3 Gestão da Segurança da Informação - Etapas da gestão do risco

Prévia do material em texto

Gestão da Segurança 
da Informação: Etapas 
da gestão do risco
Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02
 
SST
QUEIROZ, Z. C. L. S.
Gestão da Segurança da Informação: Etapas da gestão 
do risco / Zandra Cristina Lima Silva Queiroz 
Ano: 2020
nº de p.: 12 páginas
Copyright © 2020. Delinea Tecnologia Educacional. Todos os direitos reservados.
Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02
3
Gestão da Segurança da 
Informação: Etapas da 
gestão do risco
Apresentação
Ao longo desta unidade, entenderemos melhor como integrar a gestão da segurança 
da informação com a gestão dos riscos. 
Essa é uma tarefa complexa, mas é importante que toda a organização tenha 
conhecimento de seus riscos e de como eles podem ser mitigados ou administrados. 
Gestão da segurança da informação 
versus gestão do risco
A segurança da informação abrange tanto os aspectos tecnológicos (mundo virtual) 
quanto os aspectos físicos (mundo real). Nesse contexto, a gestão da segurança da 
informação também considera conceitos de administração para garantir o melhor 
controle das informações, dentro dos princípios de segurança (confidencialidade, 
integridade e disponibilidade) e minimizar os riscos. A gestão de riscos é elemento-
chave para que a estrutura de segurança possa ser construída. 
O que é gestão do risco? É o conjunto de processos que permite 
às organizações identificarem e implementarem as medidas de 
proteção necessárias para diminuir os riscos a que estão sujeitos 
os seus ativos de informação e equilibrá-los com os custos 
operacionais e financeiros envolvidos (BEAL, 2008, p. 11).
Curiosidade
No contexto da segurança da informação, os riscos referem-se a todos os eventos 
que abrem brechas que ameaçam ou prejudicam as informações da organização. A 
família ISO 27000 constitui um padrão de certificação em Segurança da Informação 
reconhecido pela ISO e, dentre as normas descritas, a norma 27001 trata dos 
requisitos necessários para a construção de um sistema de gestão da segurança da 
Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02
4
informação nas organizações, com atenção especial para avaliação e tratamento de 
riscos de segurança da informação. 
A gestão de risco utiliza um conceito amplamente aplicado na gestão de qualidade 
para o tratamento e análise de risco, denominado ciclo PDCA (Plan, Do, Check, Act). 
Esse método oferece uma visão de todas as etapas importantes para a gestão do 
risco e orienta para a sua correta aplicação e execução. 
Ciclo PDCA
Fonte: Plataforma Deduca (2020).
O mais interessante é que essa ferramenta propõe que a análise seja cíclica, ou 
seja, o processo de aprendizagem e melhoria é sempre revisto. As quatro etapas, 
segundo Beal (2008, p. 37), estão divididas em:
Plan
Planejar: estabelecer objetivos, metas e meios de alcançá-los.
Do
Executar: implementar os objetivos e metas.
Check
Verificar, avaliar (comparação do executado com o planejado).
Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02
5
Act
Agir corretivamente (caso sejam detectados desvios ou falhas a serem 
corrigidas).
 
Adicionalmente, a norma ISO 27005 (que compõe a família ISO 27000) detalha as 
atividades de análise/avaliação dos riscos baseando-se no ciclo PDCA conforme 
figura a seguir.
Gestão do risco
Fonte: ISO 27005 (2011).
Vamos conhecer, detalhadamente, cada uma dessas etapas.
Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02
6
Etapas 1 a 4
Etapa 1 – Definição de contexto
Fase de pré-análise, momento em que são definidos o escopo da análise do 
risco em concordância com os objetivos da organização, além da definição dos 
critérios (medidas-padrão que deverão ser observadas na gestão de segurança da 
informação) que deverão ser preestabelecidos para abordagem, avaliação, impacto 
e aceitação dos riscos levantados. 
O quadro a seguir demonstra um exemplo de critérios estabelecidos de nível de risco.
Nível de risco
Nível de risco Valor Descrição
Desprezível 1 Sistema de gestão fora do ar por 5 minutos.
Baixo 2 Sistema de gestão fora do ar por 30 minutos.
Médio 3 Sistema de gestão fora do ar por 1 hora.
Alto 4 Sistema de gestão fora do ar por 24 horas.
 
Fonte: Elaborado pelo autor (2020).
Com base nos dados desse quadro, a empresa pode estabelecer o nível de impacto 
nas operações da empresa quando o sistema fica fora do ar.
Etapa 2 – Análise e avaliação dos riscos
Nesta fase, inicia-se a identificação dos riscos e seus elementos: alvos, agentes, 
ameaças, vulnerabilidades, impactos. Essa etapa é composta por três atividades: 
identificação dos riscos, estimativa do risco e avaliação do risco. Essas atividades 
estão descritas na Seção 8 da ISO 27005.
Etapa 3 – Análise de riscos
Nesta etapa, são mapeadas as ameaças a que se sujeitam informação e ativos de 
informação. Beal (2008, p. 18) as classifica como:
Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02
7
Ambientais
Naturais, como fogo, chuva, raio, terremoto, ou decorrentes de condições do 
ambiente, como interferência eletrônica, contaminação por produtos químicos, 
falhas no suprimento de energia elétrica ou no sistema de climatização.
Técnicas 
Configuração incorreta de componentes de TI, falhas de hardware e software.
Lógicas 
Códigos maliciosos, invasão de sistema. 
Humanas 
Erro de operação, fraude, sabotagem.
 
Mediante o levantamento das ameaças, obtêm-se as vulnerabilidades a que elas 
estão expostas. 
Em seguida, são dimensionados os impactos de tais ameaças quanto aos objetivos 
(princípios) da segurança da informação, permitindo, dessa forma, mapear e 
determinar ações para minimizar os riscos. Beal (2008, p.20) propõe a criação de 
uma lista para determinação das ameaças e dos impactos para os objetivos de 
confidencialidade, integridade e disponibilidade, demonstrada no quadro a seguir.
Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02
8
Checklist de ameaças versus impactos
Ameaça Alvo Impacto 
confidencialidade
Impacto 
integridade
Impacto dis-
ponibilidade
Desastres 
Naturais
Prédios, 
torres de 
comunicação
Equipamentos descartados 
podem conter informações 
confidenciais.
Perda ou 
Indisponibilidade 
de dados.
Falhas 
Ambientais
Hardware Interrupção de 
serviços.
Furto Equipamentos 
valiosos
Equipamentos podem 
conter informações 
confidenciais.
Interrupção de 
serviços e perda 
de dados.
Vírus Equipamentos 
conectados 
em rede
Dados e 
informações 
corrompidas.
Interrupção de 
serviços e perda 
de dados.
Hacking Equipamentos 
conectados 
em rede
Quebra de sigilo Dados e 
informações 
corrompidas.
Interrupção de 
serviços e perda 
de dados.
Código 
Escondido
Todos os 
sistemas 
Vazamento de informações 
confidenciais.
Manipulação 
indevida 
de dados e 
informações.
Interrupção de 
serviços e perda 
de dados.
Falha de 
Hardware
Hardware Vazamento de informações 
confidenciais
Dados e 
informações 
corrompidas
Interrupção de 
serviços e perda 
de dados
Falha de 
Software
Software Vazamento de informações 
confidenciais
Dados e 
informações 
corrompidas
Interrupção de 
serviços e perda 
se dados
Erro 
Humano
Todos os 
sistemas 
Vazamento de 
informações confidenciais: 
funcionários podem 
divulgar acidentalmente 
informações sigilosas.
Dados e 
informações 
corrompidas: 
inserir 
acidentalmente 
dados 
incorretos.
Interrupção 
de serviços e 
perda de dados: 
funcionários 
podem excluir 
informações 
acidentalmente.
 
Fonte: Beal (2008, p. 20)
Etapa 4 – Estimativa do risco
Nesta fase, é verificado o mapeamento realizado na Etapa 3, o qual permite à 
organização mensurar os impactos financeiros e operacionais de cada ameaça.
A análise de risco é determinante para estimar a probabilidade, grau de exposição 
e perda estimada de cada risco mapeado e mensurar o valor do risco, que podedepois ser comparado com uma referência/ critério exigido pela empresa.
Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02
9
Etapas 5 a 7
Etapa 5 – Avaliação do risco
A avaliação do risco envolve metodologias que podem ser quantitativas ou 
qualitativas. Métodos qualitativos são baseados em medidas por status ou score 
(ex.: impossível, provável, possível etc.). Os métodos quantitativos permitem uma 
mensuração em termos de valor e podem ou não se relacionarem aos custos.
O uso de métodos quantitativos é indicado para avaliar em termos de custos os 
impactos causados, porém o uso dessa técnica deve ser observado com atenção 
aos dados que serão avaliados e se existem medidas de controle consistentes para 
garantir a representação real dos custos dos riscos. 
Em contrapartida, Beal (2008) aponta que um dos métodos quantitativos mais 
utilizados é o cálculo da Expectativa de Perda Anual (ALE, do inglês Annual Loss 
Expectation). Esse método calcula o tempo de perda previsto com a ocorrência de 
um incidente e funciona da seguinte forma: adota-se o padrão de 12 meses para 
ocorrência de n incidentes para cada tipo de ameaça. Se para cada incidente n = 
perda média i:
ALE = n x i
Por meio desse cálculo, seria possível avaliar se é viável o investimento em 
segurança em função da redução do ALE. 
A perda esperada em um incidente de invasão por hackers pode 
ser de apenas U$ 10 mil, mas se a frequência de ocorrência for 
alta - por exemplo, três vezes por dia, ou 1.000 por ano, a ALE 
seria de U$ 10 milhões, suficiente para justificar, por exemplo, a 
implantação de um firewall de U$ 25 mil para proteger a rede.
Atenção
Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02
10
Já nos métodos qualitativos, geralmente são utilizados questionários e matriz 
de risco. As construções dessas estruturas são muito particulares e variam de 
acordo com cada organização. A seguir, no quadro, é demonstrado um exemplo de 
matriz de risco. A cor vermelha significa a necessidade de reduzir os riscos, já a cor 
amarela corresponde às medidas de atenção à segurança requerida, enquanto a 
branca diz respeito às medidas básicas de proteção.
Matriz de risco
GRAVIDADE 
DO IMPACTO
PROBABILIDADE DE OCORRÊNCIA DO INCIDENTE
F 
IMPOSSÍVEL
E 
IMPROVÁVEL
D 
REMOTA
C 
OCASIONAL
B 
PROVÁVEL
A 
FREQUENTE
I - CATÁSTROFE
II - ALTA
III - MÉDIA
IV - BAIXA
 
Fonte: Beal (2008, p. 23)
Etapa 6 – Tratamento do risco
Todos os dados levantados na etapa de avaliação e análise de risco servirão como 
subsídio para a correção e tratamento no caso de alguma ocorrência.
O tratamento do risco consiste na adoção de medidas para diminuir os riscos 
que foram avaliados no passo anterior. As medidas podem ser preventivas ou 
corretivas. As medidas preventivas baseiam-se em tratar a causa raiz do risco bem 
como treinamento e conscientização para adoção dos procedimentos de segurança 
exigidos pela organização. As medidas corretivas são tomadas, geralmente, quando 
já ocorreu algum fato/ataque que necessita de atitudes pontuais. 
Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02
11
Tratamento de risco 
Fonte: Elaborada pelo autor (2020)
Etapa 7 - Aceitação do risco residual
Risco residual é definido como “o risco calculado”, ou seja, são aqueles riscos 
conhecidos que, de acordo com a organização, podem ser apenas monitorados e 
não representam nenhum impacto nos negócios.
Fechamento
Estudamos que a gestão do risco é uma etapa importante para a gestão da 
segurança da informação, pois sinaliza todos os pontos de vulnerabilidade no 
ambiente virtual e no mundo real. Trata-se de uma gestão cíclica e contínua.
Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02
12
Referências
ABNT – Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27005: 2011. São 
Paulo: ABNT, 2011.
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001:2013. 
São Paulo: ABNT, 2013.
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27004:2017. 
São Paulo: ABNT, 2017.
BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para a 
proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2008.
Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02