Convénio ABNT - Sistema Confea/Crea/Mutua NORMA ABNT NBR BRASILEIRA ISO/IEC 27005 Primeira edigéo 07.07.2008 Valida a partir de 07.08.2008 Tecnologia da informagao — Técnicas de segurancga — Gestao de riscos de seguranga da informagao Information technology — Security techniques — Information security risk management MARCOLINO - 631.898, 959-53 RNP:2305421796 (Pedido 196469 Impresso: 30/09/2009) Palavras-chave: Tecnologia da informagao. Técnicas de seguranca. Gestao de Descriptors: Information technology. Securty techniques. Risk management. Ics 35.040 ISBN 978-85-07-00811-8 para uso exclusive - CLAUDIO CEZAR CAVALCANT: fecatant Numero de referéncia TECNICAS 55 paginas © ISO/IEC 2008 - © ABNT 2008Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR GAVALCANTE MARCOLINO - 631.898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 © ISOMEC 2008 Todos 08 direitos reservados. A menos que especticado de outro modo, nenhuma parte desta publicagao pode ser reproduzida ou utlizada por qualquer meio, eletrdnico ou mecdnico, incluindo fotocépia e microflme, sem permisso por escrito pela ABNT. nico representante da IEC no teritério brasileiro. © ABNT 2008 Todos 08 direitos reservados. A menos que especiicado de outro modo, nenhuma parte desta publicagdo pode ser reproduzida 04 utlizada por qualquer meio, eletrnico ou mecdnico, incluindo fotocépia @ microfme, sem permissBo por escrito pela ABNT. ABNT ‘Ay-Treze de Malo, 13 - 28° andar 20031-801 - Rio de Janeiro RJ Tol: + 55.21 3974-2300 Fax: +55 21 2220-1762 abnt@abnt.org be ‘wwe abntorg. br Inmpresso no Brasil ii {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua MARCOLINO - 631.898, 959-53 RNP-2305421796 (Pedido 196469 Impresso: 30/09/2009) ara uso exclusive - CLAUDIO CEZAR CAVALCANT: ABNT NBR ISO/IEC 27005:2008 Sumario Pagina Prefacio Nacional. Introdugao vi Escopo.... 1 2 Referéncias normativas... 3 Termos e definigées. 4 Organizagao da Norma. 5 6 7 Contextualizagio Visao geral do processo de gest de riscos de seguranga da informac: Definicao do contexto 74 Consideragdes gerais 72 — Critérios basicos..... 7.3 Escopoe limites 7.4 — Organizagao para gestao de riscos de seguranca da informagao. 8 —_Anélise/avaliagao de riscos de seguranca da informagao. 2:1 _Descrigto geral do processo de andisaavaliaglo de riacos ce seguranga da Informagto... 8.2 Anélise de riscos 8.2.4 Identificagao de riscos. 8.2.2 Estimativa de riscos... 8.3 Avaliacdo de riscos 9 Tratamento do risco de seguranca da informacao. 9.1. Descrigao geral do processo de tratamento do risco 8.2 Reducdo do risco. 9.3 Retengao do risc 9.4 Agdo de evitar o risco 9.5 Transferéncia do risco. 10 Aceitagao do risco de seguranca da informagao. 11 Comunicagao do risco de seguranga da informacao. 12 Monitoramento e analise critica de riscos de seguranca da informagao. 12.1 Monitoramento e andlise critica dos fatores de risco 122 —Monitoramento, andlise critica e melhoria do processo de gestao de riscos Anexo A (informative) Definindo 0 escope e os limites do proceso de gestao de riscos de seguranca da informagio .. AA Aanélise da organizagao. A2 — Restrigdes que afetam a organizacao 3 Legislagdes © regulamentagées aplicavels 4 organizagao. 28 Ad Restrigdes que afetam 0 escopo Anexo B (informative) Identificagao e valoracao dos ativos e avaliagdo do impacto 30 B.1__ Exemplos de identificagao de ativos. B.1.1 Identificagao dos ativos primarios B.1.2 Lista e descricao de ativos de suporte e infra-estrutura, B2 _Valoragdo dos Ativos B.3 Avaliagao do Impacto.. Anexo C (informative) Exemplos de ameacas comuns. 39 Anexo D (informative) Vulnerabilidades e métodos de avaliagao de vulneral D1 Exemplos de vulnerabilidades... 1801 IEC 2008 - © ABNT 2008 - Todos os dreios reservadosConvénio ABNT - Sistema Confea/Crea/Mutua MARCOLINO - 631.898, 959-53 RNP-2305421796 (Pedido 196469 Impresso: 30/09/2009) ara uso exclusive - CLAUDIO CEZAR CAVALCANT: ABNT NBR ISO/IEC 27005:2008 D.2 _ Métodos para a avaliagao de vulnerabilidades técnicas.. 45 Anexo E (informative) Diferentes abordagens para andlise/avaliacdo de riscos de seguranga da informagao E11 Anilise/avaliagao de riscos de seguranca da informagao - Enfoque de alto nivel 47 E2 — Analise/avaliacao detalhada de riscos de seguranga da informagao. E21 Exemplo 1 Matriz com valores pré-definidos .. E22 Exemplo 2 Ordenacao de Am E23 Exemplo 3 Avaliando a probabilidade e as possivels consequléncias dos riscos... Anexo F (informativa) Restrigdes que afetam a redugéo do risco, Bibliografia iv {8 ISOVIEC 2008 - © ABNT 2008 - Todos os cts reservadosConvénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Prefacio Nacional A Associagao Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalizagdo. As Normas Brasieiras, Cujo contetido & de responsabilidade dos Comités Brasileiros (ABNTICB), dos Organismos de Normalizacao Setorial (ABNT/ONS) e das Comissées de Estudo Especiais (ABNTICEE), séo elaboradas por Comissées de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores @ neutros (universidade, laboratério e outros). (Os Documentos Técnicos ABNT sao elaborados conforme as regras das Diretivas ABNT, Parte 2. ‘A Associagao Brasileira de Normas Técnicas (ABNT) chama atengao para a possibiidade de que alguns dos, elementos deste documento podem ser objeto de direito de patente. A ABNT ndo deve ser considerada responsavel pela identificacao de quaisquer direitos de patentes. A ABNT NBR ISO/IEC 27005 foi elaborada no Comité Brasileiro de Computadores e Processamento de Dados (ABNTICB.21), pela Comissao de Estudo de Tecnologia da Informagao (CE-21:027). O Projeto circulou em Consulta Nacional conforme Edital n° 03, de 13.03.2008 a 11.04.2008, com o ntimero de Projeto 21:027.00-017. Esta Norma 6 uma adogdo idéntica, em conteddo técnico, estrutura © redagdo, @ ISOVIEC 27005:2008, que foi elaborada pelo Technical Committee Information technology (ISO/IEC JTC 1), conforme ISO/IEC Guide 21-1:2005. (© Escopo desta Norma Brasileira em inglés 6 0 seguinte: Scope This International Standard provides guidelines for information securty risk management. This Intemational Standard supports the general concepts specified in ISO/IEC 27001 and is designed to assist the satisfactory implementation of information security based on a risk management approach. ‘Knowledge of the concepts, models, processes and terminologies described in ISO/IEC 27001 and ISO/IEC 27002 is important for a complete understanding of this International Standard, This Intemational Standard is applicable to all types of organizations (e.g. commercial enterprises, government agencies, non-profit organizations) which intend to manage risks that could compromise the organization's information security. © ISOIEC 2008 - © ABNT 2008 - Todos 0 dretos reservados vConvénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Introdugao Esta Norma fornece diretrizes para 0 processo de Gestio de Riscos de Seguranga da Informagao de uma ‘organizagdo, atendendo particularmente aos requisites de um SGSI de acordo com a ABNT NBR ISOIEC 27001 Entretanto, esta Norma no inclui uma metodologia especifica para a gestio de riscos de seguranca da informagao. Cabe @ organizagao definir sua abordagem ao proceso de gestao de riscos, levando em conta, por exempio, o escopo do seu SGSI, 0 contexto da gestao de riscos e o seu setor de atividade econdmica. Ha varias metodologias que podem’ ser utiizadas de acordo com a estrutura descrita nesta Norma para implementar os requisitos de um SGSI Esta Norma 6 do interesse de gestores e pessoal envolvidos com a gestio de riscos de seguranga da informagao ‘em uma organizagao e, quando aplicavel, em entidades externas que dao suporte a essas alividades. vi {© ISONEC 2008 - © ABNT 2008 - Todos os arts reservadosConvénio ABNT - Sistema Confea/Crea/Mutua MARCOLINO - 631.898, 959-53 RNP-2305421796 (Pedido 196469 Impresso: 30/09/2009) ara uso exclusive - CLAUDIO CEZAR CAVALCANT: NORMA BRASILEIRA ABNT NBR ISO/IEC 27005:2008 Tecnologia da informagao — Técnicas de seguranga — Gestao de riscos de seguranga da informagao 1 Escopo Esta Norma fornece direrizes para o processo de gestao de riscos de seguranga da informagao. Esta Norma esta de acordo com os conceitos especificados na ABNT NBR ISO/IEC 27001 e foi elaborada para faciltar uma implementagdo satisfatéria da sequranca da informagao tendo como base a gesto de riscos, © conhecimento dos conceitos, modelos, processos @ terminologias descritos na ABNT NBR ISO/IEC 27001 ena ABNT NBR ISO/IEC 27002’¢ importante para um entendimento completo desta Norma. Esta Norma se aplica a todos 08 tipos de organizagao (por exemplo: empreendimentos comerciais, agéncias {governamentais, organizagSes som fins lucrativos), que pretendam gerir 0s riscos que poderiam comprometer 2 seguranca da informagso da organizagéo. 2. Referéncias normativas (Os documentos citados a seguir so indispenséveis para a correta aplicagao desta Norma. Para as referéncias com datas, apenas a edigio citada é valida. Para as referéncias sem data especifica, vale apenas a versio oficial ‘mais recente do referido documento (incluindo possiveis correcGes). ABNT NBR ISO/IEC 27001:2006, Tecnologia da Informacao ~ Técnicas de seguranga ~ Sistemas de gestéo de sseguranca da informagao ~ Requisitos. ‘ABNT NBR ISO/IEC 27002:2005, Tecnologia da Informacao ~ Técnicas de seguranca ~ Cédigo de pratica para a gestao da seguranga da informagao 3 Termos e definigdes Para_os efeitos deste documento, aplicam-se os termos @ definicées das ABNT NBR ISO/IEC 27001 e ABNT ISO/IEC 27002, e os seguintes, 34 impacto ‘mudanga adversa no nivel obtido dos abjetivas de negécios 32 riscos de seguranga da informacao a possibilidade de uma determinada ameaca explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organizacao NOTA E medida em fungio da combinacdo da prabablidads de um evento e de sua consequéncia 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados 1Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 33 agao de evitar 0 risco dacisdo de nao se envolver ou agir de forma a se retirar de uma situagao de risco (ABNT ISO/IEC GUIA 73:2005] 34 ‘comunicagao do risco troca ou compartihhamento de informagao sobre isco entre o tomador de decisao e outras partes interessadas [ABNT ISO/IEC GUIA 73:2005} 36 estimativa de riscos processo utlizado para alribuir valores & probabilidade © conseqiéncias de um risco [ABNT ISO/IEC GUIA 73:2005] NOTA1 — No contexto desta Norma, o termo “atvidade’ 6 usado na lugar do termo “processo" para a estimativa de rscos, NOTA 2 No contexta desta Norma, o temo probabilidade ¢ usado para a estimatva de rscos, 36 identificagao de riscos processo para localizar, lstar e caracterizar elementos do risco IABNT ISO/IEC GUIA 73:2005] NOTA No contexto desta Norma o termo, “atvidade & usado no lugar do termo “processo" para aidentifcago de rscos, ar redugao do risco agbes tomadas para reduzir a probabilidade, as conseqiiéncias negativas, ou ambas, associadas a um tisco [ABNT ISO/IEC GUIA 73:2005] NOTA No contexto desta Norma, 0 torma probabilidade 6 usado para a estimativa de rscos, 3.8 retongao do risco aceitagao do Snus da perda ou do beneficio do ganho associado a um determinado risco [ABNT ISO/IEC GUIA 73:2005] NOTA No contexto dos rscos de seguranga da Informagso, somente conseqléncias negativas (perdas) sdo consideradas para a retengao do risco. 39 transferéncia do risco ‘compartihamento com uma outra entidade do Gnus da perda ou do beneficio do ganho associado a um risco [ABNT ISO/IEC GUIA 73:2005] NOTA No contexta dos rscos de seguranga da Informagio, somente conseqléncias negativas (perdas) sdo consideradas para a transferéncia do isco 2 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 4 Organizagao da Norma Esta Norma contém a descrigéo do processo de gestio de riscos de seguranga da informagao e das suas alvidades. {As informagSes sobre 0 contexto hist6rico sao apresentadas na Sedo 5. Uma visio geral do processo de gestao de riscos de seguranga da informacao 6 aprosentada na Segdo 6. AAs atividades de gestdo de riscos de seguranca da informago, apresentadas na Secdo 6, sdo descritas nas soguintes segdes: + Definiga0 do contexto na Sedo 7, + Analise/avaliagao de riscos na Segao 8, + Tratamento do risco na Sego 9, + Aceltagao do risco na Seca 10, + Comunicagao do risco na Segao 11, + Monitoramento e andlise erica de riscos na Segao 12. ‘Além disso, informacées adicionais para as atividades de gestéo de riscos de seguranga da informacao ‘s40 apresentadas nos anexos. A definigao do contexto é detalnada no Anexo A (Definindo 0 escopo @ os limites do proceso de gestéo de riscos de seguranga da informagao). A identificagdo e valora¢ao dos alivos @ a avaliagéo do impacto s40 discutidas no Anexo B (exemplos de atives), Anexo C (exemplos de ameagas, comuns) e Anexo D (exemplos de vulnerabilidades comuns) Exemplos de diferentes abordagens de andlise/avaliagao de riscos de seguranca da informagao so apresentados no Anexo E. Restrigbes relativas a redugao do risco so apresentadas no Anexo F. AAs atividades de gestao de riscos, como apresentadas da Secdo 7 até a Sego 12, estdo estruturadas da seguinte forma: Entrada: Identitica as informages necessérias para o desempenho da atividade. Aco: Descreve a atividade. Diretrizes para implementagao: Fornece diretrizes para a execucao da aco. Algumas destas diretrizes podem nao Ser adequadas em todos os casos. Assim sendo, outras maneiras de se executar a agao podem ser mais, apropriadas ‘aida: Identitica as informacdes resultantes da execugao da atividade. 5 Contextualizagao Uma abordagem sistematica de gestao de riscos de seguranga da informagéo é necesséria para se identificar as necessidades da organizagdo em relagdo aos requisites de seguranga da informagao e para criar um sistema de gestao de seguranga da informagéo (SCSI) que seja eficaz. Convem que essa abordagem seja adequada ‘a0 ambiente da organizagao e em particular esteja alinhada com o process maior de gestao de riscos corporativas. Convém que os esforgos de seguranca lidem com riscos de maneira efetiva e no tempo apropriado, ‘onde © quando forem necessarios. Convém que a gestdo de riscos de seguranga da informacao soja parte integrante das atividades de gestéo da seguranca da informagao e aplicada tanto A implementacao quanto 8 operacao cotidiana de um SGSI. ‘Convém que a gestio de riscos de seguranca da informagao soja um processo continue. Convém que 0 processo defina 0 contexto, avalie os riscos e trate os riscos usando um plano de tratamento a fim de implementar ‘as recomendagées e decisées, Convém que a gestéo de riscos analise os possiveis acontecimentos e suas conseqiléncias, antes de decidir 0 que seré feito e quando sera feito, a fim de reduzir 0s riscos a um nivel aceitavel 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados 3Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Gonvém quo a gestae de riscos de seguranga da informagao contrbua para: + Identiicagao de riscos + Andlsefavaliagso de riscos om fungao das conseqiiéncias ao negécio e da probabildade de sua ocorréncia + Comunicagao e entendimento da prababilidade e das conseqiiéncias destes riscos + Eslabelecimento da ordem prioritria para tratamento do risco + Priorizagao das agdes para reduzir a ocorréncia dos riscos + Envolvimento das partes interessadas quando as decisées de gestio de riscos so tomadas e mantidas informadas sobre a situacao da gestio de riscos Eficacia do monitoramento do tratamento do risco + Monitoramento e a andlise critica regular de riscos e do processo de gestdo dos mesmos + Coleta de informagées de forma a melhorar a abordagem da gestdo de riscos. + Treinamento de gestores e pessoal a respeito dos riscos e das agdes para mitiga-ios © processo de gestéo de riscos de seguranga da informagao pode ser aplicado a organizagao como um todo, a uma érea espectfica da organizagao (por exemplo: um departamento, uma localidade, um servigo), a um sistema de informagées, a controles jé existentes, planejados ou apenas a aspectos particulares de um controle (por exemplo: o plano de continuidade de negécios). 6 Visao geral do processo de gestao de riscos de seguranga da informacao © processo de gestdo de riscos de seguranga da informagao consiste na definigao do contexto (Segao 7), andliselavaliagao de riscos (Seco 8), tratamento do risco (Se¢ao 9), aceitagdo do risco (Segdo 10), comunicacao do risco (Secao 11} e monitoramento e andlise critica de riscos (Se¢ao 12) 4 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua ABNT NBR ISO/IEC 27005:2008 Palle tes Ua Ue oD ol) eco (Pedido 195469 Impresso: 30/09/2009) Eve SD LT Ty PTTL el PEt i Tce) FIM DA PRIMEIRA OU DAS DEMAIS ITERAGOES Figura 1 - Proceso de gestdo de riscos de seguranga da informagao. ‘Como mostra a Figura 1, 0 processo de gestdo de riscos de seguranca da informagdo pode ter as alividades de andlise/avaliagao de riscos e/ou de tratamento do risco sendo realizadas mais de uma vez. Um enfoque iterative nna execugao da andlise/avaliacao de riscos toma passivel aprofundar e detalhar 2 avaliagao em cada repeticao. © enfoque iterative permite minimizar 0 tempo eo esforgo despendidos na identificagéo de controles e, ainda assim, assegura que riscos de allo impacto ou de alta probabllidade possam ser adequadamente avaliades. Exemplar para uso exclusive - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631.898.959-53 RNP:23054217% © ISONEC 2008 - AANT 2008 - Todos 9 dretos reservados 5Convénio ABNT - Sistema Confea/Crea/Mutua ABNT NBR ISO/IEC 27005:2008 Primeiramente, 0 contexto 6 estabelecido. Em soguida, executa-se uma andliselavaliago de riscos. ‘Se ela fornecer informacées suficientes para que se determine de forma eficaz as ages necessérias para reduzir ‘8 riscos a um nivel accitavel, entéo a tarefa esta completa © o tratamento do risco pode suceder-so. Por outro lado, se as informagdes forem insuficientes, execula-se uma oulra iteragio da andlise/avaliagso de riscos, revisando-se 0 contexto (por exemplo: os cfitérios de avaliagao de riscas, de aceitagao do risco ‘ou de impacto), possivelmente em partes limitadas do escopo (ver Figura 1, Ponto de Decisao 1). A eficdcia do tratamento do risco depende dos resultados da andliselavaliagao de riscos. E possivel que © tratamento do risco no resulte em um nivel de risco residual que seja aceitavel, Nesta situacao, pode ser necessdria uma outra iterago da andlise/avaliagdo de riscos, com mudangas nas variaveis do contexto (or exemplo: os critérios para a anliselavaliacao de riscos, de aceitacao do risco e de impacto), seguida por uma fase adicional de tratamento do risco (ver Figura 1, Ponto de Decisao 2}, A atividade de aceitagao do risco tem de assegurar que os riscos residuais sejam explicitamente aceitos pelos xgestores da organizacao. Isso ¢ especialmente importante em uma situagao em que a implementacao de controles 6 omitida ou adiada, por exemplo, devido aos custos, Durante 0 processo de gestdo de riscos de seguranga da informagao, & importante que os riscos a forma com que sto tratados sejam comunicados ao pessoal das dreas operacionais e gestores apropriados. Mesmo antes do tratamento do isco, informagGes sobre riscos identificados podem ser multo iteis para o gerenciamento de incidentes e ajudar a reduzir possivels prejuizos. A conscientizagao dos gestores e pessoal no que diz respeito 0s riscos, 4 natureza dos controles aplicados para mitiga-los © as areas definidas como de interesse pela ‘organizagao auxilia a lidar com os incidentes @ eventos nao previstos da maneira mais efetiva. Convém que 08 resultados detalhados de cada atividade do processo de gestao de riscos de seguranga da informagao, assim como as decisées sobre a andlise/avaliago de riscos e sobre o tratamento do risco (representadas pelos dois pontos de decisdo na Figura 1), sejam documentados. ‘A ABNT NBR ISO/IEC 27001 specifica que os controles implementados no escopo, limites © contexto do SGSI deve ser baseados no risco. A aplicagdo de um proceso de gestio de riscos de seguranga da informagao pode satisfazer esse requisite. Hé varios métodos através dos quais o pracesso pode ser implamentado com sucesso ‘em uma organizagao. Convém que a organizagéo use o método que melhor se adeque a suas circunstancias, para cada aplicagao especifica do pracasso. Em um SGSI, a definigao do contexto, a andlise/avaliagao de riscos, o desenvolvimento do plano de tratamento do risco @ a aceitagao do risco, fazem parte da fase "planejar”. Na fase “executar" do SGSI, as agdes e controles necessérios para reduzir os riscos para um nivel aceltavel séo implementados de acordo com o plano de tratamento do risco. Na fase "verificar’ do SGSI, 08 gestores determinarao a necessidade de revisao da avaliagao @ tratamento do risco & luz dos incidentes e mudangas nas circunstancias. Na fase “agit”, as ages necessarias, so executadas, incluindo a reaplicagdo do processo de gesto de riscos de seguranga da informacao. ‘A Tabela 1 resume as atividades relevantes de gestao de riscos de seguranga da informagao para as qualro fases, MARCOLINO - 631.898, 959-53 RNP-2305421796 (Pedido 196469 Impresso: 30/09/2009) do proceso do SCSI g g Tabela 1— Alinhamento do processo do SCSI. do processo de gestéo de 2g riscos de seguranga da informagao & a Processo 5 5 8 Proceso | processo de gestio de riscos de seguranca da informagio| 2 - 8 Defnigao do contexto 2 Andlise/avaliagao de riscos 4 lanejar 5 ee Definigéo do plano de tratamento do risco. A Acsitago do risco 3 Executar Implementagao do plano de tratamento do risco e Verificar ‘Monitoramento continuo e andlise critica de riscos g Manter e melhorar 0 processo de Gest de Riscos de Seguranca e Agir da Informagao 6 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 7 Definigao do contexto 7.1 Consideragées gerais Entrada: Todas as informagdes sobre a organizagao relevantes para a definicao do contexto da gestao de riscos de seguranca da informagao, ‘Ago: Convém que o contexto para gestéo de riscos de seguranca da informagéo seja estabelecido, o que envolve 2 defnigdo dos cftérios basicos necessérios para a gestéo de riscos de seguranga da informagao (7.2), 2 definigao do escopo ¢ dos limites (7.3) @ 0 estabelecimento de uma organizagao apropriada para operar 2 gosto do riscos de saguranga da informagao (7.4) Diretrizes para implementaca E essencial determinar propésito da gesiao de riscos de seguranca da informagao, pois ele afeta 0 proceso ‘am geral e a definigao do contexto em particular. Esse propésito pode ser: ‘Suporte a um SGSI Conformidade legal ¢ a evid@ncia da realizacao dos procedimentos corretos Preparagao de um plano de continuidade de negécios Preparagao de um plano de resposta a incidentes. Descricdo dos requisites de seguranca da informagao para um produto, um servigo ou um mecanismo ‘As diretrizes para implementagdo dos elementos da definigdo do contexlo necessérios para dar suporte ‘a um SGSI sao discutidas detalhadamente nas Segoes 7.2, 7.3 © 7.4 a seguir. NOTA A ABNT NBR ISO/IEC 27001 no usa o termo “conlexto". No entanto, a Seco 7 refere-se aos requisites “defnir © escopo ¢ limites do SGSI"[(4.21.2)],“definir uma poltica para o SGSI" [4.2.1.b] e “defnir o método de andlse/avaliagao de riscos" [42.1.0], especticados na ABNT NBR ISO/IEC 27001, Saida: A especiticapao dos critérios basicos; 0 escopo e os limites do proceso de gestio de riscos de seguranga da informagao; @ a organizagao responsavel pelo proceso, 7201 jos basicos Dependendo do escopo e dos objetivos da gestdo de riscos, diferentes métodos podem ser aplicados. ‘© método também pode ser diferente para cada iteragao do processo. Convém que um método de gestao de riscos apropriado seja selecionado ou desenvolvido e leve em conta critérios basicos, tais como: critérios de avaliagao de riscos, eritérios de impacto e eritérios de aceitago do risco. ‘Além disso, convém que a organizagdo avalle s€ os recursos necessarios estéo disponivels para: + Executar a andlise/avaliagao de riscos e estabelecer um plano de tratamento dos mesmos + Definire implementar politicas e procedimentos, incluindo implementagao dos controles selecionados + Monitorar controles + Monitorar 0 proceso de gestio de riscos de seguranga da informagao NOTA __ Vertambém a ABNT NBR ISOIIEC 27001 (Segde § 2.1) com relagde & provisio de recursos para a implementagao « operagdo de um SCSI Critérios para a aliagao de riscos Convém que 0s ofitérios para a avaliagdo de riscos sejam desenvolvidos para avaliar os riscos de seguranga da informagao na organizagao, considerando os seguintes itens: (0 valor estratégico do processo que trata as informagdes de negécio Acriticidade dos ativos de informagao envolvidos Requisitos legais e regulatsrios, bem como as obrigagdes contratuais Importancia do ponto de vista operacional © dos negécios, da disponibiidade, da confidencialidade da integridade + Expectativas e percepgdes das partes interessadas © conseqiiéncias negativas para o valor de mercado (em especial, no que se refere aos fatores intangiveis desse valor), a imagem e a reputagao Além disso, crtérios para avaliagao de riscos podem ser usados para especificar as prioridades para o tratamento do risco. 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados 7Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Gritérios de impacto Convém que os critérios de impacto sejam desenvolvides © especificados em fungao do montante dos danos ‘ou custos & organizagao causados por um evento relacionado com a seguranga da informagao, considerando © seguinte: + Nivel de classificapao do ativo de informagao afetado Ocorréncias de violagéo da seguranga da informagdo (por exemplo: perda da disponibilidade, da confidencialidade e/ou da integridade) Operagées comprometidas (intemas ou de terceiros) Perda de oportunidades de negécio e de valor financeiro Interrupcao de planos eo ndo cumprimento de prazos. Dano a reputagao Violagdes de requisitos legals, regulatérios ou contratuais NOTA Ver também a ABNT NBR ISO/IEC 27001 [Segao 4.2.1 d) 4] com relagdo & identifcagao dos crtérios de impacto ‘om relagao a perda da comidencaldade, da integrdade e/ou da disponibildade. Critérios para a aceitagae do risco Convém que os critérios para a aceltago do risco sejam desenvolvides e especificados e dependam freqientemente das politicas, metas e objetivos da organizagdo, assim como dos interesses das partes interessadas. Convém que a organizagao defina sua prépria escala de niveis de aceitagao do risco. Convém que os sequintes t6picos sejam considerados durante o desenvolvimento: + Critérios para a aceltagao do risco podem incluir mais de um limite, representando um nivel desejével de risco, porém precaugdes podem ser tomadas por gestores seniores para aceitar riscos acima desse nivel desde ‘que sob circunstancias definidas + Critérios para a aceitaggo do risco podem ser expressos como a razéo entra o lucro estimado (ou outro beneficio ao negécio) eo risco estimado + Diferentes critérios para a aceitagao do risco podem ser aplicados a diferentes classes de risco, por exemplo: riscos que podem resultar em néo conformidade com regulamentagées ou leis podem ndo ser aceitos, ‘enquanto riscos de alto impacto poderao ser aceitos se isto for especificado como um requisito contratual + Critérios para a aceitagéo do risco podem incluir requisitos para um tratamento adicional futuro, por exemplo: um isco poderd ser aceito se for aprovado e houver o compromisso de que ages para reduzi-lo a um nivel aceitavel serao tomadas dentro de um determinado periado de tempo Critérios para a aceitagao do isco podem ser diferenciados de acordo com o tempo de existéncia previsto do risco, por exemplo: o risco pode estar associado a uma atividade temporaria ou de curio prazo. Convém que os critérios para a aceitagao do risco sejam estabelecidos, considerando os seguintes itens: Critérios de negécio Aspectos legais e reguiatorios Operagoes Tecnologia Finangas. Fatores socials e humanitarios NOTA —_ 0s citérios para a aceltagao do risco cortespondem aos “cittios para acellacdo do risco e identiicagao do nivel aceilavel dos mesos" aspaciicados na ABNT NBR ISO/IEC 27001 Sogo 4.2.16) 2) Mais informagoes podem ser encontradas no Anexo A 7.3 Escopo e limites ‘Convém que a organizagao defina o escopo e os limites da gestéo de riscos de seguranga da informagao. (© escopo do processo de gestdo de riscos de seguranca da informagao precisa ser definido para assegurar ue todos os ativos relevantes sejam considerados na andlise/avaliagdo de riscos. Além disso, os limites precisam ser identificados [ver também a ABNT NBR ISO/IEC 27001 Sogdo 4.2.1.2)] para permitir o reconhecimento dos riscos que possam transpor esses limites 8 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 ‘Convém que as informagées sobre a organizagao sajam reunidas para que soja possivel determinar o ambiente ‘em que ela opera e a relevancia desse ambiente para o processo de gestao de riscos de seguranga da informacao, ‘Ao definir 0 escopo e os limites, convém que a organizacéo considere as seguintes informagées: 0s objetivos estratégicos, pollticas e estratégias da organizagao Processos de negécio ‘As fungées e estrutura da organizagaio Requisitos legais, regulatérios e contratvais aplicavels a organizagao A politica de seguranga da informagao da organizagao ‘A abordagem da organizacao a gestao de riscos ‘Ativos de informagao Localidades em que a organizagao se encontra e suas caracteristicas geograficas Restrigdes que afetam a organizacao Expectativas das partes interessadas Ambiente sociocultural Interfaces (ou seja, a troca de informagao com 0 ambiente) ‘Alem disso, convém que a organizagao forega justificativa para quaisquer exclusées do escopo. Exemplos do escopo da gestao de riscos podem ser: uma aplicagao de TI, a infra-estrutura de TI, um processo de nnegécios ou uma parte definida da organizacao. NOTA 0 escopo e os limites da gestéo de riscos de seguranca da informagao esto relacionados ao escopo e 20s limites ddo SGSI, conforme requerido na ABNT NBR ISOMEC 27001 4.2.1.8) Informagdes adicionais podem ser encontradas no Anexo A. 7.4 Organizagao para gestdo de riscos de seguranga da informagdo Convém que a organizagao © as responsabilidades para 0 processo de gestéo de riscos de seguranga da informagao sejam esiabelecidas © mantidas. A seguir esto os principais papéis e responsabilidades dessa organizagao: Desenvolvimento do processo de gestéo de riscos de seguranga da informagéo adequado & organizagao Identificacao @ analise das partes interessadas Definigéo dos papéis e responsabilidades de todas as partes, inlernas € exlernas & organizacéo. Estabelecimento das relagdes necessarias entre a organizacao © as partes interessadas, das interfaces com as funcées de alto nivel de gestdo de riscos da organizacao (por exemplo: a gestéo de riscos operacionais), assim como das interfaces com outros projetos ou atividades relevantes + Definigao de algadas para a tomada de decisoes + Especificagao dos registros a serem mantidos ‘Convém que essa organizagao seja aprovada pelos gestores apropriados NOTA A ABNT NBR ISOVIEC 27001 requer a idenificagao © a proviso dos recursos necessérios para estabelecer, Implementar, operar, monitorar, analisarerlcamente, manter e melhorar um SGSI (6 2.1.a. A organizagio das operagées de {gestao de riscos pode ser considerada como um dos recursos necessaries, segundo @ ABNT NBR ISO/IEC 27001 8 Anélise/avali 140 de riscos de seguranga da informacao 8.1 Descrico geral do processo de anal ‘elavaliagao de riscos de seguranca da informagao NOTA Aatividade de andliselavaliagdo de rscos & tratada como processo na ABNT NBR ISO/IEC 27001 Entrada: Critérios basicos, 0 escopo e os limites, @ a organizagao do proceso de gestao de riscos de seguranca da Informagao que se esta definindo. ‘Ago: Convém que os riscos sejam identifiados, quantificados ou descritos qualitativamente, priorizados ‘em fungao dos critérios de avaliagao de riscos e dos objetivos relevantes da organizagao, 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados 9Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Dirotrizes para implementaca: Um risco & a combinagao das conseqiléncias advindas da ocorréncia de um evento indesejado e da probabilidade da ocorréncia do mesmo, A analise/avaliagao de riscos quantifica ou descreve o risco quaitativamente e capacita ‘5 gestores a priorizar os riscos de acordo com a sua gravidade percebida ou com outros eritérios estabelecidos, ‘A analise/avaliagao de riscos consiste nas seguintes atividades: + Anélise de riscos (Segao 8.2) compreende: — Identificagao de riscos (Segao 8.2.1) —_Eslimativa de riscos (Segao 8 2.2) + Avaliagao de riscos (Segao 8.3) A andlise/avaliago de riscos determina o valor dos ativos de informago, identifica as ameacas e vulnerabllidades aplicaveis existentes (ou que poderiam exist), identifica os controles existentes © seus efeitos no risco identiicado, determina as conseqiiéncias possiveis e, finalmente, prioriza os riscos derivados e ordena-os de acordo com 05 critérios de avaliagao de riscos estabelecidos na definicdo do contexto, A analisefavaliagao de riscos ¢ executada freqientemente em duas (ou mais) iteragdes. Primeiramente, uma avaliagao de alto nivel é realizada para identifcar os riscos com potencial de alto impacto, os quais merecem uma avaliagdo mais aprofundada. A segunda itera¢ao pode considerar com mais profundidade os riscos de alto impacto potencial revelados na primeira iteragao. Se ela nao fornecer informages suficientes para avaliaro risco, centio andlises adicionals detalhadas precisardo ser exacutadas, provavelmente om apenas partes do escopo total € possivelmente usando um outro método, Cabe a organizagao selecionar seu proprio método para a andlise/avaliagao de riscos baseado nos objetivos na meta da andlise/avaliagao de riscos. Uma discussao sobre métodos de andlise/avaliagao de riscos de seguranca da informagao pode ser encontrada no Anexo E. ‘Salida: Uma lista de riscos avaliados, ordenados por prioridade de acordo com os eritérios de avallagéo de riscos. 8.2 Anilise de riscos 8.2.1 Identificagao de riscos 8.2.1.1 Introdugao & identificagao de riscos 0 propésito da identiicagao de riscos 6 determinar eventos que possam causar uma perda potencial e deixar claro ‘como, onde e por que a perda pode acontecer. As etapas descrilas nas préximas subsegdes de 8.2.1 servem para coletar dados de entrada para a atividade de estimativa de riscos. NOTA Atvidades descritas nas segdes subsequentes podem ser executadas em uma ordem diferente dependendo dda metodologia apicada. 8.2.1.2 Identificagao dos ativos Entrada: Escopo ¢ limites para a andlise/avaliagao de riscos a ser execulada; lista de componentes com responsavels, localidade, fungao ete. Ago: Convém que os _ativos dentro do escopo estabelecido sejam identificados (refere-se ABNT NBR ISOMEC 27001, Segdo 4.2.1.4) 1)), Dirotrizes para implementacao: Um ativo 6 algo que tem valor para a organizagao e que, portanto, requer protegdo. Para a identificagao dos ativos ‘convém que se tenha em mente que um sistema de informagao compreende mais do que hardware e software. 10 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Convém que a identiicagao dos ativos soja executada com um detalhamento adequado que fornoga informagées, suficientes para a andlise/avaliagao de riscos. O nivel de detalhe usado na identificacao dos ativos influenciard na quantidade geral do informagdes rounidas durante a analiso/avaliagao de riscos. O detalhamento pode ser aprofundado em cada iteragao da analise/avaliagao de riscos, Convém que um responsével seja identificado para cada ativo, a fim de ofcalizar sua responsabilidade e garantir a possibilidade da respectiva prestagao de contas. O responsavel pelo ativo pode nao ter direitos de propriedade sobre 0 mesmo, mas tem responsabilidade sobre sua producdo, desenvolvimento, manuteneao, utiizacao © seguranca, conforme apropriado. O responsavel pelo ative 6 frequlentemente a pessoa mais adequada para determinar 0 valor do mesmo para a organizacao (ver 8.2.2.2 sobre a valora¢ao dos ativos). limite da analise critica é 0 perimetro dos ativos da organizagao a serem considerados pelo processo de gestao de riscos de seguranga da informagao. Mais informagies sobre a identiicagao e valoragao dos alivos, sob a perspectiva da seguranga da informagao, podem ser encontradas no Anexo B. ‘Salida: Uma lista de ativos com riscos a serem gerenciados, e uma lista dos negécios relacionados aos ativos @ suas relevancias, 8.2.1.3 Identificagao das ameacas Entrada: InformagSes sobre ameagas obtidas a partir da andlise critica de incidentes, dos responsaveis pelos ativos, de usuarios @ de outras fontes, incluindo catalogos externos de ameacas. Ago: Convém que as ameagas e suas fontes sejam identificadas (refere-se a ABNT NBR ISO/IEC 27001, ‘Segao 4.2.1 d) 2)) Dirotrizes para implementacas Uma ameaga tem o potencial de comprometer ativos (tais como, informagdes, processos e sistemas) e, por isso, também as organizagoes. Ameagas podem ser de origem natural ou humana e podem ser acidentais ou intencionais. Convém que tanto as fontes das ameagas acidentais, quanto as intencionais, sejam identiicadas. Uma ameaca pode surgir de dentro ou de fora da organizagao. Convém que as ameagas sejam identificadas genericamente & poor classe (por exemplo: apes nao autorizadas, danos fisicos, falhas técnicas) e, quando aprooriado, ameacas ‘especificas identificadas dentro das classes genéricas. Isso significa que, nenhuma ameaga 6 ignorada, incluindo a8 nao previstas, mas que o volume de trabalho exigido é limitado. Algumas ameagas podem afetar mais de um ative. Nesses casos, elas podem provocar impactos diferentes, dopendendo de quais ativos séo afetados. Dados de entrada para a identificagao das ameagas e estimativa da probabilidade de ocorréncia (ver 8.2.2.2) podem ser oblidos dos responsdveis pelos ativos ou dos usuarios, do pessoal, dos administradores das instalagdes e dos especialisias em seguranga da informacao, de peritos em seguranga fisica, do departamento juridico © de outras organizagées, incluindo organismos legais, autoridades climaticas, companhias de seguros @ autoridades governamentais nacionais. Aspectos culturais e relacionados ao ambiente precisam ser considerados quando se examina as ameagas, Convém que experiéncias intemas de incidentes e avaliagdes anteriores das ameagas sojam consideradas na avaliagdo atual. Pode ser it a consulta a outros catélogos de ameagas (talvez mais especifico a uma organizagao ‘ou negécio) a fim de completar a lisia de ameagas genéricas, quando relevante. Catdlogos de ameagas @ eslatisticas séo disponibilizados por organismos setoriais, governos nacionais, organismos legais, companhias de seguro etc, Quando forem usados catélogos de ameagas ou os resultados de uma avalia¢do anterior das ameagas, convém que se lenha consciéncia de que as ameacas relevantes estao sempre mudando, especialmente se o ambiente de negécio ou se os sistemas de informagées mudarem, Mais informagées sobre tipos de ameacas podem ser encontradas no Anexo C. S Uma lista de ameagas com a identificagao do tino e da fonte das ameacas, 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados "Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 82.1.4 Identi -agao dos controles existentes Entrada: Documentagao dos controles, planos de implementagao do tratamento do risco. ‘Aci: Convém que os controles existentes e os planejados sejam identificados. Dirotrizes para implementaca: Convém que a identificagao dos controles existentes seja realizada para ovitar custos e trabalho desnecessarios, por exemplo: na duplicagao de controles. Além disso, enquanto os controles existentes esto sendo identiicados, ‘convém que seja feita uma verificagao para assegurar que eles esto funcionando corretamente - uma referéncia 08 relatsrios jd existentes de audiforia do SGSI pode reduzir o tempo gasto nesta tarefa. Um controle que nao funcione como esperado pode provocar o surgimento de vulnerabilidades. Convém que seja levada em consideragao a possibilidade de um controle selecionado (ou estratégia) falhar durante sua operacao. ‘Sendo assim, controles complementares sao necessarios para tratar efetivamente o risco identificado. Em um SGSI, de acordo com a ABNT NBR ISO/IEC 27001, Isso 6 auxiliado pela medigdo da eficacia dos controles. Uma maneira para estimar o efeito do controle 6 ver o quanto ele reduz, por um lado, a probabilidade da ameaca e 2 facilidade com que uma vulnerabilidade pode ser explorada ou, por outro lado, o impacto do incidente. A andlise critica pela diregdo e relatérios de auditoria também fomecem informagées sobre a eficécia dos controles existentes, Convém que os controles que estéo planejados para serem implementados de acordo com os planos de implementacao de tratamento do risco também sejam considerados, juntamente com aqueles que ja esto implementados. Controles existentes ou planejados podem ser considerados ineficazes, insuficientes ou nao-ustificados Convém que um controle insuficiente ou ndo justificado seja verificado para determinar se convém que o mesmo seja removido, substituido por outro controle mais adequado ou se convém que 0 controle permaneca em vigor, por exemplo, em fungao dos custos. Para a identificagao dos controles existentes ou planejados, as seguintes alividades podem ser Gteis: + Analisar de forma critica 0s documentos contendo informagées sobre os controles (por exemplo: os planos de implementaco de tratamento do risco). Se os processos de gestéo da seguranca da informacao esto bem documentados, convém que todos os controles existentes ou planejados ¢ a situagao de sua implementagao cestojam disponiveis; + Verificar com as pessoas responsavels pela seguranca da informagao (por exemplo: o responsével pela seguranga da informagao, 0 responsavel pela seguranga do sistema da informagao, o gerente das instalagées prediais, o gerente de operades) com os usuarios quais controles, relacionados ao processo de informagao ‘u ao sistema de informagao sob consideragao, esto realmente implementados, + Revisar, no local, os controles fisicos, comparando os controles implementados com a lista de quais convém que estejam presentes; e verificar se aqueles implementados estao funcionando efetiva e corretamente, ou + Analisar erticamente os resultados de auditorias internas ‘Saida: Uma lista de todos os contrales existentes @ planejados, sua implementagao e status de utlizagao. 82.1.5 Identi agao das vulnerabilidades Entrada: Uma lista de ameacas conhecidas, listas de ativos e controles existentes. ‘Acio: Convém que as vulnerabilidades que podem se exploradas por ameagas para comprometer os alivos ‘ou a organizagao sejam identificadas (refere-se a ABNT NBR ISO/IEC 27001, Segao 4.2.1 d) 3). Diretrizes para implementaca Vulnerabilidades podem ser identificadas nas seguintes areas: Organizagao Processos e procedimentos Rotinas de gestéo Recursos humanos Ambiente fisico 2 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 + Configuragéo do sistema de informago + Hardware, software ou equipamentos de comunicago + Dependancia de entidades extomas A presenga de uma vulnerabilidade nao causa prejuizo por si $6, pois precisa haver uma ameaga presente para exploré-la. Uma vulnerabilidade que no tem uma ameaga correspondente pode nao requerer a implementagao de ‘um controle no presente momento, mas convém que ela seja reconhecida como tal @ monitorada, no caso de haver_mudangas. Note-se que um controle implementado, funcionando incorretamente ou sendo usado incorretamente, pode, por si s6, representar uma vulnerabilidade. Um controle pode ser eficaz ou nao, dependendo do ambiente no qual ele opera. Inversamente, uma ameaga que nao tenha uma vulnerabilidade correspondente pode nao resultar em um risco. Vulnerabilidades podem estar ligadas a propriedades do ativo, as quals podem ser usadas de uma forma ou para ‘um propésito diferente daquele para o qual o ativo foi adquirido ou desenvolvido. Vulnerabilidades decorrentes de diferentes fontes precisam ser consideradas, por exemplo: as intrinsecas ao ativo e as extrinsecas. Exemplos de vulnerabilidades e métodos para avaliago de vulnerabilidades podem ser encontrados no Anexo D. les; uma lista de Saida: Uma Ista de vulnerabllidades associadas aos ativos, as ameacas © aos co! vulnerabilidades que nao se refere a nenhuma ameaga identificada para analise. 8.2.1.6 Identificagao das conseqiiéncias Entrada: Uma lista de ativos, uma lista de processos do negécio e uma lista de ameagas e vulnerabilidades, {quando aplicavel, relacionadas aos ativos ¢ sua relevancia. Aco: Convém que as consegiléncias que a perda de confidancialidade, de integridade © de disponibilidade podem ter sobre os alivos sejam identificadas (ver @ ABNT NBR ISO/IEC 27001 4.2.1 d) 4)) Diretrizes para implementaca: Uma conseqiéncie pode ser, por exemplo, a perda da eficdcia, condigdes adversas de operagdo, a perda de ‘oportunidades de negocio, reputagao afetada, prejuizo etc. Essa atividade identifica o prejuizo ou as conseqiiéncias para a organizagao que podem decorrer de um cenério de incidente. Um cenaiio de incidente é a descriggo de uma ameaca explorando uma certa vulnerabilidade ou um Conjunto deias em um incidente de seguranga da informagao (ver ABNT NBR ISO/IEC 27002, Segio 13). (© impacto dos cenarios de incidentes é determinado considerando-se os critérios de impacto definidos durante a atividade de definigao do contexto. Ele pode afetar um ou mais ativos ou apenas parte de um ativo. Assim, 0s ativos podem ser atribuidos valores corespondendo tanto aos seus custos financeiros, quanto as ‘conseqiéncias ao negécio se forem danificados ou comprometidos. Conseqiiéncias podem ser de natureza ‘tempordria ou permanente como no caso da destruigao de um ativo. NOTA AABNT NBR ISO/IEC 27001 descreve @ ocorréncia de cenérios de incidentes como “Yalhas de seguranca’. Convém que as organizagoes identifiquem as conseqiéncias operacionats de cenarios de incidentes em fungao de (mas nao limitado a): Investigagao e tempo de reparo Tempo (de trabalho) perdido Oportunidade perdida Satide e Seguranca Custo financeiro das competéncias especificas necessérias para reparar 0 prejuizo Imagem, reputagao e valor de mercado Detalhes sobre a avaliagdo de vulnerabllidades técnicas podem ser encontrados em B.3 - Avaliagao do impacto, Saida: Uma lista de cenérios de incidentes com suas conseqliéncias associadas aos ativos © provessos, do negécio, 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados 13Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 8.2.2 Estimativa de riscos 8.2.2.1 Metodologias para a estimativa de riscos ‘A anélise de riscos pode ser empreendida com diferentes graus de detalhamento, dependendo da critcidade dos, ativos, da extensao das vulnerabilidades conhecidas @ dos incidentes anteriores envolvendo a organizagao, Uma metodologia para a estimativa pode ser qualitatva ou quantitativa ou uma combinagao de ambos, dependendo das circunstancias. Na pratica, a estimativa qualiativa 6 freqlentemente utlizada em primeiro lugar para obter uma indicagao geral do nivel de risco e para revelar os grandes riscos. Depois, poder ser necessario efetuar uma andlise quantitativa ou mais especffica, nos grandes riscos. Isso ocorre porque normalmente & menos ‘complexo e menos cneroso realizar andlises qualitativas do que quantitativas. Convém que a forma da analise soja coerente com o critério de avaliagao de riscos desenvolvida como parte dda definigao do contexto, Detalhes adicionais a respeito das metodologias para a estimativa esto descritos a seguir: (a) Estimativa qualitativa: A estimativa quaiitativa utiliza uma escala com atributos qualiicadores que descrevem a magnitude das ‘conseailéncias potenciais (por exemplo: Pequena, Média e Grande) e a probabilidade dessas conseqiiéncias ‘ocorrerem. Uma vantagem da estimativa qualitatva 6 sua facilidade de compreensao por todas as pessoas, envolvidas. Por outro lado, uma desvantagem é a dependéncia a escolha subjetiva da escala. Essas escalas podem ser adapladas ou alustadas para se adequarem as circunstancias e descrigées diferentes podem ser usadas para riscos diferentes. A estimativa qualitativa pode ser utlizada: + Como uma verificagao inical a fim de identificarriscos que exigitao uma analise mais detalhada + Quando esse tipo de andlise & suficiente para a tomada de decisoes + Quando os dados numéricos ou recursos s40 insuficientes para uma estimativa quantitativa Convém que a andlise qualtativa utlize informagées e dados factuais quando disponiveis, (0) Estimativa quantitativa: A estimativa quantitativa utiliza uma escala com valores numéricos (e nao as escalas descritivas usadas na estimativa qualitaiva) tanto para conseqliéncias quanto para a probablidade, usando dados de diversas fontes. ‘A qualidade da analise depende da exatiddo e da integralidade dos valores numéricos e da validade dos modelos utlizados. A estimativa quantitativa, na maioria dos casos, utliza dados histéricos dos incidentes, proporcionando fa vantagem de poder ser relacionada diretamente aos objetivos da seguranga da informagao e interesses da organizagéo. Uma desvantagem é a falta de tais dados sobre novos riscos ou sobre fragilidades da seguranca da informagao. Uma desvantagem da abordagem quantitativa ocorre quando dados factuais ¢ auditaveis nao esido disponiveis. Nesse caso, a exatidéo da anéliselavaliagao de riscos e os valores associados tomam-se ilusérios ‘A forma na qual as conseqiléncias 6 a probabilidade sdo expressas e a forma em que elas so combinadas para fornecer um nivel de risco iréo variar de acordo com 0 tipo de risco e do propésite para o qual os resultados da anéliselavaliagao de riscos sero usados. Convém que a incerteza e a variabilidade tanto das conseqdéncias, quanto da probabilidade, sejam consideradas na andlise e comunicadas de forma eficaz. 8.2.22 Avaliagao das conseqiiéncias Entrada: Uma lista de cenarios de incidentes identificados como relevantes, incluindo a identificagao de ameagas, vulnerabilidades, ativos afetados e conseqiiéncias para os alivos e processos do negécio. ‘Ago: Convém que o impacto sobre o negécio da organizagao, que pode ser causado por incidentes (possivels ou reais) relacionados seguranga da informago, seja avaliado levando-se em conta as conseqiéncias de uma Violagdo da seguranca da informago, como, por exemplo: a perda da confidencialidade, da integridade ‘u da disponiblidade dos ativos (refere-se 4 ABNT NBR ISO/IEC 27001, Sedo 4.2.1 e)1)). 14 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Dirotrizes para implementacas Depois de identiicar todos os ativos relevantes, convém que os valores atribuidos a esses ativos sejam levados ‘em consideragdo durante a avaliagao das conseqiéncias, (© valor do impacto ao negécio pode ser expresso de forma qualitativa ou quantitativa, porém um método para designar valores monetarios geralmente pode fornecer mais informagoes ateis para a tomada de decisdes e, consegilentemente, permit que o processo de tomada de decisdo seja mais eficiente AA valoragao dos ativos comeca com a classificagao dos mesmos de acordo com sua criticidade, em fungao da importancia dos ativos para a realizagdo dos objelivos de negécios da organizacao. A valoragao é entao determinada de duas maneiras: +o valor de reposigéo do ativo: o custo da recuperagio e da reposigao da informagao (se for possivel) © + as consealiéncias ao negécio relacionadas a perda ou ao comprometimento do ativo, tais como as possiveis ‘conseqiléncias adversas de caréter empresarial, legal ou regulatérias causadas pela divulgagao indevida, modificagao, indisponibilidade e/ou desiruigdo de informagGes ou de outros ativos de informagao Essa valoragio pode ser determinada a partir de uma andlise de impacto no negécio. O valor, determinado em fungao da conseqiéncia para 0 negécio, normalmente 6 significativamente mais elevado do que o simples custo de reposicéo, dependendo da importancia do ativo para a organizagao na realizagao dos objetivos de negécios. ‘A valoragao dos ativos representa um dos aspectos mais importantes na avaliagao do impacto de um cenério de incidente, pois o incidente pode afetar mais de um ativo (por exemplo: os ativos dependentes) ou somente parte de um ativo, Diferentes ameagas e vulnerablidades causarao diferentes impactos sobre os ativos, tais como perda da confidencialidade, da integridade ou da disponibilidade. A avaliagdo das conseqiiéncias esté, portanto, relacionada valoragao dos ativos baseada na andlise de impacto no negécio. ‘As conseqiiéncias ou o impacto ao negécio podem ser determinados por meio da criagdo de modelos com (5 resultados de um evento, um conjunto de eventos ou alravés da extrapolacdo a partir de estudos experimentais, ou dados passados. ‘As conseqiiéncias podem ser expressas em funcao dos critérios monetarios, técnicos ou humanos, de impacto ‘ou de outro critéro relevante para a organizagao. Em alguns casos, mais de um valor numérico é necessério para ‘espectficar as consequéncias tendo em vista os diferentes momentos, lugares, grupos ou situagdes. Convém que as conseqiiéncias expressas em tempo e valor financeiro sejam medidas com a mesma abordagem utiizada para a probabilidade da ameaga e as vulnerabilidades. A consisténcia deve ser mantida com respeito @ abordagem quantitativa ou qualitativa Mais informagdes sobre valoragao dos ativos e sobre a avaliago do impacto podem ser encontradas no Anexo B. Saida: Uma lista de conseqincias avaliadas referentes a um cendrio de incidente, relacionadas aos ativos ® eriterios de impacto, 8.2.2.3 Avaliagéo da probabilidade dos incidentes Entrada: Uma lista de cenarios de incidentes identificados como relevantes, incluindo a identificagao de ameagas, ativos afetados, vulnerabilidades exploradas e conseqiiénc'as para os ativos e processos do negécio. Além disso, listas com todos os controles existentes e planejados, sua eficdcia, implementagao e status de ulilizagao. ‘Aci: Convém que a _probabilidade dos cendrios de incidentes seja avaliada (refere-se a ABNT NBR ISO/IEC 27001, Segao 4.2.1 0) 2)) Diretrizes para implementaca: Depois de identificar os cenarios de incidentas, é necessério avaliar a probablidade de cada cenario ¢ do impacto correspondente, usando técnicas de estimativa qualitativas ou quantitativas. Convém levar em conta a freqliéncia da ocorréncia das ameagas e a faciidade com que as vuinerabilidades podem ser exploradas, considerando 0 seguinte: + a experiéncia passada e estatisticas aplicaveis referentes probabilidade da ameaca 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados 15Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 + para fontes de ameagas intencionais: a motivagdo © as competéncias, que mudam ao longo do tempo, {08 recursos disponivels para possivels alacantes, bem como a percepgao da vulnerabllidade e o poder da atragao dos ativos para um possivel atacante + para fontes de ameacas acidentais: fatores geogréficos (como, por exemplo: proximidade @ fabricas ®@ rofinarias de produtos quimicos e petréleo), a possiviidade de eventos climaticos extramos e fatores que poderiam acarretar erros humanos eo mau funcionamento de equipamentos + vulnerabiiidades, tanto inividualmente como em conjunto + os controles existentes e a eficacia com que eles reduzem as vulnerabilidades Por exemplo, um sistema de informago pode ter uma vulnerabilidade retacionada as ameagas de se forjar a identidade de um usuario e de se fazer mau uso de recursos. A vulnerabilidade relacionada ao uso forjado da identidade de um usuario pode ser alta devido, por exemplo, a falta de um mecanismo de autenticaggo de usurio. Por outro lado, a probabilidade de utlizacao indevida dos recursos pode ser baixa, apesar da falta de auteticagao, pois os meios disponiveis para que isso pudesse acontecer sao limitados. Dependendo da necessidade de exatidao, ativos podem ser agrupados ou pode ser necessério dividir um ativo ‘em seus componentes e relacionar estes aos cenérios. Por exemplo: conforme a localidade geografica, a natureza das ameagas a um mesmo tipo de ative ou a eficacia dos controles existentes podem variar. Saida: Probabilidade dos cendirios de incidentes (no método quantitativo ou no qualitativo) 8.2.24 Estimativa do nivel de risco Enlrada: Uma lista de cenérios de incidentes com suas conseqtiéncias associadas aos ativos, processos de negécio e suas probabilidades (no método quantitative ou no qualitativo) ‘Agio: Convém que o nivel de risco seja estimado para todos os cenérios de incidentes considerados relevantes (Tefere-se a ABNT NBR ISO/IEC 27001, Segao 4.2.1 e) 4) Diretrizes para implementagao: Acestimativa de riscos designa valores para a probablidade e para as conseqiléncias de um risco. Esses valores podem ser de natureza quantitava ou qualitatva, A estimativa de riscos 6 baseada nas conseqiléncias na probabilidade estimadas. Além disso, ela pode considerar o custo-beneficio, as preocupagoes das partes interessadas e outras variéveis, conforme apropriado para a avaliagao de riscos. O risco estimado ¢ uma combinacao entre a probabilidade de um cendrio de incidente e suas conseqiiéncias, Exemplos de diferentes abordagens ou métodos para estimativa de riscos de seguranga da informagao podem ser encontrados no Anexo E. ‘Salida: Uma lista de riscos com niveis de valores designados. 8.3 Avaliagao de riscos Entrada: Uma lista de riscos com niveis de valores designados @ critérios para a avaliagdo de riscos. Aco: Convém que o nivel dos riscos seja comparado com os critérios de avaliagao de riscos © com os critérios, para a aceltagao do risco (refere-se a ABNT NBR ISO/IEC 27001, Sego 4.2.1 e) 4) Diretrizes para implementacao: ‘A nalureza das decisées relativas avaliagdo de riscos e os critérios de avaliagao de riscos que irdo ser usados para tomar essas decisdes teriam sido decididos durante a definigdo do contexto, Convém que essas decisoes © 0 Para avaliar os riscos, convém que as organizagdes comparem os riscos estimados (usando os métodos ‘ou abordagens selecionadas como abordado no Anexo E) com os ertérios de avaliagdo de riscos definidos durante a definigao do contexto. 16 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Gonvém que os crtérios de avaliagao de riscos utlizados na tomada de decises sojam consistentes com © contexto definido, extema e interno, relativo & gestdo de riscos de seguranga da informagao e levem em conta (08 odjetivas da organizagao, o ponto de vista das partes interassadas otc. As decises tomadas durante @ allvidade de avaliacao de riscos so baseadas principalmente no nivel de risco aceitavel. No entanto, convém quo as conseqiiéncias, a probabilidade © o grau de confianga na identificagao o analise de riscos também sejam considerados. A agregagéo de varios riscos pequenos ou médios pode resultar em um risco total bem mais, significativo e precisa ser tratada adequadamente, Convém que os seguintes itens sejam considerados: + Propriedades da seguranga da informagao: se um critério nao for relevante para a organizagao (por exemplo: a perda da confidencialidade), logo, todos os riscos que provocam esse tipo de impacto podem ser considerados irrelevantes +A importancia do processo de negécios ou da atividade suportada por um determinado ativo ou conjunto de ativos: se 0 processo tiver sido julgado de baixa importancia, convém que os riscos associados a ele sejam menos considerados do que os riscos que causam impactos em processos ou atividades mais importantes A avaliagao de riscos usa o entendimento do risco obtido através da andlise de riscos para a tomada de decisées ‘sobre agGes futuras, Convém que as seguintes questdes sejam decididas: + Convém que uma atividade seja empreendida + As prioridades para o tratamento do risco, levando-se em conta os niveis estimados de risco Durante a etapa de avaliago de risoos, além dos riscos estimados, convém que requisites contratuais, legals @ regulalérios também sejam considerados. Saida: Uma lista de riscos ordenados por prioridade (de acordo com os critérios de avaliago de riscos) ‘@ associados aos cendrios de incidentes que 08 provocam. 9 Tratamento do risco de seguranga da informagao 9.1 Descrigao geral do processo de tratamento do risco Entrada: Uma lista de riscos ordenados por prioridade (de acordo com os critéros de avaliagao de riscos) @ associados aos cenérios de incidentes que os provocam. ‘Aco: Convém que controles para reduzir, reter, evitar ou transferir os riscos sejam selecionados @ o plano de ‘ratamento do risco seja definido, Diretrizes para implementacéo: Ha quatro opgées disponiveis para o tratamento do risco: redugéo do risco (ver 9.2), retengo do risco (ver 9.3), evitar 0 risco (ver 9.4) ¢ transferéncia do risco (ver 9.5). NOTA AABNT NBR ISOJIEC 27001 4.2.1.) 2) usa o termo “aceitagdo do risco" em vez de “etengso do risco" AA Figura 2 iustra a atividade de tratamento do risco dentro do processo de gestao de riscos de seguranca da Informagao como apresentado na Figura 1 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados 7Convénio ABNT - Sistema Confea/Crea/Mutua ABNT NBR ISO/IEC 27005:2008 RESULTADOS DA ENS Esser} CO SATISFATORIA, Ponto de Decisao 1 Tratamento do isco Ct Uhh cso) es a Pita) Sa Pra) RUC ote) Pat) Per Tad er) cer Ne SLD Ponto de Decisio 2 Figura 2~ A atividade de tratamento do risco ‘Convém que as opgées do tratamento do risco sejam selecionadas com base no resultado da anlise/avaliacao de ‘iscos, no custo esperado para implementagao dessas opgdes e nos beneficios previstos. Quando uma grande redugao do risco pode ser obtida com uma despesa relativamente pequena, convém que ‘essas opges sejam Implementadas. Outras op¢6es para melhorias podem ser multo dispendiosas @ uma andlise precisa ser feita para veriicar suas justificativas. Em geral, convém que as conseqiiéncias adversas do risco sejam reduzidas a0 minimo_possivel, ndependentemente de quaisquer critérios absolutos. Convém que os gestores considerem os riscos improvaveis porém graves. Nesse caso, controles que nao sao justificéveis do ponto de vista estitamente econdmico podem precisar ser implementados (por exemplo: controles de continuidade de negécios concebidos para tratar riscos de alto impacto especificos). Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) 18 {© ISO/IEC 2008 -© ABNT 2008 - Todos os draltos reservadosConvénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 ‘As quatro opgées para o tratamento do risco nao séo mutuamente exclusivas. As vezes, a organizagéo pode beneficiar-se substancialmente de uma combinagéo de opgées, tais como a redugao da probabilidade do risco, a redugao de suas consegiiéncias e a transferéncia ou retengao dos riscos residuais, Algumas formas de tatamento do isco podem lidar com mais de um risco de forma efetiva (por exemplo’ © treinamento @ a conscientizagao em seguranga da informago). Convém que um plano de tratamento do risco seja definido, identificando claramente a ordem de prioridade em que as formas especificas de tratamento do risco convém ser implomentadas, assim como os seus prazos de execugao. Prioridades podem ser estabelecidas usando varias técnicas, incluindo a ordenagao dos riscos ¢ a analise de custo-beneficio. E de responsabilidade dos gestores da organizagao equilibrar os custos da implementacao dos controles e o or¢amento. A identificagao de controles existentes pode nos fazer concluir que os mesmos excedem as necessidades atuais, fem fungdo da comparagdo de custos, incluindo a manutengdo. Se a remogdo de controles redundantes @ desnecessarios tiver que ser considerada (especialmente se os controles tém altos custos de manutencéo), convém que a seguranga da informagdo e os fatores de custo sejam levados em conta, Devido & influéncia que 8 controles exercem uns sobres os outros, a remogao de controles redundantes pode reduzir a seguranga em vigor como um todo. Além disso, talvez seja menos dispendioso deixar controles redundantes ou desnecessarios, ‘em vigor do que remové-ls. Convém que as opgées de tratamento do risco sejam consideradas levando-se em conta: + Como o risco é percebido pelas partes afetadas + As formas mais apropriadas de comunicagao com as partes AA definigéo do contexto (ver 7.2 - Critérios de avaliagao de riscos) fornece informages sobre requisites legais € regulatérios com os quais a organizagdo precisa estar em conformidade. Nesse caso, o risco para organizagao 6 nao estar em conformidade e convém que sejam implementadas op¢des de tratamento para limitar essa possibilidade. Convém que todas as restrigdes - organizacionals, técnicas, estruturais etc.- identificadas durante @ atividade de definicao do contexto, sejam levadas em conta durante o tratamento do r'sco, Uma vez que © plano de tratamento do risco tenha sido definido, as riscos residuais precisam ser determinados. Isso envolve uma atualizacdo ou uma repeticao da andliselavaliagao de riscos, considerando-se os efeitos previstos do tratamento do risco que fol proposto. Caso 0 risco residual ainda nao salisfaga os crtérios para @ aceitago do risco da organizagao, uma nova iteragao do tratamento do risco pode ser necessaria antes de 's@ prosseguir a aceitacao do risco. Mais informagdes podem ser encontradas na ABNT NBR ISO/IEC 27002, Sedo 0.3. Saida: 0 plano de tratamento do risco e 0s riscos residuals, sujeitos a decisdo de aceitagao por parte dos gestores a organizacao. 9.2 Redugao do risco ‘Acdio: Convém que o nivel de risco seja reduzido através da selegdo de controles, para que o risco residual possa ‘ser reavaliado e entdo considerado aceitavel Diretrizes para implementacéo: Convém que controles apropriados @ devidamente justiicados sejam selecionados para satisfazer os requisitos identificados através da andliselavaliagdo de riscos e do tratamento dos mesmos. Convém que essa escolha leve fem conta 0s critérios para a aceltagdo do risco assim como requisites legais, regulatérios e contratuais. Convém que essa selegao também eve em conta custos e prazos para a implementagao de controles, além de aspectos técnicos, culturais ¢ ambientais. Com freqiiéncia, & possivel diminuir 0 custo total de propriedade do um sistema por meio de controles de seguranga da informagao apropriadamente solecionados. Em geral, os controles podem forecer um ou mais dos seguintes tipos de protegdo: corregao, eliminagai pprevengao, minimizago do impacto, dissuasao, detec¢ao, recuperagao, monitoramento e conscientizagao. Durante a selegao de controies, 6 importante pesar o custo da aquisi¢ao, implementagao, administrarao, operacao, monitoramento. e manutengao dos controles em relagzo ao valor dos ativos sendo protegidos. ‘Além disso, convém que o retomo do investimento, na forma da redugao do risco @ da possibilidade de se explorar novas oportunidades de negécio em fungéo da existéncia de certs controles, também seja considerado, Adicionaimente, convém considerar as competéncias especializadas que possam ser necessérias para definir @ implementar novos controles ou modificar os existentes. ‘A ABNT NBR ISO/IEC 27002 fomece informagGes detalhadas sobre controles. 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados 19Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Ha muitas restrigdes que podem afetar a selegao de controles. Restrigdes técnicas, tals como requisitos de desempenho, capacidade de gerenciamento (requisitos de apoio operacional) e questées de compatibilidade, podem dificultar a utiizagao de certos controles ou induzir erros humanos, chogando mesmo a anular o controle, a dar uma falsa sensaco de seguranga ou a tornar o risco ainda maior do que seria se 0 controle nao existisse (por exemplo: exigir senhas complexas sem treinamento adequado leva os usuarios a anotar as senhas por escrito). & importante lembrar também que um controle pode vir a afetar o desempenho sobremaneira. Convém que 08 gestores tentem encontrar uma solugo que satisfaga os requisitos de desempenho e que possa, 20 mesmo tempo, garantir um nivel suficiente de seguranga da informacao. O resultado dessa etapa uma lista de controles possiveis, com seu custo, beneficia e prioridade de implementagao. Convém que varias restripGes sejam levadas em consideragao durante a escolha e a implementagao de controles. Normalmente, séo consideradas as seguintes: Restrigbes temporais Restrigdes financeiras Restrigdes técnicas Restrigdes operacionais Restrigdes culturals Restrigdes éticas Restrigdes ambientais Restrigdes legais, Facilidade de uso Restrigdes de recursos humanos Restrigdes ligadas a integrag4o dos controles novos aos jé existentes. Mais informagées sobre as restricdes que dizem respeito a redugao do risco podem ser encontradas no Anexo F. 9.3 Retengao do risco Aco: Convém que as decisées sobre a ratengéo do risco, sem outras ages adicionais, sojam tomadas tendo ‘como base a avaliagao de riscos. NOTA 0 ‘pico ABNT NBR ISO/IEC 27001 42.1 £2) “aceltagdo do risco, consciente ¢ objetva, desde que claramente satisfazendo as poltcas da organizagao ¢ os critérios para aceitagdo do rsco" descreve @ mesma atvidade. Diretrizes para implementagao: ‘Se 0 nivel de risco atender aos crtérios para a aceitagéo do risco, nao ha necessidade de implementar controles adicionais e pode haver a retengao do risco. 9.4 Agao de evitar o risco ‘Ago: Convém que a atividade ou condigao que da origem a um determinado risco seja evitada, Diretrizes para implementacao: Quando os riscos identificados so considerados demasiadamente elevados e quando os custos da implementagao de outras op¢6es de tratamento do risco excederem os beneficios, pode-se decidir que o risco seja evitado completamente, seja através da eliminagéo de uma atividade planejada ou existente (ou de um conjunto de atvidades), soja através de mudangas nas condigses em que a operaggo da atividade ocorre, Por exemplo: para riscos causados por fenémenos naturais, pode ser uma allernativa mais rentével mover fisicamente as instalagSes de processamento de informagSes para um local onde o risco nao existe ou esta sob controle, 9.5 Transferéncia do risco ‘Ago: Convém que um determinado risco seja transferido para outra entidade que possa gerencié-lo de forma mais eficaz, dependendo da avaliagao de riscos. Diretrizes para implementacao: A transferéncia do isco envolve a decisdo de se compartlhar certos riscos com entidades externas, ‘A transferéncia do risco pode também criar novos riscos ou modificar riscos existentes e j8 identificados. Portanto, um novo tratamento do risco pode vir a ser necessério. 20 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 ‘A transferéncia pode ser feita por um seguro que cubra as conseqiiéncias ou através da subcontratagao de ‘um parceiro cujo papel seria o de monitorar o sistema de informagéo e tomar medidas imediatas que impegam um ataque antes que ele possa causar um determinado nivel de dano ou prejuizo. Note-se que, apesar de ser possivel transferir a responsabilidade pelo gerenciamento do risco, néo é normalmente possivel transferir a responsabldade legal pelas conseqléncias. Os clientes provavelmente irdo alribuir a culpa por um efeito adverso a organizagao, 10 Aceitacao do risco de seguranga da informacgao Entrada: O plano de tratamento do risco @ a analise/avaliagao do risco residual sujelto a decisdo dos gestores da ‘organizagio relativa & aceitagdo do mesmo. ‘Agi: Convém que a deciséo de aceitar os riscos seja feita e formalmente registrada, juntamente com a tesponsabilidade pela decisao (isso se refere ao paragrafo 4.2.1 h) da ABNT NBR ISO/IEC 27001), Diretrizes para implementacao: ‘Convém que os planos de tratamento do risco descrevam como os riscos avaliados serdo tratados para que 108 critérios de aceitagao do risco sejam atendidos (ver Segdo 7.2 Critérios para a aceitagéo do risco). E importante {que gostoras responsaveis fagam uma andlise critica e apravem, se for o caso, os planos propastos de tratamento do risco, 0s riscos residuais resultantes e que registrem as condiges associadas a essa aprovagao, s critérios para @ aceitago do risco podem ser mais complexos do que somente a determinagéo se 0 isco residual est4, ou no, abaixo ou acima de um limite bem definido. Em alguns casos, 0 nivel de risco residual pode nao satisfazer 0s eritérios de aceltagao do risco, pots os critérios aplicados nao estéo levando em conta as circunstancias predominantes no momento. Por exemplo, pode ser valido argumentar que 6 preciso que se aceite 0 risco, pois os beneficios que o acompanham sao muito atraentes ‘ou porque os custos de sua redugao so demasiadamente elevados. Tals circunstancias indicam que os critérios, para a aceitagao do risco sao inadequados e convém que sejam revistos, se possivel. No entanto, nem sempre 6 possivel rever os critérios para a aceitago do risco no tempo apropriado. Nesses casos, os tomadores de decisdo podem ter que aceitarriscos que no satisfacam os critérios normals para o aceite Se isso for necessario, convém que o tomador de decisdo comente explicitamente sobre os riscos e inciua uma justificativa para a sua decisdo de passar por cima dos critérios normais para a aceitagao do risco. ‘Saida: Uma lista de riscos aceitos, incluindo uma justificativa para aqueles que ndo satisfagam os critérios normals, para aceitagao do risco. 11 Comunicagao do risco de seguranga da informacao Enlrada: Todas as informacées sobre os riscos obtidas através das atividades de gestéio de riscos (ver Figura 1), ‘gio: Convém que as informagées sobre riscos sejam trocadas e/ou compartihadas entre o tomador de decisao © as outras partes interessadas. Diretrizes para implementacao: ‘A comunicagao do risco é uma atividade que objetiva alcangar um consenso sobre como os riscos devem ser gerenciados, fazendo uso para tal da troca e/ou partilha das informagdes sobre o risco entre os tomadores de decisdo e as outras partes inleressadas. A informagao inclu, entre outros possiveis fatores, a existéncia, nalureza, forma, probabilidade, severidade, tratamento @ aceitabilidade dos riscos. ‘A comunicagao eficaz entre as partes interessadas importante, uma vez que isso pode ter um impacto significative sobre as decisées que devem ser tomadas. A comunicagdo assegurara que os responsaveis pela implementagao da gestao de riscos, e aqueles com interesses reais de direito, tenham um bom entendimento do por que as decisées séo tomadas © dos motivos que tornam certas agdes necessérias. A comunicagao 6 bidirecional 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados 21Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 ‘A percepgao do risco pode variar devido a diferengas de suposigSes, conceitos, necessidades, interessos preocupagées das partes interessadas quando lidam com o risco ou quando tratam das quesiées sendo aqui discutidas. As partes interessadas irdo, provavelmento, fazer julgamentas sobre a aceitabilidade do risco tendo ‘como base sua propria percepgo do risco. Assim, é particularmente importante garantir que a percepgso do risco das partes interossadas, bem como a sua percepgao dos beneficios, sejam identificadas documentadas e que {as razes subjacentes sejam claramente entendidas e consideradas, Convém que a comunicagao do risco seja realizada a fim de Fomecer garantia do resultado da gestao de riscos da organizagao Coletar informagdes sobre os riscos, Compartihar os resultados da andlise/avaliagdo de riscos e apresentar o plano de tratamento do risco Evitar ou reduzir tanto a ocorréncia quanto as consegiiéncias das violagdes da seguranga da informagso ‘que acontecam devido a falta de entendimento matuo entre os tomadores de decisdo e as partes interessadas Dar suporte ao processo decisério Obter novo conhecimento sobre a sequranca da informago Coordenar com outras partes e planejar resposias para reduzir as conseqiiéncias de um incidente Dar aos tomadores de decisdo e as partes interessadas um senso de responsabilidade sobre riscos Melhorar a conscientizagao Convém que @ organizagao desenvolva planos de comunicagao dos riscos tanto para as operagées rotinelras como também para situagées emergenciais. Portanto, convém que a atividade de comunicagao do risco soja realizada continuamente. ‘A coordenagao entre os principals tomadores de decisdo e as partes interessadas pode ser obtida mediante 2 formagao de uma comissdo em que os riscos, a sua priorizagao, as formas adequadas de tratélos e a sua aceitagao possam ser amplamente discutidos, E importante cooperar com o escritério de relagées pablicas ou com 0 grupo de comunicagao apropriado dentro dda organizago para coordenar as tarefas relacionadas com a comunicagao do risco. Isso é vital no caso de agées de comunicagao durante crises, por exemplo: em resposta a incidentes especificos. Salida: Entendimento continuo do proceso de gestao de riscos de seguranga da informacao da organizagao ‘dos resultados obtidos. 12 Monitoramento e andlise critica de riscos de seguranga da informagao 12.1 Monitoramento e anélise critica dos fatores de risco Entrada: Todas as informagSes sobre os riscos obtidas através das atividades de gestdo de riscos (ver Figura 1). ‘Ago: Convém que os riscos @ seus fatores (isto , valores dos ativos, impactos, ameacas, vulnerabilidades, probabilidade de ocorréncia) sejam monitorados e analisades eriicamente, a fim de se identificar, o mais rapidamente possivel, eventuais mudangas no contexto da organizacao e de se manter uma viséo geral dos riscos. Diretrizes para implementacao: 3s riscos no sao estaticos. As ameagas, as vulnerabilidades, a probabilidade ou as conseqiiéncias podem mudar abruptamente, sem qualquer indicacao. Portanto, o monitoramento constante é necessdrio para que se detectem ‘esas mudancas. Servigos de tercelros que fornegam informagoes sobre novas ameacas ou vulnerabllidades podem prestar um auxilio valioso. Convém que as organizacées assegurem que os seguintes itens sejam monitoradas continuamente: * Novos ativos que tenham sido incluidos no escopo da gestao de riscos + Modificagdes necessarias dos valores dos ativos, por exemplo: devido & mudanca nos requisitos de negécio + Novas ameagas que podem estar ativas tanto fora quanto dentro da organizagao e que nao tenham sido avaliadas * A possibilidade de que vuinerabilidades novas ou ampliadas venham a permitr que alguma ameaga as explore "AS vulnerabilidades a identificadas, para determinar aquelas que estéo se tomando expostas a ameagas novas ou ressurgentes 22 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 + As conseqiiéncias ou o impacto ampliado de ameagas, vulnerabllidades © riscos avaliados em conjunto - ‘em um todo agregado, resultando em um nivel inaceitavel de risco * Incidentes relacionadas a seguranga da informagao Novas ameacas, novas vulnerabiiidades e mudangas na probabilidade ou nas conseqiiéncias, podem vir a ampliar (05 riscos anteriormente avaliados como pequenos. Convém que a andlise critica dos riscos pequenos e aceitos ‘considere cada risco separadamente © também em conjunto a fim de avaliar seu impacto potencial agregado. ‘Se 05 riscos nao estiverem dentro da categoria "baixo” ou "aceitavel", convém que eles sejam tratados utllizando- ‘se uma ou mais de uma das opgées consideradas na Segao 9. Fatores que afetam a probabilidade ou as conseqiiéncias das ameagas j4 ocorridas podem mudar, assim como 05 fatores que afetam a adequacdo ou 0 custo das varias opgdes de tratamento. Convém que qualquer grande mudanga que afete a organizagao seja seguida por uma andlise critica mais especifica, Assim sendo, convém que nao 86 as atividades de monitoramento de riscos sejam repetidas regularmente, mas também as opgdes, selecionadas para o tratamento do risco sejam periodicamente revistas, © resultado da atividade de monitoramento de riscos pode fornecer os dados de entrada para as atividades de andlise critica. Convém que a organizacao analise critica e regularmente todos os riscos e também quando grandes mudancas ocorrerem (de acordo com a ABNT NBR ISO/IEC 27001, Seco 4.2.3) aida: Alinhamento continuo da gestao de riscos com os objetivos de negéclos da organizagao e com os critérios, ara a aceitagao do risco. 12.2 Monitoramento, anélise critica e methoria do processo de gestao de riscos. Entrada: Todas as informagbes sobre os riscos obtidas através das atividades de gestdo de riscos (ver Figura 1). ‘Agi: Convém que o pracesso de gestao de riscos de seguranga da informagéo seja continuamente monitorado, analisado criticamente e melhorado, quando necessario e apropriado. Diretrizes para implementacao: © monitoramento cotidiano © a analise critica s8o necessérios para assegurar que 0 contexto, o resultado da analiselavaliagdo de riscos @ do tratamento do risco, assim como os planos de gestao, permanegam relevantes e adequados as circunstancias. Convém que a organizagao se certifique que 0 processo de gestio de riscos de seguranga da informacao @ as alividades relacionadas permanegam apropriadas nas circunstdncias presentes, Convém também assegurar quo as atividades sejam acompanhadas. Convém que quaisquer melhorias ao processo ou quaisquer ages nnecessérias para melhorar 2 conformidade com 0 proceso sejam comunicadas aos gestores apropriados, para que Se possa ter certeza que nenhum risco ou elemento do risco sera ignorado ou subestimado, que as agbes necessérias estéo sendo execuladas e que as decisées corretas esto sendo tomadas a fim de se garantir ‘uma compreensao realista do risco e a capacidade de reagao. Além disso, convém que a organizagéo verifique regularmente se os oritérios utlizados para medir 0 isco @ 08 seus elementos ainda sto validos e consistentes com os objetivas de negécios, estratégias e politicas e se as, mudangas no contexto do negécio sdo adequadamente consideradas durante 0 processo de gesiao de riscos de sseguranga da informagao. Convém que essa atividade de monitoramento e analise critica lide com (mas nao soja limitada ao(s)) texto legal e do ambiente xto da concorréncia Método de andliselavaliagio de riscos Valor ¢ as categorias dos ativos Gritérios de impacto Critérios para a avaliagdo de riscos Gritérios para a aceitagao do risco Custo total de propriedade Reoursos necessérios 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados 23Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Gonvém que a organizago assegure que os recursos necessdrios para a andlise/avaliagao de riscos € 0 tratamento dos mesmos estejam sempre disponiveis para rever os riscos, para lidar com ameacas ‘ou wulnerabilidades novas ou alteradas o para aconselhar a diregao da melhor forma possivel ‘© monitoramento da gestio de riscos pode resultar em modificagao ou acréscimo da abordagem, metodologia ou ferramentas uilizadas, dependendo: Das mudangas identificadas Da lteragdo da andlise/avaliagao de riscos Do objetivo do processo de gestdo de riscos de seguranca da informagao (por exemplo: a continuidade de negécios, a resiigncia diante dos incidentes, a conformidade) Do objeto de interesse do proceso de gestio de riscos de seguranga da informagao (por exemplo: a organizagdo, a unidade de negécios, o sistema de informagdo, a sua implementagdo técnica, a aplicagao, ‘a conexo a Internet) ‘Saida: Garantia permanente da relevancia do processo de gestio de riscos de seguranga da informagao para os Objetivos de negécios da organizagao ou a atualizagao do proceso. 24 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Anexo A (informative) Definindo o escopo e os limites do processo de gestao de riscos de seguranga da informagao A Aanilise da organizagao A andlise da organizacio Este tipo de andlise destaca os elementos caracteristicos que definem a identidade de uma organizagao. Ela se preocupa com 0 propésite, o negécio, a missdo, os valores e as estratégias da ‘organizagao. Convém que esses elementos sejam identiicados ao lado daqueles que contribuem com o seu desenvolvimento (por exempio: a subcontratacao), A dificuldade aqui reside no entendimento exato de como a organizagao esta estruturada. A identificagao de sua real estrutura permite um entendimento do papel e da importancia de cada area no alcance dos objetivas da organizagao. Por exemplo, 0 fato do gestor da seguranga da informagao se reportar 4 alla diregao ao invés de fazé-lo aos gestores de TI pode indicar 0 envolvimento da alta dlregdo nos assuntos relativos a seguranga da informacao. © propésito principal da organizacio © seu propésito pode ser definido como a razéo pela qual a organizagao ‘iste (sua area de atividade, sou segmento de mercado etc.) ‘Seu negécio O negécio de uma organizagao, definido pelas técnicas e know-how de seus funcionatios, viabllza 0 ‘cumprimento de sua missao. E especifico & drea de atividade da organizacdo e freqiientemente define sua cultura ‘Sua miss4o A organizagdo atinge seu propésito ao cumprit sua missao, Para bem identificd-la, convém que os Servigos prestados e/ou produtos manufaturados sejam relacionados aos Seus pliblicos-alvo. ‘Sous valores Valores consistem de principios fundamentais ou de um cédigo de conduta bem definido, aplicados tna rotina de um negécio. Podem incluir os recursos humanos, as relagoes com agentes externos (clientes © outros), a qualidade dos produtos fornecidos ou dos servigas prestados, Tomemos 0 exemplo de uma organizagao cujo propésito seja 0 servigo publico, cujo negdcio seja o transporte © cuja misao inclua o transporte de criangas de ida e de volta da escola. Os seus valores poderiam ser ‘a pontualidade do servigo e a seguranca durante o transporte A cestrutura da organizagao Existem diferentes tipos de estrutura + Estrutura departamental baseada em divisées ou areas: cada divisdo fica sob a autoridade de um gestor do area responsavel pelas decisées estratégicas, administrativas e operacionais relativas a sua unidade. + Estrutura baseada em funcées: a autoridade relativa a cada funcéo 6 exercida na forma dos procedimentos adotados, na determinagao da natureza do trabalho © algumas vezes nas decises © no planejamento (por exemplo: produce, TI, recursos humanos, marketing etc.) Notas: + Uma area, em uma organizagéo com estrutura departamental, pode estruturar-se baseando-se em suas fungdes e vice-versa + Uma organizagao pode ser considerada como de estrutura matricial se possuir caracteristicas de ambos os tipos de estrutura, + Em qualquer tipo de estrutura organizacional, os seguintes niveis podem ser distinguidos: + onivel de tomada de decisao (estabelecimento da orientagdo estratégica); + onivel da lideranga (coordenagao e gerenciamento);, + onivel operacional (producao ¢ atividades de apoio). 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados 25Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Organoarama A estrutura da organizagéo é esquematizada om seu organograma. Convém que essa representagéo deixe claro quem se reporta a quem, destacando também a linha de comando que legitimiza fa delegacao de autoridade. Convém que inclua também outros tipas de relacionamentos, os quais, mesmo que nao sejam baseados em uma autoridade oficial, criam de qualquer forma caminhos para o fluxo de informagao. A estratégia da organizacdo Ela requer a expressao formalizada dos principios que norteiam a organizacéo. A estratégia determina a diregdo © o desenvolvimento necessarios para que a organizagéo possa se beneficiar das questées em pauta e das principais mudangas sendo planejadas. A.2 Restricbes que afetam a organizagao Convém que todas as restrigSes que afetam a organizagao e determinam o direcionamento da seguranca da informagao sejam consideradas. As suas origens podem ser encontradas na prépria organizagao, o que Ihe da um certo controle sobre as restrigdes ou talvez sejam externas a organizago, o que as tonariam, provavelmente, “inegocidvels". Recursos limitados (orgamento, recursos humanos) e restrigSes ligadas a emergéncias astdo entre {as mais importantes, A organizagao define seus objetivos (relativos ao seu negécio, comportamento etc.) e compromete-se a seguir um determinad caminho, possivelmente por um longo periado. Ela define aquilo na qual deseja se tornar e também ‘0s melos necessérios para que tal possa ocorrer. Para especificar esse caminho, a organizagao considera a ‘evolugao das técnicas © do know-how disponiveis, assim como a vontade expressa de sous usuarios, clientes, etre outros fatores. Esse objetivo pode ser expresso na forma de estratégias de operagao ou de desenvolvimento ‘com o fim de, por exomplo, cortar custos operacionais, melhorar a qualidade do servigo ete. Essas estratégias provavelmente abrangem as informagées e os sistemas de informagdo (SI), 08 quais auxiliam a aplicagao das estratégias. Consequentemente, as caracteristicas relacionadas a identidade, missdo 6 estratégias da organizacao séo elementos {undamentais para a andlise do problema, pois a violago de qualquer aspecto da seguranca da informagao pode resultar na reformulagao desses objetivos estratégicos. Além disso, 6 essencial que propostas de novos requisites de seguranca da informacao sejam consistentes com as regras, (uso © 0s meios empregados na organizacao. A lista de restrigSes inclui, mas ndo ¢ limitada a: Restricdes de natureza politica Estas dizom respeito a administracao governamental, as insttuigdes publicas ou, gonericamente, a qualquer organizagao que precise aplicar decisées governamentais. Normalmente, trata-se de decisées relativas 4 orientagao estratégica ou operacional determinada por uma area do governo ou por uma entidade responsavel pelo proceso decisério e convém que sejam aplicadas, Por exemplo, a informatizagaio de notas fiscals ou de documentos administrativos introduz questoes de seguranca da informagao. Restrigdes de natureza estratéica Restrigbes podem surgir de mudangas, sejam planejadas ou néo, na estrutura ou na orientagao da organizagéo. Elas séo representadas nos planos estratégicos ou operacionais da organizagao. Por exemplo, a cooperagao intemacional para o compartihamento de informagées sensiveis pode demandar acordos sobre a troca segura de dados. Restrigdes territoriais, ‘A estrutura e/ou 0 propésito da organizacao pode implicar restrigSes, tals como com relagao a escolha de sua localizagao e distribuigéo geogréfica, no pais e no estrangeiro, Exemplos incluem os servigos postais, embaixadas, bancos, subsidiérias de conglomerados industrais otc. 26 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Restrigbes advindas do ambiante econdmico e politico ‘A operagao de uma organizagao pode ser transtomada por eventos especificos, tais como graves ou crises nacional e internacionais, Por exemplo, convém garantir a continuidade da prestagao de alguns servigos mesmo em caso de crises. Restricdes estruturais ‘A natureza da estrutura de uma organizagao (departamental, funcional ou outra qualquer) pode levar a uma politica de seguranga da informacdo e a uma organizagdo responsavel pela seguranca, adapladas a essa estrutura Por exemplo, convém que uma estrutura internacional seja capaz de conciliar requisitos de seguranga especificos de cada pais. Rostricbes funcionals Restrigdes funcionals so aquelas derivadas diretamente da missdo da organizacao (seja nos seus aspectos gerais, seja nos espectficos). Por exemplo, convém que uma organizacao que opera 24 horas por dia seja capaz de assegurar que sous recursos estardo sempre disponiveis. Restricbes relativas aos recursos humanos A natureza dessas restrigées varia consideravelmente, Estdo associadas ao: nivel de responsabilidade, tipo de recrutamento, qualificacao, treinamento, conscientiza¢ao em seguranca, motivacao, disponibilidade etc. Por exomplo, convém que todos os recursos humanos de uma organiza¢ao de defesa do pais tenham autorizagao para manipular informagées altamente sigilosas. Restrigdes advindas da agenda da organizacdo Esse tipo de restrigdo resulta, por exemplo, da reestruturagdo ou da definigdo de novas politicas nacionais ou intemacionais que imponham algumas datas limites. Por exemplo, a criagao de uma area de seguranca, Restricbes relacionadas a métodos Métodos apropriados para o know-/ow da organizagao precisardo ser impostos com relagao a alguns tépicos, tais como o planejamento, a especificagao e o desenvolvimento de projetos, entre outros. Por exemplo, uma restrigéo desse tipo bastante comum 6 a necessidade das obrigagées legais da organizagao sserem incorporadas 4 politica de seguranca. Restricbes de natureza cultural Em algumas organizagées, habitos de trabalho ou as caracteristicas do negécio dao origem a uma “cultura” especifica da organiza¢ao, a qual pode ser incompativel com o estabelecimento de controles de seguranga. Essa cultura é usada pelos recursos humanos como sua principal referéncia e pode ser determinada por varios aspectos, incluindo educagdo, instrugdo, experiéncia profissional, experiéncia fora do trabalho, opiniGes, flosofia, forengas, status social etc. Restrigdes orcamentérias (Os controles de seguranca recomendados podem, algumas vezes, ter um alto custo, Apesar de nao ser sempre apropriado ter apenas a taxa de custo-beneficio como base para os investimentos em seguranga, uma justificativa ‘econdmica é normaimente necesséria para o departamento financeiro da organiza¢ao. Por exemplo, no setor privado © em algumas organizagdes pablicas, convém que o custo total dos controles de seguranga nao exceda 0 custo potencial das possivels conseqléncias dos riscos. Assim, convém que a alta diregao avalie os riscos @ aceite uma parcela deles de forma consciente @ calculada, para se evitar custos excessivos em seguranga. 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados 27Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 A Legislagées e regulamentagées aplicaveis a organizagao Convém que os requisites regulatérios aplicéveis organizagao sojam identificados. Eles consistem nas leis, decretos, regulamentagées especificas que dizem respeito a area de atividade da organizagao ou regulamentos intemos @ externas. Englobam também contratos, acordos e, mais genericamente, qualquer obrigagao de naturoza legal ou regulator AA Restrig6es que afetam 0 escopo ‘Ao identificar as restrigSes 6 possivel enumerar aquelas que causam um impacto no escopo e determinar quais, 40 passiveis de intervengao. Elas complementam e talvez venham a corrigir as restiigbes da organizagao discutidas mais acima. Os paragrafos a seguir apresentam uma lista de tipos de restrigSes, sem esgotar todas as possibilidades. Restricdes derivadas de processos preexistentes Projetos de aplicages nao so desenvolvidos necessariamente de forma simultanea. Alguns dependem de processos pré-exisientes. Mesmo que um processo possa ser quebrado em subprocessos, 0 processo nao 6 obrigatoriamente influenciado por todos os subprocessos de um outro processo. Restrigdes técnicas Restrigdes técnicas, relativas a infra-estrutura, surgem normalmente em funcao do software ¢ hardware instalados © dos aposentos @ instalagdes em que eles se encontram: + Arquivos (requisitos referentes & organizacao, gestao de midia, gerenciamento de regras de acesso etc.) + Arquitetura comum (requisitos referentes @ topologia - centralizada, distribuida ou do tipo cliente-servidor, A arquitetura fisica etc.) + Software aplicativo (requisites referentes aos projetos de software especifico, padrées de mercado etc.) + Software de prateleira (requisitos referentes a padrées, nivel de avaliagao, qualidade, conformidade com normas, seguranga etc.) + Hardware (requisitos referentes a padres, qualidade, conformidade com normas etc.) + Redes de comunicacao (requisites referenies a cobertura, padres, capacidade, confiabilidade etc.) + Infra-estrutura predial (requisites referentes & engenharia civil, construgdo, alta voltagem, baixa voltagem etc.) Restrigbes financeiras ‘A implementagdo de controles de seguranga 6 freqlientemente limitada pelo orgamento que a organizagao pode ‘comprometer para tal. Entretanto, convém que restrigées financeiras sejam consideradas por ultimo jé que alocagSes orgamentarias para seguranga padem ser negociadas tendo como base a andlise da prépria seguranga. Restricdes ambientais Restrigdes ambientais surgem em fungae do ambiente geografico ou econémico no qual 0s processes séo implementados: pais, clima, riscos naturais, situagéo geografica, ambiente econémico etc Restrigbes temporais, Gonvém que o tempo requeride para a implementagao de controles de seguranga seja considerado em relagao & capacidade de atualizagao do sistema de informacao; se a implementagao for muito demorada, os riscos para (5 quais os controles foram projetados podem ja ter mudado, O tempo @ um fator determinante na selegao de solugdes e prioridades. Rostrigdes relacionadas a métodos Convém que métodos apropriados para o know-how da organizagao sejam utilizados para o planejamento, a especificagao e o desenvolvimento de projetos, entre outros. 28 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) 1801 ABNT NBR ISO/IEC 27005:2008 Rostriodes organizacionais, \Varias restrigbes podem ser causadas por requisitos de ordem organizacional + Operagao (requisites referentes ao “tempo gasto na produgao", fornecimento de servicos, vigilancia, monitoramento, planos em caso de emergéncia, operagao reduzida etc.) + Manutengao (requisitos para a investigacao ¢ solugao de incidentes, agdes preventivas, correcao rapida etc.) + Gestdo de recursos humanos (requisites referentes ao treinamento de operadores © usuarios, qualificago para cargos como administrador de sistema ou de dados ete.) + Gerenciamento administrativo (requisitos referentes a responsabilidades etc.) + Gerenciamento do desenvolvimento (requisites referentes a ferramentas de desenvolvimento, engenharia de ‘software assistida por computador, cronograma de aceite, organizagao a ser estabelecida etc.) + Gerenciamento de relacionamentos externos (requisitos referentes @ organizagao das relagdes com terceiros, contratos ete.) IEC 2008 -@ ABNT 2008 - Todos os dries reservados 29Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Anexo B (informative) Identificagdo e valoragao dos ativos e avaliagao do impacto B.1 Exemplos de ident icagao de ativos Para estabelecer o valor de seus ativos, uma organizagao precisa primeiro identifcd-los (num nivel de dotalhamento adequado). Dois tipos de ativos podem ser distinguidos: + Ativos primérios: = Processos e atividades do negécio * Informagao + Atvos de suport « infra-estrutura (sobre os quais os elementos primérios do escopo se aptiam), de todos os tpos: Hardwar Software Rede Recursos humanos Instalagées fisicas Aestrutura da organizagao B.1.1 Ident icagdo dos ativos primarios Para permit a descrigao do escopo de forma precisa, essa alividade consiste na identificagao dos ativos primérios (processos e atividades do negécio, informagao). A identificacdo 6 conduzida por um grupo misto de trabalho que Tepresente o processo (gestores, especialistas nos sistemas de informagao e usuarios), 0s ativos primérios normalmente consistem nos principais processos e informagbes das atividades incluidas no escopo. Outros ativos primarios, tais como os processos da organizacao, podem também ser considerados, (5 quais serdo iiteis para a elaboragdo da politica de seguranca da informagdo ou do plano de continuidade de negécios. Dependendo de seus propésitos, alguns estudos nao irao demandar uma andlise exaustiva de todos os elementos presentes no escopo. Nesses casos, o estudo pode ser limitado aos elementos chave incluldos no escopo, 3s ativos primarios sao de dois tipos: 41 Processos (ou subprocessos) o atividades do negécio, por exemplo: + Provessos cuja interrupgao, mesmo que parcial, torna impossivel cumprir a miss&o da organizagéo + Processos que contém procedimentes secretos ou processos envolvendo tecnologia propriataria + Processos que, se modificados, podem afetar significativamente o cumprimento da missao da organizagao + Processos necessarios para que a organizagao fique em conformidade com requisitos contratuais, legais ou regulatérios 2=Informacio. Genericamente, informagao primaria compreende: Informagao vital para o cumprimento da misséo de uma organizagéo ou para o desempenho de seu negécio Informagao de carater pessoal, da forma em que é definida nas leis nacionais referentes a privacidade Informagao estratégica necesséria para 0 alcance dos objetivos determinados pelo direcionamento estratégico Informagao de alto custo, cuja coleta, armazenamento, processamento © transmisso demanda um longo tempo ou incorre em um alto custo de aquisico 30 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Processos ¢ informagao que nao sao identificadas como sensiveis apés essa atividade nao receberdo uma lassificagao especifica durante o restante do estudo. Isso significa que a organizagao iré cumprir sua misao com sucesso mesmo no caso desses procassos e informagdo teram sido comprometides. Entretanto, eles irdo freqientemente herdar controles implementados para a protegao de processos e informagao identificados como sensiveis. B.1.2 Lista e descrigdo de ativos de suporte e infra-estrutura Convém que 0 escopo consista de ativos que podem ser identificados @ descritos. Esses ativos apresentam vulnerablidades que podem ser exploradas por ameagas cujo objetivo é comprometer os ativos primarios ddo escopo (processos e informagao). Eles so de varios tipos: Hardware © tipo hardware compreande os elementos fisicas que dao suporte aos processos. Eauipamento de processamento de dados (atvo} Equipamento automatico de processamento de dados incluindo os itens necessarios para sua operagao independente. Equipamento mével Computadoras portates. Exomplos: laptops, agendas eletrénicas (Porsonal Digital Assistants - PDA), Equipamento fxo Computadores utlizados nas instalagSes da organizagao. Exemplos: servidares, microcomputadores ullizados como estages de trabalho. Periféricos de processamento Equipamento conectado @ um computador através de uma porta de comunicagao (serial, paralela ete.) para a entrada, o transporte ou a transmisséo de dados. Exemplos: impresoras, unidades de disco removivel. Midia de dados (oassiva) Este tipo compreende a midia para o armazenamento de dados ou fungées. Midia eletronica Uma midia com informagées que pode ser conectada a um computador ou a uma rede de computadores para o armazenamento de dados, Apesar de seu tamanho reduzido, esse tipo de midia pode conter lum grande volume de dados e pode ser utlizada com equipamentos computadorizados comuns. Exemplos: disco flexivel, CD ROM, cartucho de back-up, unidade de disco removivel, carto de meméria, fita Qutros tipos de midia Midia estatica, ndo-eletronica, contendo dados, Exemplos: papel, slides, transparéncias, documentagao, fax. Software © tipo software compreende todos os programas que contribuem para a operagéo de um sistema de processamento de dados. 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados 3Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Sistema operacional Este tipo inclui os programas que fomecem as operagdes basicas de um computador, a partir das quais 198 outros programas (servigos ¢ aplicagées) S40 executados. Nele encontramos um nucleo ("kerner) ¢ as fungdes ou servigos basicos. Dependendo de sua arquitetura, um sistema operacional pode ser monolitico, u formado por um *micro-kernef" @ um conjunto de servigas do sistema. Os principais elementos de um sistema operacional so os servigos de gerenciamento do equipamento (CPU, maméria, disco e interfaces de rede), 08 de gerenciamento de tarefas ou processos © 0s servigos de gerenciamento de direitos de usuario, ‘Sofware de servico, manuteneso ou administracdo Software caracterizado pelo fato de servir como compiemento dos servigos do sistema operacional © ndo estar diretamente a servigo dos usuarios ou aplicagées (apesar de ser, normalmente, essencial © até mesma indispensavel para a operagao do sistema de informagao como um todo), ‘Software de pacote ou de pratoleira Software de pacote ou software-padréo 6 aquele que ¢ comercializado como um produto completo (e nao como um servico de desenvolvimento especifico) com midia, verso © manutengao. Ele fornece servigos para usuarios e aplicagdes, mas no é personalizado ou especifico como, por exemplo, aplicagGes de negécio 0 sao, Exemplos: software para o gerenciamento de bases de dados, software de mensagens eletrénicas, “groupware” (software de gerenciamento de fluxo de trabalho), software de diretério, servidores web etc. Aplicagées de negécio Rede Aplicacdes de negécio padronizadas Este tipo de software comercial 6 projetado para dar aos usudrios acesso direto a servigos © fungbes que eles demandam de seus sistemas de informagao, om fungao das areas em que atuam profissionalmente. Existe uma gama enorme, teoricamente ilimitada, de campos de atuagao, Exemplos: software de contabilidade, software para o controle de maquindrio, software para administragao do relacionamento com clientes, software para gesido de competéncias dos recursos humanos, software administrative ete. Aplicacées de negécio especificas Varios aspectos desse tipo de software (principaimente o suporte, a manutencao e a atualizagéo de versoes etc.) so desenvolvidos especificamente para dar aos usuarios acesso direto aos, servigos e fungdes que eles demandam de seus sistemas de informacdo, Existe uma gama tenorme, teoricamente ilimitada, de areas em que esse tipo de software é encontrado, Exemplos: Administragdo das notas fiscais de clientes para as operadoras de telecomunicagao, aplicagao para monitoramento em tempo real do langamento de foguetes. © tipo rede compreende os disposivos de telecomunicagao utlizados para interconectar computadores ou quaisquer outros elementos rematos de um sistema de informagao, 32 © meio fisico e a infra-estrutura Os equipamentos de comunicago ou de telecomunicacéo sao identificados principalmente pelas suas caracteristicas fisicas e técnicas (ponto-a-ponto, de “broadcasr) e pelos protocolos de comunicagao utiizados (na camada de enlace de dados ou na camada de rede - niveis 2 © 3 do modelo OSI de 7 camadas). Exemplos: Rede telefbnica publica comutada ("Public Switching Telephone Network" ou PSTN), “Ethemet, "Gigabitéthemer", Linha digital assimétrica para assinante (‘Asymmetric Digital ‘Subscriber Line" ou ADSL), especificagdes de protocolo para comunicagao sem fio (por exemplo, (0 WiFi 802.11), "Bluetooth, "FireWire" {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Pontes ("relays") passivas ou ativas Este subtipo ndo compreende os dispositives que ficam nas extremidades légicas da conexao (na perspectiva do sistema de informagao), mas sim 08 que sao intermediarios no processo de Ccomunicagdo, repassando o trafego. Pontes so caracterizadas pelos protocolos de comunicagao de rede com os quais funcionam, Além da funcéo basica de repasse do tréfego, elas frequentemente so dotadas da capacidade de roteamento e/ou de servigos de fitragem, com 0 emprego de comutadores de comunicago ("switches") e roteadores com filtros. Com freqiiéncia, elas podem ser administradas remotamente e séo normalmente capazes de gerar arquivos de auditoria ("logs") Exemplos: pontes ("bridge: automaticas. roteadores, comutadores ("switches"), centrais telefénicas Interface de comunicagao ‘As interfaces de comunicagéo conectadas as unidades de processamento so, porém, caracterizadas pela midia € protocolos com os quais {uncionam; pelos servigos de fitragem, de auditoria e de alerta instalados, se houver, ¢ por suas funcionalidades; © pela possibilidade e requisites de administragao remota. Exemplos: Servigo Geral de Pacotes por Radio ("General Packet Radio Service" ou GPRS), adaptador "Ethomner’ Recursos humanos ( tipo recursos humanos compreende todas as classes de pessoas envolvidas com os sistemas de informagao, Tomador de deciséo Tomadores de deciso so aqueles responsdveis pelos ativos primérios (informagao e processos) © 08 gestores da organizagao ou, se for 0 caso, de um projeto especifico, Exemplos: alta dregao, lideres de projeto. Usuarios Usudrios sao recursos humanos que manipulam material sensivel no curso de suas atividades que, portanto, possuem uma responsabilidade especial nesse contexto, Eles podem ter direitos especiais de acesso aos sistemas de informacao para desempenhar suas atividades rotinelras. Exemplos: gestores da area de recursos humanos, gerentes financeiros, gestores dos riscos. Pessoal de produgdo/manutencdo Estes so 0s recursos humanos responséveis pela operagdo ¢ manutengao dos sistemas de informagao. Eles possuem direitos especiais de acesso aos sistemas de informagéo para desempenhar suas atividades rotineiras. Exemplos: administradores de sistema; administradores de dados; operadores de back-up, Help Desk e de instalagao de aplicativos; especialistas em seguranga, Desenvolvedores Desenvolvedores sao responsaveis pelo desenvolvimento dos sistemas aplicativos da organizagao, Eles possuem acesso com alto priviégio a uma parte dos sistemas de informago, mas néo interferem com os dados de produgdo, Exemplos: Desenvolvedores de aplicagaes de negocio Instalagdes fisicas © tipo instalagses compreende os lugares onde encontramos 0 escopo (ou parte dele) @ os meias fisicos necessérios para as operagbes nele contidas. 