Análise de riscos da segurança da informação na APF

U NIVERSIDADE DE BRASLIA - UNB DEPARTAMENTO DE CINCIAS DA COMPUTAO
ANLISE/AVALIAO DE RISCOS DE SEGURANA DA INFORMAO PARA A ADMINISTRAO PBLICA FEDERAL: UM ENFOQUE DE ALTO NVEL BASEADO NA ISO/IEC 27005
PEDRO JORGE SUCENA SILVA
MONOGRAFIA DE C ONCLUSO DO CURSO DE ESPECIALIZAO EM C INCIAS DA C OMPUTAO: GESTO DA SEGURANA DA INFORMAO E COMUNICAES Orientador: Prof. Dr. Jorge Henrique Cabral Fernandes
II
Braslia, 29 de maio de 2009.
ANLISE/AVALIAO DE RISCOS DE SEGURANA DA INFORMAO PARA A ADMINISTRAO PBLICA FEDERAL: UM ENFOQUE DE ALTO NVEL BASEADO NA ISO:IEC 27005
Trabalho de concluso de curso apresentado como parte das atividades para obteno do ttulo de Especialista em Cincias da Computao do curso de Especializao em Cincias da Computao: Gesto da Segurana da Informao e Comunicaes do Departamento de Cincias da Computao da Universidade de Braslia.
Prof orientador: Jorge Henrique Cabral Fernandes Braslia, 2009
III
Ttulo: Anlise/avaliao de riscos de segurana da informao para a Administrao Pblica Federal: um enfoque de alto nvel baseado na ISO:IEC 27005. Trabalho de concluso de curso apresentado como parte das atividades para obteno do ttulo de Especialista em Cincias da Computao do curso de Especializao em Cincias da Computao: Gesto da Segurana da Informao e Comunicaes do Departamento de Cincias da Computao da Universidade de Braslia.
Os componentes da banca de avaliao, abaixo listados, consideram este trabalho aprovado.
Nome 1 Titulao Assinatura Instituio
Autoria: Pedro Jorge Sucena Silva
Jorge Henrique Cabral Fernandes
Doutor
Universidade de Braslia
Jacir Luiz Bordim
Doutor
Edgard Costa Oliveira
Doutor
Data da aprovao: ____ de _____________________ de ________.
IV
RESUMO
Este trabalho apresenta um modelo preliminar de anlise/avaliao de riscos de segurana da informao, capaz de identificar os riscos com alto potencial de impacto em uma organizao pblica. A anlise/avaliao de riscos uma atividade do processo de gesto de riscos em que so identificados os riscos e seus componentes ativos, ameaas, vulnerabilidades e conseqncias. A probabilidade de ocorrncia do cenrio de risco e suas conseqncias so avaliadas, resultando em um nvel de risco. Esse risco ento avaliado segundo critrios pr-definidos que determinaro a sua importncia para a organizao. A norma ISO/IEC 27005 recomenda iniciar o processo de gesto de riscos com uma anlise/avaliao com um enfoque de alto nvel, isto , uma abordagem mais global que vise os principais riscos que envolvem o negcio. uma abordagem simplificada que considera os aspectos tecnolgicos de forma independente das questes de negcio. A partir dos resultados dessa primeira iterao possvel definir as prioridades, os riscos que precisam ser detalhados em uma segunda iterao e uma cronologia para a execuo de aes. Este trabalho prope um modelo com essas caractersticas, tendo como base a Norma ABNT ISO/IEC 27005 e considerando algumas especificidades da Administrao Pblica Federal. Palavras-chave: segurana da informao, gesto de riscos, administrao pblica.
SUMRIO
1 2
2.1
2.1.1 2.1.2
Introduo ........................................................................................................1 Requistos Pr-pesquisa.................................................................................3

Objetivos ..................................................................................................................... 3
Objetivo Geral......................................................................................................................3 Objetivos Especficos...........................................................................................................3
2.2 2.3
Justificativa ................................................................................................................. 3 Metodologia ................................................................................................................ 5 Gesto de riscos: norma ISO/IEC 27005..................................................................... 7
3.1
3.1.1 3.1.2 3.1.3 3.1.3.1 3.1.3.2 3.1.3.3 3.1.4 3.1.4.1 3.1.4.2 3.1.5 3.1.6 3.1.7 3.1.8
Reviso de literatura e fundamentos .............................................................7

Conceitos ............................................................................................................................8 O processo de gesto de riscos .........................................................................................12 Definio do contexto ........................................................................................................14 Critrios bsicos ................................................................................................................14 Definio do escopo e limites.............................................................................................15
Organizao para gesto de riscos ....................................................................................15 Anlise/avaliao de riscos................................................................................................16 Anlise de riscos................................................................................................................16 Tratamento do risco ...........................................................................................................23 Aceitao do risco .............................................................................................................27 Comunicao do risco .......................................................................................................27 Avaliao de riscos ............................................................................................................22
3.2
3.2.1
Administrao pblica ............................................................................................... 30
Monitoramento e anlise crtica de riscos...........................................................................28 Princpios da administrao pblica ...................................................................................32
4.1
4.1.1 4.1.1.1 4.1.2
instrumentos para anlise/avaliao de risco enfoque de alto nvel .....37

Definio do contexto................................................................................................ 38
Definio do escopo ..........................................................................................................38 Critrios de risco................................................................................................................42
Especificidades da Administrao Pblica Federal .............................................................40
4.2
4.2.1
Anlise/avaliao de riscos ....................................................................................... 46
Anlise de riscos................................................................................................................46
VI 4.2.1.1 4.2.1.2 4.2.2 Identificao de riscos .......................................................................................................46 Estimativa de riscos...........................................................................................................49 Avaliao de riscos ............................................................................................................51
4.3
5 6
Tratamento do risco................................................................................................... 51
Exemplo de aplicao ...................................................................................53 Concluso e trabalhos futuros.....................................................................67
Referncias bibliogrficas......................................................................................69
INTRODUO
Administrao Pblica Federal1 (APF), o Tribunal de Contas da Unio constatou que a levantamento apontou que 64% deles no possuem uma poltica da segurana da informao nem uma rea especfica para lidar com a segurana da informao. Alm disso, 75% no fazem anlise de risco de TI, 80% no classificam as informaes e 88% no possuem plano de continuidade de negcio. (GRSI) no uma prtica comum na APF. H vrios fatores que podem explicar essa Diante desses dados possvel afirmar que a gesto de risco de segurana da informao
Em um levantamento sobre a governana de tecnologia da informao (TI) na
segurana da informao no consta na agenda da maioria dos rgos pblicos. O
situao. Primeiramente a aplicao da gesto de risco segurana da informao um produto recente, considerando que a APF normalmente absorve as mudanas ou novas ferramentas de gesto de modo mais lento do que a iniciativa privada. Em segundo lugar, a GRSI precisa do apoio da direo do rgo, visto que um processo transversal que perpassa destacar ainda que os mtodos de anlise/avaliao de riscos normalmente so complexos, para a sua operacionalizao. A proposta deste trabalho aponta para a necessidade de um mtodo de anlise/avaliao de riscos que considere as especificidades da APF, que seja capaz de identificar os riscos com alto potencial de impacto e que, ao mesmo tempo, seja simples, de baixo custo e que possa ser executado por um grupo pequeno de pessoas. diversas fraes da organizao e necessita do apoio especializado de muitas delas. Vale exigem a coleta de uma enorme quantidade de dados e consomem muito tempo e recursos
TRIBUNAL DE CONTAS DA UNIO. Acrdo 1603/2008. Braslia, 2008.
identificados os riscos e seus componentes ativos, ameaas, vulnerabilidades e conseqncias. A probabilidade de ocorrncia do cenrio de risco e suas conseqncias so definidos que determinaro a sua importncia para a organizao. avaliadas, resultando em um nvel de risco. Esse risco ento avaliado segundo critrios prA gesto de riscos de segurana da informao, em que est inserida a anlise/avaliao
A anlise/avaliao de riscos uma atividade do processo de gesto de riscos em que so
de riscos, uma metodologia que procura identificar os riscos que envolvem uma
organizao, prioriz-los e propor estratgias de tratamento desses riscos. Para a norma ISO/IEC 27005, risco de segurana da informao medido em funo da combinao da probabilidade de um evento e de sua conseqncia. Desse modo, riscos podem ser gerenciados mudando-se tanto a natureza de suas conseqncias como a probabilidade de que determinado evento ocorra. iterativo na execuo da anlise/avaliao de risco o que permite detalhar a avaliao a cada repetio. Por conseguinte, recomendado pela norma iniciar o processo de gesto de riscos A gesto de riscos estabelecida em um processo de melhoria contnua com um enfoque
com uma anlise/avaliao com um enfoque de alto nvel, isto , uma abordagem global que visa os principais riscos que envolvem o negcio. uma abordagem simplificada que considera os aspectos tecnolgicos de forma independente das questes de negcio. A partir ser detalhados em uma segunda iterao e uma cronologia para a execuo de aes. dos resultados dessa primeira iterao possvel definir as prioridades, os riscos que precisam
Este trabalho vem propor instrumentos que ajudaram a compor um mtodo com essas caractersticas, tendo como base a norma ISO/IEC 27005 e considerando as especificidades da Administrao Pblica Federal.
REQUISTOS PR-PESQUISA
2.1
2.1.1
Objetivos
Objetivo Geral
Administrao Pblica Federal em um enfoque de alto nvel. 2.1.2 Objetivos Especficos
Propor instrumentos para um mtodo preliminar de anlise/avaliao de riscos para
So objetivos especficos do trabalho: 1. Desenvolver os instrumentos para um mtodo de anlise/avaliao com um enfoque de alto nvel. 2. Aplicar os instrumentos propostos em uma organizao fictcia. 3. Rever a literatura sobre o processo de gesto de riscos e sobre a administrao pblica.
2.2
Justificativa
O avano tecnolgico vivido desde a segunda metade do sculo XX catalisou a exploso
informacional dos ltimos trinta anos, proporcionando mudanas na forma como as conhecimento crtico das organizaes a diversos riscos. Por isso, a demanda de proteo agenda das organizaes privadas e vem entrando lentamente na das organizaes pblicas.
organizaes manipulam o seu conhecimento. O aumento do fluxo de informaes expe o dessas informaes constitui um enorme desafio. Assim, a segurana da informao entrou na A preocupao com a proteo da informao como ativo no mbito das organizaes
criou a necessidade de sistematizao e padronizao dos conceitos de segurana da
informao, de modo a consolidar as bases para o desenvolvimento seguro e uniforme de solues para os problemas emergentes dessa questo. Dentre as normas e padres surgidos dessa preocupao destacamos a srie de normas ISO/IEC 27000: parte 2 da norma britnica BS 7799; ISO/IEC 27001 Sistemas de gesto de segurana da informao: originria da ISO/IEC 27002 Cdigo de prtica para a gesto da segurana da informao: foi desenvolvida a partir da parte 1 da norma britnica BS 7799; ISO/IEC 27005 Gesto de riscos de segurana da informao: teve como base a parte 3 da BS 7799 e a norma australiana neozelandesa AS/NZS 4360. de risco. Trata-se de uma metodologia que procura evitar que riscos e ameaas se concretizem O primeiro passo para gerir a segurana da informao segundo essas normas a gesto
e gerem prejuzos das mais diversas ordens. Procura delimitar os possveis problemas e
possibilidades de interferncia nas atividades de uma organizao e transform-los em riscos mensurveis e manejveis.2 Trata-se da aplicao de um mtodo lgico e sistemtico para estabelecer os contextos, bem como para identificar, estimar, avaliar, tratar, aceitar, monitorar e comunicar os riscos associados a qualquer ativo, funo, atividade, ou processo, de modo informao. possvel evitar eventos indesejveis ou negativos prevendo sistematicamente os riscos, A gesto eficaz de riscos reduz a probabilidade e a severidade de incidentes de segurana. que as organizaes possam minimizar as perdas resultantes de incidentes de segurana da
avaliando a sua importncia, gerenciando suas conseqncias e aprendendo enquanto se atravessa esse ciclo. No entanto, a gesto eficaz de riscos implica tambm prever os riscos futuros e saber lidar de maneira pr-ativa com eles gesto pr-ativa em vez de reativa. criao de condies que permitam evit-los.3 Freqentemente, possvel superar adversidades sendo pr-ativo na previso de riscos e na A gesto de riscos proporciona uma srie de benefcios s organizaes. Fornece uma
base slida e segura para a tomada de deciso e planejamento; torna mais eficaz a alocao e
o uso de recursos; melhora a gesto de incidentes e reduz perdas e custos com riscos, melhora
2 3
ZAMITH, Jos Lus Cardoso. Gesto de Riscos e Preveno de Perdas. Rio de Janeiro: FGV, 2007. CENTRO CANADENSE PARA O DESENVOLVIMENTO DA GESTO. Uma base para o desenvolvimento de estratgias de aprendizagem para a gesto de riscos no servio pblico / Stephen Hill, Geoff Dinsdale; traduzido por Lus Marcos B. L. de Vasconcelos. Braslia: ENAP, 2003 (Cadernos ENAP, 23).
a segurana e confiana das partes envolvidas; melhora a conformidade com a legislao pertinente; e melhorar a governana corporativa. Portanto, o processo de gesto de riscos constitui uma ferramenta de extrema importncia
para o estabelecimento de um Sistema de Gesto de Segurana da Informao (SGSI) conforme a norma ISO/IEC 27001. E de forma semelhante e complementar ao SGSI, o
processo de gesto de riscos, estabelecido em um processo de melhoria contnua com um enfoque iterativo na execuo da anlise/avaliao de risco o que permite aprofundar e detalhar a anlise a cada repetio. riscos com um enfoque de alto nvel. Momento em que se procuram os principais riscos da organizao, os de maior impacto e se estabelece um cronograma de aes. mais rpida, mais simples e de menor custo que uma abordagem detalhada, o que facilita a aceitao do programa de gesto de riscos pelas partes interessadas. A primeira iterao dessa atividade deve utilizar uma abordagem de anlise/avaliao de
pblica no permitiria a implementao simultnea de todos os controles que seriam precisos,
uma abordagem importante porque a indisponibilidade oramentria comum na esfera
logo haveria a necessidade de tratar apenas os riscos mais crticos. Por isso no faz sentido iniciar um processo de gesto de riscos detalhado se a implementao dos controles seria sua validade com as mudanas de contexto, de ameaas e de vulnerabilidades trazidas pelo tempo, portanto uma abordagem com enfoque de alto nvel seria mais adequada. completada em um prazo estendido. Vale destacar que uma anlise/avaliao de risco perde
anlise/avaliao de riscos com um enfoque de alto nvel seja colocada no mbito do servio pblico, j que so poucos os rgo que se preocupam em gerir os seus riscos de modo sistemtico.
Diante dessas questes imprescindvel que a discusso quanto a um mtodo de
2.3
Metodologia
A presente pesquisa pode ser caracterizada, segundo a utilizao dos resultados, como
pesquisa aplicada. Distingue-se pelo seu interesse prtico que conforme Ander-Egg4 procura resultados que possam ser aplicados ou utilizados, imediatamente, na soluo de problemas que ocorrem na realidade.
Ander-Egg (1978) apud MARCONI, M. A., LAKATOS, E. M. Tcnicas de Pesquisa. So Paulo: Atlas, 2002.
e analisar as contribuies registradas acerca do tema proposto. Vale destacar que a pesquisa bibliogrfica no mera repetio do que j foi escrito sobre determinado assunto. Ela permite explorar novas reas onde os problemas no se cristalizaram o suficiente. Propicia o inovadoras5. informao com nfase na norma ISO/IEC 27005:2008. Em seguida o estudo voltou-se a literatura sobre a administrao pblica. Terminada esta etapa, o trabalho foi direcionado caracterizao da administrao Foram delineados os instrumentos para um mtodo de gesto de riscos para a APF numa Inicialmente foi realizado um estudo na literatura sobre a gesto de risco de segurana da exame de um tema sob novo enfoque ou abordagem, podendo chegar a concluses
A principal tcnica utilizada foi a pesquisa bibliogrfica, o objetivo era conhecer, discutir
pblica em aspectos que subsidiem, de maneira geral, o processo de gesto de riscos.
abordagem de alto nvel. Por fim, foi elaborado um exemplo de aplicao dos instrumentos propostos em uma organizao fictcia.
MARCONI, M. A., LAKATOS, E. M. Tcnicas de Pesquisa. So Paulo: Atlas, 2002.
REVISO DE LITERATURA E FUNDAMENTOS
3.1
Gesto de riscos: norma ISO/IEC 27005

