Aprendizagem em Foco

Prévia do material em texto

WBA0453_v1.0
GESTÃO DE RISCOS EM TI 
APRENDIZAGEM EM FOCO
2
APRESENTAÇÃO DA DISCIPLINA
Autoria: Márcio dos Santos
Leitura crítica: Cecilia Sosa Arias Peixoto
Olá, estudante! Boas-vindas à disciplina de Gestão de riscos em TI. 
Nesta disciplina, você conhecerá um pouco sobre riscos: oque são, 
como identificá-los, como amenizá-los. Você ainda conhecerá a 
biblioteca ITIL, utilizada no gerenciamento de serviços de TI, o guia 
Cobit, utilizado como base para governança de TI, o guia PMBOK, 
focado em gerenciamento de projetos, normas ISO voltadas à 
segurança da informação.
Você conseguirá perceber que os riscos nem sempre devem ser 
evitados dentro de uma organização e, via de regra, jamais devem 
ser eliminados! Este tema está totalmente ligado com as ações 
tomadas pela governança de TI, composta por colaboradores de 
todos os níveis hierárquico de uma organização.
Paralelamente, estudaremos um pouco a respeito da importância 
da informação dentro do mundo cotidiano e entenderemos qual 
a matéria-prima da informação e qual seu objetivo dentro de um 
contexto.
Embora pareçam muitos assuntos novos e complexos, não se 
preocupe, pois iremos evoluir pouco a pouco na disciplina e, 
paulatinamente, você conseguirá compreender toda a estrutura 
e o conceito que existe por trás do processo de gestão de riscos 
voltado à área de Tecnologia da Informação.
Será uma caminhada um tanto longa, mas não se preocupe, 
caminharemos juntos, passo a passo, para que, ao término da 
3
disciplina, você seja capaz de identificar os métodos, métricas e 
conceitos envolvidos no tema.
Vamos lá? 
INTRODUÇÃO
Olá, aluno (a)! A Aprendizagem em Foco visa destacar, de maneira 
direta e assertiva, os principais conceitos inerentes à temática 
abordada na disciplina. Além disso, também pretende provocar 
reflexões que estimulem a aplicação da teoria na prática 
profissional. Vem conosco!
TEMA 1
Introdução à gestão de riscos
______________________________________________________________
Autoria: Márcio dos Santos
Leitura crítica: Cecilia Sosa Arias Peixoto
5
DIRETO AO PONTO
A concepção da gestão de riscos em TI tem como pré-requisito 
compreender a importância da Tecnologia da Informação dentro de 
um cenário corporativo e os artefatos que regem esta ciência. Como 
a própria definição já aponta, o cerne do tema é a informação e como 
ela é tratada pelos dispositivos informáticos da organização.
Primeiramente, você deve compreender que a informação é a união 
de vários dados brutos que, isolados, não representam nenhum 
recurso de valor. Estes dados só passam a ter algum valor quando 
são unidos e contextualizados, representando uma informação, da 
qual seja possível abstrair conhecimento.
Veja o exemplo de dados brutos a seguir:
Quadro 1 – Exemplo de dados brutos
João 117 1234 36 S
Fonte: desenvolvido pelo autor.
É fácil perceber que, aparentemente, não existe um sentido 
lógico nos dados brutos alocados no Quadro 1, mas podemos 
modificar um pouco este cenário, tornando estes dados em uma 
informação:
Quadro 2 – Exemplo de dados sendo lidos como informação
Nome Agência Conta Idade Casado
João 117 1234 36 S
Fonte: desenvolvido pelo autor.
Observe que tornar um dado em informação consiste em 
trabalhar com este dado dentro de um cenário conhecido. O 
próximo passo é bastante intuitivo, pois, com a informação 
6
disposta, é possível gerar um novo conhecimento, vamos ver? 
Antes de ler a informação acima, você não sabia que João era 
casado, por exemplo, mas agora você detém este conhecimento. 
Viu como é simples?
Aqui trabalhamos com dados fictícios e de pouca relevância, mas, 
no meio corporativo, as informações geradas e o conhecimento 
que pode ser obtido é um fator de suma importância para 
a colocação da organização no mercado; é questão de 
competitividade.
Desta forma, a segurança da informação (SI) deve ser tratada 
com alta prioridade. Para isso, é importante que, dentro da 
organização, exista uma governança de TI, que assuma um papel 
de tomada de decisão – por este motivo, membros do alto escalão 
devem compor este órgão. Executivos, diretores, gerentes e, claro, 
profissionais de TI são alguns dos componentes da governança de 
TI.
Toda esta estrutura é organizada com um objetivo bem definido: 
traçar as métricas, os passos, procedimentos e mapa de ações 
quanto aos serviços que envolvam a tecnologia da informação 
(seja ela voltada aos dispositivos de hardware ou software). 
Toda esta definição consiste em ter controle absoluto sobre as 
eventuais situações de risco que possam afetar o fluxo contínuo 
das atividades corporativas ou criar vazamento de informações.
Assim, a gestão de risco entra em evidência dentro deste cenário. 
É a gestão de risco que irá definir o que são riscos para aquela 
organização, bem como tratá-los, categorizá-los, priorizá-los e 
medi-los – quanto ao impacto que causarão. A gestão de riscos 
também irá ditar o quão tolerável a organização é àquele risco.
7
Embora seja uma afirmativa um tanto estranha, toda organização 
precisa de riscos. Os riscos são moduladores do nível de 
importância de determinada informação. Caso a perda de uma 
informação não gere impactos, então a informação não teria 
importância, logo, a organização estaria atuando sem trunfos de 
competitividade no mercado.
Compreenda, então, que os riscos devem existir, mas, 
paralelamente, deve-se ter uma excelente estrutura de 
governança de TI que faça sua gestão e seu controle, mantendo-os 
dentro de um ambiente controlado.
Quadro 3 – A gestão de riscos dentro de uma organização
Fonte: elaborado pelo autor.
Na “Leitura digital”, você poderá acompanhar este tema em 
maiores detalhes, bem como conhecer os detalhes que envolvem 
a governança de TI e a adesão da gestão de riscos por uma 
organização.
8
Referências bibliográficas
CABRAL, C.; CAPRINO, W. Trilhas em segurança da informação: 
caminhos e ideias para a proteção de dados. Rio de Janeiro: 
Brasport, 2015.
PARA SABER MAIS
Manter a informação segura não está apenas relacionado à 
forma que ela é armazenada, mas também quanto à forma como 
ela é trafegada em determinados ambientes. Alguns critérios 
que podem ser facilmente adotados quanto ao tráfego de 
informações poderão contribuir nos requisitos de segurança e, 
consequentemente, ajudarão a diminuir o nível do risco em um 
mapa de gestão de riscos.
Em uma organização, é comum o tráfego intenso de dados entre 
seus vários departamentos internos ou até mesmo para ambiente 
externo. A partir do momento em que uma informação entra 
em um ambiente de rede de computadores, ela está sujeita a 
ser capturada ou adulterada (note que aqui estamos tratando 
especificamente dos critérios de proteção digital, mas os meios 
físicos também requerem zelo para proteção das informações).
Para evitar o vazamento de informações ou mesmo proteger os 
dados corporativos caso o vazamento ocorra, geralmente recorre-
se à forma mais segura de proteção de dados: a criptografia.
Existem várias formas de se trabalhar com criptografia, seja na 
própria estrutura do dado (ou arquivo) em si ou na emissão de 
uma mensagem cujo conteúdo só possa ser descriptografado pelo 
receptor mediante troca de chaves.
9
Ao realizar esses procedimentos de segurança, atende-se ao 
que Barreto et al. (2018) nos orientam quanto às categorias 
de segurança da informação. Os autores nos apontam que 
uma informação estará segura se atender aos requisitos de 
confidencialidade, autenticidade, disponibilidade e integridade.
Em uma rede interna, geralmente, ocorre a preocupação mais 
elevada com a confidencialidade, disponibilidade e integridade, 
enquanto que, no tráfego de dados para ambiente externo à 
organização, preocupa-se com a autenticidade, ou seja, garantir 
que o dado enviado seja autêntico, podendo-se garantir a origem 
da fonte emissora.
Toda esta coletânea de procedimentos visa proteger os dados/
informação, pois, também de acordo com Barreto et al. (2018), 
as informações podem fidelizarou conquistar clientes. Nota-se, 
portanto, que a informação tem um valor de alto grau no meio 
corporativo e a sua correta proteção garantirá à organização uma 
maior certeza de estabilidade no mercado em que atua.
Referências bibliográficas
BARRETO, J. S. et al. Fundamentos de segurança da 
informação. Porto Alegre: SAGAH, 2018.
TEORIA EM PRÁTICA
Em qualquer ambiente, as mudanças causam certo desconforto 
devido à mudança de paradigmas que trazem consigo. Em raras 
situações, as propostas de mudanças são bem-vistas por todos 
sem que haja algum tipo de rejeição por alteração nos padrões 
10
Lorem ipsum dolor sit amet
Autoria: Nome do autor da disciplina
Leitura crítica: Nome do autor da disciplina
de trabalho ao qual já se está acostumado. Essas mesmas 
rejeições podem ser notadas quando uma organização decide 
implementar uma governança de TI com poderes equivalentes 
(senão superiores) à própria direção e presidência, pois estará 
focado na tomada de decisão que impactará diretamente o 
posicionamento da organização no mercado em que atua. 
Considere-se como um gestor de TI da Organização ABC S/A. 
Quais argumentos você utilizaria para demonstrar ao alto 
escalão a necessidade de implantar uma governança de TI e 
priorizar a gestão de riscos dentro da instituição? 
Para conhecer a resolução comentada proposta pelo 
professor, acesse a videoaula deste Teoria em Prática no 
ambiente de aprendizagem.
LEITURA FUNDAMENTAL
Indicação 1
Ainda no capítulo I deste livro, o autor aborda de forma bem 
direta o que é informação e, logo em seguida, explana a respeito 
de sistemas de informação. Em poucas páginas, você conseguirá 
ter uma visão ampla quanto ao conceito de dados, informação e 
conhecimento, bem como compreender a sua importância nos dias 
atuais. Para realizar a leitura, acesse a plataforma Biblioteca Virtual 
da Kroton e busque pelo título da obra.
MACHADO, F. N. R. Segurança da informação: princípios e controle 
de ameaças. 1. ed. São Paulo: Érica, 2014.
Indicações de leitura
11
Indicação 2
Neste artigo científico, os autores abordam os padrões de 
governança de TI utilizando uma das bibliotecas mais conceituadas 
para tal assunto: o Cobit. Para realizar a leitura, acesse o artigo 
disposto a seguir, que pode ser encontrado na Revista Análise.
GIAMPAOLI, R. Z.; TESTA, M. G.; LUCIANO, E. M. Contribuições do 
modelo Cobit para a governança corporativa e de tecnologia da 
informação: desafios, problemas e benefícios na percepção de 
especialistas e CIOs. Análise A Revista Acadêmica da FACE, Porto 
Alegre, v. 22, n. 2, p. 120-133, 2011.
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes 
neste Aprendizagem em Foco.
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em 
Foco e dos slides usados para a gravação das videoaulas, 
além de questões de interpretação com embasamento no 
cabeçalho da questão.
1. No tráfego de informações dentro de uma mesma rede 
interna, um determinado dado foi interceptado por um 
invasor, funcionário da própria organização. Este dado foi 
posteriormente encaminhado ao destinatário inicial, mas já 
com as modificações feitas pelo invasor. Este tipo de falha de 
12
segurança da informação é um risco de TI que precisa constar 
no mapa de riscos e:
a. Ser categorizado como quebra de disponibilidade.
b. Ser classificado como ataque do tipo man-in-the-middle, 
causando quebra de segurança, afetando a autenticidade e 
integridade. 
c. Não ser considerado um risco, pois não houve roubo de dados, 
apenas modificações.
d. Ser tratado como um erro a ser sanado pela governança de TI. 
e. Ser direcionado ao alto escalão da organização para sanar a 
quebra de integridade. 
2. Quanto aos riscos em uma organização, é correto afirmar 
que: 
a. Devem ser eliminados pelo plano de gestão de riscos.
b. Podem ser evitados, mas devem ocorrer para se comprovar 
a importância da informação.
c. São de responsabilidade do departamento de TI.
d. Devem ser resolvidos pelo corpo executivo da governança 
de TI.
e. São essenciais para que se avalie a importância da 
informação.
GABARITO
Questão 1 - Resposta B
Resolução: Como a informação foi interceptada, então 
ocorreu o ataque do tipo man-in-the-middle (homem no 
13
meio). A informação sofreu reencaminhamento, logo, o 
remetente inicial não é o mesmo remetente final. Isso causa 
quebra de autenticidade e, como o conteúdo foi modificado, 
ocorreu quebra de integridade.
Questão 2 - Resposta E
Resolução: Uma informação só pode ser considerada de 
valor se existir algo que a coloque em risco, logo, os riscos são 
essenciais para se avaliar a importância de uma informação.
TEMA 2
Introdução à gestão de riscos
______________________________________________________________
Autoria: Márcio dos Santos
Leitura crítica: Cecilia Sosa Arias Peixoto
15
DIRETO AO PONTO
Considerando que os riscos estão presentes em qualquer 
organização, torna-se necessário estruturar estratégias consolidadas 
para lidar com estes cenários.
Para que o processo de tratamento dos riscos ocorra de maneira 
eficaz, é importante que ele seja embasado em conhecimentos 
anteriores que tenham estabelecido métricas a serem adotadas, 
de forma a orientar a organização sobre os procedimentos, 
sequências e diretivas a serem seguidas de acordo com o estado e 
comportamento de uma situação.
Algumas dessas métricas que serão abordadas nesta leitura serão: 
família de normas ISO 27.000, família de normas ISO 31.000, guia 
PMBOK e as próprias diretivas mencionadas em todas as literaturas 
que abordam a gestão de riscos de TI, direcionadas à governança de 
TI, como o Cobit.
Para iniciarmos, é importante ressaltar que o que define o leque 
temático de uma norma ISO é o seu número inicial, por exemplo: 
27.000. Esta norma, especificamente, introduz o tema “Sistemas 
de gestão de segurança da informação – SGSI”, com definição 
e vocabulário, enquanto que as numerações que vêm a seguir 
afunilam mais o tema, especificando detalhes e procedimentos. Em 
outras palavras, você não encontrará uma norma ISO da família 
27.000 que aborde o tema “qualidade” – papel este da família ISO 
9.000.
Adicionalmente, após o número da norma, coloca-se o ano de 
sua publicação, por exemplo: ISO 27.001:2005. É importante que 
você compreenda esta estrutura para que comece a relacionar 
determinados assuntos abordados em toda a extensão deste tema.
16
A ISO 27.001 define os requisitos para gestão dos sistemas de 
informação. Já a ISO 27.005:2011 define o gerenciamento de riscos de 
segurança da informação.
Para Hintzbergen (2018), a família ISO 27.000 fornece um código de 
prática que orientará os gestores de TI a compreender os cenários 
de segurança, seus insumos, elementos, componentes e recursos 
humanos, de forma a implantar e gerenciar de maneira eficaz os 
riscos de segurança da informação, provendo melhorias contínuas 
com base no monitoramento cíclico de desempenho.
Já a família de normas ISO 31.000 orienta-nos quanto às melhores 
práticas para implantação e manutenção da gestão de riscos em uma 
organização. Atente-se que, quando tratamos a respeito de gestão de 
riscos, abordamos algo mais conceitual, ou seja, é algo mais filosófico 
que deve impactar a organização, para que possam se colher 
resultados mais tangíveis e concretos.
Como parte da família ISO 31.000, temos a ISO 31.010, que fornece 
algumas técnicas para avaliação da gestão de riscos. Adicionalmente, 
o Guia 73, vinculado à mesma família, traz um vocabulário quanto às 
expressões utilizadas na gestão de riscos.
Em geral, para que se obtenham bons resultados no gerenciamento 
de riscos em uma organização, subentende-se que os riscos devem 
ser amplamente conhecidos e reconhecidos.
Desta maneira, a família ISO 31.000 estabelece alguns passos a 
serem seguidos tanto no momento de implantaçãoquanto no 
gerenciamento constante – considerando que o processo deve ser 
cíclico e contínuo.
O primeiro desses passos é o estabelecimento de um contexto, por 
meio do qual será definido o cenário no qual a norma será aplicada e, 
17
com base neste cenário, é estabelecido o que pode ser definido como 
risco, identificando suas incidências e categorizando-os. Como passos 
seguintes, é executada a análise desses riscos, uma avaliação e, por 
fim, seu tratamento.
Para se estabelecer este contexto, é necessário conhecer bem a 
estrutura da organização, bem como seus pontos fracos e fortes. De 
forma a facilitar esta mensuração, recomenda-se o uso de métricas 
também já preestabelecidas (afinal, por que reinventar a roda se 
podemos, simplesmente, utilizá-la?). Uma forma bastante conhecida 
de mensuração desses pontos fortes e fracos é por meio da análise 
SWOT (ou matriz SWOT), que aponta todos os fatores positivos, 
negativos, oportunidades e ameaças a uma organização. Geralmente, 
ela é descrita com uma imagem similar à Figura 1, a seguir.
Figura 1 – Análise SWOT
Fonte: human/iStock.com. 
18
Utilizar a família de normas ISO não limita a equipe de 
governança de TI ou o gestor de TI em utilizar apenas esta base 
de conhecimentos, pelo contrário, é possível utilizar um leque 
mais amplo de recursos (bibliotecas, guias, frameworks) para 
complementar a base estrutural da gestão de riscos.
Alguns guias que geralmente são aderidos de forma paralela:
• PMBOK (para gerenciamento de projetos), que tem uma 
seção específica voltada à implementação de respostas aos 
riscos.
• Prince 2, também para o mesmo segmento de projetos e 
que conta com os critérios semelhantes para identificação, 
avaliação e controle dos riscos.
• Biblioteca ITIL, para gerenciamento de serviços, que 
garante por meio de sua estrutura que os requisitos de 
determinados serviços sejam atendidos, reduzem o risco de 
falhas e interrupção de serviços.
Na “Leitura digital”, é possível conhecer maiores detalhes sobre 
as normas ISO voltadas à segurança de informação, bem como 
analisar e compreender em detalhes os passos propostos pela ISO 
31.000 quanto ao processo cíclico de gestão de riscos.
Referências bibliográficas
HINTZBERGEN, J. et al. Fundamentos de segurança da 
informação: com base na ISO 27.001 e na ISO 27.002. Rio de 
Janeiro: Brasport, 2018.
19
PARA SABER MAIS
Diante de tantos guias, ferramentas, bibliotecas e frameworks, a 
escolha da melhor prática para se implantar em uma organização 
pode se tornar uma tarefa bastante árdua e demorada.
O PMBOK entra neste cenário como um guia – diferentemente do 
Prince2, por exemplo, que é uma metodologia. O primeiro, um guia 
sobre os passos a serem executados, enquanto que o segundo 
define uma “receita de bolo” a ser seguida. Desta forma, nota-se que 
o PMBOK é mais maleável e permite adaptações com mais facilidade, 
tornando-o uma estratégia bastante versátil a qualquer organização 
que execute suas tarefas baseadas em projetos.
Atente que a adoção de qualquer um dos balizadores (PMBOK ou 
Prince2) depende da existência de um projeto a ser gerenciado. De 
acordo com Newton (2011, p. 1 apud CARVALHO, 2012), “projeto é 
basicamente um modo de trabalho, um modo de organizar pessoas 
e um modo de gerenciar atividades. É um estilo de coordenação e 
gestão de trabalho”.
Desta forma, para que haja a implementação do PMBOK, Prince2 
ou outra metodologia/guia/framework, é uma premissa que exista, 
de fato, um projeto a ser gerido. Se, porventura, a organização não 
executar seus procedimentos com estrutura de projetos, talvez 
a adoção de uma ferramenta complementar como essas citadas 
torne-se algo inviável, simplesmente por alguns conceitos não se 
encaixarem da devida forma dentro de um escopo maior.
Uma definição que empiricamente é utilizada para projetos é 
um esforço temporário para se executar determinada tarefa 
que tenha um começo, meio e fim. Assim, mesmo que ocorra 
um ciclo de atividades, espera-se que, em um projeto, esse ciclo 
20
seja acompanhado de incrementos, ou seja, o projeto inicia, se 
desenvolve, finaliza e então recomeça com novos incrementos, 
refazendo o ciclo de forma infinita.
Referências bibliográficas
CARVALHO, F. C. A. de. Gestão de projetos. São Paulo: Pearson 
Education do Brasil, 2012.
TEORIA EM PRÁTICA
Você compõe a governança de TI da organização ABC S/A e, 
já tendo colaborado na implantação da filosofia de gestão 
de riscos com sucesso, toda a equipe precisa introduzir a 
família ISO 31.000 neste processo. Você sabe que existem 
alguns passos a serem dados, sendo o primeiro deles o 
estabelecimento do contexto da organização, compreendido 
basicamente pela definição do cenário no qual a gestão 
de riscos atuará. A governança de TI deverá estabelecer os 
procedimentos a serem adotados para estabelecer um contexto 
que represente, de fato, a organização, ou seja, será necessário 
que sejam estabelecidos quais os departamentos desta 
organização (categorizando-os por níveis de criticidade), quais 
são os responsáveis destes departamentos e o organograma 
funcional de cada um; será necessário, ainda, apontar o 
segmento em que cada departamento atua na composição do 
todo, bem como a relação que os departamentos têm entre si; 
adicionalmente, será necessário expor os níveis de informação 
– e suas respectivas criticidades – que circulam em cada 
departamento, de forma a gerar uma categorização. Uma dica 
21
seria esboçar esta estrutura de forma individual (departamento 
a departamento) e depois uni-las para compor um quadro 
completo. Como você, enquanto membro da governança de TI, 
realizaria esta tarefa?
Para conhecer a resolução comentada proposta pelo 
professor, acesse a videoaula deste Teoria em Prática no 
ambiente de aprendizagem.
LEITURA FUNDAMENTAL
Indicação 1
Como foi explanado anteriormente, algumas organizações 
podem lidar com as atividades em forma de projetos e, neste 
viés, detectar os riscos inerentes a cada etapa dos processos. 
No livro Gestão de projetos, o autor aponta, a partir da página 
18, a forma de comunicação com o público-alvo do projeto. Esta 
identificação é interessante para que você compreenda a forma 
como lidar com os stakeholders (indivíduo ou organização que 
seja impactado pelas ações de uma determinada organização, 
como um acionista, por exemplo) de um projeto, bem como 
estabelecer os critérios de riscos (que podem ser diferentes, na 
sua visão, quando comparados à visão do público-alvo). Este 
livro pode ser encontrado na biblioteca Kroton. Os detalhes da 
obra estão na referência abaixo.
CARVALHO, F. C. A. de. Gestão de projetos. São Paulo: Pearson 
Education do Brasil, 2012.
Indicações de leitura
22
Indicação 2
O livro Implantando a governança de TI aborda, de maneira 
bastante clara e didática, os processos necessários para a 
obtenção de sucesso na governança de TI, desde os primeiros 
passos de implantação até sua manutenibilidade. A partir da 
página 501, o autor adentra nas normas ISO 31.000, apontando 
suas definições e expondo uma estrutura complementar ao 
quadro de processos de gerenciamento de riscos que vimos 
na “Leitura digital”. Esta é uma leitura que irá dar a você uma 
base muito mais sólida a respeito das métricas estabelecidas 
pela família ISO 31.000 e, com certeza, irá agregar-lhe um novo 
patamar de conhecimentos. O livro está disponível na biblioteca 
Kroton e pode ser localizado por meio da referência a seguir:
FERNANDES, A. A. Implantando a governança de TI: da 
estratégia à gestão dos processos e serviços. 4. ed. Rio de 
Janeiro: Brasport, 2014.
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes 
neste Aprendizagem em Foco.
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em 
Foco e dos slides usados para a gravação das videoaulas, 
além dequestões de interpretação com embasamento no 
cabeçalho da questão.
23
1. Considere que você, membro da governança de TI da ABC 
S/A, precisa implantar a filosofia de gestão de riscos em 
TI dentro da organização utilizando a família de normas 
ISO 31.000. Um dos primeiros passos que você dará será 
quanto:
a. A definir os riscos que podem afetar a organização.
b. À definição do contexto da organização. 
c. A preparar um plano para diminuição dos riscos, já que é 
impossível removê-los.
d. À elaboração de um mapa de riscos, expondo as 
potenciais ameaças à fluidez dos processos.
e. Ao estabelecimento de critérios para se transformar um 
risco em um projeto a ser sanado.
2. Quanto à identificação de riscos em TI, baseado na família 
de normas ISO 31.000, é possível afirmar que: 
a. São incrementais, ou seja, seguem uma execução cíclica, 
podendo ocorrer em diferentes etapas da implantação da 
gestão de riscos. 
b. Ocorre paralelamente ao estabelecimento do contexto 
organizacional no qual será aplicada a gestão de riscos.
c. Deve contemplar todos os riscos possíveis, pois se algum 
risco for deixado de fora, ele não será tratado nos passos 
seguintes.
d. Pode não ocorrer, para riscos cuja oportunidade seja 
positiva, por exemplo, uma situação de aumento 
exponencial de receita à organização.
e. É uma etapa obrigatória e ocorre após a criação de um 
diagrama representativo da análise SWOT.
24
GABARITO
Questão 1 - Resposta B
Resolução: Considerando como base a família de normas 
ISO 31.000, o primeiro passo é estabelecer o contexto da 
organização para que seja possível conhecer o ambiente 
no qual os riscos estarão atuando e, só então, seja 
possível identificá-los, mensurá-los e iniciar o processo de 
tratamento.
Questão 2 - Resposta C
Resolução: Conforme demonstra a família de normas 
ISO 31.000, a identificação dos riscos deve ocorrer de 
forma integral após o estabelecimento do contexto da 
organização e nenhum risco pode ser deixado de fora, 
caso contrário, ele não poderá receber um tratamento nos 
passos seguintes do processo de gestão de riscos.
TEMA 3
Introdução à gestão de riscos
______________________________________________________________
Autoria: Márcio dos Santos
Leitura crítica: Cecilia Sosa Arias Peixoto
26
DIRETO AO PONTO
A organização de um esboço dos tipos de ameaças que ocasionam 
riscos à organização é um processo criterioso e que requer atenção, 
tempo, minúcia e tato para que este esboço possa representar, de 
fato, o cenário fidedigno do quadro de ameaça. Lembre-se: ameaça é 
tudo o que pode causar algum tipo de dano/prejuízo ao ativo de uma 
organização.
Não há, propriamente, um modelo estabelecido e mandatório desta 
estrutura, mas podemos presumir que alguns campos específicos 
podem trazer maior nível de detalhamento das ameaças e contribuir 
no processo de tratativa. Abaixo segue uma relação de tópicos que 
podem ser considerados para guiar o processo de tratativa (em 
forma de proposta):
• Ameaça: você deve apontar o nome da ameaça de 
forma clara, de forma que ela possa ser claramente 
identificada quando lida, observada ou prevista por alguém, 
independentemente do cargo ou da posição dentro da 
organização. É recomendado o uso de poucas palavras para 
facilitar ainda mais o processo de reconhecimento.
• Tipo: propõe-se que a ameaça seja categorizada dentro 
dos três tipos de agentes: intencional, involuntária (ou não 
intencional) e natural. Esta designação contribuirá para 
determinar as opções posteriores, inclusive, de tratativa.
• Origem: uma vez determinado o tipo da ameaça, de acordo 
com a categoria do agente, é interessante apontar sua 
origem (interna, externa ou ambos). Esta determinação 
contribuirá tanto no processo de tratativa quanto na revisão 
das métricas de aferição dos riscos – afinal, o processo de 
gestão de riscos é algo contínuo e incremental.
27
• Impacto: toda ameaça, quando concretizada, gera impacto 
(que nem sempre é negativo). Desta forma, apontar o 
nível de impacto contribuirá para apontar o seu nível de 
criticidade. É interessante observar que o impacto não deve 
ser visto apenas no aspecto financeiro – o que é comum 
de acontecer –, mas também nos impactos produtivos e de 
imagem da organização.
• Modo de solução: algo bastante interessante de compor 
o quadro de ameaças é a exposição clara das maneiras 
como aquela ameaça poderia ser sanada. Esta etapa, 
claro, pertence ao tratamento ou à aceitação do risco, mas 
é importante que a ameaça tenha seu próprio leque de 
tratativas dentro do contexto geral.
• Plano de contingência: o plano de contingência também é 
uma etapa a ser abordada no tratamento ou na aceitação 
do risco, mas assim como o modo de solução, descrito 
anteriormente, é importante que o quadro de ameaças já 
conte com uma diretiva apontando o caminho a ser seguido.
• Prazo de conclusão: a ameaça, quando identificada, 
precisa ter um prazo para ter seus efeitos colocados em 
modo de inércia – se possível. Esta abordagem será tratada 
em detalhes no plano de contingência, mas pode receber 
uma prévia nesta etapa também. É importante que se 
compreenda que o prazo deverá ser mais célere ou mais 
brando, de acordo com o nível de criticidade da ameaça.
• Nível de criticidade: como citado anteriormente, o nível 
de criticidade irá determinar vários aspectos referentes à 
tratativa da ameaça e um possível plano de contingência. 
Não confunda: o plano de contingência não pertence à seção 
de ameaças, mas pode influenciar esta área.
Observe a seguir um modelo utilizando os tópicos sugeridos acima:
28
Quadro 1 – Proposta de elicitação de ameaças, 
com categorização
Ameaça Tipo Origem Impacto Modo de solução
Plano de 
contingência
Prazo de 
conclusão
Nível 
de 
criticidade
Invasão Intencional Externa Roubo de 
informações; 
quebra de 
integridade
Desconexão 
dos 
dispositivos 
da rede 
externa
Manter 
dispositivos 
desconectados 
até que a 
vulnerabilidade 
seja sanada 
Trafegar dados 
essenciais apenas 
pela sub-rede de 
contingência
3 horas Alto
Malwares Não 
intencional
Externa/
interna
Danificação 
de dados
Restauração 
de backup com, 
no máximo, 
40 minutos de 
geração
A restauração 
de uma cópia 
básica dos dados 
ocorrerá em 10% 
das máquinas 
afetadas para 
que os serviços 
continuem ativos 
enquanto as 
demais máquinas 
recebem o backup 
completo
30 minutos 
para 
colocar 
o backup 
básico em 
atividade
4 horas 
para 
restaurar o 
backup nas 
máquinas
Alto
Queda de 
energia
Não 
intencional
Externa Compro 
metimento da 
integridade
Suspensão 
temporária 
das 
operações
Perda de 
comunicação 
síncrona 
com filiais.
Perda de 
trabalhos em 
execução 
(não salvos)
Os nobreaks 
(com 
sustentação 
de 5 horas) 
deverão entrar 
em operação 
imediatamente 
após a queda de 
energia
O sistema de 
gerador interno 
de energia deverá 
ser ativado assim 
que a energia da 
rede pública cair
Ativação 
dos 
nobreaks: 
imediata
Ativação 
dos 
geradores 
internos: 
até 10 
minutos 
após a 
queda de 
energia
Baixo
Fonte: desenvolvido pelo autor.
