira.