Aprendizagem em Foco

WBA0453_v1.
APRENDIZAGEM EM FOCO
GESTÃO DE RISCOS EM TI
APRESENTAÇÃO DA DISCIPLINA
Autoria: Márcio dos Santos
Leitura crítica: Cecilia Sosa Arias Peixoto
Olá, estudante! Boas-vindas à disciplina de Gestão de riscos em TI.

Nesta disciplina, você conhecerá um pouco sobre riscos: oque são,
como identificá-los, como amenizá-los. Você ainda conhecerá a
biblioteca ITIL, utilizada no gerenciamento de serviços de TI, o guia
Cobit, utilizado como base para governança de TI, o guia PMBOK,
focado em gerenciamento de projetos, normas ISO voltadas à
segurança da informação.
Você conseguirá perceber que os riscos nem sempre devem ser

evitados dentro de uma organização e, via de regra, jamais devem
ser eliminados! Este tema está totalmente ligado com as ações
tomadas pela governança de TI, composta por colaboradores de
todos os níveis hierárquico de uma organização.
Paralelamente, estudaremos um pouco a respeito da importância

da informação dentro do mundo cotidiano e entenderemos qual
a matéria-prima da informação e qual seu objetivo dentro de um
contexto.
Embora pareçam muitos assuntos novos e complexos, não se

preocupe, pois iremos evoluir pouco a pouco na disciplina e,
paulatinamente, você conseguirá compreender toda a estrutura
e o conceito que existe por trás do processo de gestão de riscos
voltado à área de Tecnologia da Informação.
Será uma caminhada um tanto longa, mas não se preocupe,

caminharemos juntos, passo a passo, para que, ao término da
2
disciplina, você seja capaz de identificar os métodos, métricas e
conceitos envolvidos no tema.
Vamos lá?
INTRODUÇÃO
Olá, aluno (a)! A Aprendizagem em Foco visa destacar, de maneira

direta e assertiva, os principais conceitos inerentes à temática
abordada na disciplina. Além disso, também pretende provocar
reflexões que estimulem a aplicação da teoria na prática
profissional. Vem conosco!
3
TEMA 1
Introdução à gestão de riscos
INÍCIO
______________________________________________________________
TEMA 1
TEMA 2
TEMA 3
TEMA 4
DIRETO AO PONTO
A concepção da gestão de riscos em TI tem como pré-requisito

compreender a importância da Tecnologia da Informação dentro de
um cenário corporativo e os artefatos que regem esta ciência. Como
a própria definição já aponta, o cerne do tema é a informação e como
ela é tratada pelos dispositivos informáticos da organização.
Primeiramente, você deve compreender que a informação é a união

de vários dados brutos que, isolados, não representam nenhum
recurso de valor. Estes dados só passam a ter algum valor quando
são unidos e contextualizados, representando uma informação, da
qual seja possível abstrair conhecimento.
Veja o exemplo de dados brutos a seguir:
Quadro 1 – Exemplo de dados brutos

João 117 1234 36 S
Fonte: desenvolvido pelo autor.
É fácil perceber que, aparentemente, não existe um sentido

lógico nos dados brutos alocados no Quadro 1, mas podemos
modificar um pouco este cenário, tornando estes dados em uma
informação:
Quadro 2 – Exemplo de dados sendo lidos como informação

Nome Agência Conta Idade Casado
João 117 1234 36 S
Observe que tornar um dado em informação consiste em

trabalhar com este dado dentro de um cenário conhecido. O
próximo passo é bastante intuitivo, pois, com a informação
5
disposta, é possível gerar um novo conhecimento, vamos ver?
Antes de ler a informação acima, você não sabia que João era
casado, por exemplo, mas agora você detém este conhecimento.
Viu como é simples?
Aqui trabalhamos com dados fictícios e de pouca relevância, mas,

no meio corporativo, as informações geradas e o conhecimento
que pode ser obtido é um fator de suma importância para
a colocação da organização no mercado; é questão de
competitividade.
Desta forma, a segurança da informação (SI) deve ser tratada

com alta prioridade. Para isso, é importante que, dentro da
organização, exista uma governança de TI, que assuma um papel
de tomada de decisão – por este motivo, membros do alto escalão
devem compor este órgão. Executivos, diretores, gerentes e, claro,
profissionais de TI são alguns dos componentes da governança de
TI.
Toda esta estrutura é organizada com um objetivo bem definido:

traçar as métricas, os passos, procedimentos e mapa de ações
quanto aos serviços que envolvam a tecnologia da informação
(seja ela voltada aos dispositivos de hardware ou software).
Toda esta definição consiste em ter controle absoluto sobre as
eventuais situações de risco que possam afetar o fluxo contínuo
das atividades corporativas ou criar vazamento de informações.
Assim, a gestão de risco entra em evidência dentro deste cenário.

É a gestão de risco que irá definir o que são riscos para aquela
organização, bem como tratá-los, categorizá-los, priorizá-los e
medi-los – quanto ao impacto que causarão. A gestão de riscos
também irá ditar o quão tolerável a organização é àquele risco.
6
Embora seja uma afirmativa um tanto estranha, toda organização
precisa de riscos. Os riscos são moduladores do nível de
importância de determinada informação. Caso a perda de uma
informação não gere impactos, então a informação não teria
importância, logo, a organização estaria atuando sem trunfos de
competitividade no mercado.
Compreenda, então, que os riscos devem existir, mas,

paralelamente, deve-se ter uma excelente estrutura de
governança de TI que faça sua gestão e seu controle, mantendo-os
dentro de um ambiente controlado.
Quadro 3 – A gestão de riscos dentro de uma organização
Fonte: elaborado pelo autor.
Na “Leitura digital”, você poderá acompanhar este tema em

maiores detalhes, bem como conhecer os detalhes que envolvem
a governança de TI e a adesão da gestão de riscos por uma
organização.
7
Referências bibliográficas
CABRAL, C.; CAPRINO, W. Trilhas em segurança da informação:

caminhos e ideias para a proteção de dados. Rio de Janeiro:
Brasport, 2015.
PARA SABER MAIS
Manter a informação segura não está apenas relacionado à

forma que ela é armazenada, mas também quanto à forma como
ela é trafegada em determinados ambientes. Alguns critérios
que podem ser facilmente adotados quanto ao tráfego de
informações poderão contribuir nos requisitos de segurança e,
consequentemente, ajudarão a diminuir o nível do risco em um
mapa de gestão de riscos.
Em uma organização, é comum o tráfego intenso de dados entre

seus vários departamentos internos ou até mesmo para ambiente
externo. A partir do momento em que uma informação entra
em um ambiente de rede de computadores, ela está sujeita a
ser capturada ou adulterada (note que aqui estamos tratando
especificamente dos critérios de proteção digital, mas os meios
físicos também requerem zelo para proteção das informações).
Para evitar o vazamento de informações ou mesmo proteger os

dados corporativos caso o vazamento ocorra, geralmente recorre-
se à forma mais segura de proteção de dados: a criptografia.
Existem várias formas de se trabalhar com criptografia, seja na

própria estrutura do dado (ou arquivo) em si ou na emissão de
uma mensagem cujo conteúdo só possa ser descriptografado pelo
receptor mediante troca de chaves.
8
Ao realizar esses procedimentos de segurança, atende-se ao
que Barreto et al. (2018) nos orientam quanto às categorias
de segurança da informação. Os autores nos apontam que
uma informação estará segura se atender aos requisitos de
confidencialidade, autenticidade, disponibilidade e integridade.
Em uma rede interna, geralmente, ocorre a preocupação mais

elevada com a confidencialidade, disponibilidade e integridade,
enquanto que, no tráfego de dados para ambiente externo à
organização, preocupa-se com a autenticidade, ou seja, garantir
que o dado enviado seja autêntico, podendo-se garantir a origem
da fonte emissora.
Toda esta coletânea de procedimentos visa proteger os dados/

informação, pois, também de acordo com Barreto et al. (2018),
as informações podem fidelizar ou conquistar clientes. Nota-se,
portanto, que a informação tem um valor de alto grau no meio
corporativo e a sua correta proteção garantirá à organização uma
maior certeza de estabilidade no mercado em que atua.
BARRETO, J. S. et al. Fundamentos de segurança da

informação. Porto Alegre: SAGAH, 2018.
TEORIA EM PRÁTICA
Em qualquer ambiente, as mudanças causam certo desconforto

devido à mudança de paradigmas que trazem consigo. Em raras
situações, as propostas de mudanças são bem-vistas por todos
sem que haja algum tipo de rejeição por alteração nos padrões
9
Lorem ipsum dolor sit amet
de trabalho ao qual já se está acostumado. Essas mesmas
rejeições podem ser notadas quando uma organização decide
implementar uma governança de TI com poderes equivalentes
Autoria: Nome do autor da disciplina
(senão superiores) à própria direção e presidência, pois estará
Leitura crítica: Nome do autor da disciplina
focado na tomada de decisão que impactará diretamente o
posicionamento da organização no mercado em que atua.
Considere-se como um gestor de TI da Organização ABC S/A.
Quais argumentos você utilizaria para demonstrar ao alto
escalão a necessidade de implantar uma governança de TI e
priorizar a gestão de riscos dentro da instituição?
Para conhecer a resolução comentada proposta pelo

professor, acesse a videoaula deste Teoria em Prática no
ambiente de aprendizagem.
LEITURA FUNDAMENTAL
Indicações de leitura
Indicação 1
Ainda no capítulo I deste livro, o autor aborda de forma bem

direta o que é informação e, logo em seguida, explana a respeito
de sistemas de informação. Em poucas páginas, você conseguirá
ter uma visão ampla quanto ao conceito de dados, informação e
conhecimento, bem como compreender a sua importância nos dias
atuais. Para realizar a leitura, acesse a plataforma Biblioteca Virtual
da Kroton e busque pelo título da obra.
MACHADO, F. N. R. Segurança da informação: princípios e controle

de ameaças. 1. ed. São Paulo: Érica, 2014.
10
Indicação 2
Neste artigo científico, os autores abordam os padrões de

governança de TI utilizando uma das bibliotecas mais conceituadas
para tal assunto: o Cobit. Para realizar a leitura, acesse o artigo
disposto a seguir, que pode ser encontrado na Revista Análise.
GIAMPAOLI, R. Z.; TESTA, M. G.; LUCIANO, E. M. Contribuições do

modelo Cobit para a governança corporativa e de tecnologia da
informação: desafios, problemas e benefícios na percepção de
especialistas e CIOs. Análise A Revista Acadêmica da FACE, Porto
Alegre, v. 22, n. 2, p. 120-133, 2011.
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a

verificação de leitura dos itens Direto ao Ponto, Para Saber
Mais, Teoria em Prática e Leitura Fundamental, presentes
neste Aprendizagem em Foco.
Para as avaliações virtuais e presenciais, as questões serão

elaboradas a partir de todos os itens do Aprendizagem em
Foco e dos slides usados para a gravação das videoaulas,
além de questões de interpretação com embasamento no
cabeçalho da questão.
1. No tráfego de informações dentro de uma mesma rede

interna, um determinado dado foi interceptado por um
invasor, funcionário da própria organização. Este dado foi
posteriormente encaminhado ao destinatário inicial, mas já
com as modificações feitas pelo invasor. Este tipo de falha de
11
segurança da informação é um risco de TI que precisa constar
no mapa de riscos e:
a. Ser categorizado como quebra de disponibilidade.

b. Ser classificado como ataque do tipo man-in-the-middle,
causando quebra de segurança, afetando a autenticidade e
integridade.
c. Não ser considerado um risco, pois não houve roubo de dados,
apenas modificações.
d. Ser tratado como um erro a ser sanado pela governança de TI.
e. Ser direcionado ao alto escalão da organização para sanar a
quebra de integridade.
2. Quanto aos riscos em uma organização, é correto afirmar

que:
a. Devem ser eliminados pelo plano de gestão de riscos.

b. Podem ser evitados, mas devem ocorrer para se comprovar
a importância da informação.
c. São de responsabilidade do departamento de TI.
d. Devem ser resolvidos pelo corpo executivo da governança
de TI.
e. São essenciais para que se avalie a importância da
informação.
GABARITO
Questão 1 - Resposta B
Resolução: Como a informação foi interceptada, então
ocorreu o ataque do tipo man-in-the-middle (homem no
12
meio). A informação sofreu reencaminhamento, logo, o
remetente inicial não é o mesmo remetente final. Isso causa
quebra de autenticidade e, como o conteúdo foi modificado,
ocorreu quebra de integridade.
Questão 2 - Resposta E
Resolução: Uma informação só pode ser considerada de
valor se existir algo que a coloque em risco, logo, os riscos são
essenciais para se avaliar a importância de uma informação.
13
TEMA 2
INÍCIO
______________________________________________________________
TEMA 1
TEMA 2
TEMA 3
TEMA 4
DIRETO AO PONTO
Considerando que os riscos estão presentes em qualquer

organização, torna-se necessário estruturar estratégias consolidadas
para lidar com estes cenários.
Para que o processo de tratamento dos riscos ocorra de maneira

eficaz, é importante que ele seja embasado em conhecimentos
anteriores que tenham estabelecido métricas a serem adotadas,
de forma a orientar a organização sobre os procedimentos,
sequências e diretivas a serem seguidas de acordo com o estado e
comportamento de uma situação.
Algumas dessas métricas que serão abordadas nesta leitura serão:

família de normas ISO 27.000, família de normas ISO 31.000, guia
PMBOK e as próprias diretivas mencionadas em todas as literaturas
que abordam a gestão de riscos de TI, direcionadas à governança de
TI, como o Cobit.
Para iniciarmos, é importante ressaltar que o que define o leque

temático de uma norma ISO é o seu número inicial, por exemplo:
27.000. Esta norma, especificamente, introduz o tema “Sistemas
de gestão de segurança da informação – SGSI”, com definição
e vocabulário, enquanto que as numerações que vêm a seguir
afunilam mais o tema, especificando detalhes e procedimentos. Em
outras palavras, você não encontrará uma norma ISO da família
27.000 que aborde o tema “qualidade” – papel este da família ISO
9.000.
Adicionalmente, após o número da norma, coloca-se o ano de

sua publicação, por exemplo: ISO 27.001:2005. É importante que
você compreenda esta estrutura para que comece a relacionar
determinados assuntos abordados em toda a extensão deste tema.
15
A ISO 27.001 define os requisitos para gestão dos sistemas de
informação. Já a ISO 27.005:2011 define o gerenciamento de riscos de
segurança da informação.
Para Hintzbergen (2018), a família ISO 27.000 fornece um código de

prática que orientará os gestores de TI a compreender os cenários
de segurança, seus insumos, elementos, componentes e recursos
humanos, de forma a implantar e gerenciar de maneira eficaz os
riscos de segurança da informação, provendo melhorias contínuas
com base no monitoramento cíclico de desempenho.
Já a família de normas ISO 31.000 orienta-nos quanto às melhores

práticas para implantação e manutenção da gestão de riscos em uma
organização. Atente-se que, quando tratamos a respeito de gestão de
riscos, abordamos algo mais conceitual, ou seja, é algo mais filosófico
que deve impactar a organização, para que possam se colher
resultados mais tangíveis e concretos.
Como parte da família ISO 31.000, temos a ISO 31.010, que fornece
algumas técnicas para avaliação da gestão de riscos. Adicionalmente,
o Guia 73, vinculado à mesma família, traz um vocabulário quanto às
expressões utilizadas na gestão de riscos.
Em geral, para que se obtenham bons resultados no gerenciamento

de riscos em uma organização, subentende-se que os riscos devem
ser amplamente conhecidos e reconhecidos.
Desta maneira, a família ISO 31.000 estabelece alguns passos a

serem seguidos tanto no momento de implantação quanto no
gerenciamento constante – considerando que o processo deve ser
cíclico e contínuo.
O primeiro desses passos é o estabelecimento de um contexto, por

meio do qual será definido o cenário no qual a norma será aplicada e,
16
com base neste cenário, é estabelecido o que pode ser definido como
risco, identificando suas incidências e categorizando-os. Como passos
seguintes, é executada a análise desses riscos, uma avaliação e, por
fim, seu tratamento.
Para se estabelecer este contexto, é necessário conhecer bem a

estrutura da organização, bem como seus pontos fracos e fortes. De
forma a facilitar esta mensuração, recomenda-se o uso de métricas
também já preestabelecidas (afinal, por que reinventar a roda se
podemos, simplesmente, utilizá-la?). Uma forma bastante conhecida
de mensuração desses pontos fortes e fracos é por meio da análise
SWOT (ou matriz SWOT), que aponta todos os fatores positivos,
negativos, oportunidades e ameaças a uma organização. Geralmente,
ela é descrita com uma imagem similar à Figura 1, a seguir.
Figura 1 – Análise SWOT
Fonte: human/iStock.com.
17
Utilizar a família de normas ISO não limita a equipe de
governança de TI ou o gestor de TI em utilizar apenas esta base
de conhecimentos, pelo contrário, é possível utilizar um leque
mais amplo de recursos (bibliotecas, guias, frameworks) para
complementar a base estrutural da gestão de riscos.
Alguns guias que geralmente são aderidos de forma paralela:
• PMBOK (para gerenciamento de projetos), que tem uma

seção específica voltada à implementação de respostas aos
riscos.
• Prince 2, também para o mesmo segmento de projetos e

que conta com os critérios semelhantes para identificação,
avaliação e controle dos riscos.
• Biblioteca ITIL, para gerenciamento de serviços, que

garante por meio de sua estrutura que os requisitos de
determinados serviços sejam atendidos, reduzem o risco de
falhas e interrupção de serviços.
Na “Leitura digital”, é possível conhecer maiores detalhes sobre

as normas ISO voltadas à segurança de informação, bem como
analisar e compreender em detalhes os passos propostos pela ISO
31.000 quanto ao processo cíclico de gestão de riscos.
HINTZBERGEN, J. et al. Fundamentos de segurança da

informação: com base na ISO 27.001 e na ISO 27.002. Rio de
Janeiro: Brasport, 2018.
18
PARA SABER MAIS
Diante de tantos guias, ferramentas, bibliotecas e frameworks, a

escolha da melhor prática para se implantar em uma organização
pode se tornar uma tarefa bastante árdua e demorada.
O PMBOK entra neste cenário como um guia – diferentemente do

Prince2, por exemplo, que é uma metodologia. O primeiro, um guia
sobre os passos a serem executados, enquanto que o segundo
define uma “receita de bolo” a ser seguida. Desta forma, nota-se que
o PMBOK é mais maleável e permite adaptações com mais facilidade,
tornando-o uma estratégia bastante versátil a qualquer organização
que execute suas tarefas baseadas em projetos.
Atente que a adoção de qualquer um dos balizadores (PMBOK ou

Prince2) depende da existência de um projeto a ser gerenciado. De
acordo com Newton (2011, p. 1 apud CARVALHO, 2012), “projeto é
basicamente um modo de trabalho, um modo de organizar pessoas
e um modo de gerenciar atividades. É um estilo de coordenação e
gestão de trabalho”.
Desta forma, para que haja a implementação do PMBOK, Prince2

ou outra metodologia/guia/framework, é uma premissa que exista,
de fato, um projeto a ser gerido. Se, porventura, a organização não
executar seus procedimentos com estrutura de projetos, talvez
a adoção de uma ferramenta complementar como essas citadas
torne-se algo inviável, simplesmente por alguns conceitos não se
encaixarem da devida forma dentro de um escopo maior.
Uma definição que empiricamente é utilizada para projetos é

um esforço temporário para se executar determinada tarefa
que tenha um começo, meio e fim. Assim, mesmo que ocorra
um ciclo de atividades, espera-se que, em um projeto, esse ciclo
19
seja acompanhado de incrementos, ou seja, o projeto inicia, se
desenvolve, finaliza e então recomeça com novos incrementos,
refazendo o ciclo de forma infinita.
CARVALHO, F. C. A. de. Gestão de projetos. São Paulo: Pearson

Education do Brasil, 2012.
TEORIA EM PRÁTICA
Você compõe a governança de TI da organização ABC S/A e,

já tendo colaborado na implantação da filosofia de gestão
de riscos com sucesso, toda a equipe precisa introduzir a
família ISO 31.000 neste processo. Você sabe que existem
alguns passos a serem dados, sendo o primeiro deles o
estabelecimento do contexto da organização, compreendido
basicamente pela definição do cenário no qual a gestão
de riscos atuará. A governança de TI deverá estabelecer os
procedimentos a serem adotados para estabelecer um contexto
que represente, de fato, a organização, ou seja, será necessário
que sejam estabelecidos quais os departamentos desta
organização (categorizando-os por níveis de criticidade), quais
são os responsáveis destes departamentos e o organograma
funcional de cada um; será necessário, ainda, apontar o
segmento em que cada departamento atua na composição do
todo, bem como a relação que os departamentos têm entre si;
adicionalmente, será necessário expor os níveis de informação
– e suas respectivas criticidades – que circulam em cada
departamento, de forma a gerar uma categorização. Uma dica
20
seria esboçar esta estrutura de forma individual (departamento
a departamento) e depois uni-las para compor um quadro
completo. Como você, enquanto membro da governança de TI,
realizaria esta tarefa?

LEITURA FUNDAMENTAL
Indicação 1
Como foi explanado anteriormente, algumas organizações

podem lidar com as atividades em forma de projetos e, neste
viés, detectar os riscos inerentes a cada etapa dos processos.
No livro Gestão de projetos, o autor aponta, a partir da página
18, a forma de comunicação com o público-alvo do projeto. Esta
identificação é interessante para que você compreenda a forma
como lidar com os stakeholders (indivíduo ou organização que
seja impactado pelas ações de uma determinada organização,
como um acionista, por exemplo) de um projeto, bem como
estabelecer os critérios de riscos (que podem ser diferentes, na
sua visão, quando comparados à visão do público-alvo). Este
livro pode ser encontrado na biblioteca Kroton. Os detalhes da
obra estão na referência abaixo.
CARVALHO, F. C. A. de. Gestão de projetos. São Paulo: Pearson

Education do Brasil, 2012.
21
Indicação 2
O livro Implantando a governança de TI aborda, de maneira

bastante clara e didática, os processos necessários para a
obtenção de sucesso na governança de TI, desde os primeiros
passos de implantação até sua manutenibilidade. A partir da
página 501, o autor adentra nas normas ISO 31.000, apontando
suas definições e expondo uma estrutura complementar ao
quadro de processos de gerenciamento de riscos que vimos
na “Leitura digital”. Esta é uma leitura que irá dar a você uma
base muito mais sólida a respeito das métricas estabelecidas
pela família ISO 31.000 e, com certeza, irá agregar-lhe um novo
patamar de conhecimentos. O livro está disponível na biblioteca
Kroton e pode ser localizado por meio da referência a seguir:
FERNANDES, A. A. Implantando a governança de TI: da

estratégia à gestão dos processos e serviços. 4. ed. Rio de
QUIZ

22
1. Considere que você, membro da governança de TI da ABC
S/A, precisa implantar a filosofia de gestão de riscos em
TI dentro da organização utilizando a família de normas
ISO 31.000. Um dos primeiros passos que você dará será
quanto:
a. A definir os riscos que podem afetar a organização.

b. À definição do contexto da organização.
c. A preparar um plano para diminuição dos riscos, já que é
impossível removê-los.
d. À elaboração de um mapa de riscos, expondo as
potenciais ameaças à fluidez dos processos.
e. Ao estabelecimento de critérios para se transformar um
risco em um projeto a ser sanado.
2. Quanto à identificação de riscos em TI, baseado na família

de normas ISO 31.000, é possível afirmar que:
a. São incrementais, ou seja, seguem uma execução cíclica,

podendo ocorrer em diferentes etapas da implantação da
gestão de riscos.
b. Ocorre paralelamente ao estabelecimento do contexto
organizacional no qual será aplicada a gestão de riscos.
c. Deve contemplar todos os riscos possíveis, pois se algum
risco for deixado de fora, ele não será tratado nos passos
seguintes.
d. Pode não ocorrer, para riscos cuja oportunidade seja
positiva, por exemplo, uma situação de aumento
exponencial de receita à organização.
e. É uma etapa obrigatória e ocorre após a criação de um
diagrama representativo da análise SWOT.
23
GABARITO
Questão 1 - Resposta B
Resolução: Considerando como base a família de normas
ISO 31.000, o primeiro passo é estabelecer o contexto da
organização para que seja possível conhecer o ambiente
no qual os riscos estarão atuando e, só então, seja
possível identificá-los, mensurá-los e iniciar o processo de
tratamento.
Questão 2 - Resposta C
Resolução: Conforme demonstra a família de normas
ISO 31.000, a identificação dos riscos deve ocorrer de
forma integral após o estabelecimento do contexto da
organização e nenhum risco pode ser deixado de fora,
caso contrário, ele não poderá receber um tratamento nos
passos seguintes do processo de gestão de riscos.
24
TEMA 3
INÍCIO
______________________________________________________________
TEMA 1
TEMA 2
TEMA 3
TEMA 4
DIRETO AO PONTO
A organização de um esboço dos tipos de ameaças que ocasionam

riscos à organização é um processo criterioso e que requer atenção,
tempo, minúcia e tato para que este esboço possa representar, de
fato, o cenário fidedigno do quadro de ameaça. Lembre-se: ameaça é
tudo o que pode causar algum tipo de dano/prejuízo ao ativo de uma
organização.
Não há, propriamente, um modelo estabelecido e mandatório desta

estrutura, mas podemos presumir que alguns campos específicos
podem trazer maior nível de detalhamento das ameaças e contribuir
no processo de tratativa. Abaixo segue uma relação de tópicos que
podem ser considerados para guiar o processo de tratativa (em
forma de proposta):
• Ameaça: você deve apontar o nome da ameaça de

forma clara, de forma que ela possa ser claramente
identificada quando lida, observada ou prevista por alguém,
independentemente do cargo ou da posição dentro da
organização. É recomendado o uso de poucas palavras para
facilitar ainda mais o processo de reconhecimento.
• Tipo: propõe-se que a ameaça seja categorizada dentro

dos três tipos de agentes: intencional, involuntária (ou não
intencional) e natural. Esta designação contribuirá para
determinar as opções posteriores, inclusive, de tratativa.
• Origem: uma vez determinado o tipo da ameaça, de acordo

com a categoria do agente, é interessante apontar sua
origem (interna, externa ou ambos). Esta determinação
contribuirá tanto no processo de tratativa quanto na revisão
das métricas de aferição dos riscos – afinal, o processo de
gestão de riscos é algo contínuo e incremental.
26
• Impacto: toda ameaça, quando concretizada, gera impacto
(que nem sempre é negativo). Desta forma, apontar o
nível de impacto contribuirá para apontar o seu nível de
criticidade. É interessante observar que o impacto não deve
ser visto apenas no aspecto financeiro – o que é comum
de acontecer –, mas também nos impactos produtivos e de
imagem da organização.
• Modo de solução: algo bastante interessante de compor

o quadro de ameaças é a exposição clara das maneiras
como aquela ameaça poderia ser sanada. Esta etapa,
claro, pertence ao tratamento ou à aceitação do risco, mas
é importante que a ameaça tenha seu próprio leque de
tratativas dentro do contexto geral.
• Plano de contingência: o plano de contingência também é

uma etapa a ser abordada no tratamento ou na aceitação
do risco, mas assim como o modo de solução, descrito
anteriormente, é importante que o quadro de ameaças já
conte com uma diretiva apontando o caminho a ser seguido.
• Prazo de conclusão: a ameaça, quando identificada,

precisa ter um prazo para ter seus efeitos colocados em
modo de inércia – se possível. Esta abordagem será tratada
em detalhes no plano de contingência, mas pode receber
uma prévia nesta etapa também. É importante que se
compreenda que o prazo deverá ser mais célere ou mais
brando, de acordo com o nível de criticidade da ameaça.
• Nível de criticidade: como citado anteriormente, o nível

de criticidade irá determinar vários aspectos referentes à
tratativa da ameaça e um possível plano de contingência.
Não confunda: o plano de contingência não pertence à seção
de ameaças, mas pode influenciar esta área.
Observe a seguir um modelo utilizando os tópicos sugeridos acima:
27
Quadro 1 – Proposta de elicitação de ameaças,
com categorização
Nível
Modo de Plano de Prazo de
Ameaça Tipo Origem Impacto de
solução contingência conclusão criticidade
Invasão Intencional Externa Roubo de Desconexão Manter 3 horas Alto

informações; dos dispositivos
quebra de dispositivos desconectados
integridade da rede até que a
externa vulnerabilidade
seja sanada
Trafegar dados
essenciais apenas
pela sub-rede de
contingência
Malwares Não Externa/ Danificação Restauração A restauração 30 minutos Alto

intencional interna de dados de backup com, de uma cópia para
no máximo, básica dos dados colocar
40 minutos de ocorrerá em 10% o backup
geração das máquinas básico em
afetadas para atividade
que os serviços
4 horas
continuem ativos
para
enquanto as
restaurar o
demais máquinas
backup nas
recebem o backup
máquinas
completo
Queda de Não Externa Compro Os nobreaks O sistema de Ativação Baixo

energia intencional metimento da (com gerador interno dos
integridade sustentação de energia deverá nobreaks:
de 5 horas) ser ativado assim imediata
Suspensão
deverão entrar que a energia da
temporária Ativação
em operação rede pública cair
das dos
imediatamente
operações geradores
após a queda de
internos:
Perda de energia
até 10
comunicação
minutos
síncrona
após a
com filiais.
queda de
Perda de energia
trabalhos em
execução
(não salvos)
28
O ideal é que você consiga adaptar o quadro de ameaças à forma
e necessidade da organização na qual você atua/atuará, pois seu
aspecto não é fixo, tampouco fechado.
caminhos e ideias para a proteção de dados. Rio de Janeiro: Brasport,
2015.
PARA SABER MAIS
Em gestão de riscos, costumamos apontar como ativo o elemento

diretamente afetado pela ocorrência da ameaça e esses
ativos podem ser caracterizados como concretos ou abstratos
(quantitativos e qualitativos, respectivamente).
Os ativos concretos são mais fáceis de serem identificados, pois

são tangíveis e mais facilmente mensuráveis. Já os abstratos,
geralmente, possuem alto grau de subjetividade que podem ser
vistos de maneiras diferentes por indivíduos distintos dentro da
mesma organização.
Um dos ativos concretos que muitas vezes são deixados de lado

em uma análise de riscos são os recursos humanos, ou seja, o
próprio corpo de colaboradores da organização. Por serem ativos
alheios à organização, ou seja, não estão diretamente atrelados
a ela no sentido de posse, eles acabam não recebendo a tratativa
mais adequada dentro do contexto de gestão de riscos.
29
Veremos, a seguir, como lidar com o ativo de recursos humanos
dentro de uma estrutura que busca identificar os ativos para
compor a gestão de riscos de uma organização:
• Conhecer as características desses ativos: o primeiro

e talvez mais intuitivo e trivial passo está ligado ao
conhecimento do ativo em si, ou seja, seus hábitos,
costumes, ideologias e perfil ético. Essas características soam
bastante como um processo de recrutamento de pessoal,
mas é exatamente por meio dessa elicitação de diretrizes
que o perfil do ativo de recursos humanos será desenhado,
possibilitando reconhecer as formas como as ameaças irão
afetá-lo.
• Determinar o conhecimento técnico: dois recursos

humanos, atuantes em uma mesma seção e no mesmo
grupo de tarefas, podem sofrer impactos diferentes quando
da concretização de uma ameaça, de acordo com o nível
técnico de conhecimento que este ativo detenha.
Um bom exemplo seria o comportamento de dois

colaboradores mediante a chegada de um e-mail com link
suspeito. Aquele colaborador com menor conhecimento
técnico possivelmente clicará sobre o link suspeito,
colocando seu equipamento em risco, enquanto que aquele
colaborador com maior nível técnico reconhecerá a potencial
ameaça oculta e descartará o e-mail ou o encaminhará à TI
para análise e tratativas necessárias.
• Prover treinamento preventivo: uma das formas mais

eficientes de blindar o ativo recursos humanos é por meio
de treinamentos que aumentem seu nível técnico de
conhecimento dentro das áreas nas quais ele irá atuar. Estes
treinamentos visam dar maior aporte aos colaboradores, o
30
que impactará diretamente a forma como as ameaças irão
afetá-los.
BARRETO, J. S. et al. Fundamentos de segurança da informação.
Porto Alegre: SAGAH, 2018.
TEORIA EM PRÁTICA
A empresa ABC S/A está implantando a gestão de riscos dentro da

organização. A governança de TI já está ciente da importância desta
gestão e está se baseando nas normas técnicas (ISO) disponíveis,
além de seguir as designações passadas pelo Cobit e a biblioteca ITIL.
Todo o contexto já foi estabelecido e a governança está na etapa

de avaliação e análise dos riscos, especificamente na subetapa de
elencar as ameaças, organizando-as em um quadro de ameaças.
Considere-se como um gestor de TI desta organização. Elenque
as ameaças, os tipos, a origem, impactos e outros critérios que
poderiam afetar a organização. Lembre-se de que você pode ser
mais criterioso e criar quantas colunas desejar neste quadro.
OBS.: antes de realizar este desafio, determine o ramo de atividade

da ABC S/A, de forma que o cenário exposto possa fazer mais
sentido.

31
LEITURA FUNDAMENTAL
Indicação 1
Esta revisão bibliográfica proposta a seguir aborda, de maneira

bastante eficiente, os métodos de gestão de riscos em projetos,
utilizando como referência várias fontes de peso no segmento
(inclusive da área de engenharia). Este material pode ser
encontrado na internet por meio das referências abaixo:
LOURO, A. C.; PUGIRÁ, C. G. Estudo bibliográfico em gestão

de riscos visando identificar as ferramentas, métodos e
relacionamentos mais referenciados. Iberoamerican Journal of
Project Management, Buenos Aires, v. 6, n. 1, p. 78-93, 2015.
Indicação 2
Nesta monografia de pós-graduação, Freitas (2009) comenta sobre

a gestão de riscos aplicada a sistemas de informação. Criando
uma linha do tempo bem estruturada, o autor explica o valor
da informação, prazos para guarda de documentos baseado no
Novo Código Civil, além de tratar a respeito da classificação dos
níveis de segurança. O conteúdo pode ser localizado na referência
abaixo.
FREITAS, E. A. M. Gestão de riscos aplicada a sistemas de

informação: segurança estratégica da informação. 2009. 71 f.
Monografia (Pós-graduação em Gestão Estratégica e Qualidade)
– Universidade Cândido Mendes, Brasília, 2009. Disponível em:
http://www.academia.edu/download/34979046/gestao_riscos_
freitas.pdf. Acesso em: 19 jun. 2020.
32
QUIZ


1. Prover a segurança da informação é um dos propósitos da

gestão de risco. De acordo com Freitas (2009), a ameaça que
infesta uma rede sobrecarregando recursos, é chamada de:
a. Vírus.
b. Worm.
c. Trojan.
d. Spyware.
e. Keylogger.
2. Uma das formas de manter os critérios de segurança da

informação é por meio da comprovação de integridade. Freitas
(2009) aponta-nos dois tipos de criptografia que auxiliam neste
processo:
a. Simétrica e assimétrica.
b. Ação e verificação.
c. Hash e coding.
d. Simétrica e hash.
33
e. Coding e hash.
GABARITO
Questão 1 - Resposta A
Resolução: O objetivo do worm (verme) é sobrecarregar
recursos de uma rede por meio da autorreplicação. Ele pode
permitir acesso remoto a recursos do computador.
Resolução: Por meio da criptografia simétrica/assimétrica, a
integridade de uma mensagem/dado/informação pode ser
protegida e assegurada.
34
TEMA 4
Tratamento, aceitação e
monitoramento dos riscos
INÍCIO
______________________________________________________________
TEMA 1
TEMA 2
TEMA 3
TEMA 4
DIRETO AO PONTO
O processo de tratamento de riscos pode, via de regra, ser

minimizado por meio de sua modificação, que consiste
em alterar o panorama do risco e, por consequência, seus
impactos.
A eliminação das atividades que geram o risco é uma das

maneiras de se atingir tal objetivo. Afinal, se um risco existe,
pressupõe-se que ele foi originado a partir de um fator que o
provocou; se este fator vier a ser eliminado, o risco tende a ser
suprimido também.
Neste caso, espera-se do gestor de TI ou do time de governança

que façam uma análise quanto aos impactos de se eliminar
o fator gerador do risco. Se os impactos forem aceitáveis em
detrimento ao combate de um risco de alto grau, talvez seja
uma boa alternativa optar por eliminar a atividade-origem ou,
ainda, a fonte de risco (que pode ser um ativo, por exemplo).
Mas, em alguns casos, o risco é propositalmente encarado

como um mal menor frente a uma oportunidade iminente, ou
seja, o impacto do risco é baixo quando comparado com uma
oportunidade de se alcançar um benefício importante. É como
arriscar na bolsa de valores com base em especulação de uma
fonte confiável.
É importante ressaltar que, nesta opção, existem duas

vertentes: uma quanto à aceitação de um novo risco e outra
quanto à aceitação de elevação de um risco controlado e
já sob processo de tratamento. Esta segunda opção é a de
julgamento mais simples, considerando que o risco em questão
36
já é conhecido e se tem dele todo um histórico, estatísticas e
probabilidades de ocorrência e impacto.
E, ainda na mesma linha de raciocínio quanto aos riscos

conhecidos, salienta-se que a própria forma de analisá-los pode
ser ajustada de forma a prover um cenário diverso do inicial.
Este cenário paralelo gerará, por consequência, uma nova
probabilidade de ocorrência. Nesta vertente, é possível também
modificar as consequências advindas do risco, podendo torná-lo
mais aceitável.
Algo que é bastante comum atualmente é atribuir a um

terceiro a responsabilidade de lidar com os riscos por meio de
seguradoras, para as quais transfere-se o prejuízo de lidar com
os riscos ocorridos.
Por fim, é trivial considerar a aceitação de um determinado

risco, caso os impactos dele em detrimento ao custo de
tratamento sejam ínfimos. Esta aceitação requer, claro, um
aval da governança de TI, que irá, com base em uma análise
totalmente estruturada, apontar a possibilidade de aceitação do
risco.
Todos esses cenários expostos devem ser levados em

consideração com um detalhe adicional: em nenhum deles
o objetivo principal foi eliminar o risco. Afinal, um risco, em
uma visão ampla, é algo que não se pode eliminar, apenas
minimizar; além disso, um risco também é necessário para se
mensurar o grau de importância de um determinado ativo ou
insumo da organização.
E, independentemente da forma escolhida para se modificar o

risco, o gestor de TI ou time de governança de TI devem estar
bem cientes do que uma modificação no risco A pode ocasionar
37
na geração de um risco B, ou que uma alteração no risco B
pode agravar o risco C.
Cabe, ainda, uma ressalva quanto à forma como a organização

irá encarar a ocorrência fatídica do risco. Espera-se que
exista um plano de continuidade de negócios (BCP – business
continuity planning) que assegure que os trabalhos da
organização retornem às atividades no mesmo ritmo de antes;
concomitantemente, espera-se, também, um DRP (disaster
recovery planning) – plano de recuperação de desastres –, que
foca em colocar as atividades novamente em operação após a
ocorrência de um desastre.
Figura 1 – Sequência de ocorrências mediante

concretização de uma ameaça
Fonte: elaborada pelo autor.
É, de fato, uma cadeia emaranhada de ligações que precisa

ser analisada com minúcia e por pessoas com conhecimento
técnico em várias áreas – justificando ser um papel atribuído
prioritariamente à governança de TI.
Brasport, 2015.
38
HINTZBERGEN, J. et al. Fundamentos de segurança da
informação: com base na ISO 27.001 e na ISO 27.002. Rio de
PARA SABER MAIS
Em um cenário de TI, a proteção de acesso aos dados é um dos

grandes objetivos dos sistemas de informação. Existem estruturas
computacionais e técnicas de segurança que auxiliam neste
processo de prevenção de acesso indevido, sendo uma delas a
DMZ – demilitarized zone. Esta rede de perímetro estabelece uma
sub-rede que pode ser física ou lógica, criando uma espécie de
separação entre a rede interna e a rede de acesso externo.
A rede DMZ encontra-se na base da estrutura de uma rede

interna, responsável por acessar sites, e-mails, sistemas de
armazenamento, etc. Esta segunda não tem acesso direto à
primeira sem antes passar por um firewall e vice-versa; ambas
as redes só se enxergam por meio da proteção estabelecida do
firewall, que também é responsável por conectar ambas as redes à
internet. Esta estrutura é representada pela Figura 2:
39
Figura 2 – Estrutura de uma DMZ
Fonte: elaborada pelo autor.
Brasport, 2015.
40
TEORIA EM PRÁTICA
A empresa ABC S/A, que está implantando a gestão de riscos
em sua estrutura, ingressou na fase de tratamento e aceitação
dos riscos. Você, enquanto gestor de TI e membro do time de
governança de TI, tem como responsabilidade verificar as formas
de modificar os riscos que podem afetar a organização.
Com base em seus conhecimentos sobre segurança, controle de

acesso, normas ISO, Cobit, ITIL e PMBOK, você sabe que deverá
ter, no escopo da gestão de riscos, uma área específica para tratar
sobre BCP e DRP.
Assim, elabore um relatório que contenha métricas que devem ser

adotadas para um plano de continuidade dos negócios e um plano
de recuperação de desastres em caso de perda de dados por pane
geral no datacenter devido a desastre natural.

LEITURA FUNDAMENTAL
Indicação 1
No livro Criptografia e segurança de redes, de Willian Stalings,

você poderá ver maiores detalhes sobre sistemas de controle
de acesso por meio de sistemas de detecção de intrusos (IDS)
e sistema de prevenção de intrusão (IPS). Entre as páginas 400
41
e 410, o tema é abordado de maneira mais enfática, embora
haja menção em outras seções do livro. É uma leitura que irá
contribuir para que você compreenda, com maior clareza, duas
formas adicionais de prover um controle de acesso aos dados
em uma rede.
Este material está disponível em nossa biblioteca virtual e a
referência está logo a seguir.
STALLINGS, W. Criptografia e segurança de redes. 6. ed. São
Paulo: Pearson Education do Brasil, 2015.
Indicação 2
O livro Sistemas de informação gerenciais, de Laudon e Laudon,

provê uma abordagem ampla sobre SI e dá uma visão completa
quanto ao assunto. Uma das abordagens é quanto aos erros,
falhas e defeitos em sistemas. É uma leitura interessante para
que você seja capaz de diferenciar erros de falhas e consiga
compreender o tipo de tratativa para cada situação.
O livro encontra-se disponível para leitura em nossa biblioteca
virtual e pode ser localizado com a referência a seguir.
LAUDON, K. Sistemas de informação gerenciais. São Paulo:
Pearson Education do Brasil, 2007
QUIZ

Mais, Teoria em Prática e Leitura Fundamental, presentes neste
Aprendizagem em Foco.
42
elaboradas a partir de todos os itens do Aprendizagem em Foco
e dos slides usados para a gravação das videoaulas, além de
questões de interpretação com embasamento no cabeçalho
da questão.
1. O encerramento das atividades que originam um risco é:
a. Uma forma de modificar os riscos.

b. Uma maneira de tratar as ameaças.
c. Um recurso para minimizar os impactos.
d. Uma alternativa para detectar ameaças.
e. Um meio de mensurar os ativos.
2. A alteração da probabilidade de ocorrência de um risco

pode ser feita:
a. Por meio da geração de dados fictícios.

b. Por meio do cálculo da média de ocorrências nocivas.
c. Utilizando informações de eventos anteriores.
d. A partir de uma estimativa futura.
e. Via manipulação das variáveis envolvidas.
GABARITO
Resolução: A modificação dos riscos pode ocorrer de
formas diversas. Uma delas é por meio do encerramento da
atividade que dá origem ao risco em questão.
43
Questão 2 - Resposta E
Resolução: A manipulação das variáveis envolvidas em um
cálculo probabilístico alterará o valor final. Desta forma, a
probabilidade pode ser modificada ao serem considerados
outros fatores que haviam sido deixados de fora nos
cálculos iniciais.
44

Aprendizagem em Foco

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Aprendizagem em Foco

Uploaded by

Copyright:

Available Formats

WBA0453_v1.

Olá, estudante! Boas-vindas à disciplina de Gestão de riscos em TI.

Você conseguirá perceber que os riscos nem sempre devem ser

Paralelamente, estudaremos um pouco a respeito da importância

Embora pareçam muitos assuntos novos e complexos, não se

Será uma caminhada um tanto longa, mas não se preocupe,

Olá, aluno (a)! A Aprendizagem em Foco visa destacar, de maneira

Introdução à gestão de riscos

A concepção da gestão de riscos em TI tem como pré-requisito

Primeiramente, você deve compreender que a informação é a união

Veja o exemplo de dados brutos a seguir:

Quadro 1 – Exemplo de dados brutos

Fonte: desenvolvido pelo autor.

É fácil perceber que, aparentemente, não existe um sentido

Quadro 2 – Exemplo de dados sendo lidos como informação

Fonte: desenvolvido pelo autor.

Observe que tornar um dado em informação consiste em

Aqui trabalhamos com dados fictícios e de pouca relevância, mas,

Desta forma, a segurança da informação (SI) deve ser tratada

Toda esta estrutura é organizada com um objetivo bem definido:

Assim, a gestão de risco entra em evidência dentro deste cenário.

Compreenda, então, que os riscos devem existir, mas,

Quadro 3 – A gestão de riscos dentro de uma organização

Fonte: elaborado pelo autor.

Na “Leitura digital”, você poderá acompanhar este tema em

CABRAL, C.; CAPRINO, W. Trilhas em segurança da informação:

PARA SABER MAIS

Manter a informação segura não está apenas relacionado à

Em uma organização, é comum o tráfego intenso de dados entre

Para evitar o vazamento de informações ou mesmo proteger os

Existem várias formas de se trabalhar com criptografia, seja na

Em uma rede interna, geralmente, ocorre a preocupação mais

Toda esta coletânea de procedimentos visa proteger os dados/

BARRETO, J. S. et al. Fundamentos de segurança da

Em qualquer ambiente, as mudanças causam certo desconforto

Para conhecer a resolução comentada proposta pelo

Ainda no capítulo I deste livro, o autor aborda de forma bem

MACHADO, F. N. R. Segurança da informação: princípios e controle

Neste artigo científico, os autores abordam os padrões de

GIAMPAOLI, R. Z.; TESTA, M. G.; LUCIANO, E. M. Contribuições do

Prezado aluno, as questões do Quiz têm como propósito a

Para as avaliações virtuais e presenciais, as questões serão

1. No tráfego de informações dentro de uma mesma rede

a. Ser categorizado como quebra de disponibilidade.

2. Quanto aos riscos em uma organização, é correto afirmar

a. Devem ser eliminados pelo plano de gestão de riscos.

Introdução à gestão de riscos

Considerando que os riscos estão presentes em qualquer

Para que o processo de tratamento dos riscos ocorra de maneira

Algumas dessas métricas que serão abordadas nesta leitura serão:

Para iniciarmos, é importante ressaltar que o que define o leque

Adicionalmente, após o número da norma, coloca-se o ano de

Para Hintzbergen (2018), a família ISO 27.000 fornece um código de

Já a família de normas ISO 31.000 orienta-nos quanto às melhores

Em geral, para que se obtenham bons resultados no gerenciamento

Desta maneira, a família ISO 31.000 estabelece alguns passos a

O primeiro desses passos é o estabelecimento de um contexto, por

Para se estabelecer este contexto, é necessário conhecer bem a

Figura 1 – Análise SWOT

Alguns guias que geralmente são aderidos de forma paralela:

• PMBOK (para gerenciamento de projetos), que tem uma

• Prince 2, também para o mesmo segmento de projetos e

• Biblioteca ITIL, para gerenciamento de serviços, que