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados 33Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Localidade Ambiente externa Compreende as localidades em que as medidas de seguranga de uma organizagao néo podem ser aplicadas. Exemplos: os lares das pessoas, as inslalagées de outra organizacao, o ambiente externo ao local da organizacao (areas urbanas, zonas perigosas). Ezdifleacées Esse lugar ¢ limitado pelo perimetro externo da organizagéo, isto & por aquilo que fica em contato direto com o exterior. Isso pode ser uma linha de protecao fisica formada por barreiras ou por mecanismos de vigilancia a0 redor dos prédios. Exemplos: estabelecimentos, prédios, Zona Uma zona é limitada por linhas de proterao fisica que criam partigoes dentro das instalagdes da organizagao. E oblida por meio da criago de barreiras fisicas a0 redor das areas com a infra-estrutura de processamento de informagdes da organizacao. Exemplos: escrtérios, areas de acesso restrito, zonas de seguranca, Sorvigos essenciais Todos os servigos necessarios para que os equipamentos da organizagao possam operar normalmente, Comunicacdo Sorvigos de tolecomunicagao e equipamento fomnecido por uma oporadora, Exomplos: linha telefnica, PABX, redes internas de telefonia Servigos de Infra-estrutura Servigos e os meios (alimentagao e fiagéo) necessarios para 0 fornecimento de energia elétrica 2208 equipamentos de tecnologia da informagao e aos seus periféricos. Exemplos:fonte de alimentagao de baixa tensa, inversor, central de circuits elétrios. Fornecimento de agua Sanoamento © esgoto Servigos ¢ 0s meios (equipamento, controle) para refigeragao e purificagdo do ar. Exemplos: tubulagao de gua refrigerada, ar condicionados. Organizacio (tipo organizagao descreve a estrutura da organizagao, compreendendo as hierarquias de pessoas voltadas para 2 execugao de uma tarefa @ os procedimentos que controlam essas hierarquias, 34 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Autoridades Essas S80 as organizagées de onde a organizagdo em questéo obtém sua autoridade, Elas podem ser legalmente afliadas ou ter um cardter mais externo. Isso impSe restrigées 2 organizagao em questao com relagdo a regulamentos, decisoes e agdes, Exemplos: corpo administrativo, sede da organizacao. Acestrutura da organizacio Compreende os varios ramos da organizagao, incluindo suas atividades multidisciplinares, sob controle de sua diregao. Exemplos: gestéo de recursos humanos, gestéo te TI, gestéo de compras, gerenciamento de unidade de negécio, servigo de seguranga predial, servigo de combate a incéndios, gerenciamento da auditoria, Organizacdo de projato ou servigo Compreende a organizacao montada para um projeto ou servigo especifico, Exemplos: projeto de desenvolvimento de uma nova aplicagao, projeto de migragao de sistema de informagao. ‘Subcontratados / Fomecedores / Fabricantes Essas 840 organizagdes que fornecem servigos ou recursos para a organizagao em questo segundo os termos de um contrato. Exemplos: empresa de gerenciamento de instalagdes, empresa prestadora de servigos terceirizados, empresas de consultoria, B.2 Valoragao dos Ativos © asso seguinte, apés a identiicagao do ativo, ¢ determinar a escala de medida a ser usada e os critérios que ppermitam posicionar um ativo no seu correto lugar nessa escala, em fungao de seu valor. Devido a diversidade de ativas encontrados em uma organizagao, é provavel que alguns deles, aqueles que possuem um valor monetario conhecido, possam ser avaliados através da moeda corrente local, enquanto outros ativos, aqueles com um valor expresso em termos qualitativos, talvez precisem ser avaliados através de uma lista de valores a serem selecionados, por exemplo: "muito baixo", “muito alto” etc. A decistio de se usar uma escala quantitativa ao inves de uma qualitativa (ou vice-versa) depende da preferéncia da organizagao, porém convém que seja pertinente aos, ativos em avaliagao. Ambos os tipos de avaliagao podem ser utlizados para se determinar 0 valor de um mesmo ativo. ‘Termos comuns usados em avaliagdes qualitativas do valor de ativos incluem expressées como as seguintes: Insignificante, muito pequeno, pequeno, médio, alto, muito alto, ¢ critico, A escola e 0 leque de termos adequados 2 uma organizagdo depende muito da sua necessidade de seguranca, do seu tamanho, e de outros, aspectos especificas da organizagao. Gritérios Convém que os critérios utlizados como base para aribuigao do valor para cada ativo sejam redigidos de forma objetiva e sem ambigiiidades. Esse 6 um dos aspectos mais dificeis da valoragao dos ativos ja que o valor de alguns doles talvez precise ser determinado de forma subjotiva, e também porque provavelmente varias pessoas parlicipardo do proceso. Entre os possivels crtérios utilizados para determinar o valor de um ativo estao: 0 seu custo original e o custo de sua substituicao ou de sua recriagao. Por outro lado, seu valor pode ser abstrato, por exemplo: 0 valor da reputagao de uma organizagao. Um outro enfoque para a valoragao dos alivos é considerar os custos decorridos da perda da confidencialidade, integridade e disponiblidade resultante de um incidente. Convém que a garantia de néo-repidio e de responsabilizagao, a autenticidade © a confiabilidade, se apropriadas, também sejam consideradas. Tal enfoque acrescenta uma dimenso muito importante & atribuicao do valor de um ativo, além do custo de sua substituigao, pois considera as consegiiéncias adversas ao negécio causadas por incidentes de seguranga, tendo como premissa um conjunto determinado de circunstancias. Convém ressaltar também que as conseqiiéncias que esse ‘enfoque identifica precisardo ser consideradas durante a anélise/avaliacdo de riscos. 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados 35Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Muitos ativos, durante o curso da avaliagao, podem acabar recebendo varios valores. Por exemplo: um plano de negécios pode ser avaliado em fungao do esforgo despendido no seu desenvolvimento, pode ter seu valor atribuido em fungao do trabalho de entrar com os dados, e pode ainda ser valorado de acordo com seu valor para um competidor. Provavelmente, os valores atribuldos sero consideravelmente diferentes. O valor atribuldo pode ser 0 maior valor encontrado, a soma de alguns ou mesmo de todos os possiveis valores. Em ultima analiso, ‘convém pensar cuidadosamente quais ou qual valor séo associados a um alivo, pois o valor final atribuido fara parte do proceso de determinagao dos recursos a serem investidos na protegao do alivo, Dafinigdo de um denominador comum ‘Ao final do processo, a valoragao dos ativos precisa ter como base um denominador comum. Isso pode ser feito com a ajuda de crtérios como os que se seguem. Critérios que podem ser utlizados para eslimar as possiveis, conseqiéncias resultantes da perda de confidencialidade, integridade, disponibilidade, assim como da capacidade de garantir 0 nao-repiidio, a responsabilizacao, a autenticidade, e a confiabilidade, s4o os seguintes: Violagao da legisiagao e/ou das regulamentagses Redugao do desempenho do negécio Perda de valor de mercado/efeito negativo sobre a imagem @ a reputagao Violagao de seguranca relacionada a informagdes pessoais 0 perigo ocasionado a seguranga fisica das pessoas + Efeitos negativos relacionados execucao da lei + Violagao de confidencialidade + Violagao da ordem pablica + Perda financeira + Interrupcdo de atividades do negécio + Operige ocasionado a seguranca ambienta Um outro método para avaliar as conseqiiéncias poderia levar em conta o seguinte: + Interrupgao dos servigos * incapacidade de prestar os servicos = Perda da confianca do cliente * perda da credibilidade no sistema interno de informagao = dano a reputacao + Interrupeao de operagao interna = descontinuidade dentro da prépria organizacao * custo intemo adicional + Interrupgao da operagao de terceiros: = descontinuidade das transagbes entre a organizagao e tercelros * varios tipos de prejuizos ou danos + Infragao de leis / regulamentacées: * incapacidade de cumpri obrigagdes logais + Violagdo de clausulas contratuais * incapacidade de cumprir obrigagSes contratuais, + Perigo ocasionado a seguranga fisica dos recursos humanos / usuérios: ' perigo para os recursos humanos e usuarios da organizagao + Ataque a vida privada de usuarios * Porda financeira + Custos financeiros para emergéncias, reposigo e consertos! ' em termos de recursos humanos, = em termos de equipamentos, = om termos de estudo, relatdrios de especialistas Perda de bens/fundosiativos Porda de clientes, perda de fornecedores Procedimentos e penaiidades judiciais Perda de vantagem competitiva Perda da lideranga tecnolégica / técnica Perda de eficacia J confianga Perda da reputacao técnica 36 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Enfraquecimento da capacidade de negaciagao Crise industrial (greves) Crise governamental Rejeigao Dano material Esses critérios exemplificam os temas a serem considerados durante a valoragao de atives. Para a execugo dese tipo de avaliagao, uma organizagao precisa selecionar os critérios que sejam relevantes para o seu tipo de negécio e para as seus requisitos de seguranca. Isso pode significar que alguns dos critérios listados acima nao ‘sejam aplicaveis, e que outros talvez precisem ser adicionados a lista. Escala de medicao ‘Apés estabelecer os crtérios a serem considerados, convém que @ organizagao adote uma escala de medigao para ser utlizada om todas as suas areas. O primeiro passo é definir a quantidade de niveis da escala Nao existem regras a respeito de qual seria o niimero de niveis mais adequado. Quanto mais niveis, maior 6 a granularidade da medicao, porém uma diferenciagao muito ténue toma dificil garantir a consisténcia das avaliagdes realizadas nas diversas areas da organizagao. Normalmente, qualquer quantidade de niveis entre 3 (por exemplo: baixo, médio e alto) © 10 pode ser uilizada, desde que ela seja consistente com a abordagem que @ organizagao esteja usando para o processo de andliselavaliacao de riscos como um todo. Uma organizacao pode definir seus préprios limites para os valores de seus ativos, tals como 'baixo', ‘médio! ¢ ‘allo. Convém que esses limites sejam estimados de acordo com o crtéio selecionado (por exemplo: para ossiveis perdas financeiras, convém que eles sejam estabolecidos através de valores monetatios; porém, para Cutros tipos de fatores, tals como o perigo ocasionado a seguranga fisica das pessoas, uma estimativa monelaria ode ser por demais complexa ¢ nao aplicével em multas organizagbes). Por uitimo, cabe_inteiramente 2 organizagao a deciséo a respeito do que considerado de 'pequena’, 'média’ ou ‘grande’ consequéncia Uma conseqiéncia desastrosa para uma pequena organizacao pode ser pequena ou mesmo insignificante para uma grande organizagaa, Dependéncias Quanto mais relevantes © numerosos 0s processos de negécio apoiados por um ativo, maior é 0 seu valor. Convém que a dependéncia de ativos a processos de negécio ¢ a outros alivos também seja identificada, pois ela pode influenciar os valores dos ativos. Por exemplo: convém garantir a confidencialidade dos dados durante todo © seu ciclo de vida, inclusive durante o seu atmazenamento e processamento. Em outras palavras, convém que os requisitos de seguranca para o armazenamento de dados e para os programas que fazem 0 processamento correspondent ao valor da confidencialidade dos dados armazenados processados. Da mesma forma, se um processo de negocios depende da integridade dos dados gerados por um programa, convém que os dados de entrada passados para 0 programa sejam confidveis. Mais importante do que isso, @ integridade da informacao dependera do hardware e software utlizados para seu armazenamento @ processamento. Adicionalmente, © hardware dependera do suprimento de energia e, possivelmente, do ar condicionado. Assim, informagaes sobre dependéncias serdo de grande ajuda na identifcacao de ameacas e, em particular, de vulnerabilidades. ‘Alem disso, ajudargo a assegurar que 0 real valor dos ativos (considerando as relagSes de dependéncia) serao atribuldo, dessa forma indicando o nivel de protegdo apropriado. Convém que os valores dos ativos dos quais outros ativos dependem sejam modificados da seguinte maneira: + Se os valores dos alivos dependentes (por exemplo: os dados) forem menores ou iguais ao valor do ativo em questo (por exemplo: 0 software), o valor desse Uitimo permanece o mesmo + Se os valores dos ativos dependentes (por exemplo: os dados) forem maiores do que o valor do ativo ‘em questo (por exemplo: o software), convém que o valor desse ultima aumente de acordo com: = Ograu de dependéncia = Os valores dos outros ativos Uma organizago pode possuir alguns ativos que so disponibilizados mais de uma vez, tals como cépias de programas de software ou o tipo de computador usado na maicria dos escritérios. E importante levar em conta fesse falo quando estiver sendo executada a valoragao dos ativos. Por um lado, esses ativos so facimente ignorados e, por isso, convém que se tenha um cuidado especial em identificé-os todos. Por outro lado, eles podem ser usados para minimizar problemas ligados @ falta de disponibilidade. 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados 37Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Saida © resultado final dessa etapa é a lista de ativos e respectivos valores relativos & divulgagéo indevida de informagées (preservagao da confidencialidade), a modificades nao autorizadas (garantia de integridade, autenticidade, ndo-repiidio © responsabilizacao), & indisponibilidade e destruigao do ativo (preservacao de ‘sua disponibilidade © confiabiidade), ao custo de sua reposi¢ao. B,3 Avaliagao do Impacto Um incidente envolvendo a seguranca da informagao pode trazer conseqiiéncias a varios ativos ou apenas a parte de um tinico ativo. © impacto esta relacionado a medida do sucesso do incidents. Por conseguinte, existe uma diferenga importante entre 0 valor do ativo e o impacto resultante do incidente. Considera-se que o impacto tem um efeito imediato (operacional) ou uma conseqiéncia futura (relativa ao negécio como um todo), a qual inclui aspectos financeiros © de mercado. (© impacto imediato (operacional) pode ser direto ou indireto, Diroto: 2) 0 valor financeiro de reposigao do ativo perdido (ou parte dele) >) O custo de aquisigao, configuragao e instalagao do novo ativo ou do back-up ©) O custo das operagées suspensas devido ao incidente até que 0 servigo prestado pelos ativos afetados seja restaurado, 4) Conseqiiéncias resultantes de violagdes da seguranga da informagéio Indireto: a) Custo de oportunidade (recursos financeiros necesséiios para repor ou reparar um ativo poderiam estar sendo Utiizados para outro fim) b) 0 custo das operagées interrompidas c) Mau uso das informagdes obtidas através da violacao da seguranca 4d) Violagao de obrigacbes estatutérias ou regulatérias, @)_ Violagao dos cédigos éticos de conduta Dessa forma, a primeira avaliagao (sem controles de qualquer tipo) resultara em uma estimativa do impacto muito préxima aos valores (combinados) dos ativos afetados. Para qualquer outta iteragao que se faca relaliva a esses ativos, o impacto sera diferente (normalmente muito menor) davido a presenga © @ eficdcia dos controles implementados, 38 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua ABNT NBR ISO/IEC 27005:2008 Anexo C (informative) Exemplos de ameagas comuns ‘A Tabela contém exemplos de ameacas tipicas. A lista na Tabela pode ser usada durante 0 processo de avaliagao das ameacas. Ameacas podem ser intencionais, acidentais ou de origem natural (ambiental) e podem resultar, por ‘exemplo, no comprometimento ou na paralisagao de servicos essenciais. A lista também indica, para cada tipo de ‘ameaga, se ela pode ser considerada | (intencional), A (acidental) ou N (natural). A letra | é utilizada para indicar a8 agdes intencionais direcionadas contra os ativos de informagao; a letra A é usada para indicar as agdes de origem humana que podem comprometer acidentalmente os ativos de informagao; @ a letra N 6 utlizada para todos os incidentes que néo so provocados pela agdo dos seres humanos, Os grupos de ameacas 'ndo S20 apresentados em ordem de prioridade. Tipo ‘Ameagas Origem Fogo AL ‘Agua’ Poluigao ‘Acidente grave Destruigao de equipamento ou midia Poeira, corrosao, congelamento Fendmeno climatico Fenémeno sismico Eventos naturals [Fen6meno vulednico Fenémeno Meteorol6gica Tnundagao Falha do ar-condicionado ou do sistema de suprimento de agua Tnterrupeao do suprimento de energia A Falha do equipamento de telecomunicacao Radiacao eletromagnética Radiagao térmica Pulsos eletromagnélicos: Tnterceptagdo de sinais de inteferéncla comprometedares Espionagem & distancia Escuta ndo autorizaca Furlo de midia ou documentos Comprometimento da [Furto de equipamentos. informagao Recuperagao de midia reciclada ou descartada T Divulgagao indevida Dados de fontes nao confaveis ‘Alleragao do hardware ‘Alleragao do software T [Determinagao da localizagao Cd Td Dano fisico >|>|>|>|>| Fl 2lzlelelele|=FI=|F| Paralisagao de servigos essencials >| Disturbio causado por radiagao >l>le| MARCOLINO - 631.898, 959-53 RNP-2305421796 (Pedido 196469 Impresso: 30/09/2009) >|_l>}>| ara uso exclusive - CLAUDIO CEZAR CAVALCANT: 1801 IEC 2008 -© ABNT 2008 - Todos os dries reservados 39Convénio ABNT - Sistema Confea/Crea/Mutua ABNT NBR ISO/IEC 27005:2008 Tipo ‘Ameagas Origem Falha de equipamento A Defeito de equipamento A Falhas técnicas | Saluragao do sistema de informagao Al Defeito de software ry Violagao das condigBes de uso do sistema de Informagao que rn possibilitam sua manutengao Uso nao autorizado de equipamento T ‘Cépia legal de software T Uso de cépias de software falsficadas ou legals Al ‘Comprometimento dos dados. i Processamento llegal de dados r Erro durante 0 uso A ‘Abuso de direitos Al i 1 t ‘Agbes ndo autorizadas Comprometimento de fungdes, Forjamento de direilos Repidio de Agoes indisponibilidade de recursos humanos: K Convém que atengéo especial seja dada as fontes de ameagas representadas por seres humanos, ATabela C.2 enumera essas fontes: MARCOLINO - 631.898, 959-53 RNP-2305421796 (Pedido 196469 Impresso: 30/09/2009) Origem das 3 pecida Motivagio Possiveis Consequéncias Desato = Flackng E90 + Engenharia social Hacker, cracker | Rebeldia + Invasdo de sistemas, infitragSes e sant’ entradas nfo-atorizadas ie, + Acgsto ni autotizade ao Sistema Desiiglo de informagaes 7 Grime digital (por exemp Divulgagdo legal de nformagsos eo) + Ao fraudulent (por exemplo: Cire roullzagio indevida de cxedencials g Alteragdo de dados no autorizada ‘¢ dados transmitidos, fazer-se 2 || crimnoso aptal cesar ear oan aun peeeie g ® interceptagéo) 3 + Suborno por Informagia & + Spoofing (fazer se passar por 8 outro) ie +Invasto de sistemas S ‘Chantagem| + BombalTerrorismo 2 3 Destriga0 + Guerra de Informagdo $ Explore + Aiaque a sistemas (por exemple 3 ue staque dsrbudo de negagao de 3 Vingance term) 3 ea ponies +Invasto de sistema g Gobernrn da mile + Ataragio do sistema 40 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua ABNT NBR ISO/IEC 27005:2008 ‘Origem das ‘Ameacas Motivagao Possiveis Consequéncias Vanlagem compeliva 7 Garant a vantagem de um Gee posicionamento defensive + Garantr uma vantagem politica + Exploragao econdmica Espionagem industrial + Furto de Informagdo (services de intoligéncia, empresas, + Violagio da privacidad das governos estrangeiros, pessoas outros grupos de Interesse ligados a0 ‘governo) + Invasdo de sistema + Engenharia social + Acesso no autorizado ao Sistema {acesso a informagao restrita, de propriedade exclusiva, efou relaiva MARCOLINO - 631.898, 959-53 RNP-2305421796 (Pedido 196469 Impresso: 30/09/2009) Sota) Sareea — Resto a ncn £00 + haniagem ison promodade orca ano monstia + Uoo impo deecreo o. computaina Pessoal interno Erros © omissées no intencionais (por exemplo: erro | * ay {hrelonrioe [nn entada de datos, eo de propramosto) + Suboro por fomago mal ago, + enrada de dao elicaos ou i comenpoe inendonas + nercoptagto eataenes + cédio maioso po exer virus, bomba légica, Cavalo de Tréia) dispensados) + Venda de informagées pessoais + Defeitos (bugs) na sistema + Invasio de sistemas + Sabotagem de sistemas + Acesso nia autorizado ao sistema ara uso exclusive - CLAUDIO CEZAR CAVALCANT: 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados “4Convénio ABNT - Sistema Confea/Crea/Mutua ABNT NBR ISO/IEC 27005:2008 Anexo D (informative) Vulnerabilidades e métodos de avaliagao de vulnerabi D.1 Exemplos de vulnerabilidades ‘A Tabela forece exemplos de vulnerablidades em diversas areas da seguranga, Incluindo exemplos de ameagas que poderiam expiorar tais vulnerabilidades. As listas podem ser de auxilio durante a avaliagao das ameacas, € vulnerabilidades a fim de se determinar os cenérios relevantes de incidentes. Nota-se que, em alguns casos, MARCOLINO - 631.898, 959-53 RNP-2305421796 (Pedido 196469 Impresso: 30/09/2009) ara uso exclusive - CLAUDIO CEZAR CAVALCANT: ‘outras ameagas sdo também capazes de explorar as mesmas vulnerablidades. Ties Exempios de vulnerabiidades Exempios de ameatas Man.tengaonsufcentlnsaiagao defetuosa de ida d_| Vase da condigbes de uso do Manteno ing Sistema de informagao que posstitam sua manutengao Falla de uma roa de subsTuigao porbaicn Destuigdo de equipamento ou iia Sensibiidade& umigade, poeta, sera Poor, coroso,congeamento Sensibilidad @redagéo elevomegnéticg Radiag elevoragntca Horaware. [nexstncia de um contol ecient de madanga de | Eo durante o uso contiguragao Sensbidade a variagbes de volagem Tnerpelo do supriento de eneria Sensibidade a variagées de tempertura Fenéeno meteorliico Armazenamento no proegido Fur de mila ou documenton Fala de cldedo dante 0 descars Furr de mia ou documentos Realzagio de clas nao contoiada Fur de mila ou documents Procedimentos de teste de sofvareinsuficentes ov | Abuso de artos inoistentes Fathas conheeldas no soars Aoi de dos No execugdo do logout a0 se dakar uma esagao de | Abuso de aretos trabae desassistida Descare ou reulizagio de mia de amazenamento sem | Abuso de drelos 2 execugao dos procedimontos aroprados de remogao dos dados sorware [itexstncia de una Wiha de audtoa Rois de dos ‘Aribuigdo errénea de direitos de acesso ‘Abuso de direitos ‘Software amplamente distribuido ‘Comprometimento dos dados Uilizar programas aplicativos com um conjunto errado de dados (referentes a um outro perfodo) ‘Comprometimento dos dados Interface de usuario complicada Ero durante 0 uso Documentagao inexistento Erro durante 0 uso Configuragao de parmetros incorreta Erro durante 0 uso Datas incorretas Erro durante 0 uso 42 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua MARCOLINO - 631.898, 959-53 RNP-2305421796 (Pedido 196469 Impresso: 30/09/2009) ara uso exclusive - CLAUDIO CEZAR CAVALCANT: ABNT NBR ISO/IEC 27005:2008 Tnexisténcia de mecanismos de autenticagao e Identificagdo como, por exempio, para a autenticagao do usuarios Forjamento de direitos, Tabelas de senhas desprotegidas Forjamento de direitos Gerenciamento de senhas mal feito Forjamento de direitos Servigos desnecessérios permanecem habiltados Processamento llegal de dados ‘Software novo ou imaturo Defelto de software Especificagées confusas ou incompletas para os desenvolvedores. Defeito de software Inexisténcia de um controle eficaz de mudanga Defeito de software Download e uso nao controlado de software Alteraglo do software Inexisténcia de cépias de seguranca (back-up) Alteragao do software Tnexisténcia de mecanismos de protepao fisica no prédio, portas e janelas Furlo de midia ou documentos Inexisténcia de relatérios de gerenciamento Uso no autorizado de equipamento Rede Inexisténcia de evidéncias que comprovem o envio ou | Repadio de agoes, o recebimento de mensagens Linhas de Comunicagao desprotegidas Escuta néo autorizada Trafego sensivel desprotegido Escuta ndo autorizada Jung6es de cabeamento mal feitas Falha do equipamento de telecomunicagao Ponto tinico de falha Falha do equipamento de telacomunicagao ‘Nao identificagaio e no autenticagao do emissor e do | Forjamento de dreitos receptor ‘Arquitetura insegura da rede Espionagem a distancia Transferéncia de senhas em claro Espionagem a distancia Gerenciamento de rede inadequado (quanto & ‘Saturagao do sistema de informagao flexibilidade de roteamento) Conexdes de redes puiblicas desprotegidas Uso néo autorizado de equipamento ‘Auséncia de recursos humanos Indisponibilidade de recursos humanos Procedimentos de recrutamento inadequados Destruigao de equipamento ou midia Treinamento insuficiente em seguranca Erro durante 0 uso Uso incorreto de software e hardware Erro durante 0 uso Recursos [Falta de conscientizaglio em seguranga Erro durante 0 uso humanos Tnexisténcia de macanismos de monitoramento Processamento legal de dados Trabalho nao supervisionado de pessoal de limpeza__| Furto de midia ou documentos ou de terceirizados Tnexisténcia de politicas para 0 uso correto de meios _ | Uso nao autorizado de equipamento de telecomunicagao e de troca de mensagens (© ISOIEC 2008 - © AANT 2008 Todos os dretos reservados 43Convénio ABNT - Sistema Confea/Crea/Mutua MARCOLINO - 631.898, 959-53 RNP-2305421796 (Pedido 196469 Impresso: 30/09/2009) ara uso exclusive - CLAUDIO CEZAR CAVALCANT: ABNT NBR ISO/IEC 27005:2008 Local ow instalagoes Organizago Uso inadequado ou sem 0s culdados necessarios dos mecanismos de controle do acesso fisico a prédios e aposentos, Destruigao de equipamento ou rmidia Localizagao em area suscetivel a inundagies Inundagao Fornecimento de energia instavel Interrupgo do suprimento de energia Inexisténcia de mecanismos de protecao fisica no prédio, portas e janelas Furto de equipamentos Inexisténcia de um procedimento formal para o registro @ a remogao de usuarios, ‘Abuso de direltos Tnexisténcla de processo formal para a andlise crlica dos direitos de acesso (supervisao) ‘Abuso de direitos Provis6es (relativas seguranca) insuficientes ou inexistentes, em contratos com clientes e/ou terceiros ‘Abuse de diraltos Tnexisténcia de procedimento de monitoramento das instalagdes de processamento de informagoes ‘Abuso de direitos Inexisténcia de auditorias periédicas (supervisao) ‘Abuso de direitos Tnexisténcia de procedimentos para a identificagao € analise/avaliagao de riscos ‘Abuso de direitos Tnexisténcia de relatos de falha nos arquivos (logs) de auditoria das atividades de administradores @ operadores ‘Abuso de direitos Resposta inadequada do serviga de manutengaio Violagao das condigies de uso do sistema de informago que possibilitam sua manutengao ‘Acordo de nivel de servigo (SLA - da sigla do termo em inglés) inexistente ou insuficiente Violagao das condigdes de uso do sistema de informago que possibilitam sua manutengao Inexisténcia de procedimento de controle de mudangas Violagao das condigdes de uso do sistema de informagao que possibilitam sua manutengao Inexisténcia de um procedimento formal para o controle da, documentagao do SGSI ‘Comprometimento dos dados: Inexisténcia de um procedimento formal para a superviso dos registros do SCSI ‘Comprometimento dos dados Tnexisténcia de um processo formal para a autorizagao | das informacdes disponiveis publicamente Dados de fontes nao confiaveis ‘Atribuigo inadequada das responsabllidades pela seguranga da informagao Repiidio de ages Inexisténcia de um plano de continuidade Falha de equipamento Inexisténcia de politica de uso de correspondéncia eletrénica (e-mail) Erra durante 0 uso Tnexisténcia de procedimentos para a instalagao de software em sistemas operacionals Ero durante 0 uso ‘Auséncia de registros nos arquivos de auditoria (logs) de administradores © operadores Erro durante 0 uso Tnexisténcia de procedimentos para a manipulagao de Informagoes classificadas Erro durante 0 uso| {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua MARCOLINO - 631.898, 959-53 RNP-2305421796 (Pedido 196469 Impresso: 30/09/2009) ara uso exclusive - CLAUDIO CEZAR CAVALCANT: ABNT NBR ISO/IEC 27005:2008 ‘Auséncia das responsabilidades Iigadas 8 seguranga da_| Erro durante o uso informagao nas descrigdes de cargos e fungées Provis6es (relativas 8 seguranga) insuficientes ou Processamento llegal de dados inexistentes, em contratos com funcionarios Inexsténcia de um processo discipinarno caso de Furto de equipamentos incidentes relacionadas a seguranga da informagao Inexisténcia de uma politica formal sobre o uso de Furto de equipamentos computadores méoveis inexisténcia de controle sobre aves fora das Furto de equipamentos dependéncias ganizagao | Poltica de mesas« falas impas (clear desk and clear | Furto de midla ou documentos Organiza¢ae | screen) inexistente ou insuiciente Inoxisténcia de autorizagéo para as instalagSes de Furto de midia ou documentos processamento de informagies Inexisténcia de mecanismos estabelecidos para o Furto de migia ou documentos monitoramento de violagdes da seguranca Inexisténcia de andlises critcas periédicas por parle da | Uso ndo autorizado de diregao equipamento Inexisténcia de procedimentos para o relato de Uso nao autorizado de fragiidades ligadas & seguranca equipamento Inexisténcia de procedimentos para garantira Uso de cépias de sofware conformidade com os direitos de propriedade intelectual _| falsiticadas ou ilegais D.2 Métodos para a avaliagao de vulnerabilidades técnicas Métodos pré-ativos, tal como testar os sistemas de informagao, podem ser utlizados para identificar as vulnerablidades existentes, dependendo da crticidade do sistema de Tecnologia da Informagéo © Comunicagao (TIC) © dos recursos disponiveis (por exemplo: verba alocada, tecnologia disponivel, profissionais com a lexperiéncia necessaria para a realizacao do teste). Enire os métodos de teste tem-se: + Ferramentas automatizadas de procura por vulnerabilidades + Avaliagao e testes da sequrana + Teste de Invasdo + Analise critica de cédigo Ferramentas automatizadas de procura por vulnerabilidades so utlizadas para varrer um grupo de computadores ‘ou uma rade em busca de servigas reconhecidamente vulneraveis (por exempio: o protocolo de transferéncia angnima de arquivos - “anonymous FTP" - o recurso de retransmissio do "sendmail" - "sendmail relaying"). Convém ressaltar, contude, que nam todas as potenciais vulnerabilidades encontradas pela ferramenta necessariamente representam vulnerabilidades reais no contexto do sistema e de seu ambiente. Por exemplo, algumas dessas ferramentas de varredura avaliam as vulnerabilidades potenciais sem levar em consideragao 0 ambiente da instalagdo © os seus requisites. Algumas das vulnerabilidades encontradas pelo software de varredura podem nao representar uma vulnerabilidade real em uma determinada instalagéo, mas sim o resullado de uma configuracao exigida por seu ambiente. Assim, esse método de teste pode gerar falsos positvos. A avaliago e testes da seguranga (ATS) 6 uma outra técnica que pode ser utlizada na identifago de vulnerabiidades em sistemas de TIC durante 0 proceso de andlise/avaliagao de riscos. Ela inclui o desenvolvimento © a execugao de planos de teste (por exemplo: roteitos e procedimentos para testes, lista de resultados previstos). O propésito dos testes da seguranca do sistema é verificar a eficacia dos controles de seguranga de um sistema de TIC, considerando-se a forma com que estdo implementados no ambiente ‘operacional. © objetivo é assegurar que os controles aplicados satisfazem as espectficagoes de seguranca do software @ do hardware, implementam a politica de seguranga da organizagao, e/ou atendem aos padrées de mercado. 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados 45Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 ‘Testes de invasdo podem ser usados para complementar o procasso de anzlise critica dos controles de seguranga, assegurando-se que as diversas facetas do sistema de TIC esto protegidas. Testes de invasao, quando ullizados durante o processo de andliselavaliagao de riscos, servem para avaliar a capacidade do sistema de TIC de resistir a tentativas intencionais de se driblar a seguranga do sistema. O objetivo é testar o sistema de TIC do ponto de vista da fonte da ameaga, identificando possiveis falhas no esquema de protegao do sistema, A analise critica de cédigo & @ mais minuciosa (embora também a mais dispendiosa) forma de avaliacdo de vulnerabilidades. s resultados desses tipos de testes de seguranga ajudam a identificar as vulnerabilidades de um sistema. E importante notar que ferramentas e técnicas de invasdo podem gerar resultados falsos quando a vulnerabilidade nao 6 explorada com sucesso. Para explorar vulnerabilidades aspecificas, a exata configuragao do sistema, da aplicagao e das atualizagées (patches) instaladas no sistema testado precisa ser conhecida, Se esses dados ndo ‘S40 conhecidos quando o teste esté sendo realizado, pode nao ser possivel explorar uma determinada vulnerablidade com sucesso (por exemplo: o acesso remoto a “shell reverso); no entanto, ainda assim, talvez soja possivel causar uma pane no sistema ou processo testado ou mesmo forgar 0 seu reinicio, Nesse caso, convém que 0 objeto testado seja considerado vulneravel. Entre os métodos existentes, tem-so os seguintes: Entrevistas com pessoas e usuarios Questionarios Inspegdo fisica Analise de documentos 46 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Anexo E (informative) Diferentes abordagens para analise/avaliagao de riscos de seguranga da informagao E.1 Andlise/avaliagao de riscos de seguranca da informagao - Enfoque de alto nivel Uma avaliagdo de alto nivel permite definir prioridades e uma cronologia para a execucdo das agées. Por varias raz6es, como por exemplo o orgamento, talvez no seja possivel implementar todos os controles simultaneamente 8, com isso, somente os riscos mais criticos podem ser tratados durante o processo de tratamento do risco, Da mesma ‘forma, pode ser prematuro dar inicio a uma forma de gestao de riscos multo detalhada se 2 implementago s6 seré contemplada apés um ou dois anos. Para alcangar esse objetivo, uma avaliacao de alto nivel pode comegar com um exame também de alto nivel das conseqUéncias, em vez de comegar por uma andlise sistematica das ameacas, vulnerabilidades, alivos e conseqiiéncias, Outra razdo para comegar por uma avaliagdo de alto nivel é permit a sincronizagdo com outros pianos relacionados @ gestdo de mudangas (ou da continuidade de negécios). Por exemplo, nao @ razoavel completar 4 implementagao da seguranga de um sistema ou aplicagao se estiver sendo planejada a sua terceirizacao em um futuro préximo, embora possa ainda ser util a realizacao da andliselavaliagao de riscos, para que se possa definir (05 termos do contrato da terceirizagao. Entre as caracteristicas de uma iterago, com um enfoque de alto nivel, do processo de andliselavaliagao de riscos temos que: + A andliselavaliagao de riscos com enfoque de alto nivel pode se preocupar com uma visao mais global da organizacdo e de seus sistemas de informagao, considerando os aspectos tecnolégicos de forma independente das questées de negécio. Dessa forma, a andlise do contexto incide mais sobre 0 negécio © 0 ambiente operacional do que sobre os elementos tecnolégicos. + Aanalise/avaliagdo de riscos com enfoque de alto nivel pode se preocupar com uma lista menor de ameagas e vulnerablidades, agrupando-as em dominios pré-definidos, ou, para acelerar 0 processo, pode focar a sua atengao nos cenérios de risco ou ataque, em vez de em seus elementos. + Os riscos cobertos por uma avaliago com enfoque de alto nivel podem ser entendidos mais como categorias (ou classes gerais) de risco do que, propriamente, como riscos identificados com especificidade. Como os cenarios ou as ameagas s40 agrupados em dominios, o tratamento do risco propée listas de controle para esses dominios. Entéo, em primeiro lugar, durante as atividades de tralamento do risco, propoe-se e selecionam-se os controles comuns validos em todo o sistema + Contudo, por raramente tratar de detalhes tecnolégicos, a anélise/avaliacao de riscos com enfoque de alto nivel 6 mais adequada para fornecer controles organizacionais e ndo-técnicos, além dos aspectos gerenciais. de controles técnicos © mecanismos técnicos de proteg4o comuns e muito importantes, tais como cépias de seguranga (back-ups) e antivius. ‘As vantagens da andlise/avaliagio de riscos com um enfoque de alto nivel so as seguintes: + Com a incorporagéio de uma primeira abordagem simples & mais provavel que se obtenha a aceltagao do programa de andlise/avaliagéo de riscos. + Convém que seja possivel criar uma visdo estratégica de um programa corporativo de seguranga da informagao, ou seja, uma viséo que possa auxliar durante o planejamento, + Recursos © verbas podem ser aplicados onde forem mais vantajosos, @ os sistemas que estao, provavelmente, pracisando de mais protepao serdo tratados primal. Como as andlises de risco iniciais sao feitas com um enfoque de alto nivel (potencialmente, portanto, sendo ‘menos exatas), ha o perigo de que alguns procassos de negacio ou sistemas possam acabar, erroneamente, rndo sendo identificados entre aqueles que requerem uma segunda anélise/avaliagdo de riscos, mais dotalhada, Isso pode ser evitado se houver informagao adequada sobre todos os aspectos da organizagao, das informagées que utiliza e de seus sistemas, incluindo dados obtidos através da avaliagéo dos incidentes de seguranga da informagao, 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados 47Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 A andliselavaliagdo de riscos com enfoque de alto nivel considera os valores para 0 negécio dos ativos de informagao, e 0s riscos do ponto de vista de negécio da organizagao. No primeiro ponto de decisao (ver Figura 1), varios fatores ajudam a determinar se a avaliagdo de alto nivel ¢ adequada para o tratamento do risco; esses, fatores podem incluir os seguintes itens: + 0s objetivos de negécios a serem alcangados através de varios ativos de informagao;, +O quanto © negécio da organizagao depende de cada ativo de informagao, ou seja, o quanto as fungdes que @ organizagao considera fundamentais para a sua sobrevivéncia ou para a condugao eficaz do negécio depende dos ativos, ou da confidencialidade, da integridade, da disponibllidade, da garantia do ndo-repidio, da responsabilizacao, da autenticidade e da confiablidade das informagdes armazenadas e processadas nesses ativos; +O nivel de investimento em cada ativo de informacao, em termos do desenvolvimento, da manutencao ou da reposigao do ativo, e + Os ativos de informago, para cada um dos quais a organizacao atribui um valor. Quando esses fatores séo avaliados, a deciséo torna-se mais facil. Se a fungéio de um ativo for extremamente importante para a condugdo do negécio da organizagao ou se 0 ativo estiver exposto a riscos de alto impacto ou probabilidade, entao convém que uma segunda iteragéo, com uma anélise/avaliagao delalhada de riscos, seja ‘executada tendo em vista o ativo de informagao especifico (ou parte dele). Uma regra geral para ser aplicada 6 a seguinte: se a falta de seguranga da informagao puder resultar em consegiléncias adversas significativas para a organizago, para os seus processos de negocio ou para os seus ativos, uma segunda iteragao, mais detalhada, da analise/avaliacao de riscos sera necessaria para a identificagao de riscos potencias. .g40 detalhada de riscos de seguranga da informagao © processo de andlise/avalia¢ao detalhada de riscos de seguranga da informagao envolve a minuciosa identificagéo e valorago dos ativos, a avaliago das ameagas aos alivos, e a avaliagdo das vulnerabilidades. s resultados dessas afividades so, entdo, usados para avaliar os riscos e, depots, para identificar 0 tratamento do risco A etapa detalhada normalmente demanda bastante tempo, esforgo © experiéncia, © pode, portanto, ser mais adequada para os sistemas de informacao de alto risco, ‘A etapa final da andlise/avaliacdo detalhada dos riscos & seguranga da informagao consiste no célculo do risco total, que é 0 assunto deste anexo, ‘As consequéncias podem ser avaliadas de varias maneiras, incluindo a abordagem quantitativa (usando-se, por ‘exemplo, uma unidade monetria), a qualitativa (que podem ser baseada no uso de adjetivos qualificadores tais, ‘como moderado ou severo) ou ainda uma combinagao de ambas, Para avaliar a probabilidade de ocorréncia de uma ameaga, convém que se estabeleca o periodo no qual o ativo é considerado como de valor ou durante © qual ele precisara ser protegido. A probabilidade da ocorréncia de uma ameaga especifica é afetada pelos seguintes itens: + Aatratividade do ative ou do impacto potencial, aplicavel quando uma ameaca intencional de origem humana festa sendo considerada + A facllidade de se converter a exploracdo de uma vulnerabilidade de um alivo em recompensa, aplicavel quando uma ameaga intencional de origem humana esta sendo considerada + Acapacitagao técnica do agente da ameaca, aplicavel a ameacas intencionais de origem humana e + A suscetiblidade da vulnerabilidade exploragao, aplicavel tanto a vulnerabilidades técnicas quanto a ndo-técnicas Muitos métodos fazem uso de tabelas, ¢ combinam medidas emplticas com medigdes subjetivas. & importante que 2 organiza¢ao use um método com o qual ela se sinta confortével, no qual ela acredite, e que produza resultados reproduziveis. Alguns exemplos de métodos baseados em tabelas so apresentados a seguir. E.2.1 Exemplo 1 Matriz com valores pré-definidos Neste tipo de método de andlise/avaliagao de riscos, ativos fisicos, existentes ou planejados, s80 valorados conforme seus custos de reposigao ou reconstrugao (ou seja, medidas quantitativas). Esses custos sao entao convertides para a mesma escala qualitativa usados para a valoragao das informagées (ver abaixo). A ativos do 48 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua MARCOLINO - 631.898, 959-53 RNP-2305421796 (Pedido 196469 Impresso: 30/09/2009) ara uso exclusive - CLAUDIO CEZAR CAVALCANT: ABNT NBR ISO/IEC 27005:2008 tipo software, existentes ou planejados, valores so atribuldos da mesma forma que @ atives fisicos, com os, custos de aquisigao ou redesenvolvimento sendo identificados © entéo convertidos para a mesma escala qualitativa usada para a valoragao das informagées. Além disso, se um software aplicativa tiver o seu proprio Conjunto de requisitos de confidencialidade ou de integridade (por exemplo, se 0 seu cédigo fonte, por si 86, for susceptivel a questées comerciais), ele deve ser valorado da mesma forma que as informagées, Os valores atriouidos as informagées sao obtidos entrevistando-se uma parte seleta da diregao do negécio {0s “responsaveis pelos dadas”), aqueles que podem falar autortativamente sobre os dados. Assim detorminam- se 0 valor e a sensibilidade dos dados em uso, armazenados, sendo processados ou acessados. As entrevistas faclitam a avaliagdo do valor e da sensibilidade da informagao, tendo em vista os cenarios com os piores impactos que possam ser previstos a partir das conseqiléncias adversas a0 negécio causadas pela divulgagao ou modificagao ndo autorizadas da informagao, por sua indisponibllidade durante diferentes periodos de tempo ou ainda por sua destruicao. ‘A valoragao 6 realizada usando diretrizes para a valoragao da informago, as quais cobrem alguns temas, tais como: + Seguranga fisica das pessoas + Informagées pessoais + ObrigagGes legais regulatorias + Cumprimento das leis + Interesses comerciais e econdmicos + Perda financeira / interrupeao de atividades: + Ordem piblica + Politica e operagdes do negécio + Perda de valor de mercado (em especial com referéncia a aspectos intangiveis) + Cont ‘ou acordo com clientes AAs diretrizes facilitam a identificagéo dos valores em uma escala numérica, como a escala de 0 a 4 apresentada adiante na forma de uma matriz. Assim, permite-se o reconhecimento de valores quantitaivos, sempre que possivel e l6gico, e de valores qualitativos quando valores quantitativas no séo possiveis, por exemplo: ‘em ocasi6es em que a vida humana 6 colocada em perigo. ‘A proxima atividade importante @ a conclusdo de pares de questionarios, para cada tipo de ameaca e para cada agrupamento de ativos relacionado a um tipo de ameaca, a fim de permitir a avaliagéo do nivel das ameagas {probabilidade de ocorréncia) © das vulnerabilidades (faciidade com que uma ameaga pode explorar uma yulnerabiidade e provocar conseqiiéncias adversas). Cada questéo respondida indica uma pontuagao. Essas pontuagdes so acumuladas em uma base de conhecimento @ comparadas a intervalas. Isso identifica 0 nivel da ameaca em uma escala, digamos, de alto a baixo e, de forma similar, 08 niveis das vulnerabilidades - ‘como ilustrado no exemplo da matriz mais adiante. Diferenciam-se os tipos de conseqléncias na medida de suas, relevancias. Convém que informagSes para completar os questionarios sejam reunidas a partir de entrevistas com ‘aS pessoas responsaveis pelas acomodagées, os recursos humanos e 0s técnicos envolvidos, assim como também a partir de inspegées fisicas dos locais © da andlise critica de documentos, s valores dos ativos, e os niveis de ameaca e vulnerabilidade, relacionados a cada tipo de conseatiéncia, sao ‘emparelhados em uma matriz como a apresentada a sequir, a fim de identificar, para cada combinagao, a medida do risco em uma escala de 0 a 8. Os valores so colocados na matriz de uma maneira estruturada, Um exemplo 6 dado a seguir reme= Te Te lale[™[lel a i 0 Wott f2Tr1iz[3 [21314 | valordo 1 [1 [2 [3 Pets ays Tats] ativo 2 2f3[4,[3]4[>s}4[s 16 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados 49Convénio ABNT - Sistema Confea/Crea/Mutua ABNT NBR ISO/IEC 27005:2008 Para cada ative, as vulnerabilidades relevantes e respectivas ameagas s4o consideradas. Se houver uma vulnerabilidade sem uma ameaca correspondente, ou uma ameaga sem uma vulnerabilidade correspondente, fentéo nao ha risco nesse momento (mas convém que cuidados sejam tomados no caso dessas situagdes mudarem). A linha apropriada é identificada na matriz pelo valor do ativo, e a coluna apropriada é identificada pela probabilidade da ocorréncia da ameaga e a faciidade de explorago. Por examplo, se o ativo tom o valor 3, a. ameaga é "alta", e a vulnerabilidade ¢ "balxa’, a medida do risco é 8. Supondo que um ativo tenha um valor 2 (por exemplo, para modificagées), 0 nivel de ameaga é "baixo" e a faciidade de exploragao ¢ "alta", logo, ‘a medida de risco € 4, O tamanho da matriz pode ser adaptado as necessidades da organizaco, ajustando-se (© numero das colunas representando a provabilidade de ocorréncia das ameacas ou daquelas que reprasentam 2 facilidade de exploracao, assim como as linhas que representam a valoragao dos ativos. A adicao de Colunas @ linhas implicara novas medidas de risco, A vantagem dessa abordagem esta na ordenagao dos riscos a serem tratados. Uma matriz similar como apresentada na Tabela E.1 b) mostra a relagdo entre probabilidade de um cenério de incidente ¢ o impacto estimado, do ponto de vista do negécio. A probabilidade de um cenario de incidente & dada pela probabilidade de uma ameaca vir a explorar uma vulnerabilidade. A Tabela relaciona o impacto ao negécio, relative ao cenério de incidente, aquela probabilidade. O isco resultante & medido em uma escada de 0 a 8, © pode ser avaliado tendo como base os critérios para a aceitagao do risco. Essa escala de risco pode também sor convertida em uma classificagao simples, mais genérica, do risco, como por exemplo: © Balxo Risco: 0-2 + Médio Risco: 3-5 + Alto Risco: 6-8 Tabela E.1 b) Probabilidade do | — Muito balxa Balxa Média Alta Muito alta condirio de incidente | (Muito improvavel) | (Improvavel) | (Possivel) | (Provavel) | (Freqiiente) MARCOLINO - 631.898, 959-53 RNP-2305421796 (Pedido 196469 Impresso: 30/09/2009) ‘Muito baixo 2 3a 4 Baixo 1 2 3 4 5 Impacto ao negécio Médio 2 3 4 5 6 Alto 3 4 5 6 7 6 7 8 Muito alto l 4 E.2.2 Exemplo 2 Ordenagao de Ameacas em fungao do Risco Uma tabela ou matriz como apresentada na Tabela E.2 pode ser usada para relacionar as conseqiiéncias (representadas pelo valor do ativo) probabllidade de ocorréncia de uma ameaga (incluindo assim os fatores ligados as vulnerabilidades). A primeira etapa consiste em avaliar as conseqiiéncias (através do valor do ativo) ‘em uma escala pré-definida, por exemplo: de 7 a 5, para cada ativo ameagado (coluna ‘b' na Tabela). Na segunda etapa, estima-se a probabilidade de ocorréncia da ameaga em uma escala pré-definida, por exemplo: de 1 a 5, para cada ameaga (coluna 'c’ na tabela). Na terceira etapa, calcula-se a medida de risco multipicando (b x c). Por iltimo, as ameagas podem ser ordenadas em seqiiéncia conforme suas respectivas medidas de risco. Note que nesse exemplo, 1 representa a menor consequéncia © a menor probabilidade de ocorréncia, ara uso exclusive - CLAUDIO CEZAR CAVALCANT: 50 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua MARCOLINO - 631.898, 959-53 RNP-2305421796 (Pedido 196469 Impresso: 30/09/2009) ara uso exclusive - CLAUDIO CEZAR CAVALCANT: ABNT NBR ISO/IEC 27005:2008 Tabela E.2 Rétulo Valor da Probabllidade de | Medida do risco | Ordem da identiicador da |} conseqiiéncia | ocorréncia da ‘ameaga ameaga (co ativo) ameaga @) ) © @ © Ameaga A. 5 2 10 2 Ameaca B 2 4 8 3 ‘Ameaga C 3 5 5 1 ‘Ameaga D 1 3 3 5 ‘Ameaga E 4 1 4 4 ‘Ameaga F 2 4 8 3 Como mostrado acima, esse procedimento permite que diferentes ameagas, com conseqincias e probabilidade de ocorréncias distintas, sejam comparadas © ordenadas por prioridade. Em alguns casos, sera necessario associar valores monetarios as escalas emplricas aqui utllizadas, E.2.3 Exemplo 3 Avaliando a probabilidade e as possiveis conseqiléncias dos riscos Nesse exemplo, a @nfase 6 dada as conseqlléncias dos incidentes de seguranga da informagao (ou seja: aos ccenarios de incidentes) e convém que a alividade determine quais sistemas sejam priorizados. Isso é feito estimando-se dois valores para cada par de ativo e risco, os quals, combinados, irdo determinar a pontuagao para cada ative, Quando as pontuagées de todos os ativos do sistema so somadas, uma medida do risco ao qual o sistema esta submetido pode entao ser determinada, Primeiramente, um valor 6 designado para cada ativo. Esse valor refero-se as possiveis conseqiléncias adversas que podem surgir quando o ativo & ameagado. O valor (do allvo) & definido para cada ameaca aplicavel ao alivo. Depois, estima-se um valor para a probabilidade. Ela 6 avaliada combinando-se a probabilidade de ocorréncia da ameaca e a faciidade com que 2 vulnerabilidade pode ser explorada. Ver, na Tabela E.3, a representagao da probablidade de um cenario de incidente. Tabela £3 iar Baia weaia ata wine | 2 | Mf afe|utalel|mu|a cone | of tf 2 ff ef fe fafa Em seguida, na Tabela E.4, uma pontuagao referente ao par ativofameaga 6 definida pelo encontro da coluna com © valor do aivo e da linha com a probabilidade. As pontuacées referentes aos pares ativos/ameaga sao totalizadas, para cada ativo, produzindo-se uma pontuagao total do ativo. Esse valor pode ser usado para diferenciar os ativos ue fazem parte de um mesmo sistema, entre si 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados 51Convénio ABNT - Sistema Confea/Crea/Mutua MARCOLINO - 631.898, 959-53 RNP-2305421796 (Pedido 196469 Impresso: 30/09/2009) ara uso exclusive - CLAUDIO CEZAR CAVALCANT: ABNT NBR ISO/IEC 27005:2008 Tabela E.4 valordoatve|} o | + | 2 | 3 | 4 Probabllidade 0 of1[2 fsa 1 1f2]3]fa][s 2 2[3]4[s5]|6 3 a[a{[s [ef 7 4 a4fs5[ef[7]| a Na etapa final, somam-se as pontuagbes dos ativos do sistema, estabelecendo-se a pontuagao do sistema. Isso pode ser usado para diferenciarmos os sistemas entre si, e convém determinar qual sistema seja protegido com maior prioridade, Nos exemplos a seguir todos os valores foram escolhidos aleatoriamente. Supor que o Sistema S fenha trés atvos A1, A2 € AS. Supor também que existam duas ameacas, T1 e T2, apicéveis ao sistoma S. E estabelecido que 0 valor de At 6 3, que 0 valor do alivo A2 & 2 ¢ que o valor do ative A364. Se, para At © T1, a probabilidade da ameaca 6 baixa © a facilidade de exploragao da vulnerabllidade 6 média, ‘entio o valor da probabilidade é 1 (ver Tabela E.3). A pontuagao referente ao par alivolameaga At/T1 pode ser obtida na Tabela E.4, no encontro da coluna com © valor 3 (referente ao valor do ative) e da linna com o valor 1 (referente & probabilidade). O valor assim obtido & 4. Do mesmo modo, para A1/T2, se a probabilidade da ameaca for média e a facilidade de exploracdo dda vulnerabilidade for alta, o resultado sera uma pontuagao de 6, referente ao par A1/T2 ‘Agora, TAT, que & a pontuacao total do ativo A1, pode ser calculada, @ o resultado & 10. A pontuagao total do ativo 6 calculada para cada ativo levando-se em conta todas as ameacas aplicéveis. A pontuagao total do sistema 6 calculada através da adigéo TA1 + TA2 + TAS, abtendo-se TS. ‘Assim, sistemas diferentes podem ser comparados, assim como diferentes ativos dentro do mesmo sistema, para se estabelecerem as prioridades. ‘Apesar do exemplo acima envolver apenas sistemas de informago, uma abordagem similar pode ser aplicada aos pracessos de nogécio. 52 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Anexo F (informative) Restrigées que afetam a redugao do risco ‘Ao considerar as restriges que afetam a redugéo do risco, convém que as seguintes restrigbes sejam cconsideradas: Restrigdes temporals: Pode haver muitos tipos de restrigbes de tempo. Por exemplo, convém que os controles sejam implementados dentro de um periodo de tempo aceitavel para os gestores da organizacao. Outro tipo de restricao temporal 6 se lum controle pode ser implementado durante o periodo de vida titi da informagao ou do sistema. Um terceiro tipo de restri¢ao temporal pode ser representado pelo periodo de tempo que os gestores da organizagao definem ‘como aceitavel para ficar-se exposto a um determinado risco. Restrigdes financeiras: Convém que a implementagao ou a manutengao dos controles sejam menos dispendiosas do que o valor dos Fscos que eles foram projetados para combater, exceto nos casos em que a conformidade @ obrigatéria {por exempio, no caso de legislagdes especificas). Convém que todos 0s esforgos sejam feltos para que os ‘orgamentos alocadas néo sejam excedides, e também para que vantagens financeiras, através do uso de controles, sejam obtidas. Contudo, em alguns casos, talvez nao seja possivel implementar a seguranga desejada @ alcancar 0 nivel de risco formalmente aceito, devido a restrigoes orcamentdrias. Essa situaco exigird, entao, uma decisto dos gestores da organizagao para a sua resolugao, Convém que se tenha muito cuidado no caso de restrigées orgamentarias provocarem a redugo do numero ou da qualidade dos controles a serem implementados, pois isso pode levar a aceltagao implicita de mais riscos do que © planejado, Convém que a utlizagao do argamento alocado para os controles como fatorlimitante, se necesséria, ja acompanhada por cuidados especias, Restrigées técnicas: Problemas técnicos, como a compaiibilidade de hardware ou de programas, podem ser facilmente evitados se forem levados em conta durante a selegao dos controles. Além disso, a implementagao retroativa dos controles fem um proceso ou sistema existente é freallentemente dificultada por restrigSes técnicas. Essas dificuldades podem deslocar 0 foco dos controles em diregao aos aspectos procedurais fisicos da seguranca. Pode ser necessario revisar os programas de seguranca da informagao, a fim de alcangar os objetivos de seguranca. Isso pode ocorrer quando controles néo conseguem atingir os resultados previstos na redugao do risco sem afetar a produtividade. Restrigdes operacionais: Restrigbes operacionals, como por exemplo a necessidade de manter as operagées em um regime de 24x7 «, ainda assim, executar back-ups, podem resultar em controles de implementagdo complexa e onerosa, a menos ue eles sejam incorporados ao projeto desde o inicio. Restrigées cultura: {As restrigdes culturais em relagao a seleg3o de controles podem ser especificas a um pals, a um setor, a uma ‘organizagéo ou mesmo a um departamento dentro de uma organizacao. Nem todos os controles podem ser aplicados em todos os paises. Por exemplo, pode ser possivel implementar buscas em bolsas e bagagens em partes da Europa, mas nao em partes do Oriente Médio. Aspectos culturais ndo podem ser ignorados, pois muitos Controles contam com 0 apoio ativo do pessoal. Se 0 pessoal ndo compreende a necessidade do controle ou nao acham que ele seja culturalmente aceitavel, o controle se tornara ineficaz ao passar do tempo. 1801 IEC 2008 -@ ABNT 2008 - Todos os dries reservados 53Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Restrigées éticas: AAs restrigdes éticas podem ter grandes implicagées sobre os controles na medida em que a ética muda tendo ‘como base as normas sociais, Isso pode impedir a implementagao de alguns controles em alguns paises, como por exempio a varredura de correspondéncia eletrOnica ("email scanning’). A pivacidade das informagbes pode ser entendida de diferentes maneiras dependendo da ética da regio ou do gaverno, Essas questées podem causar malores preocupagées em alguns setores de atividade econdmica do que em outros, por exemplo: 0 selor governamental e 0 da saude. Restrigdes ambiontais: Fatores ambientais, tais como a disponibiidade de espago, condigées climaticas extremas ¢ o meio geografico natural ou urbano, podem influenciar a sele¢ao de controies. Por exemplo, instalagdes & prova de terremoto podem ser necessérias em alguns paises, porém desnecessarias em outros, Restrigdes logais: Fatores legais tals como provisées relativas & protegdio de dados pessoais ou do cédigo penal referentes ao processamento de informagées, podem afetar a sele¢ao de controles. A conformidade a legislacao © a normas pode exigir certos tipos de contrales, como por exemplo, a protegdo de dados e a auditor financeira. Por outro lado, ela pode também impedit 0 uso de alguns controles, por exemplo: a criptografia. Outras leis e reguiamentagSes, tais como a legislagao do trabalho, as normas do corpo de bombeiros, da area da saude © da sseguranga, @ regulamentagées do setor econdmico, também podem afetar a escolha de controles. Faclidade de uso: Uma interface de usuario mal projetada resultara em erro humano e pode tomar 0 controle init. Convém que os controles selecionados sejam de facil utlizacao, além de garantirem um nivel aceitavel de risco residual ao negécio. Os controles de dificil utlizagao t8m sua eficdcia prejudicada, ja que 0s usudrios tentardo contorné-los ou ignord-los tanto quanto possivel. Controles de acesso complexos dentro da organizacao podem estimular os usuérios a acharem algum método de acesso alternativo nao autorizado. Restrigdes de recursos humanos Gonvém que sejam considerades 0 custo salarial @ a disponiblidade de profissionais com as competéncias especializadas necessérias para a implementagao dos controles, bem como a capacidade de deslocar o pessoal ‘om condigdes adversas de operagao. O conhecimento necessario para a implementagdo dos controles planejados pode nao estar prontamente disponivel ou pode representar um custo excessivo para a organizagao. Outros aspectos tais como a tendéncia de parte do pessoal discriminar outros membros da equipe que nao passaram por verificacdes de seguranca, podem ter grandes implicages para as politicas e praticas de seguranca ‘Alem disso, a necessidade de achar e contratar as pessoas certas para o trabalho pode resultar na sua ccontratagdo antes que as verificagdes de seguranga sejam conclufdas. Exigir que a verificarao de seguranca seja finaizada antes da contratagao é a pratica normal e a mais segura, Restrigdes ligadas a integrago dos controles novos aos jé existentes: AA integragao de controles novos a uma infra-estrutura existente e a interdependéncia entre controles so fatores freqientemente ignorados. Controles novos podem nao ser facilmente implementadas se houver incongruéncia ou incompatibiidade com controles existentes, Por exemplo, um plano para usar dispositives de identificagéo biométrica para controle de acasso fisico pode confitar com um sistema que se baseie na digitagao de nimeros de identificag4o pessoal (PIN, conforme a sigla em Inglés) para o controle de acesso. Convém que 0 custo da mudanga dos controles existentes para os planejados inclua também os itens a serem adicionados ao custo goral do tratamento do risco. Talvez néo seja possivel implementar alguns dos controles selecionados devido aos cconfltes com os controles atuais. 54 {© ISOVIEC 2008 - © ABNT 2008 - Todos os deo reservadosConvénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) tt) a) 3] (4) io} 1801 ABNT NBR ISO/IEC 27005:2008 liografia ABNT ISOMIEC Guia 73: 2005, Gestéo de riscos ~ Vocabulério - Recomendagées para uso em normas ISOVIEC 16085: 2008, Systems and Software Engineering — Life Cycle Processes — Risk Management ASINZS 4360: 2004, Risk Managomont NIST Special Publication 800-12, An Introduction to Computer Security: The NIST Handbook NIST Special Publication 800-30, Risk Management Guide for Information Technology Systems, Recommendations of the National Institute of Standards and Technology IEC 2008 -@ ABNT 2008 - Todos os dries reservados 55