A norma ISO/IEC 27005 fornece diretrizes e descreve um processo genrico para a
Gesto de Riscos de Segurana da Informao de uma organizao. O processo descrito pela norma harmonicamente sincronizado com o ciclo de melhoria contnua PDCA utilizado em um SGSI conforme a ISO/IEC 27001. Alm disso, o processo pode tambm ser usado de forma independente, como por exemplo, para avaliaes de risco em um projeto. Isto permite flexibilidade e pragmatismo que possibilita a utilizao do processo de GRSI em uma vasta gama de circunstncias. Segundo Herv Schauer6, a ISO/IEC 27005 o resultado de diversas outras normas e mtodos conforme Figura 1.
Figura 1 Normas que influenciaram a criao da ISO/IEC 27005.
SCHAUER, H. ISO/CEI 27005 : la norme du consensus. Global Security Mag. N4, p. 52-55, Set. 2008
modelo de gesto de risco para a rea de tecnologia da informao (TI), desde 1992 com o incio da normalizao da segurana em TI. O mtodo EBIOS (Expression des Besoins et Identification des Objectifs de Scurit) criado pelo Ministrio da Defesa francs, contribuiu
Desse modo, a ISO/IEC 27005 sofreu influncia da norma ISO 13335-3, que traz um
com a idia da diviso do processo de avaliao de riscos de sistemas de informao em atividades e sub-atividades com insumos de entrada, um trabalho a realizar e resultados a obter. A norma AS/NZS 4360 apresentou um processo de gesto de risco cujas fases e tarefas so parecidas com as adotadas pela ISO/IEC 27005. A British Standard BS 7799-3 possui normas da famlia 27000. Ainda, segundo Schauer a norma teria sofrido influncias de diversas outras fontes que no puderam ser identificadas. 3.1.1 Conceitos
uma funo similar a da ISO/IEC 27005, j que a srie de normas BS 7799 foi a base das
importante destacar o conceito de risco de segurana da informao e os seus componentes, conforme descrito pela ISO/IEC 27005. explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira evento e de sua conseqncia.7 Riscos de segurana da informao: a possibilidade de uma determinada ameaa
prejudicando a organizao. medido em funo da combinao da probabilidade de um Desse conceito possvel depreender quatro elementos que so fundamentais para o Ativo definido como qualquer coisa que tenha valor para a organizao 8. A norma
processo de gesto de risco, quais sejam: ativo, ameaa vulnerabilidade e impacto.
ISO/IEC 27005 em seu Anexo B sugere a distino entre ativos primrios e ativos de suporte negcio. Os ativos de suporte so aqueles sobre os quais os elementos primrios se apiam, eles podem ser agrupados da seguinte maneira: hardware, software, rede, recursos humanos, instalaes fsicas e estrutura da organizao.
e infra-estrutura.9 Os ativos primrios seriam as informaes, os processos e as atividades de
Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27005: Gesto de risco de segurana da informao. Rio de Janeiro, 2008. Grifo nosso. 8 Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27001:2006. Sistema de gesto de segurana da informao requisitos. Rio de Janeiro, 2006. 9 Os anexos da norma ISO/IEC 27005 possuem valor informativo, logo as tipificaes de ativos, ameaas, exemplos de vulnerabilidade e mtodos de anlise/avaliao de riscos so colocados como sugestes que podem ser adaptadas a realidade de cada organizao.
7
um sistema ou organizao10. As ameaas podem ser de origem humana de natureza acidental categorias: dano fsico, eventos naturais, paralisao de servios essenciais, distrbio causado
Ameaa a causa potencial de um incidente indesejado, que pode resultar em dano para
ou intencional ou, ainda, de origem ambiental. E podem ser tipificadas nas seguintes por radiao, comprometimento da informao, falhas tcnicas, aes no autorizadas, dada ateno especial as especificidades da origem e motivaes dos agentes que representam ameaa. por uma ou mais ameaas11. O Anexo D da ISO/IEC 27005 apresenta uma lista genrica de exemplos de vulnerabilidades e de possveis ameaas que poderiam explor-las. A lista est Vulnerabilidade a fragilidade de um ativo ou grupo de ativos que pode ser explorada
comprometimento de funes. Em relao s ameaas intencionais a norma sugere que seja
organizada segundo o tipo de ativo de suporte e infra-estrutura. Vale destacar que, conforme colocado por Fernandes12, para o caso de ativos tecnolgicos a lista possui pouca aplicabilidade devido ao seu carter genrico. Para tal atividade se faz necessrio a utilizao de mtodos, tcnicas e ferramentas especficas.
organizao devido perda ou comprometimento de ativos. Em alguns momentos elas so usadas como sinnimos, porm possvel delinear algumas diferenas.
A norma utiliza as palavras: impacto e conseqncia para se referir aos danos causados a
sua determinao indica o valor operacional do ativo para a organizao. As conseqncias ativos supostamente afetados. Alm desses critrios, segundo a ISO/IEC 27005, devem ser
A conseqncia est relacionada a perdas operacionais relativas proteo de ativos. A
so avaliadas em funo da perda da confidencialidade, integridade e disponibilidade dos considerados para a determinao das conseqncias operacionais a investigao e tempo de reparo, o tempo de trabalho perdido, as oportunidades perdidas, sade e segurana, custo financeiro das competncias especficas necessrias para reparar o prejuzo, imagem e reputao da organizao.
Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27002: Cdigo de Prtica para a gesto da segurana da informao. Rio de Janeiro, 2005. 11 Ibid. 12 FERNANDES, J. H. C. Introduo Gesto de Riscos de Segurana da Informao. 75 f. Texto desenvolvido para suporte das atividades de Ensino do Programa de Pesquisas e Formao de Especialistas. Universidade de Braslia (UnB), Braslia, 2009.
10
10
O impacto definido como uma mudana adversa no nvel obtido dos objetivos de negcios13. Assim, quando se fala em impacto o dano causado por um incidente de segurana observado de um modo mais abrangente em relao ao negcio da organizao como um todo. Conforme o Anexo B.3 da norma, o impacto pode ser direto: (i) valor financeiro de reposio do ativo perdido; (ii) custo de aquisio, configurao e instalao do novo ativo ou do back-up; (iii) custo das operaes suspensas devido ao incidente at que o servio prestado pelos ativos afetados seja restaurado; (iv) conseqncias resultantes de violaes da segurana da informao; e indireto: (i) custo de oportunidade; (ii) custo das operaes interrompidas; obrigaes estatutrias ou regulatrias; (v) violao dos cdigos ticos de conduta.
(iii) mau uso das informaes obtidas atravs da violao da segurana; (iv) violao de A seguir destacam-se outros conceitos pertinentes gesto de risco de segurana da
informao. A Figura 2 apresenta um mapa que permite visualizar a relao entre os conceitos fundamentais da gesto de risco.14 Evento de segurana da informao: uma ocorrncia identificada de um estado de
sistema, servio ou rede, indicando uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao.15 Risco residual: risco remanescente aps o tratamento de riscos.16 Aceitao do risco: deciso de aceitar um risco.17 predefinidos para determinar a importncia do risco.18 Avaliao de riscos: processo de comparar o risco estimado com critrios de risco Tratamento do risco: processo de seleo e implementao de medidas para modificar um risco.19 situao de risco.20
Ao de evitar o risco: deciso de no se envolver ou agir de forma a se retirar de uma
Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27005: Gesto de risco de segurana da informao. Rio de Janeiro, 2008. 14 FERNANDES, J. H. C. Op. Cit. 15 Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27001:2006. Sistema de gesto de segurana da informao requisitos. Rio de Janeiro, 2006. 16 Ibid. 17 Ibid. 18 Ibid. 19 Ibid.
13
11
tomador de deciso e outras partes interessadas.21 conseqncias de um risco.22
Comunicao do risco: troca ou compartilhamento de informao sobre o risco entre o Estimativa de riscos: processo utilizado para atribuir valores probabilidade e Identificao de riscos: processo para localizar, listar e caracterizar elementos do risco.23 Reduo do risco: aes tomadas para reduzir a probabilidade, as conseqncias
negativas, ou ambas, associadas a um risco.24 Reteno do risco: aceitao do nus da perda ou do benefcio do ganho associado a um determinado risco.25 benefcio do ganho associado a um risco.26 (perdas) so consideradas. Transferncia do risco: compartilhamento com outra entidade do nus da perda ou do No que tange a reteno e transferncia do risco, somente conseqncias negativas
Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27005: Gesto de risco de segurana da informao. Rio de Janeiro, 2008. 21 Ibid. 22 Ibid. 23 Ibid. 24 Ibid. 25 Ibid. 26 Ibid.
20
12
Figura 2 Um mapa de conceitos sobre risco de segurana da informao. 27
3.1.2
O processo de gesto de riscos
risco de segurana da informao e das suas atividades. A Figura 3 um esquema do encadeamento das atividades do processo de gesto de risco. O processo de gesto de risco comea com a definio do contexto. Em seguida feita a
A norma ISO/IEC 27005 contm a descrio e as diretrizes do processo de gesto de
anlise/avaliao de riscos, em que os riscos so identificados, estimados e avaliados segundo critrios definidos no momento do estabelecimento do contexto. Finda est fase h o primeiro
ponto de deciso onde verificado se a avaliao foi satisfatria ou no, caso no seja, o processo repetido. Vale destacar que a segunda iterao para os riscos que precisam ser detalhados, logo, o contexto da segunda iterao mais especfico que o da primeira. Se a avaliao for considerada satisfatria passa-se ao tratamento do risco, etapa onde os riscos podem ser reduzidos, retidos, evitados ou transferidos. possvel que o risco residual que iterao de anlise/avaliao de riscos.
resulta do tratamento no seja aceitvel para a organizao, da faz-se necessria outra
27
FERNANDES, J. H. C. Op. Cit.
13
Figura 3 Viso geral do processo de gesto de risco segundo a norma ISO/IEC 27005.
formalmente a aceitao do risco residual. A comunicao do risco deve ser feita durante todo
A aceitao do risco importante porque os gestores da organizao registram
o processo porque informaes sobre os riscos e modo como sero tratados podem ser teis para os gestores e para reas operacionais no gerenciamento de algum incidente. O monitoramento cotidiano e a anlise crtica so necessrios para assegurar que o contexto, o gesto, permaneam relevantes e adequados s circunstncias.
resultado da anlise/avaliao de riscos e do tratamento do risco, assim como os planos de As atividades do processo de gesto de risco de segurana da informao, conforme
apresentadas acima, so as seguintes: definio do contexto, anlise/avaliao de riscos,
14
tratamento do risco, aceitao do risco, comunicao do risco e monitoramento e anlise crtica de riscos. A seguir sero descritas cada uma dessas atividades. 3.1.3 Definio do contexto
Como sub-processo, a definio do contexto recebe como entrada todas as informaes sobre critrios bsicos; o escopo e os limites do processo de gesto de riscos de segurana da informao; e a organizao responsvel pelo processo. A definio do contexto compreende a definio de critrios bsicos necessrios para a
A definio do contexto determina o objeto sobre o qual a gesto de risco vai atuar.
a organizao relevantes para a definio do contexto e presta como sada especificao dos
gesto de riscos de segurana da informao, a definio do escopo e dos limites e o estabelecimento de uma organizao apropriada para atuar na gesto de riscos. 3.1.3.1 Critrios bsicos
critrios de risco podem ser elaborados. Os critrios bsicos apresentados pela norma tm o objetivo de dar suporte e um SGSI e se dividem em critrios para a avaliao de riscos, critrios de impacto e critrios para a aceitao do risco.
Conforme o objetivo da gesto de risco e as especificidades da organizao diferentes
Critrios para a avaliao de riscos: estabelece um parmetro para a avaliao dos riscos e so usados para especificar as prioridades para o tratamento do risco. Para sua elaborao so considerados: (i) o valor estratgico do processo que trata as informaes de negcio; (ii) a criticidade dos ativos de informao envolvidos; (iii) requisitos legais e regulatrios, bem como as obrigaes contratuais; (iv) importncia
do ponto de vista operacional e dos negcios, da disponibilidade, da confidencialidade e da integridade; (v) expectativas e percepes das partes interessadas e conseqncias negativas para a imagem e a reputao.28 Critrios de impacto: procura definir um termo para avaliar o impacto de um cenrio de incidente. So considerados na sua definio: (i) o nvel de classificao do ativo de informao afetado; (ii) a ocorrncias de violao da segurana da informao; (iii)
operaes comprometidas; (iv) perda de oportunidades de negcio e de valor

Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27005: Gesto de risco de segurana da informao. Rio de Janeiro, 2008.
28
15
financeiro; (v) interrupo de planos e o no cumprimento de prazos; (vi) dano reputao; (vii) violaes de requisitos legais, regulatrios ou contratuais.29 Critrios para a aceitao do risco: estabelece uma escala de nveis de aceitao do
risco, normalmente, depende das polticas, metas e objetivos da organizao, assim como dos interesses das partes interessadas. Segundo a norma, os critrios para a aceitao do risco podem possuir limites diversos, em que riscos acima do patamar estabelecido podem ser aceitos sob circunstncias definidas. Alm disso, diferentes critrios podem ser aplicados a diferentes classes de risco, podem incluir requisitos para um tratamento adicional futuro, e podem ser diferenciados de acordo com o tempo de existncia previsto do risco. A norma ressalta, ainda, que devem ser negcio; (ii) aspectos legais e regulatrios; (iii) operaes; (iv) tecnologia; (v) finanas; e (vi) fatores sociais e humanitrios. considerados no estabelecimento desses critrios os seguintes itens: (i) critrios de
3.1.3.2
Definio do escopo e limites
sobre os ativos da organizao. importante que sejam reunidas informaes sobre a organizao, e que sejam consideradas as seguintes informaes: (i) objetivos estratgicos, organizao; (iv) requisitos legais, regulatrios e contratuais aplicveis organizao; (v) poltica de segurana da informao da organizao; (vi) abordagem da organizao gesto polticas e estratgias da organizao; (ii) processos de negcio; (iii) funes e estrutura da
O escopo e o limite do processo de gesto de risco definem a abrangncia do processo
de riscos; (vi) ativos de informao; (vii) localidades em que a organizao se encontra e suas caractersticas geogrficas; (viii) restries que afetam a organizao; (ix) expectativas das partes interessadas; (x) ambiente sociocultural; e (xi) interfaces, ou seja, a troca de informao com o ambiente. 3.1.3.3 Organizao para gesto de riscos
processo de gesto de risco. Conforme a ISO/IEC 27005, os papis e responsabilidades desse
Um grupo ou frao da organizao deve ser estabelecido e mantido para executar o
grupo so: (i) desenvolvimento do processo de gesto de riscos de segurana da informao
adequado organizao; (ii) identificao e anlise das partes interessadas; (iii) definio dos
29
Ibid.
16
papis e responsabilidades de todas as partes, internas e externas organizao; (iv)
estabelecimento das relaes necessrias entre a organizao e as partes interessadas, das interfaces com as funes de alto nvel de gesto de riscos da organizao, assim como das tomada de decises; e (vi) especificao dos registros a serem mantidos. 3.1.4 Anlise/avaliao de riscos interfaces com outros projetos ou atividades relevantes; (v) definio de aladas para a
A anlise/avaliao de riscos identifica, quantifica ou descreve qualitativamente os riscos, o que capacita os gestores a prioriz-los de acordo com a sua gravidade e com os critrios estabelecidos na definio do contexto. Tem como entrada os critrios bsicos, o escopo e os limites, e a organizao do processo de gesto de riscos, e como sada uma lista de riscos avaliados, ordenados por prioridade de acordo com os critrios de avaliao de riscos. Segundo a ISO/IEC 27005 a anlise/avaliao de riscos executada freqentemente em
duas ou mais iteraes. A primeira seria uma avaliao de alto nvel que identifica os riscos segunda iterao. Caso ainda no seja possvel avaliar o risco de maneira satisfatria, anlises possivelmente usando outro mtodo. em identificao e estimativa de riscos; e avaliao de riscos. 3.1.4.1 3.1.4.1.1 Anlise de riscos Identificao de riscos
com potencial de alto impacto. Esses riscos so avaliados com maior profundidade em uma detalhadas precisaro ser executadas, provavelmente em apenas partes do escopo e A anlise/avaliao de riscos desenvolve duas atividades: anlise de risco, que se divide
possam causar uma perda potencial a organizao. As atividades desenvolvidas so as controles; (iv) identificao de vulnerabilidades; e (v) identificao de conseqncias. As informaes coletadas servem de entrada para a estimativa de riscos.30
O objetivo identificar os elementos constituintes do risco, determinando os eventos que
seguintes: (i) identificao de ativos; (ii) identificao de ameaas; (iii) identificao de
30
Ibid.
17
Identificao de ativos: essa atividade visa identificar os ativos dentro do escopo que precisa ter os seus riscos gerenciados. Recebe como entrada: o escopo e limites para a anlise/avaliao de riscos, e uma lista de preliminar dos ativos com os respectivos responsveis, localidade, funo e outras caractersticas dos ativos; e como sada: uma lista de ativos cujos riscos precisam ser controlados, e uma lista de processos do negcio relacionados aos ativos e suas relevncias.31 A identificao dos ativos, de acordo com a norma, deve ser executada com um detalhamento adequado que fornea informaes suficientes para as etapas seguintes anlise/avaliao de riscos. do processo. O detalhamento pode ser aprofundado a cada iterao da Para cada ativo importante que seja identificado um responsvel, o qual pode no possuir a propriedade do ativo, mas tem responsabilidade sobre sua produo, desenvolvimento, manuteno, utilizao e segurana. O responsvel pelo ativo freqentemente a pessoa mais adequada para determinar o valor do mesmo para a organizao.32
Identificao de ameaas: recebe como entrada: informaes sobre ameaas obtidas a partir da anlise crtica de incidentes, dos responsveis pelos ativos, de usurios e de ameaas com a identificao do tipo e da fonte das ameaas.33 outras fontes, incluindo catlogos externos de ameaas; e como sada: uma lista de Conforme a ISO/IEC 27005, uma ameaa tem o potencial de comprometer ativos e pode provocar impactos diferentes, dependendo de quais ativos so afetados. Alm disso, podem ser de origem natural ou humana, podem ser acidentais ou intencionais e podem surgir de dentro ou de fora da organizao. As fontes das ameaas acidentais e genericamente e por classe (por exemplo: aes no autorizadas, comprometimento da informao, falhas tcnicas) e, em situaes especficas, elas podem ser detalhadas. das intencionais devem ser identificadas. As ameaas podem ser identificadas
31 32
Ibid. Ibid. 33 Ibid.
18
Identificao dos controles existentes: recebe como entrada a documentao dos controles e o plano de tratamento de risco, e como sada uma lista de todos os controles existentes e planejados, sua implementao e status de utilizao.34 Conforme a ISO/IEC 27005 a identificao dos controles evita custos e trabalho
desnecessrios. Um controle que no funcione como esperado pode provocar o surgimento de vulnerabilidades, por isso importante medir a eficcia dos controles. Uma maneira para estimar o efeito do controle ver o quanto ele reduz a probabilidade da ameaa, a facilidade de explorao de uma vulnerabilidade ou o impacto do incidente. Os controles podem ser considerados ineficazes, insuficientes ou no-justificados. Os controles insuficientes ou no-justificados devem ser avaliados para determinar se convm que o mesmo seja removido, substitudo por outro mais adequado ou se deve permanecer. As atividades de identificao dos controles so as seguintes: (i) reviso da segurana e com os usurios quais controles, relacionados ao escopo, esto realmente documentao dos controles existentes ou planejados; (ii) verificar com os gestores de implementados; (iii) revisar, no local, os controles fsicos, comparando os controles implementados com a lista de quais deveriam estar presentes, e verificar se aqueles implementados esto funcionando efetivamente; (iv) analisar criticamente os resultados de auditorias internas.35 Identificao das vulnerabilidades: recebe como entrada: (i) uma lista de ameaas conhecidas; (ii) listas de ativos; e (iii) uma lista de controles existentes; e como sada: (i) uma lista de vulnerabilidades associadas aos ativos, s ameaas e aos controles; e para anlise.36 As vulnerabilidades, segundo a norma, podem ser identificadas nas seguintes reas: (i) humanos; (v) ambiente fsico; (vi) configurao do sistema de informao; (vii) organizao; (ii) processos e procedimentos; (iii) rotinas de gesto; (iv) recursos (ii) uma lista de vulnerabilidades que no se refere a nenhuma ameaa identificada
34 35
19
hardware, software ou equipamentos de comunicao; (viii) dependncia de entidades externas. Uma vulnerabilidade precisa de uma ameaa explorando-a para causar dano organizao. Assim, uma vulnerabilidade que no tem uma ameaa correspondente pode no requerer a implementao de um controle no presente, mas ela deve ser uma vulnerabilidade correspondente pode no resultar em um risco.37 monitorada, no caso de haver mudanas. Inversamente, uma ameaa que no tenha
Vulnerabilidades podem estar ligadas a caractersticas do ativo, as quais podem ser usadas de uma forma ou para um propsito diferente daquele para o qual o ativo foi adquirido ou desenvolvido.38 Identificao das conseqncias: o objetivo identificar as conseqncias que a perda de confidencialidade, de integridade e de disponibilidade podem ter sobre os ativos. Recebe como entrada: (i) uma lista de ativos; (ii) uma lista de processos do negcio; e (iii) uma lista de ameaas e vulnerabilidades relacionadas aos ativos e sua associadas aos ativos e processos do negcio. Um cenrio de incidente, conforme a ISO/IEC 27005, a descrio de uma ameaa explorando certa vulnerabilidade ou um conjunto delas em um incidente de segurana da informao. O impacto dos cenrios de incidentes considerado em funo dos critrios estabelecidos na definio do contexto. A definio de valores aos ativos correspondendo aos seus custos financeiros e as conseqncias aos negcios caso sejam danificados, em sua totalidade ou conseqncias vale observar: (i) investigao e tempo de reparo; (ii) tempo de trabalho parcialmente, contribui para essa atividade. Alm disso, para a identificao das perdido; (iii) oportunidade perdida; (iv) sade e segurana; (v) custo financeiro das valor de mercado.39 relevncia; e como sada: uma lista de cenrios de incidentes com suas conseqncias
competncias especficas necessrias para reparar o prejuzo; (vi) imagem, reputao e
37 38
20
3.1.4.1.2
Estimativa de riscos
A estimativa de riscos visa mensurar a conseqncia ou impacto dos cenrios de incidente e estimar a sua probabilidade. As atividades que realiza so as seguintes: (i) avaliao das conseqncias; (ii) avaliao da probabilidade dos incidentes; (iii) estimativa do nvel de risco. Metodologias para a estimativa de riscos: a estimativa de risco pode ser realizada em diversos graus de detalhamento, j que a anlise/avaliao de riscos normalmente feita em pelo menos duas iteraes do processo. A primeira iterao seria de alto nvel tanto utilizaria um mtodo qualitativo. Uma segunda iterao mais detalhada utilizaria mtodos quantitativos para estimar os riscos considerados mais graves pela organizao. Os mtodos de estimativa qualitativa utilizam uma escala de palavras que qualificam ou que descrevem a gravidade das conseqncias identificadas, como por exemplo, pequeno, mdio e grande, e a probabilidade das ameaas ocorrerem. Um mtodo qualitativo de fcil compreenso por qualquer pessoa e pouco oneroso, ISO/IEC 27005, a estimativa qualitativa pode ser utilizada: (i) como uma verificao inicial a fim de identificar riscos que exigiro uma anlise mais detalhada; (ii) quando numricos ou recursos so insuficientes para uma estimativa quantitativa. esse tipo de anlise suficiente para a tomada de decises; e (iii) quando os dados Os mtodos de estimativa quantitativos utilizam escalas com valores numricos para definir as conseqncias e a probabilidade. Utilizam, na maioria dos casos, dados histricos de incidentes que podem ser relacionados aos objetivos e interesses da organizao, porm a falta desses dados principalmente sobre novos riscos inviabiliza factuais e auditveis no esto disponveis. Nesse caso, a exatido da anlise/avaliao a sua utilizao. Uma desvantagem da abordagem quantitativa ocorre quando dados de riscos e os valores associados tornam-se ilusrios. Por isso, a incerteza e a variabilidade das conseqncias e da probabilidade devem ser consideradas na anlise e comunicadas de forma eficaz. 40
com o objetivo de identificar os grandes riscos que a organizao est exposta e para
porm a dependncia escolha subjetiva da escala uma desvantagem. Conforme a
40
Ibid.
21
Avaliao das conseqncias: o objetivo avaliar o impacto sobre o negcio da organizao, que pode ser causado por incidentes de segurana da informao. Recebe como entrada uma lista de cenrios de incidentes identificados como relevantes, incluindo a identificao de ameaas, vulnerabilidades, ativos afetados e
conseqncias para os ativos e processos do negcio. A sada uma lista de conseqncias avaliadas referentes aos cenrios de incidentes, relacionadas aos ativos e critrios de impacto, conforme definido no contexto.41
O valor dos ativos presentes no escopo deve ser considerado, de acordo com a ISO/IEC 27005, para avaliar as possveis perdas que a organizao est sujeita. Os reposio e as conseqncias ao negcio relacionadas perda ou ao comprometimento do ativo. Essa valorao pode ser determinada a partir de uma anlise de impacto no negcio BIA (Business Impact Analysis). ativos so valorados segundo a sua criticidade, isto , em relao ao seu custo de
Vale destacar que um incidente pode afetar mais de um ativo ou somente parte de um ativo. Alm disso, a criao de modelos com os resultados de um evento ou um conjunto de eventos a partir de estudos experimentais ou dados passados contribuem para determinar a extenso dos danos causados por um cenrio de incidente e a relao de dependncia entre os ativos. As conseqncias podem ser expressas em funo dos critrios monetrios, tcnicos ou humanos, de impacto ou de outro critrio relevante para a organizao.42 Avaliao da probabilidade dos incidentes: recebe como entrada: (i) uma lista de ameaas, ativos afetados, vulnerabilidades exploradas e conseqncias para os ativos e cenrios de incidentes identificados como relevantes, incluindo a identificao de processos do negcio; e (ii) listas com todos os controles existentes e planejados, sua eficcia, implementao e status de utilizao. A sada a probabilidade dos cenrios de incidentes, utilizando um mtodo quantitativo ou qualitativo.43
importante observar a freqncia da ocorrncia das ameaas e a facilidade com que as vulnerabilidades podem ser exploradas, considerando o seguinte: (i) a experincia passadas e estatsticas aplicveis referentes probabilidade da ameaa; (ii) a
41 42
22
motivao e as competncias, que mudam ao longo do tempo, os recursos disponveis para possveis atacantes, bem como a percepo da vulnerabilidade e o poder da atrao dos ativos para um possvel atacante, no caso de ameaas intencionais; (iii)
fatores geogrficos, a possibilidade de eventos climticos extremos e fatores que poderiam acarretar erros humanos e o mau funcionamento de equipamentos, no caso de ameaas acidentais; (iv) vulnerabilidades, tanto individualmente como em vulnerabilidades.44 Estimativa do nvel de risco: o objetivo estimar o nvel de riscos de todos cenrios de incidentes considerados relevantes. Recebe como entrada uma lista de cenrios de probabilidades. A sada uma lista de riscos com nveis de valores designados.45 incidentes com suas conseqncias associadas aos ativos, processos de negcio e suas Segundo a ISO/IEC 27005, o risco estimado por meio da combinao entre a probabilidade de um cenrio de incidente e suas conseqncias. Desse modo, so designados valores, de natureza quantitativa ou qualitativa, para a probabilidade e para as conseqncias de um risco. Por conseguinte, o nvel de risco dos cenrios de benefcio, as preocupaes das partes interessadas e outras variveis, conforme apropriado para a avaliao de riscos. 3.1.4.2 Avaliao de riscos incidentes determinado. Alm disso, a estimativa de risco pode considerar o custoconjunto; e (v) os controles existentes e a eficcia com que eles reduzem as
encontrados com os critrios de avaliao de riscos e com os critrios para a aceitao do (ii) critrios para a avaliao de riscos. A sada uma lista de riscos ordenados por prioridade, os provocam.46 critrios para a aceitao do risco estabelecidos durante a definio do contexto. Neste estgio
A avaliao de riscos visa comparar o nvel de riscos dos cenrios de incidentes
risco. As entradas da atividade so (i) uma lista de riscos com nveis de valores designados e de acordo com os critrios de avaliao de riscos, e associados aos cenrios de incidentes que Os riscos estimados so avaliados por meio dos critrios de avaliao de riscos e dos
44 45
23
o contexto deve ser revisado detalhadamente em que se conhece mais sobre os riscos identificados. Alm disso, os critrios de avaliao de riscos devem ser consistentes com o contexto interno e externo da organizao e devem considerar os objetivos da organizao e o ponto de vista das partes interessadas. Vale destacar que a agregao de mltiplos riscos adequadamente.47 Segundo a ISO/IEC 27005 os seguintes itens devem ser considerados: As propriedades da segurana da informao (confidencialidade, integridade e os riscos que provocam esse tipo de impacto podem ser considerados irrelevantes. A importncia do processo de negcios ou da atividade suportada por um determinado ativo ou conjunto de ativos. Os riscos associados a processos julgados de baixa importncia devem ser menos considerados que os associados a processos mais importantes. Com a avaliao de riscos a etapa de anlise/avaliao de riscos termina, caso os resultados tenham sido insatisfatrios deve-se retornar ao estabelecimento do contexto, caso a avaliao tenha sido satisfatria passa-se ao tratamento do risco. 3.1.5 Tratamento do risco disponibilidade). Caso um critrio no seja importante para a organizao, logo, todos
pequenos e mdios pode resultar em um risco significativo que precisar ser tratado
O tratamento do risco visa selecionar controles para reduzir, reter, evitar ou transferir os riscos e definir um plano de tratamento do risco Recebe como entrada uma lista de riscos ordenados por prioridade e associados aos cenrios de incidentes que os provocam, e como parte dos gestores da organizao.48 A Figura 4 ilustra a atividade de tratamento de risco dentro do processo de gesto de risco de segurana da informao. considerando o resultado da anlise/avaliao de riscos, o custo esperado para implementao Conforme a ISO/IEC 27005, as opes do tratamento do risco so selecionadas sada o plano de tratamento do risco e os riscos residuais, sujeitos deciso de aceitao por
dessas opes e os benefcios previstos. Porm os riscos improvveis e de impacto severo podem exigir controles que no so justificveis do ponto de vista estritamente econmico,
47 48
Ibid. Ibid.
24
como por exemplo, controles de continuidade de negcios. Alm disso, as quatro opes para o tratamento do risco no so mutuamente excludentes, pode haver combinaes entre elas de modo a beneficiar a organizao. O plano de tratamento do risco deve identificar claramente a ordem de prioridade em que as formas de tratamento do risco sejam implementadas, assim como os seus prazos de execuo. Algumas formas de tratamento do risco podem lidar com mais de um risco de forma efetiva, por exemplo, o treinamento e a conscientizao em segurana. Aps a definio do plano de tratamento do risco, os riscos residuais precisam ser
determinados. Para isso, ocorre uma repetio da anlise/avaliao de riscos, considerando os efeitos previstos do tratamento do risco que foi proposto. Caso o risco residual ainda no satisfaa os critrios para a aceitao do risco da organizao, uma nova iterao do tratamento do risco pode ser necessria antes de se prosseguir aceitao do risco. 49 A seguir as opes de tratamento do risco so detalhadas.
Figura 4 A atividade de tratamento do risco segundo a norma ISO/IEC 27005.
49
Ibid.
25
Reduo do risco: consiste na tomada de aes para reduzir a probabilidade, as conseqncias negativas, ou ambas, associadas a um risco. Nesse caso o nvel de risco reavaliado e ento considerado aceitvel.50 reduzido atravs da seleo de controles, para que o risco residual possa ser No mbito de um sistema de gesto da segurana da informao em que a gesto de risco est inserida, a seleo de controles para reduo do risco se d dentre as opes oferecidas pela norma ISO/IEC 27002 Cdigo de prtica para a gesto da segurana da informao. A escolha dos controles, de acordo com a ISO/IEC 27005, deve considerar: (i) critrios para a aceitao do risco; (ii) requisitos legais, regulatrios e contratuais; (iii) custos e prazos para a aquisio, implementao, administrao, operao, monitoramento e manuteno dos controles em relao ao valor dos ativos sendo protegidos; (iv) o retorno do investimento em segurana, na forma da reduo do risco existncia de certos controles; (v) aspectos tcnicos, culturais e ambientais; (vi) competncias especializadas que possam ser necessrias para definir e implementar novos controles ou modificar os existentes. Vale ressaltar que os controles podem fornecer os seguintes tipos de proteo: correo, eliminao, preveno, minimizao do impacto, dissuaso, deteco, recuperao, monitoramento e conscientizao.
e da possibilidade de se explorar novas oportunidades de negcio em funo da
Um controle pode afetar o desempenho de um sistema ou processos de uma organizao. Por isso importante que uma soluo que satisfaa os requisitos de desempenho e que possa, ao mesmo tempo, garantir um nvel suficiente de segurana da informao seja encontrada.51
A norma destaca a necessidade de considerar restries que podem afetar a seleo de controles, as quais podem ser da seguinte natureza: temporais, financeiras, tcnicas, operacionais, culturais, ticas, ambientais, legais, facilidade de uso, restries de recursos humanos e restries ligadas integrao dos controles novos aos j existentes.
50 51
Ibid. Ibid.
26
Reteno do risco: a aceitao do nus da perda ou do benefcio do ganho associado a um determinado risco, todavia, no contexto dos riscos de segurana da informao, somente conseqncias negativas so consideradas. A deciso sobre a reteno de algum risco tomada em funo da avaliao de risco. Se o nvel de risco controles adicionais e pode haver a reteno do risco.52 atende aos critrios para a aceitao do risco, no h necessidade de se implementar Ao de evitar o risco: a deciso de no se envolver ou agir de forma a se retirar de uma situao de risco, isto , a organizao evita a atividade ou condio que d origem a um determinado risco. Esta ao realizada quando o risco demasiado e quando os custos para a reduo do risco so superiores aos benefcios. Por exemplo: para riscos causados por fenmenos naturais, pode ser uma alternativa mais rentvel mover fisicamente as instalaes de processamento de informaes para um local onde o risco no existe ou est sob controle.53 Transferncia do risco: o compartilhamento com outra entidade do nus da perda ou do benefcio do ganho associado a um risco, isto , a transferncia de um risco para outra entidade externa a organizao que possa gerenci-lo de forma mais eficaz. A transferncia do risco pode criar novos riscos ou modificar riscos existentes e j ser necessria. Uma forma de transferir o risco a contratao de um seguro que cubra o impacto de incidente outra forma seria a subcontratao de um parceiro cujo papel seria o de monitorar o sistema de informao e tomar medidas imediatas que impeam um ataque antes que ele possa causar um determinado nvel de dano ou prejuzo. Desse modo possvel transferir a responsabilidade pelo gerenciamento do risco, entretanto a responsabilidade legal pelo impacto normalmente no possvel ser transferida. organizao. 54 identificados. Portanto, uma nova iterao do processo de gesto de risco pode vir a
Assim, os clientes provavelmente iro atribuir a culpa por um efeito adverso
52 53
27
3.1.6
Aceitao do risco
risco. Recebe como entrada: o plano de tratamento do risco e a anlise/avaliao do risco da atividade uma lista de riscos aceitos, incluindo uma justificativa para aqueles que no satisfaam os critrios normais para aceitao do risco.55
A aceitao do risco a formalizao pela autoridade competente da deciso de aceitar o
residual sujeito deciso dos gestores da organizao relativa aceitao do mesmo. A sada
residuais e, no caso de aprovao dos mesmos, as condies associadas aprovao devem ser registradas.
Os gestores da organizao devem analisar o plano de tratamento de risco e os riscos
complexos do que a verificao se o risco residual est acima ou abaixo do limite
Conforme a ISO/IEC 27005, os critrios para a aceitao do risco podem ser mais
determinado pela organizao. possvel que o nvel de risco residual no satisfaa os critrios para a aceitao do risco aplicados no momento. Em algum destes casos os gestores podem aceitar o risco desce que a deciso seja formalizada e comente explicitamente sobre o risco e inclua uma justificativa para ultrapassar os critrios normais para a aceitao do risco. 3.1.7 Comunicao do risco
referentes aos riscos entre as partes interessadas durante todo o processo de gesto de risco.
A comunicao do risco preconiza o compartilhamento contnuo das informaes
Recebe como entrada todas as informaes sobre os riscos obtidas atravs das atividades de gesto de riscos. A sada da atividade o entendimento contnuo do processo de gesto de riscos de segurana da informao da organizao e dos resultados obtidos.56 A comunicao do risco uma atividade bidirecional, em que se busca o consenso entre
os tomadores de deciso e as partes interessadas sobre como os riscos devem ser gerenciados. Entretanto, a percepo do risco varia devido a diferenas de suposies, conceitos, necessidades, interesses e preocupaes das partes interessadas quando lidam com o risco.
importante que a sua percepo do risco, as razes subjacentes e a sua percepo dos benefcios sejam claramente entendidas, consideradas e documentadas. Alm disso, a comunicao eficaz impacta significativamente sobre a tomada de deciso, j que ela
55 56
Ibid. Ibid.
28
assegurar que todos tenham um bom entendimento do por que as decises so tomadas e dos motivos que tornam certas aes necessrias.57 As informaes que devem ser compartilhadas, conforme a ISO/IEC 27005, incluem, dentre outros fatores, a existncia do risco, sua natureza, forma, probabilidade, severidade, tratamento e aceitabilidade. garantia do resultado da gesto de riscos da organizao; (ii) coletar informaes sobre os tratamento do risco; (iv) evitar ou reduzir tanto a ocorrncia quanto as conseqncias das entre os tomadores de deciso e as partes interessadas; (v) dar suporte ao processo decisrio; A norma aponta que a comunicao do risco realizada com a finalidade de: (i) fornecer
riscos; (iii) compartilhar os resultados da anlise/avaliao de riscos e apresentar o plano de violaes da segurana da informao que aconteam devido falta de entendimento mtuo (vi) obter novo conhecimento sobre a segurana da informao; (vii) coordenar com outras tomadores de deciso e as partes interessadas um senso de responsabilidade sobre riscos; e (ix) melhorar a conscientizao. 3.1.8 Monitoramento e anlise crtica de riscos
partes e planejar respostas para reduzir as conseqncias de um incidente; (viii) dar aos
executo que visa monitorar as mudanas no contexto, nos componentes do risco e aprimorar o processo de gesto de risco. Dividi-se em duas atividades: (i) monitoramento e anlise crtica risco. Monitoramento e anlise crtica dos fatores de risco: os componentes do risco, isto devem ser monitorados a analisados criticamente para detectar qualquer mudana no , valor dos ativos, impactos, ameaas, vulnerabilidades, probabilidade de ocorrncia, contexto da organizao. Recebe como entrada todas as informaes sobre os riscos obtidas atravs das atividades de gesto de riscos. A sada da atividade o alinhamento contnuo da gesto de riscos com os objetivos de negcios da organizao e com os critrios para a aceitao do risco.58 dos fatores de risco, e (ii) monitoramento, anlise crtica e melhoria do processo de gesto de
O monitoramento e anlise crtica de riscos um conjunto de atividade continuamente
57 58
Ibid. Ibid.
29
Os riscos no so estticos, os seus componentes podem mudar repentinamente, sem
qualquer indicao, da a importncia do monitoramento e anlise crtica. Segundo a norma os seguintes itens devem ser monitorados: (i) novos ativos que tenham sido includos no escopo da gesto de riscos; (ii) modificaes necessrias dos valores dos ativos; (iii) novas ameaas que podem estar ativas tanto fora quanto dentro da organizao; (iv) o surgimento de vulnerabilidades novas ou as que j identificadas se ampliem devido s novas ameaas; (v) as conseqncias ou o impacto ampliado de ameaas, vulnerabilidades e riscos avaliados em conjunto; e (vi) incidentes relacionados segurana da informao.
Monitoramento, anlise crtica e melhoria do processo de gesto de risco: o processo de gesto de riscos deve ser continuamente monitorado, analisado criticamente e melhorado. Recebe como entrada: todas as informaes sobre os riscos obtidos atravs das atividades de gesto de riscos, e como sados: a garantia para os objetivos de negcios da organizao ou a atualizao do processo.59 permanente da relevncia do processo de gesto de riscos de segurana da informao As atividades e os resultados do processo de gesto de risco devem ser acompanhados para verificar se permanecem apropriados as circunstncias da organizao. As melhorias devem ser comunicadas aos gestores apropriados, para aumentar a garantia de que os riscos foram corretamente considerados e para garantir uma compreenso realista do risco e da capacidade de reao. Alm disso, os critrios utilizados para necessidades da organizao.60 A atividade de monitoramento e anlise crtica, de acordo com a ISO/IEC 27005, deve acompanhar as mudanas nos seguintes aspectos: (i) contexto legal e do ambiente; (ii) contexto da concorrncia; (iii) mtodo de anlise/avaliao de riscos; (iv) valor e as categorias dos ativos; (v) critrios de impacto; (vi) critrios para a avaliao de riscos; necessrios. O monitoramento da gesto de riscos pode resultar em modificao ou acrscimo da abordagem, metodologia ou ferramentas utilizadas, dependendo: (i) das mudanas (vii) critrios para a aceitao do risco; (viii) custo total de propriedade; e (ix) recursos mensurar o risco devem ser avaliados se continuam vlidos e coerentes com as
59 60
Ibid. Ibid.
30
identificadas; (ii) da iterao da anlise/avaliao de riscos; (iii) do objetivo do do processo de gesto de riscos de segurana da informao.61
processo de gesto de riscos de segurana da informao; e (iv) do objeto de interesse
3.2
Administrao pblica
Segundo Hely Lopes Meirelles62 a administrao pblica, em sentido formal, o
conjunto de rgos institudos para consecuo dos objetivos do Governo; em sentido material, o conjunto das funes necessrias aos servios pblicos em geral; em acepo operacional, o desempenho perene e sistemtico, legal e tcnico, dos servios prprios do
Estado ou por ele assumidos em beneficio da coletividade. Numa viso global, a
Administrao , pois, todo o aparelhamento do Estado preordenado realizao de seus servios, visando satisfao das necessidades coletivas. A Administrao no pratica atos de governo; pratica, to-somente, atos de execuo, com maior ou menor autonomia funcional, segundo a competncia do rgo e de seus agentes.
Em sentido material ou objetivo, conforme Maria Sylvia Zanella Di Pietro63, a administrao pblica abrange as seguintes atividades o fomento, a polcia administrativa e o servio pblico. O fomento abrange a atividade administrativa de incentivo a iniciativa privada de
utilidade pblica. So exemplos de fomento auxlios financeiros ou subvenes,
financiamentos sob condies especiais, favores fiscais, desapropriaes e a interveno. Esta
ltima compreende a regulamentao e fiscalizao da atividade econmica de natureza normalmente por meio das empresas estatais. administrativas, que so restries impostas por lei ao exerccio de direitos individuais em benefcio do interesse coletivo. Compreende medidas de polcia, como ordens, notificaes, licenas, autorizaes, fiscalizao e sanes. A polcia administrativa compreende toda atividade de execuo das limitaes
privada, bem como a atuao direta do Estado no domnio econmico, o que se d
61 62
Ibid. MEIRELLES, H. L. Direito Administrativo Brasileiro. So Paulo: Malheiros, 2005. 63 DI PIETRO, M. S. Z. Direito Administrativo. So Paulo: Atlas, 2006.
31
indiretamente, para satisfazer necessidade coletiva. Quanto ao objeto, os servios pblicos podem ser classificados como administrativos, comerciais ou industriais e sociais64.
Servio pblico toda atividade que a Administrao Pblica executa, direta ou
Os servios administrativos so os que a Administrao Pblica executa para atender s suas necessidades internas ou preparar outros servios que sero experimentais e outros dessa natureza65. prestados ao pblico, tais como os da imprensa oficial, das estaes
Servio pblico comercial ou industrial aquele que a Administrao Pblica econmica. o caso dos servios de transportes, energia eltrica,
executa, direta ou indiretamente, para atender s necessidades coletivas de ordem telecomunicaes e outros. Esses servios no se confundem com a atividade econmica que s pode ser prestada pelo Estado em carter suplementar da iniciativa privada, os quais so considerados como atividade de fomento.
Servio pblico social o que atende a necessidades coletivas em que a atuao ocorre com os servios de sade, educao, previdncia, cultura, meio ambiente;
do Estado essencial, mas que convivem com a iniciativa privada, tal como
estatais, atravs de seus agentes, cuja atuao imputada pessoa jurdica a que pertencem.
rgos pblicos so centros de competncia institudos para o desempenho de funes
So unidades de ao com atribuies especificas na organizao estatal. Cada rgo, como
centro de competncia governamental ou administrativa, tem necessariamente funes, cargos
e agentes, mas distinto desses elementos, que podem ser modificados, substitudos ou vacncia dos cargos, ou a mudana de seus titulares no acarreta a extino do rgo.
retirados sem supresso da unidade orgnica. Isto explica por que a alterao de funes, ou a Os rgos integram a estrutura do Estado e das demais pessoas jurdicas como partes
desses corpos vivos, dotados de vontade e capazes de exercer direitos e obrigaes para a
consecuo de seus fins institucionais. Por isso mesmo, os rgos no tm personalidade
jurdica nem vontade prpria, que so atributos do corpo e no das partes, mas na rea de suas pertencem e a vinculam por seus atos, manifestados atravs de seus agentes (pessoas fsicas).
atribuies e nos limites de sua competncia funcional expressam a vontade da entidade a que
64 65
Ibid. MEIRELLES, op. cit.
32
a de um encargo de defesa, conservao e aprimoramento dos bens, servios e interesses da coletividade. Como tal, impe-se ao administrador pblico a obrigao de cumprir fielmente os preceitos do Direito e da moral administrativa que regem a sua atuao. Ao ser investido em funo ou cargo pblico, todo agente do poder assume para com a coletividade o compromisso de bem servi-la, porque outro no o desejo do povo, como legitimo destinatrio dos bens, servios e interesses administrados pelo Estado. Os fins da administrao pblica resumem-se num nico objetivo: o bem comum da
A natureza da administrao pblica a de um mnus pblico para quem a exerce, isto ,
coletividade administrada. Toda atividade do administrador pblico deve ser orientada para esse objetivo. Se dele o administrador se afasta ou desvia, trai o mandato de que est investido, porque a comunidade no institui a administrao sendo como meio de atingir o bem-estar social. Ilcito e imoral ser todo ato administrativo que no for praticado no interesse da coletividade. 3.2.1 Princpios da administrao pblica
consubstanciados em regras de observncia permanente e obrigatria: legalidade, moralidade, impessoalidade e publicidade, eficincia, razoabilidade, proporcionalidade, ampla defesa, contraditrio, segurana jurdica, motivao e supremacia do interesse pblico. Di Pietro padres que se pautam todos os atos administrativos. Constituem os fundamentos da ao alguns desses princpios.
Conforme Meirelles66, os princpios bsicos da administrao pblica esto
ainda acrescenta, dentre outros, o princpio da continuidade do servio pblico. Por esses administrativa, so os sustentculos da atividade pblica. Sero abordados em mais detalhes A legalidade, como principio de administrao, significa que o administrador pblico
est sujeito aos mandamentos da lei e s exigncias do bem comum, e deles no se pode afastar ou desviar, sob pena de praticar ato invlido e expor-se a responsabilidade disciplinar, civil e criminal, conforme o caso. A eficcia de toda atividade administrativa est Enquanto na administrao particular lcito fazer tudo que a lei no probe, na Administrao Pblica s permitido fazer o que a lei autoriza.67 condicionada ao atendimento da lei. Na Administrao Pblica no h vontade pessoal.
66 67
MEIRELLES, op. cit. Ibid.
33
decoro e boa-f. Constitui um pressuposto de validade de todo ato da Administrao Pblica.
A moralidade administrativa significa atuao segundo padres ticos de probidade,
O agente pblico no poder desprezar o elemento tico de sua conduta. Ele no ter que distinguir somente entre o bem e o mal, o legal e o ilegal, o justo e o injusto, o conveniente e o inconveniente, o oportuno e o inoportuno, mas tambm entre o honesto e o desonesto. H uma moral institucional contida na lei e h uma moral administrativa, que imposta de dentro e vigora no prprio ambiente institucional e condiciona a utilizao de qualquer poder jurdico, mesmo o discricionrio.68 O ato administrativo no ter que obedecer somente lei jurdica, mas tambm lei tica da prpria instituio, porque nem tudo que legal honesto. A moral comum imposta ao homem para sua conduta externa; a moral administrativa imposta ao agente pblico para sua conduta interna, segundo as exigncias da instituio a que serve e a finalidade de sua ao: o bem comum.69 O princpio da impessoalidade, ou ainda princpio da finalidade, impe ao administrador
pblico que s pratique o ato para o seu fim legal. Significa que Administrao Pblica no
pode atuar com vistas a prejudicar ou beneficiar pessoas determinadas, visto que sempre o interesse pblico que deve nortear o seu comportamento. O ato administrativo que se afastar previsto, explcita ou implicitamente, na regra de competncia do agente. Esse princpio pblicos sobre suas realizaes administrativas. 70 desse objetivo estar sujeito a invalidao por desvio de finalidade, isto , fim diverso daquele tambm se aplica no sentido de excluir a promoo pessoal de autoridades ou servidores Publicidade a divulgao oficial do ato para conhecimento pblico e incio de seus efeitos externos. Por isso as leis, atos e contratos administrativos que produzem conseqncias jurdicas fora dos rgos que os emitem exigem publicidade para adquirirem moralidade. Em princpio, todo ato administrativo deve ser publicado s se admitindo sigilo validade universal, isto , perante as partes e terceiros. A publicidade requisito de eficcia e nos casos em que a divulgao ponha em risco a segurana da sociedade e do Estado; ou viole a intimidade, a vida privada, a honra e a imagem das pessoas; e investigaes policiais, conforme prescrio legal. O princpio da publicidade dos atos e contratos administrativos
68 69
DI PIETRO, op. cit. MEIRELLES, op. cit. 70 Ibid..
34
visa propiciar seu conhecimento e controle pelos interessados diretos e pela sociedade em geral. 71 de um ato da administrao, de modo a evitar restries desnecessrias ou abusivas. A idia deseja alcanar, isto , que no se trate de uma medida desproporcionada, excessiva em O princpio da razoabilidade e proporcionalidade objetiva adequar os meios e os fins
que seja guardada uma proporo adequada entre os meios que emprega e o fim que a lei relao ao que se deseja alcanar. Deve haver uma relao de pertinncia entre oportunidade e convenincia, de um lado, e a finalidade, de outro. A razoabilidade, agindo como um limite proporcionais, de modo a que o ato atenda a sua finalidade pblica especfica.72 discrio na avaliao dos motivos, exige que sejam eles adequveis, compatveis e A proporcionalidade deve ser medida no pelos critrios pessoais do administrador, mas
segundo padres comuns na sociedade em que vive, e no pode ser medida diante dos termos frios da lei, mas diante do caso concreto. Com efeito, embora a norma legal deixe um espao livre para deciso administrativa, segundo critrios de oportunidade e convenincia, essa administrador a melhor soluo.73 fato e de direito de suas decises. Trata-se de uma formalidade necessria para permitir o
liberdade s vezes se reduz no caso concreto, onde os fatos podem apontar para o O princpio da motivao exige que a Administrao Pblica indique os fundamentos de
controle de legalidade dos atos administrativos. A motivao, normalmente, no exige formas especficas, podendo ser ou no concomitante com o ato, alm de ser feita, muitas vezes, por rgo diverso daquele que proferiu a deciso. Freqentemente, a motivao consta de como fundamento da deciso. Nesse caso, eles constituem a motivao do ato, dele sendo parte integrante.74 perfeio e rendimento funcional.75 Este princpio apresenta dois aspectos: pode ser considerado em relao ao modo de atuao do agente pblico, da qual se espera o melhor desempenho possvel de suas atribuies, para lograr os melhores resultados; e em relao ao O princpio de eficincia exige que a atividade administrativa seja exercida com presteza,
pareceres, informaes, laudos, relatrios, feitos por outros rgos, sendo apenas indicados
71 72
Ibid. DI PIETRO, op.cit. 73 Ibid. 74 Ibid. 75 MEIRELLES, op.cit.
35
modo de organizar, estruturar, disciplinar a Administrao Pblica, tambm com o mesmo objetivo de alcanar os melhores resultados na prestao do servio pblico.76 Di Pietro ressalta que h uma oposio entre o princpio da eficincia e o princpio da
legalidade, pois o que importa aos cidados que os servios pblicos sejam prestados adequadamente. Entretanto, a eficcia no deve se confundir com a eficincia das legalidade deve ficar resguardado, porque a eficcia proposta pode sempre ser alcanada conforme o ordenamento jurdico. Vale dizer que a eficincia princpio que se sorna aos demais princpios impostos Administrao, no podendo sobrepor-se a nenhum deles, especialmente ao da legalidade.77 o Estado desempenha funes essenciais ou necessrias coletividade, no pode parar. possvel citar como exemplo da aplicao desse princpio a necessidade de regulamentao
organizaes privadas nem , tampouco, um valor absoluto diante dos demais. O princpio da
A continuidade do servio pblico exige que o servio pblico, sendo a forma pela qual
especfica, imposta pela Constituio, a greve de servidores pblicos e de trabalhadores de setores essenciais a sociedade. Outro exemplo, para evitar a paralisao de obras e servios, a vedao ao particular contratado, dentro de certos limites, opor em face da Administrao a informao, seria a gesto de continuidade de negcios, em que uma organizao mantm suas atividades principais na ocorrncia de um desastre ou comprometimento de ativos vitais.
exceo de contrato no cumprido.78 Um exemplo mais recente, afeto a segurana da
Administrao deve atuar atendendo aos fins de interesse geral, sendo vedada a renncia total inerente atuao estatal e domina-a, na medida em que a existncia do Estado justifica-se desapropriar, de requisitar, de intervir, de policiar, de punir, porque tem em vista atender ao interesse geral, que no pode ceder diante do interesse individual. Em conseqncia, se, ao
A supremacia do interesse pblico ou princpio da finalidade pblica significa que a
ou parcial de poderes ou competncias. A primazia do interesse pblico sobre o privado pela busca do interesse geral.79 Por exemplo, se a lei d Administrao os poderes de
usar de tais poderes, a autoridade administrativa objetiva prejudicar um inimigo poltico, beneficiar um amigo, conseguir vantagens pessoais para si ou para terceiros, estar fazendo prevalecer o interesse individual sobre o interesse pblico e, em conseqncia, estar se
76 77
DI PIETRO, op.cit. Ibid. 78 FILHO, J. S. C. Manual de Direito Administrativo. Rio de Janeiro: Lmen Juris, 2006. 79 MEIRELLES, op.cit.
36
desviando da finalidade pblica prevista na lei. Da o vcio do desvio de poder ou desvio de finalidade, que torna o ato ilegal.80
80
DI PIETRO, op.cit.
37
INSTRUMENTOS PARA ANLISE/AVALIAO DE RISCO ENFOQUE DE ALTO NVEL
objetivam identificar os requisitos de segurana da informao para um rgo da Administrao Pblica e suportar a criao de um sistema de gesto de segurana da informao. Os instrumentos foram desenvolvidos com o propsito de ser a primeira iterao qualitativa para os riscos, em que o impacto e a probabilidade dos cenrios de incidente so mensurados a partir de escalas com atributos qualificadores. pessoas envolvidas, mais rpida e menos custosa que uma estimativa quantitativa. Porm uma desvantagem que vale destacar a escolha subjetiva das escalas. Para tentar minimizar o gesto de risco, alm disso importante ouvir as pessoas das fraes da organizao envolvidas no escopo, por meio de reunies, entrevistas, brainstorm, visitas, etc. carter subjetivo do processo indicado que uma equipe multidisciplinar trabalhe com a As vantagens dessa abordagem em relao ao risco so a facilidade de compreenso pelas
Os instrumentos para anlise/avaliao de risco com um enfoque de alto nvel propostos
do processo de gesto de riscos segundo a ISO/IEC 27005. Por isso utilizam uma estimativa
tecnolgicos so considerados independentes das questes de negcio, isto , concentra-se
Na abordagem proposta, a organizao abordada de um modo global, os aspectos
sobre o negcio e sobre o ambiente operacional e menos sobre os elementos tecnolgicos. Os riscos decorrentes dessa anlise so considerados como categorias ou classes gerais. O tratamento dos riscos caminha no sentido de propor controles organizacionais, considerando os aspectos gerenciais de controles tcnicos. Logicamente, os riscos considerados graves
38
sero objetos de outras iteraes do processo de anlise/avaliao de riscos em que seus componentes sero detalhados.81
Os instrumentos foram desenvolvidos para as seguintes atividades do processo de gesto de risco de segurana da informao conforme a ISO/IEC 27005: i. Definio do contexto: definio do escopo e dos critrios de risco; ii. Anlise/Avaliao de riscos;
Identificao de riscos: os ativos, processos, ameaas, vulnerabilidades e o impacto dos cenrios de riscos so identificados; Estimativa de riscos: o nvel de impacto, probabilidade e nvel de risco so definidos; Avaliao de riscos: os cenrios de incidentes so priorizados conforme os critrios de risco;
e anlise crtica dos riscos, seguiro as orientaes da norma ISO/IEC 27005:2008.
As outras atividades da GRSI, aceitao do risco, comunicao do risco, e monitoramento
4.1
Definio do contexto
A definio do contexto um dos principais fatores do sucesso da gesto de risco.
Envolve a definio dos critrios bsicos de risco, a definio do escopo e limites da gesto de riscos. 4.1.1 Definio do escopo
antes do escopo, porm o sentido natural do processo parece ser o contrrio. Para especificar
A norma ISO/IEC 27005 sugere tacitamente que os critrios bsicos sejam definidos
os critrios preciso considerar os processos estratgicos da organizao, os ativos crticos,
dentre outras informaes que necessariamente devero estar no escopo. Alm disso, os critrios devem ser estabelecidos observando as caractersticas da organizao e tambm as especificidades do escopo. escopo o conjunto de ativos que ser coberto pelo processo. Um fator crtico para uma O processo de gesto de risco envolve algumas escolhas em termos de abrangncia. O
As diretrizes para uma metodologia de anlise/avaliao de riscos com um enfoque de alto nvel so descritos no Anexo E da norma ISO/IEC 27005:2008.
81
39
organizao que est comeando um processo de gesto de risco o tamanho do escopo. organizao e escopos muito grandes podem gerar projetos que no acabam nunca.82
Escopos pequenos podem no ser eficientes, por no cobrirem todos os ativos crticos da O enfoque de alto nvel como primeira iterao do processo de gesto de risco visa
organizao como um todo. Porm no ser preciso uma anlise exaustiva de todos os organizao. Todavia, vale destacar que o escopo deve ser definido de modo que o processo de gesto de risco seja sustentvel. Um ponto crtico da abordagem proposta o potencial de menos preciso por utilizar
elementos presentes no escopo, j que a abordagem concentra-se em aspectos gerais da
uma estimativa qualitativa para os riscos, ento pode haver o perigo de algum ativo no ser levantamento de informaes sobre a organizao for adequado.
identificado entre aqueles que requerem uma segunda iterao. Isso pode ser contornado se o Uma forma de definir o escopo a elaborao de um documento com a estrutura conforme a indicada abaixo ou que aborde os mesmos itens. 83 1. Identificao da organizao
Negcio pblico: (Definido pelas tcnicas e know-how de seus funcionrios, viabiliza o cumprimento de sua misso. especfico rea de atividade da organizao e freqentemente define sua cultura). Misso: (A organizao atinge seu propsito ao cumprir sua misso. Para bem identific-la os servios prestados devem ser relacionados aos seus pblicos-alvos) Valores: (So os princpios fundamentais ou um cdigo de conduta bem definido, aplicados na rotina de um negcio pblico. Normalmente, incluem os recursos humanos, as relaes com agentes externos, a qualidade dos produtos fornecidos ou dos servios prestados. A APF possui seu cdigo de tica em que muitos desses valores podem ser encontrados, todavia vlido verificar se os valores apontados so de fato aplicados a rotina do rgo). Organograma: ( a estrutura da organizao esquematizada. Essa representao precisa deixar claro quem se reporta a quem, destacando tambm a linha de comando que legitima a delegao de autoridade. Convm que inclua tambm outros tipos de relacionamentos, os quais, mesmo que no sejam baseados em uma autoridade oficial, criam de qualquer forma caminhos para o fluxo de informao). Objetivos: (So as metas, o que se pretende alcanar). Estratgia: ( a expresso formalizada dos princpios que norteiam a organizao). Localidade e caractersticas geogrficas: (So as caractersticas da regio ou
RAMOS, A. et al. Security Officer 1: guia oficial para a formao de gestores de segurana da informao. Porto Alegre: Zouk, 2006. 83 Alguns itens foram retirados do Anexo A da norma ISO/IEC 27005:2008.
82
40
vizinhana onde a organizao est instalada).
2. Legislao aplicvel organizao: (So leis, decretos, portarias e regulamentos internos que dizem respeito organizao. Englobam tambm contratos, acordos e, mais genericamente, qualquer obrigao de natureza legal ou regulatria). 3. Limites do escopo: (So os limites organizacionais e fsicos do escopo, como por exemplo uma frao ou unidade da organizao, um processo ou servio especfico ou uma certa localidade geogrfica).
4. Ativos de informao: (Neste ponto so listados os ativos de informao que faro parte do escopo. Os ativos primrios e os de suporte e infra-estrutura podero ser relacionados em categorias conforme a profundidade que se que imprimir na anlise, embora em uma abordagem de alto nvel no convenha descries muito detalhadas. importante que sejam elencados tambm os processos estratgicos da organizao relacionados ao escopo, visto que os ativos que os suportam so considerados mais relevantes). 5. Caractersticas da organizao Restries que afetam a organizao: (As restries que afetam a organizao e determinam o direcionamento da segurana da informao devem ser elencadas. As suas origens podem ser encontradas na prpria organizao, o que lhe d um certo controle sobre as restries ou talvez sejam externas organizao, o que as tornariam, provavelmente, inegociveis) Expectativa das partes interessadas: (So as expectativas dos entes interessados nas atividades da organizao. No caso da Administrao Pblica temos os cidados, a opinio pblica, o governo, outros rgos pblicos, entidades de classe, empresas, etc.).
Administrao Pblica Federal. 4.1.1.1
Dentre esses requisitos de informao vale destacar algumas especificidades da
Especificidades da Administrao Pblica Federal
iniciativa privada. O ponto de maior destaque o princpio da legalidade que determina que a eficcia da atividade administrativa esteja condicionada ao atendimento da lei. Enquanto na iniciativa privada permitido fazer tudo que a lei no probe, na administrao pblica s permitido fazer o que a lei autoriza.84 Nesse quesito h uma gama de diplomas legais relativos materiais, que os rgos pblicos devem observar. segurana da informao, a contratao de servios e de pessoal, bem como a compra de
A Administrao Pblica de modo geral tem sua atuao marcadamente distinta da
84
MEIRELLES, op. cit. p. 88.
41
H ainda algumas restries que so comuns aos rgos pblicos que valem ser destacadas: Restries de natureza poltica: a Administrao Pblica precisa aplicar as decises governamentais relativas a orientaes estratgicas, operacionais, ou a polticas pblicas. Nesta questo merece destaque a descontinuidade administrativa. As mudanas de direo normalmente so marcadas pelo rompimento de atividades e programas, por modificaes na estrutura rgo, e nas chefias intermedirias. A troca de governo, ou de gestor, vista como um momento em que naturalmente tudo vai mudar, atividades e programas so rompidos, independentemente de poltica pblica,
partido ou sua efetividade anterior. O pressuposto dessa prtica que o novo novo e o anterior passado, para o novo se estabelecer necessrio ignorar o anterior. Conseqentemente, o novo se concebe virando a pgina para comear com uma autoridade do novo mandatrio.85 Portanto, o planejamento de uma ao sistemtica de gesto de risco ou de gesto de segurana da informao deve procurar se mudanas ocasionadas pela descontinuidade administrativa. estabelecer de modo formal e bem fundamentado para que no fique ao sabor das Restries oramentrias: a gesto do dinheiro pblico um processo complicado, regido pelo Sistema de Planejamento e de Oramento Federal, o qual formado por um conjunto de agentes, mtodos e processos, tecnologias, recursos, normas tcnicas,
pgina em branco; os demais esperam para ver as novas direes aceitando a
articulados entre si, orientados para as atividades de elaborao, acompanhamento e avaliao de planos, programas e oramento. O modelo oramentrio do governo composto por trs instrumentos bsicos o plano plurianual, a lei de diretrizes oramentrias e a lei oramentria anual, os quais correspondem respectivamente aos dotao oramentria anual dos rgos pblicos feita com antecedncia. Ento a previso de gastos com a gesto de riscos, implementao de controle, dentre outros, precisa ser feita com a mesma antecedncia. nveis estratgico, ttico e operacional.86 A principal implicao desse sistema que a
85
86
SPINK, Peter. Continuidade e Descontinuidade Administrativa. So Paulo: FGV, 2001. VOLPE, Ricardo Alberto. Viso abrangente do processo poltico e institucional de planejamento e oramento. Disponvel em: <http://www.amefpp.org.mx/centrodoc/XXIXSemIPP/RicardoV.pdf>. Acesso em 10 out. 2008.
42
Restries relativas aos recursos humanos: a Constituio diz que a investidura em provas ou de provas e ttulos, de acordo com a natureza e a complexidade do cargo ou emprego. A realizao de um concurso pblico um processo demorado, precisa de diversas autorizaes e estudos, por isso a contratao de pessoal para atender as
cargo ou emprego pblico depende de aprovao prvia em concurso pblico de
demandas da gesto de risco ou da segurana da informao pode se tornar um mediante processo seletivo simplificado, para atender necessidade transitria de
processo intricado. Todavia, possvel a contratao de servidores temporrios, excepcional interesse pblico, no caso em que a demora do procedimento do concurso pblico pode ser incompatvel com as exigncias imediatas da Administrao. A contratao de terceirizados possvel para os servios de vigilncia, de conservao e organizao, desde que no exista a pessoalidade e a subordinao direta do trabalhador terceirizado. A subordinao aqui tratada no tcnica, o terceirizado no
limpeza, bem como para servios especializados ligados atividade-meio da
pode ter seu trabalho dirigido diretamente pela organizao, isto , recebendo ordens e
submetendo-se ao poder disciplinar da organizao. Com relao pessoalidade pressupe a realizao da atividade por sujeito que no seja certo nem determinado. irrelevante a identidade do agente que desempenha a atividade, dado que a finalidade da contratao limita-se obteno do resultado material pactuado. Vale destacar que o inadimplemento das obrigaes trabalhistas, por parte do empregador, implica a responsabilidade subsidiria da Administrao Pblica. 87
4.1.2
Critrios de risco
avaliada. A definio de critrios est relacionada de maneira ntima a atividade desempenhada pela organizao e ao escopo do processo de gesto de risco. De modo que invivel determinar critrios que sejam aplicveis indiscriminadamente a todos os rgos da Administrao Pblica Federal.
Os critrios de risco so termos de referncia por meio dos quais a significncia do risco
87
DI PIETRO, op.cit.
43
tratamento do risco, por isso importante que eles sejam bem fundamentados para que o gestor possa justificar suas decises e atender aos princpios da Administrao Pblica. critrios de impacto e critrios para aceitao do risco. A norma ISO/IEC 27005 sugere pelo menos trs tipos: critrios para avaliao de riscos, Critrios para a avaliao de riscos: eles so utilizados para determinar as prioridades de tratamento dos riscos, serve para especificar os riscos que so
Os critrios de risco subsidiam a deciso do gestor pblico quanto s opes de
considerados mais significativos para a organizao. Por exemplo, os incidentes que envolvam determinado processo ou conjunto de ativos crticos podem ser considerados mais importantes que outros, ou incidentes que envolvam a perda da confidencialidade so mais graves do que aqueles que comprometem a disponibilidade. A planilha abaixo representa uma forma de avaliar riscos e de prioriz-los. O momento de utiliz-la ser na etapa de avaliao de riscos, aps os riscos terem sido identificados e mensurados. O primeiro elemento da planilha o cenrio de incidente, isto , a descrio da ameaa explorando a vulnerabilidade de um ativo. Em seguida h o nvel de risco (NR), que a referncia da combinao da probabilidade e do impacto da ocorrncia do cenrio de incidente. O NR um ndice muito importante para a avaliao e priorizao dos riscos. As respostas aos quesitos que vem em seguida na planilha ajudam a definir a ordem de prioridade de tratamento dos riscos identificados, a qual ser indicada na ltima coluna. Os quesitos devem ser adaptados conforme as necessidades da organizao.
Viola algum requisito legal?
Atinge algum ativo crtico?
Causa dano a imagem a do governo ou do pas?
Causa dano a imagem ou reputao da organizao?
Viola qual atributo da segurana da informao?
Atinge algum processo estratgico?
Cenrio de incidente
NR
Tabela 1 Critrio para a avaliao de risco.
Priorizao dos riscos.
44
Critrios de impacto: determinam a gravidade das conseqncias de um incidente,
so desenvolvidos em funo do valor de reposio do ativo e da conseqncia para o
negcio pblico relacionada perda do ativo. O primeiro est relacionado criticidade segundo refere-se aos prejuzos organizacionais, como violao de segurana da informao, violao de requisitos legais, perda de oportunidades, comprometimento
do ativo, ao seu custo e tempo de recuperao ou de reposio da informao. O
de operaes, perda da eficincia, dano a reputao. A tabela abaixo representa uma forma como os critrios de impacto podem ser apresentados. Sero elaboradas definies para os graus de importncia dos ativos como um todo e para a graduao da conseqncia para a atividade do rgo.
Critrio Valor de reposio do ativo Conseqncia para o negcio pblico relacionada perda do ativo
Alta
Mdia
Baixa
Tabela 2 Critrio de impacto.
Vale ressaltar que os prejuzos intangveis, como danos a reputao, tomam uma proporo diferente quando se trata da Administrao Pblica. Uma empresa privada confiana de seus clientes, oportunidades, dentre outras coisas, porm o prejuzo quase vo alm do rgo atingido, podem alcanar o governo e at o prprio pas. quando sofre um incidente que prejudica sua reputao, por exemplo, pode perder a sempre restrito apenas a empresa. Para a Administrao Pblica as conseqncias Critrios para aceitao do risco: o estabelecimento desses critrios depende dos marcos legais, polticas, metas e objetivos da organizao. Outros aspectos tambm devem ser observados como critrios de negcio, finanas, tecnologia, fatores sociais e humanitrios. Podem ser estabelecidos limites diferentes para partes especficas do
45
escopo, assim como um risco pode ser aceito mediante um compromisso de tratamento em um tempo futuro. importante que seja definida uma escala de nveis de aceitao de risco. Desse modo, o NR variar de 1 a 25 e dentro desse intervalo defini-se uma classificao geral da grandeza do risco, como por exemplo, riscos alto, mdio e baixo. Esses degraus podem ser ajustados de modos diferentes para atender as necessidades da organizao ou do escopo. A tabela abaixo representa uma forma de sistematizar os critrios de aceitao de risco. A organizao pode definir, por exemplo, que de maneira geral os riscos alto e mdio no sero aceitos, todavia, possvel que sejam excees devem ser justificadas. postas excees e diferentes nveis de aceitao de risco. Vale destacar que as
Nvel de risco (1 25) Alto (15 25) Mdio (4 12) Baixo (1 4)
Descrio
Aceitabilidade
Excees
Observaes
Justificativa das excees:
Tabela 3 Critrio para a aceitao de risco.
A definio de critrios de aceitao de riscos suscita uma discusso sobre o apetite de risco na Administrao Pblica Federal. At onde um gestor pblico pode aceitar riscos? De um modo geral a finalidade da administrao pblica88 o bem comum da coletividade administrada. Toda a atividade do gestor pblico deve ser orientada para esse objetivo89. Assim, um risco que contrarie essa premissa no pode ser aceito, do mesmo modo que um risco que implique em violao de qualquer dos princpios da administrao pblica. Logo, riscos que, por exemplo, impliquem em violao da
88 89
Refere-se atividade administrao pblica e no aos seus rgos, por isso foi escrita em letras minsculas. MEIRELLES, op. cit. p.86.
46
legislao, que comprometa a eficincia ou a continuidade da prestao do servio pblico no podero ser aceitos.
4.2
4.2.1
Anlise/avaliao de riscos
Anlise de riscos
generalizante. Os ativos, ameaas, vulnerabilidades e por conseguinte os riscos sero visto por uma perspectiva mais ampla. A abordagem qualitativa, define o nvel de risco (NR) NI e de NP so definidos por meio de uma matriz de valores pr-definidos que relacionam duas variveis, como ser visto no tpico estimativa de riscos. Para cada ativo identificado sistematizao da anlise de riscos poder ser feita em uma tabela como a ilustrada abaixo.
O processo de anlise de risco em um enfoque de alto nvel parte de uma premissa
multiplicando o valor do nvel de impacto (NI) pelo nvel de probabilidade (NP). O valor de
sero elencados as ameaas as vulnerabilidades e o impacto do respectivo cenrio. A
ANLISE DE RISCOS Identificao de riscos Ativo Ameaa Vulnerabilidade Impacto NI Estimativa de riscos NP Nvel de risco
Tabela 4 Anlise de riscos.
4.2.1.1
Identificao de riscos
organizao est exposta, determinar os eventos que possam causar uma perda potencial. Para este fim preciso coletar dados que vo subsidiar a estimativa de risco. Para cada ativo essas informaes sero organizadas conforme a tabela acima. identificado sero elencadas as ameaas, vulnerabilidades e conseqncias correspondentes,
O objetivo da identificao de riscos determinar os cenrios de incidente que a
47
Identificao dos ativos: no enfoque de alto nvel os ativos so identificados sem muitos pormenores, no interesse detalhar ativos que podero ser melhor especificados em outras interaes do processo de anlise/avaliao de riscos. Os ativos podem ser identificados por meio de categorias ou conjuntos de ativos que podem ser avaliados simultaneamente. A norma ISO/IEC 27005 sugere a seguinte classificao de ativos90: o Ativos primrios: informaes e processos de negcio; o Ativos de suporte e infra-estrutura: hardware, software, rede, recursos humanos, instalaes fsicas e estrutura da organizao.
Identificao das ameaas: um ativo pode ser alvo de uma infinidade de ameaas, as
quais mudam e evoluem constantemente. Por isso as ameaas so identificadas de modo genrico, por classes, como por exemplo: dano fsico ou comprometimento da informao. Desse modo, diferentes formas de uma ameaa causar um dano sero consideradas, inclusive as que ainda esto sendo descobertas. Catlogos de ameaas podem ser utilizados, porm preciso atentar para a atualidade das informaes. Vale ainda comum na Administrao Pblica: o desvio tico. Essa ameaa pode causar integridade ou disponibilidade de ativos de informao. destacar o trabalho de Murilo Cunha e de Mauro Soares91 que caracteriza uma ameaa vrios tipos incidentes de segurana relacionados perda da confidencialidade,
Identificao das vulnerabilidades: vulnerabilidade a fragilidade de um ativo que as vulnerabilidades podem ser procuradas nas seguintes reas:
pode ser explorada por uma ameaa acarretando prejuzo. Para a abordagem proposta o Organizao: est ligado a problemas relacionados a procedimentos, processos, auditorias peridicas, provises relativas segurana insuficientes ou
normas ou a questes inerentes a organizao. Exemplos:92 inexistncia de inexistentes, inexistncia de um plano de continuidade, atribuio inadequada
Esta classificao sugerida no anexo B da norma ISO/IEC 27005, os anexos possuem valor apenas informativo. Outras classificaes so possveis e devem ser ajustadas ao contexto especfico da organizao. 91 CUNHA, M., SOARES, M. Um estudo introdutrio para mensurar o grau de exposio dos rgos governamentais ao risco do desvio tico. In: COMISSO DE TICA PBLICA, Desvios ticos: risco institucional. Braslia, 2002. 92 Os exemplos deste tpico e dos que se seguem foram extrados do Anexo D da norma ISO/IEC 27005.
90
48
das responsabilidades pela segurana da informao, inexistncia de anlises crticas peridicas por parte da direo; o Recursos humanos: so falhas na gesto das pessoas no que se refere a mecanismos de monitoramento, treinamento insuficiente em segurana, falta limpeza ou de terceirizados; o Ambiente fsico: refere-se localizao do imvel, caractersticas da edificao e servios essenciais. Exemplos: uso inadequado ou sem os cuidados necessrios dos mecanismos de controle do acesso fsico a prdios e energia instvel, inexistncia de mecanismos de proteo fsica no prdio, portas e janelas. o Hardware, software e equipamentos de comunicao: so as vulnerabilidades ligadas aos sistemas de informao e infra-estrutura de tecnologia da informao. Exemplos: manuteno insuficiente, sensibilidade a variaes de voltagem, sensibilidade a variaes de temperatura, falta de cuidado durante o descarte, procedimentos de teste de software insuficientes ou inexistentes, inexistncia de uma trilha de auditoria, download e uso no controlado de software, inexistncia de cpias de segurana, inexistncia de evidncias que comprovem o envio ou o recebimento de mensagens, linhas de comunicao desprotegidas, arquitetura insegura da rede. Identificao das conseqncias: as conseqncias so identificadas a partir dos cenrios de incidentes, que so a descrio de uma ameaa explorando uma vulnerabilidade ou um conjunto delas. A norma ISO/IEC 27005 sugere que sejam identificadas as conseqncias operacionais dos cenrios de incidentes em funo de: o Investigao e tempo de reparo o Tempo de trabalho perdido o Oportunidade perdida o Sade e segurana aposentos, localizao em rea suscetvel a inundaes, fornecimento de
segurana. Exemplos: ausncia de recursos humanos, inexistncia de de conscientizao em segurana, trabalho no supervisionado de pessoal de
49
o Custo financeiro das competncias especficas necessrias para reparar o prejuzo o Imagem e reputao. Na coluna impacto da Tabela 4 devero ser descritas as conseqncias dos respectivos cenrios de incidente.
4.2.1.2
Estimativa de riscos
da probabilidade dos incidentes e estimativas dos nveis de risco.
A estimativa de risco compreende trs atividades: avaliao das conseqncias, avaliao Avaliao das conseqncias: para avaliar as conseqncias prope-se uma matriz com valores pr-definidos que relaciona duas variveis para definir o nvel de dessas variveis so estipulados trs nveis (baixo, mdio ou alto) e a sua combinao apontado anteriormente trar descries dos nveis de cada uma das variveis. impacto: a importncia do ativo e a conseqncia para o negcio. Para cada uma define o nvel de impacto do cenrio de incidente. O critrio de impacto conforme
Valor de reposio do ativo Conseqncia para o negcio pblico relacionada perda do ativo Nvel de impacto (NI) B 1
Baixa M 2 A 3 B 2
Mdia M 3 A 4 B 3
Alta M 4 A 5
Tabela 5 Determinao do nvel de impacto.
Avaliao da probabilidade dos incidentes: a probabilidade da ocorrncia de um cenrio de incidente decorre de dois elementos: probabilidade da ocorrncia da ameaa93 e facilidade da explorao da vulnerabilidade. Essas variveis devem ser descritos em trs nveis (baixo, mdio ou alto), conforme a tabela abaixo.
Segundo Cunha e Soares (2002), a probabilidade da ameaa de desvio tico proporcional ao poder de regulamentao das atividades econmicas e civis e ao poder de aquisio de bens e servios do rgo pblico em questo.
93
50
Critrio Probabilidade da ameaa Facilidade de explorao da vulnerabilidade
Alto
Mdio
Baixo
Tabela 6 Avaliao da probabilidade dos incidentes.
Em seguida e a combinao dessas variveis define o nvel de probabilidade do cenrio de incidente conforme a tabela abaixo.
Probabilidade da ameaa Facilidade de explorao da vulnerabilidade Nvel de probabilidade (NP) B 1
Baixa M 2 A 3 B 2
Mdia M 3 A 4 B 3
Alta M 4 A 5
Tabela 7 Determinao do nvel de probabilidade.
Segundo a norma ISO/IEC 27005 importante considerar na avaliao da probabilidade dos incidentes as experincias passadas, a motivao, as competncias e vulnerabilidade e o poder de atrao dos ativos para um possvel atacante. os recursos disponveis para possveis atacantes, bem como a percepo da Estimativa do nvel de risco: o nvel de risco ser calculado multiplicando o nvel de evoluo do nvel de risco.
impacto pelo nvel de probabilidade (NR = NI x NP). A matriz abaixo representa a
51
Probabilidade (NP) Muito alto (5) Alto (4) Impacto Mdio (3) (NI) Baixo (2) Muito baixo (1)
Muito baixa (1) Baixa (2) 5 4 3 2 1 10 8 6 4 2
Mdia (3) 15 12 9 6 3
Alta (4) 20 16 12 8 4
Muito alta (5) 25 20 15 10 5
Tabela 8 Matriz do nvel de risco.
4.2.2
Avaliao de riscos
e com os critrios de aceitao de risco, os quais foram estabelecidos na definio do contexto. O principal produto dessa etapa a tomada de decises sobre aes futuras, por
Neste ponto os riscos encontrados so comparados com os critrios de avaliao de riscos
meio da determinao de prioridades para o tratamento do risco e da indicao dos riscos que precisaro passar por uma segunda iterao do processo. A Tabela 1, referente aos critrios de aceitao do risco, elenca alguns quesitos que ajudaro nessa atividade. Aps a avaliao de riscos est o primeiro ponto de deciso, se a anlise/avaliao de
riscos foi satisfatria. Para uma abordagem de alto nvel esse momento tem uma importncia uma segunda iterao do processo. Isso seria requerido para os casos em que o ativo ou
singular, visto que alguns riscos encontrados podem merecer um maior aprofundamento em conjunto de ativos atingidos necessitem de um nvel alto investimento para reposio, da organizao. De um modo geral, quando o incidente de segurana resultar em um impacto detalhada, necessria.
manuteno ou desenvolvimento, ou ainda para os ativos que suportem processos estratgicos significativo para a organizao, uma segunda iterao do processo, mais especfica e A sada da atividade de avaliao de risco uma lista de riscos ordenados por prioridade de tratamento.
4.3
Tratamento do risco
O tratamento do risco em uma abordagem de alto nvel preconiza a relao entre tipos ou
classes de ameaas ou de cenrios de incidente e determinados controles. Notadamente os
52
controles organizacionais e os aspectos gerenciais de controles tcnicos. Destaca-se a necessidade de trabalhos futuros que estabeleam uma classificao de ameaas prprias para a administrao pblica e sua relao com os referidos controles.
53
EXEMPLO DE APLICAO
Com a finalidade de avaliar os instrumentos propostos foi elaborado um exemplo de aplicao em cima de uma organizao fictcia. Trata-se do Hospital Universitrio do Distrito Federal (HUDF) ligado a uma universidade pblica federal. O HUDF considerado um hospital de grande porte e de alta complexidade, tem a
capacidade para realizar cerca de 800 atendimentos ambulatoriais e de emergncia por dia, alm de uma mdia de 30 cirurgias dirias. Circulam pelas instalaes do hospital cerca de 8 mil pessoas por dia. O HUDF conta com 250 leitos ativos (20 de UTI), 15 enfermarias, 12
salas cirrgicas gerais, seis salas cirrgicas ambulatoriais e servios de laboratrio e de diagnstico. 1. Definio do contexto 1.1 Definio do escopo a. Identificao da organizao Negcio pblico: Assistncia, ensino e pesquisa na rea de sade para o desenvolvimento da regio. Misso: socializando conhecimentos, com tica e responsabilidade social. Valores: Respeito ao ser humano e aos seus direitos; Oferecer tratamento humanizado e personalizado, valorizando as pessoas; Compromisso com a funo social; Preservar e manter a vida, promovendo a sade, formando profissionais, produzindo e
54
tica nas relaes internas e externas; Respeito aos princpios do Sistema nico de Sade (SUS): integralidade, universalidade, eqidade, resolutividade; Valorizao, qualificao e competncia profissional.
Organograma: Conselho de Administrao
Direo Geral
Assessoria de Planejamento
Coordenao de Tecnologia da Informao
Diretoria Clnica
Diretoria de Enfermagem
Diretoria Administrativa
Diretoria de Ensino e Pesquisa
Figura 5 Organograma do HUDF.
Objetivos: Prestar assistncia populao, por meio da aplicao de medidas de proteo e recuperao da sade; Prestar assistncia sade da populao, sem distino de qualquer natureza, agindo com o mximo zelo e capacidade profissional; Prestar assistncia integral ao paciente e famlia, desenvolvendo aes de promoo, preveno, recuperao e reabilitao, no processo sade-doena;
55
Operar de forma articulada com outras unidades de sade, atendendo s demandas tcnico-cientficas do SUS; Servir de campo de treinamento para o ensino de graduao das profisses de sade no que se refere assistncia de mdia e alta complexidade; Propiciar a realizao de cursos de ps-graduao e de especializao das unidades docentes, enfatizando os programas de Residncia Mdica e Residncia Interdisciplinar;
Treinar pessoal de nvel mdio e auxiliar com vistas ao aprimoramento da qualidade dos prprios servios e no Sistema de Sade e manuteno de bons padres de rotina de atendimento;
Estratgia: Satisfao dos clientes: Nosso esforo deve estar centrado s necessidades do cliente externo e interno e a qualidade na prestao de servios.
Informatizao global em rede de todos os processos. Fornecedores: Passar aos fornecedores, a responsabilidade e o compromisso com toda comunidade, dos produtos aqui ofertados.
Honrar os compromissos dentro do prazo estabelecido. Assistncia, Ensino e Pesquisa: Integrar ensino e assistncia; Impulsionar as atividades de pesquisa; Incentivar o comprometimento dos servios; Incentivar e fomentar reas de excelncia;
Priorizar a manuteno, reposio e ampliao da estrutura a fim de dar prosseguimento ao desenvolvimento institucional;
56
Localidade e caractersticas geogrficas: Braslia. Nas proximidades do hospital h prdios comerciais, um shopping, quadras residncias e vias de grande circulao de veculos. O HUDF est localizado no Setor Mdico Hospitalar Sul (SMHS) na regio central de
b. Legislao aplicvel organizao: Constituio Federal (artigos 196 a 200) Lei n 8.142, de 28 de dezembro de 1990. Dispe sobre a participao da comunidade na gesto do Sistema nico de Sade (SUS) e sobre as transferncias intergovernamentais de recursos financeiros na rea da sade e d outras providncias.
Lei n 8.080, de 19 de setembro de 1990. Lei orgnica da Sade que dispe sobre as condies para a promoo, proteo e recuperao da sade, a organizao e o funcionamento dos servios correspondentes e d outras providncias.
Portaria n 373, de 27 de fevereiro de 2002. Aprova a Norma Operacional da municpios na Ateno Bsica; estabelece o processo de regionalizao como
Assistncia Sade (NOAS-SUS 01/2002) que amplia as responsabilidades dos estratgia de hierarquizao dos servios de sade e de busca de maior eqidade; cria mecanismos para o fortalecimento da capacidade de gesto do SUS e atualiza os critrios de habilitao de estados e municpios.
Portaria n 2.203, de 5 de novembro de 1996. Aprova a Norma Operacional Bsica (NOB 01/96), que redefine o modelo de gesto do Sistema nico de Sade, populao e ao disciplinamento das relaes entre as trs esferas de gesto do Sistema. constituindo instrumento imprescindvel viabilizao da ateno integral sade da
Outras portarias do Ministrio da Sade. Regimento interno do hospital e da universidade.
c. Limites do escopo: Clnica. Os servios de conexo a internet, e-mail e os sistemas administrativos esto fora do escopo, embora sejam utilizados tambm pelos servidores da Diretoria Clnica. A gesto de riscos ser limitada aos ativos de informao especficos da Diretoria
57
d. Ativos de informao: cirrgicos e servios complementares de diagnsticos. Os ativos relacionados a seguir do suporte a essas atividades. Sistema de informaes mdicas de pacientes (SIMP): uma aplicao distribuda que possui um servidor exclusivo e uma rede compartilhada por computadores dispostos pelo hospital. Os componentes apiam uma variedade de aplicaes mdicas e de bases de dados. Alm disso, integrado com o Sistema de anlises laboratoriais, imagem e diagnstico (SALID), descrito a baixo, de maneira que os resultados dos exames realizados no hospital podem ser consultados pelo SIMP. Os dados de paciente podem ser inseridos a qualquer momento a partir de qualquer estao de tm autorizao para introduzir dados no SIMP. trabalho. Mdicos, funcionrios administrativos, tcnicos de laboratrio, e enfermeiros Sistema de anlises laboratoriais, imagem e diagnstico (SALID): um sistema que de imagens e de vdeos digitais integrados aos exames. Alem disso, por meio do SIMP possvel visualizar essas informaes. A Diretoria Clnica possui trs processos fundamentais: servios clnicos94, servios
permite a gesto dos resultados de exames laboratoriais, a edio de laudos, a captura
Sistema de documentao de equipamentos mdicos (SDOC): esse sistema rene as informaes dos equipamentos mdicos desde sua entrada no hospital at o momento em que so descartados, por exemplo, manuais de operao, procedimentos de calibrao e ajuste, peas trocadas, acidentes que envolveram o equipamento, relatrios de manuteno. Trata-se de um sistema de gerenciamento eletrnico de documentos que permite gerar ou implantar, controlar, armazenar, compartilhar e recuperar as informaes constantes nos documentos.
Computadores fixos: distribudos nos consultrios, salas de exame, laboratrios e ambulatrio. Equipamentos de processamentos de dados dedicados ao SIMP, ao SALID e ao SDOC. Recursos humanos: usurios e pessoal da manuteno e gestores dos sistemas.
94
Os servios clnicos referem-se ao atendimento mdico normal nas diferentes especialidades e ao atendimento ambulatorial.
58
e. Caractersticas da organizao Restries que afetam a organizao: Descontinuidade administrativa: mudanas nos cargos de direo e nas polticas pblicas. A gesto oramentria, financeira e de pessoal atrelada a da universidade, no h autonomia. No h autorizao governamental para a realizao de concurso pblico em curto ou mdio prazo. Nmero insuficiente de mdicos e de servidores tcnico-administrativos do quadro
permanente. Alguns servios esto sendo desativados devido a no reposio de desmotivados.
pessoal, bolsistas esto substituindo profissionais do quadro efetivo, servidores
Corporativismo em determinadas categorias profissionais. Expectativa das partes interessadas: Os cidados usurios do HUDF esperam um acesso ordenado e organizado aos servios do hospital; um tratamento adequado e efetivo para seu problema; um atendimento humanizado, acolhedor e livre de qualquer discriminao; e um atendimento que respeite a sua pessoa, seus valores e seus direitos. aprendizagem e pesquisa. Os alunos dos cursos realizados no hospital esperam encontrar um ambiente de estmulo
O governo espera que hospital alcance suas metas, realize seus objetivos para o cumprimento de sua misso.
1.2 Critrios bsicos a. Critrio para avaliao de risco: A tabela 16 ser utilizada para ponderar a prioridade dos riscos. Os cenrios de incidente que tenham o nvel de risco (NR) mais elevado devem ser considerados primeiro.
59
Os riscos que envolvam a perda da disponibilidade e da integridade das informaes mdicas dos pacientes so considerados graves. Os riscos que impliquem violao da legislao so considerados graves. Os riscos que causem dano a imagem e reputao do hospital ou dano a imagem do governo ou do pas so considerados graves.
b. Critrio de impacto CRITRIO ALTA Ativos de grande valor financeiro ou de difcil recuperao. A compra de ativos desse tipo exige uma dotao oramentria especfica que normalmente s possvel para o ano seguinte. Paralisao de processos crticos da do hospital MDIA Ativos de valor financeiro mdio. Sua reposio normalmente pode ser feita no mesmo ano fiscal, porm pode haver necessidade de licitao. BAIXA Ativos de fcil reposio.
VALOR DE REPOSIO
DO ATIVO
CONSEQNCIA PARA
O NEGCIO PBLICO RELACIONADA PERDA DO ATIVO
Alguns processos Efeitos mnimos para podem ser afetados. o negcio. Perda de eficincia em alguns servios.
Tabela 9 Critrio de impacto.
60
c. Critrio para aceitao de risco NVEL DE (1 25) ALTO (15 25)

RISCO
DESCRIO A maioria dos objetivos no pode ser atingida. Paralisao dos servios populao. Dano grave a imagem do hospital e do governo. Alguns objetivos no podem ser atingidos. Alguns processos podem ser afetados.
ACEITABILIDADE Inaceitvel, requer ao imediata para manejar o risco.
EXCEES
OBSERVAES
(4 12)
MDIO
No pode ser aceito, requer ao para manejar o risco.
BAIXO (1 4)
Efeitos menores que so facilmente remediados
Risco aceitvel, nenhuma ao requerida.
O NR igual a 4 formado por NI 1 e NP 4 e vice versa so considerados risco mdio. O manejo desse tipo de risco pode ser condicionado a um tratamento futuro. O NR igual a 4 formado por NI 2 e NP 2 considerado risco baixo.
Justificativa das excees:

Tabela 10 Critrio para a aceitao de risco.
2. Anlise/avaliao de riscos
2.1 Tabelas de referncia
Valor de reposio do ativo Conseqncia para o negcio pblico relacionada perda do ativo Nvel de impacto (NI) B 1
Baixa M 2 A 3 B 2
Mdia M 3 A 4 B 3
Alta M 4 A 5
Tabela 11 Determinao do nvel de impacto.
61
Critrio
Alto
Mdio Ameaas com uma freqncia varivel, mas que no ultrapassa trs ocorrncias por ano. Vulnerabilidades recm descobertas e/ou que precisam de certo conhecimento tcnico para sua explorao.
Baixo Ameaas raras, sua freqncia de uma ocorrncia a cada cinco ou dez anos. Vulnerabilidades de difcil explorao. Existe a necessidade de um amplo conhecimento tcnico ou de uma grande capa-cidade de proces-samento para sua explorao.
Ameaas comuns que ocorrem rotineiProbabilidade da ameaa ramente no cotidiano do hospital. Vulnerabilidades facilmente exploradas e de amplo conhecimento.
Facilidade de explorao Em alguns casos, h da vulnerabilidade ferramentas prprias ou tutoriais para sua explorao.
Tabela 12 Avaliao da probabilidade dos incidentes.
Probabilidade da ameaa Facilidade de explorao da vulnerabilidade Nvel de probabilidade (NP) B 1
Baixa M 2 A 3 B 2
Mdia M 3 A 4 B 3
Alta M 4 A 5
Tabela 13 Determinao do nvel de probabilidade.
Probabilidade (NP) Muito alto (5) Alto (4) Impacto Mdio (3) (NI) Baixo (2) Muito baixo (1)
Muito baixa (1) Baixa (2) 5 4 3 2 1 10 8 6 4 2
Mdia (3) 15 12 9 6 3
Alta (4) 20 16 12 8 4
Muito alta (5) 25 20 15 10 5
Tabela 14 Matriz do nvel de risco.
62
2.1 Anlise de risco ANLISE DE RISCOS Identificao de riscos N 1 Ativo SIMP Ameaa Comprometimento de dados Vulnerabilidade Falhas conhecidas no software Conseqncia Perda da confidencialidade e integridade de dados. Comprometimento dos servios clnicos. Violao da legislao que protege o sigilo das informaes referentes vida privada das pessoas. 2 SIMP Gerenciamento de senhas mal feito Forjamento de direitos Perda da confidencialidade, integridade e disponibilidade de dados. Comprometimento dos servios clnicos. Violao da legislao que protege o sigilo das informaes referentes vida privada das pessoas. 3 SIMP Abuso de direitos Inexistncia de uma trilha de auditoria Prejudica a implementao de controles. Prejudica a investigao de eventos de segurana. Perda da integridade de dados. Perda de eficincia. 3 3 9 4 4 16 4 4 16 NI Estimativa de riscos NP Nvel de risco
SALID
Erro durante o uso
Interface de usurio complicada
63
ANLISE DE RISCOS Identificao de riscos N 5 6 Ativo SALID SALID Ameaa Vulnerabilidade Conseqncia Perda da confidencialidade, integridade e disponibilidade de dados. Perda da confidencialidade, integridade e disponibilidade de dados. Comprometimento dos servios clnicos. Violao da legislao que protege o sigilo das informaes referentes vida privada das pessoas. 7 SDOC Erro durante o uso Documentao inexistente Inexistncia de cpias de segurana Perda da integridade de dados. Perda de eficincia. Perda da disponibilidade de dados. Comprometimento dos servios clnicos e cirrgicos. Perda da eficincia. Comprometimento dos servios clnicos. 5 3 15 4 4 16 NI 3 Estimativa de riscos NP 2 Nvel de risco 6
Defeito de software Software novo ou imaturo Forjamento de direitos Tabelas de senhas desprotegidas
SDOC
Comprometimento de dados Destruio de equipamento
Computadores fixos
Falta de uma rotina de substituio peridica
64
ANLISE DE RISCOS Identificao de riscos N 10 Ativo Computadores fixos Ameaa Furto de mdia ou documentos Vulnerabilidade Armazenamento no protegido Conseqncia Perda da confidencialidade de dados. Perda da eficincia. Violao da legislao que protege o sigilo das informaes referentes vida privada das pessoas. 11 Equipamentos de Poeira, corroso, processamentos temperatura de dados elevada Recursos humanos Erro durante o uso de software Sensibilidade umidade, poeira, sujeira e temperatura Treinamento insuficiente em segurana Perda da disponibilidade de dados. Comprometimento dos servios clnicos e cirrgicos. Perda da confidencialidade e integridade de dados. Perda da eficincia. 13 Recursos humanos Comprometimento de dados Falta de conscientizao em segurana Perda da confidencialidade de dados. Perda da eficincia. Violao da legislao que protege o sigilo das informaes referentes vida privada das pessoas.
Tabela 15 Anlise de riscos.
Estimativa de riscos NI NP Nvel de risco
12
16
12
12
65
2.2 Avaliao de risco

Viola algum requisito legal? Atinge algum ativo crtico? Causa dano a imagem a do governo ou do pas? Causa dano a imagem ou reputao da organizao? Viola qual atributo da segurana da informao?
Atinge algum processo estratgico?
N 1
Cenrio de risco Comprometimento de dados do SIMP devido a falhas conhecidas no software. Forjamento de direitos do SIMP devido ao gerenciamento de senhas mal feito. Forjamento de direitos do SALID devido s tabelas de senhas desprotegidas. Equipamentos de processamentos de dados sujeitos a poeira, corroso e temperatura elevada. Comprometimento de dados do SDOC devido inexistncia de cpias de segurana. Furto de mdia ou documentos de computadores fixos devido ao armazenamento no protegido. Comprometimento de dados devido falta de conscientizao em segurana dos usurios. Abuso de direitos no SIMP devido inexistncia de trilhas de auditoria. Erro durante o uso do SALID devido interface de usurio complicada. Erro durante o uso do SDOC devido documentao inexistente. Defeito no SALID por ser um software novo. Destruio dos computadores fixos devido falta de uma rotina de substituio peridica. Erro durante o uso de software devido ao treinamento insuficiente em segurana.
NR 16
Sim
Sim
Sim
Sim
No
C/I
16
Sim
Sim
Sim
Sim
No
C/I/D
16
Sim
Sim
Sim
Sim
No
C/I/D
11
16
Sim
Sim
No
Sim
No
15
Sim
Sim
No
Sim
No
10
12
No
No
Sim
Sim
No
13
12
Sim
Sim
No
No
No
No
Sim
No
No
No
No
Sim
Sim
No
No
No
8 6 6
Sim No Sim
No Sim No
Sim No No
Sim No Sim
No No No
I C/I/D No
5 9
12
No
Sim
No
No
No
C/I
Tabela 16 Critrio para a avaliao de risco.
Priorizao dos riscos.
10
9 11 13
12
66
3. Lista de riscos ordenados por prioridade 1 2 3 4 5 6 7 8 9 10 11 12 13 Forjamento de direitos do SIMP devido ao gerenciamento de senhas mal feito. Comprometimento de dados do SIMP devido a falhas conhecidas no software. Forjamento de direitos do SALID devido s tabelas de senhas desprotegidas. Equipamentos de processamen-tos de dados sujeitos a poeira, corroso e temperatura elevada. Comprometimento de dados do SDOC devido inexistncia de cpias de segurana. Comprometimento de dados devido falta de conscientizao em segurana dos usurios. Furto de mdia ou documentos de computadores fixos devido ao armazenamento no protegido. Abuso de direitos no SIMP devido inexistncia de trilhas de auditoria. Erro durante o uso do SDOC devido documentao inexistente. Erro durante o uso do SALID devido interface de usurio complicada. Defeito no SALID por ser um software novo. Erro durante o uso de software devido ao treinamento insuficiente em segurana. Destruio dos computadores fixos devido falta de uma rotina de substituio peridica.
Tabela 17 Riscos ordenados por prioridade.
vulnerabilidade e conseqncia) e aps a estimativa do impacto e da probabilidade dos cenrios de incidentes, os riscos foram avaliados segundo os critrios elencados na Tabela 16. O resultado desse percurso uma lista de riscos ordenados por prioridade de tratamento
Aps a identificao dos elementos constitutivos do risco (ativo, ameaa,
conforme a tabela acima. Desse modo, os riscos encontrados por meio de uma anlise/avaliao de riscos com enfoque de alto nvel apontam para os principais problemas de segurana da informao do escopo considerado.
67
CONCLUSO E TRABALHOS FUTUROS
A Administrao Pblica Federal um conjunto de instituio que se dedicam a atividades completamente diversas, desde atividades de fomento a iniciativa privada, de polcia administrativa e de prestao de servios pblicos. Mesmo considerando toda a sua amplitude e diversidade possvel, conforme demonstrado, que haja um mtodo de anlise/avaliao de riscos, em um enfoque de alto nvel, que seja capaz de atender a maioria dessas instituies na primeira iterao do processo de gesto de risco de segurana da informao. coletividade administrada. E para alcanar tal fim a APF pauta seus atos em princpios que moralidade, a eficincia, a proporcionalidade, a publicidade, a continuidade do servio possvel porque a APF precisa perseguir um nico objetivo: o bem comum da
so regras de observncia permanente e obrigatria, dentre eles destacam-se a legalidade, a pblico e a supremacia do interesse pblico. Esse delineamento bsico da APF permite principais problemas de segurana da informao relacionados a esses princpios.
visualizar um mtodo anlise/avaliao de risco genrico o suficiente para detectar os Vale destacar que a partir de uma segunda iterao do processo de gesto de risco com o
detalhamento dos ativos a especificidade de cada instituio obriga a criao ou adaptao de um mtodo prprio para analisar e avaliar seus riscos. As vantagens de uma abordagem com enfoque de alto nvel so a facilidade de
compreenso do mtodo e de seus resultados, a rapidez e o baixo custo em relao a uma anlise detalhada dos ativos e seus riscos. Alm disso, a organizao oramentria da APF um mtodo simples, gio e eficaz que aponte os principais problemas de segurana da informao em que ser necessria a alocao de recursos. exige ordinariamente um planejamento antecipado dos gastos. Isto refora a necessidade de
68
subjetivas que podem diminuir a preciso dos resultados. A utilizao de critrios subjetivos conforme a ISO/IEC 27005. O seu objetivo no apontar os riscos com uma preciso dissecadas em futuras iteraes.
Todavia, a principal limitao da abordagem proposta a dependncia de escalas
inerente a primeira iterao do processo de gesto de risco em um enfoque de alto nvel refinada, antes, porm, os seus achados so como categorias de riscos que precisaram ser Desse modo, os objetivos desse trabalho foram alcanados j que os instrumentos
propostos de anlise e avaliao de riscos contribuem na sistematizao de um mtodo que aplicao dos instrumentos. com trabalhos monogrficos, foram destacadas algumas como sugestes de trabalhos futuros. Pblica em relao segurana da informao;
compreenda a APF numa perspectiva genrica conforme demonstrado no exemplo de Dentro da temtica pesquisada existem ainda vrias lacunas que precisam ser preenchidas
Um aprofundamento das especificidades e restries prprias da Administrao A elaborao de uma ontologia das ameaas prprias ao setor pblico, sua tipificao, agentes, origem e motivao. A elaborao de um mtodo que relacione e sistematize a dependncia entre ativos e a lembra que o mtodo Octave de anlise e avaliao de riscos traz uma interessante abordagem desse tpico. relao entre eventos de segurana para a composio de cenrios de incidentes. Vale
69
REFERNCIAS BIBLIOGRFICAS
Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27001:2006. Sistema de gesto de segurana da informao requisitos. Rio de Janeiro, 2006. __________. NBR ISO/IEC 27002: Cdigo de Prtica para a gesto da segurana da informao. Rio de Janeiro, 2005.
__________. NBR ISO/IEC 27005: Gesto de risco de segurana da informao. Rio de Janeiro, 2008. BEAL, A. Segurana da informao: princpios e melhores prticas para a proteo dos ativos de informao nas organizaes. So Paulo: Atlas, 2005. BERNSTEIN, P. L. Desafio aos deuses: a fascinante histria do risco. Rio de Janeiro: Campus, 1997. BRASIL, Ministrio da Sade. Segurana no Ambiente Hospitalar. Braslia, 1995. BRASILIANO, A. C. R. Anlise de risco corporativo. So Paulo: Sicurezza, 2007. CENTRO CANADENSE PARA O DESENVOLVIMENTO DA GESTO. Uma base para o desenvolvimento de estratgias de aprendizagem para a gesto de riscos no servio pblico / Stephen Hill, Geoff Dinsdale; traduzido por Lus Marcos B. L. de Vasconcelos. Braslia: ENAP, 2003 (Cadernos ENAP, 23). CHERUBIN, N. A. Fundamentos da Administrao Hospitalar. So Paulo: Hospital So Camilo, 1977.
CUNHA, M., SOARES, M. Um estudo introdutrio para mensurar o grau de exposio dos rgos governamentais ao risco do desvio tico. In: COMISSO DE TICA PBLICA, Desvios ticos: risco institucional. Braslia, 2002. DI PIETRO, M. S. Z. Direito Administrativo. So Paulo: Atlas, 2006. FERNANDES, J. H. C. Introduo Gesto de Riscos de Segurana da Informao. 75 f. Texto desenvolvido para suporte das atividades de Ensino do Programa de Pesquisas e Formao de Especialistas. Universidade de Braslia (UnB), Braslia, 2009. FILHO, J. S. C. Manual de Direito Administrativo. Rio de Janeiro: Lmen Juris, 2006. FONTINELE, K. Administrao Hospitalar. Goinia: AB Editora, 2002.
FRAGA FILHO, C. A Implantao do Hospital Universitrio da UFRJ. Rio de Janeiro: FUJB, 2000.
70
Hospital Universitrio da Universidade Federal de Juiz de Fora. Juiz de Fora, desenvolvido por Joo Carlos Gonzaga, 2007. Portal da instituio. Disponvel em: <http://www.hu.ufjf.br/>. Acesso em 10 jan. 2009. Hospital Universitrio Clementino Fraga Filho. Rio de janeiro. Portal da instituio. Disponvel em: <http://www.hucff.ufrj.br/>. Acesso em 10 jan. 2009. Hospital Universitrio de Braslia. Braslia. Portal da instituio. Disponvel em: <http://www.hub.unb.br>. Acesso em 10 jan. 2009.
Hospital Universitrio Ernani Polydoro So Thiago. Florianpolis. Portal da instituio. Disponvel em: <http://www.hu.ufsc.br>. Acesso em 10 jan. 2009.
LORENS, E. M. Aspectos normativos da segurana da informao: um modelo de cadeia de regulamentao. 2007. 128 f. Dissertao (mestrado) Departamento de Cincia da Informao e Documentao, Universidade de Braslia (UnB), Braslia, 2007. Disponvel em: <http://bdtd.bce.unb.br/tedesimplificado/tde_busca/arquivo.php?codArquivo=2504>. Acesso em: 07 ago. 2008. MANDARINI, M. Segurana Corporativa Estratgica: fundamentos. Barueri: Manole, 2005. MARCIANO, J. L. P. Segurana da Informao: uma abordagem social. 2006. 211 f. Tese (Doutorado) Departamento de Cincia da Informao e Documentao, Universidade de Braslia (UnB), Braslia, 2006. Disponvel em: <http://www.enancib.ppgci.ufba.br/premio/UnB_Marciano.pdf>. Acesso em: 07 ago. 2008. MARCONI, M. A., LAKATOS, E. M. Metodologia Cientfica. So Paulo: Atlas, 2000. __________. Tcnicas de Pesquisa. So Paulo: Atlas, 2002. MEIRELLES, H. L. Direito Administrativo Brasileiro. So Paulo: Malheiros, 2005.
NASCIMENTO, M. S. O. Proteo ao Conhecimento: uma proposta de fundamentao terica. 2008. 181 f. Dissertao (mestrado) Departamento de Cincia da Informao e Documentao, Universidade de Braslia (UnB), Braslia, 2008. PDUA, E. M. M. Metodologia da pesquisa: abordagem terico-prtica. Campinas: Papirus, 2007.
PARRA, D. F., SANTOS, J. A. Apresentao de trabalhos cientficos: monografia, TCC, teses e dissertaes. So Paulo: Futura, 2000. PEREIRA, J. C. R. Anlise de dados qualitativos: estratgias para as cincias da sade, humanas e sociais. So Paulo: Edusp, 2001. RAMOS, A. et al. Security Officer 1: guia oficial para a formao de gestores de segurana da informao. Porto Alegre: Zouk, 2006. RAMPAZZO, L. Metodologia Cientfica. So Paulo: Loyola, 2002.
SCHAUER, H. ISO/CEI 27005: la norme du consensus. Global Security Mag. N4, p. 5255, Set. 2008. Disponvel em: <http://www.hsc.fr/presse/globalsecuritymag/HS_iso27005.pdf>. Acesso em 15 nov. 2008. SMOLA, M. Gesto da Segurana da Informao: uma viso executiva. Rio de Janeiro: Elsevier, 2003. SPINK, Peter. Continuidade e Descontinuidade Administrativa. So Paulo: FGV, 2001. TRIBUNAL DE CONTAS DA UNIO. Acrdo 1603/2008. Braslia, 2008.
71
VOLPE, Ricardo Alberto. Viso abrangente do processo poltico e institucional de planejamento e oramento. Disponvel em: <http://www.amefpp.org.mx/centrodoc/XXIXSemIPP/RicardoV.pdf>. Acesso em 10 out. 2008. ZAMITH, J. L. C. Gesto de Riscos e Preveno de Perdas. Rio de Janeiro: FGV, 2007.

Análise de riscos da segurança da informação na APF

Uploaded by

Document Information

Original Description:

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Análise de riscos da segurança da informação na APF

Uploaded by

Copyright:

Available Formats

U NIVERSIDADE DE BRASLIA - UNB DEPARTAMENTO DE CINCIAS DA COMPUTAO

PEDRO JORGE SUCENA SILVA

Braslia, 29 de maio de 2009.

Prof orientador: Jorge Henrique Cabral Fernandes Braslia, 2009

Autoria: Pedro Jorge Sucena Silva

Jorge Henrique Cabral Fernandes

Jacir Luiz Bordim

Edgard Costa Oliveira

Data da aprovao: ____ de _____________________ de ________.

Introduo ........................................................................................................1 Requistos Pr-pesquisa.................................................................................3

Reviso de literatura e fundamentos .............................................................7

Administrao pblica ............................................................................................... 30

Monitoramento e anlise crtica de riscos...........................................................................28 Princpios da administrao pblica ...................................................................................32

instrumentos para anlise/avaliao de risco enfoque de alto nvel .....37

Especificidades da Administrao Pblica Federal .............................................................40

Anlise/avaliao de riscos ....................................................................................... 46

Exemplo de aplicao ...................................................................................53 Concluso e trabalhos futuros.....................................................................67

Em um levantamento sobre a governana de tecnologia da informao (TI) na

segurana da informao no consta na agenda da maioria dos rgos pblicos. O

TRIBUNAL DE CONTAS DA UNIO. Acrdo 1603/2008. Braslia, 2008.

A anlise/avaliao de riscos uma atividade do processo de gesto de riscos em que so

Administrao Pblica Federal em um enfoque de alto nvel. 2.1.2 Objetivos Especficos

Propor instrumentos para um mtodo preliminar de anlise/avaliao de riscos para

criou a necessidade de sistematizao e padronizao dos conceitos de segurana da

pblica no permitiria a implementao simultnea de todos os controles que seriam precisos,

uma abordagem importante porque a indisponibilidade oramentria comum na esfera

Diante dessas questes imprescindvel que a discusso quanto a um mtodo de

pblica em aspectos que subsidiem, de maneira geral, o processo de gesto de riscos.

MARCONI, M. A., LAKATOS, E. M. Tcnicas de Pesquisa. So Paulo: Atlas, 2002.

REVISO DE LITERATURA E FUNDAMENTOS

Gesto de riscos: norma ISO/IEC 27005

Figura 1 Normas que influenciaram a criao da ISO/IEC 27005.

processo de gesto de risco, quais sejam: ativo, ameaa vulnerabilidade e impacto.

e infra-estrutura.9 Os ativos primrios seriam as informaes, os processos e as atividades de

comprometimento de funes. Em relao s ameaas intencionais a norma sugere que seja

A conseqncia est relacionada a perdas operacionais relativas proteo de ativos. A

Ao de evitar o risco: deciso de no se envolver ou agir de forma a se retirar de uma

tomador de deciso e outras partes interessadas.21 conseqncias de um risco.22

Figura 2 Um mapa de conceitos sobre risco de segurana da informao. 27

O processo de gesto de riscos

A norma ISO/IEC 27005 contm a descrio e as diretrizes do processo de gesto de

resulta do tratamento no seja aceitvel para a organizao, da faz-se necessria outra

FERNANDES, J. H. C. Op. Cit.

A aceitao do risco importante porque os gestores da organizao registram

apresentadas acima, so as seguintes: definio do contexto, anlise/avaliao de riscos,

Conforme o objetivo da gesto de risco e as especificidades da organizao diferentes

operaes comprometidas; (iv) perda de oportunidades de negcio e de valor

Definio do escopo e limites

O escopo e o limite do processo de gesto de risco definem a abrangncia do processo

processo de gesto de risco. Conforme a ISO/IEC 27005, os papis e responsabilidades desse

Um grupo ou frao da organizao deve ser estabelecido e mantido para executar o

grupo so: (i) desenvolvimento do processo de gesto de riscos de segurana da informao

papis e responsabilidades de todas as partes, internas e externas organizao; (iv)

O objetivo identificar os elementos constituintes do risco, determinando os eventos que

seguintes: (i) identificao de ativos; (ii) identificao de ameaas; (iii) identificao de

Ibid. Ibid. 33 Ibid.

Ibid. Ibid. 36 Ibid.

competncias especficas necessrias para reparar o prejuzo; (vi) imagem, reputao e

Ibid. Ibid. 39 Ibid.

porm a dependncia escolha subjetiva da escala uma desvantagem. Conforme a

Ibid. Ibid. 43 Ibid.

A avaliao de riscos visa comparar o nvel de riscos dos cenrios de incidentes

Data da aprovao: de _________ de .