29
O ideal é que você consiga adaptar o quadro de ameaças à forma 
e necessidade da organização na qual você atua/atuará, pois seu 
aspecto não é fixo, tampouco fechado.
Referências bibliográficas
CABRAL, C.; CAPRINO, W. Trilhas em segurança da informação: 
caminhos e ideias para a proteção de dados. Rio de Janeiro: Brasport, 
2015.
PARA SABER MAIS
Em gestão de riscos, costumamos apontar como ativo o elemento 
diretamente afetado pela ocorrência da ameaça e esses 
ativos podem ser caracterizados como concretos ou abstratos 
(quantitativos e qualitativos, respectivamente).
Os ativos concretos são mais fáceis de serem identificados, pois 
são tangíveis e mais facilmente mensuráveis. Já os abstratos, 
geralmente, possuem alto grau de subjetividade que podem ser 
vistos de maneiras diferentes por indivíduos distintos dentro da 
mesma organização.
Um dos ativos concretos que muitas vezes são deixadosde lado 
em uma análise de riscos são os recursos humanos, ou seja, o 
próprio corpo de colaboradores da organização. Por serem ativos 
alheios à organização, ou seja, não estão diretamente atrelados 
a ela no sentido de posse, eles acabam não recebendo a tratativa 
mais adequada dentro do contexto de gestão de riscos.
30
Veremos, a seguir, como lidar com o ativo de recursos humanos 
dentro de uma estrutura que busca identificar os ativos para 
compor a gestão de riscos de uma organização:
• Conhecer as características desses ativos: o primeiro 
e talvez mais intuitivo e trivial passo está ligado ao 
conhecimento do ativo em si, ou seja, seus hábitos, 
costumes, ideologias e perfil ético. Essas características soam 
bastante como um processo de recrutamento de pessoal, 
mas é exatamente por meio dessa elicitação de diretrizes 
que o perfil do ativo de recursos humanos será desenhado, 
possibilitando reconhecer as formas como as ameaças irão 
afetá-lo.
• Determinar o conhecimento técnico: dois recursos 
humanos, atuantes em uma mesma seção e no mesmo 
grupo de tarefas, podem sofrer impactos diferentes quando 
da concretização de uma ameaça, de acordo com o nível 
técnico de conhecimento que este ativo detenha. 
 
Um bom exemplo seria o comportamento de dois 
colaboradores mediante a chegada de um e-mail com link 
suspeito. Aquele colaborador com menor conhecimento 
técnico possivelmente clicará sobre o link suspeito, 
colocando seu equipamento em risco, enquanto que aquele 
colaborador com maior nível técnico reconhecerá a potencial 
ameaça oculta e descartará o e-mail ou o encaminhará à TI 
para análise e tratativas necessárias.
• Prover treinamento preventivo: uma das formas mais 
eficientes de blindar o ativo recursos humanos é por meio 
de treinamentos que aumentem seu nível técnico de 
conhecimento dentro das áreas nas quais ele irá atuar. Estes 
treinamentos visam dar maior aporte aos colaboradores, o 
31
que impactará diretamente a forma como as ameaças irão 
afetá-los.
Referências bibliográficas
BARRETO, J. S. et al. Fundamentos de segurança da informação. 
Porto Alegre: SAGAH, 2018.
TEORIA EM PRÁTICA
A empresa ABC S/A está implantando a gestão de riscos dentro da 
organização. A governança de TI já está ciente da importância desta 
gestão e está se baseando nas normas técnicas (ISO) disponíveis, 
além de seguir as designações passadas pelo Cobit e a biblioteca ITIL. 
Todo o contexto já foi estabelecido e a governança está na etapa 
de avaliação e análise dos riscos, especificamente na subetapa de 
elencar as ameaças, organizando-as em um quadro de ameaças. 
Considere-se como um gestor de TI desta organização. Elenque 
as ameaças, os tipos, a origem, impactos e outros critérios que 
poderiam afetar a organização. Lembre-se de que você pode ser 
mais criterioso e criar quantas colunas desejar neste quadro.
OBS.: antes de realizar este desafio, determine o ramo de atividade 
da ABC S/A, de forma que o cenário exposto possa fazer mais 
sentido.
Para conhecer a resolução comentada proposta pelo 
professor, acesse a videoaula deste Teoria em Prática no 
ambiente de aprendizagem.
32
LEITURA FUNDAMENTAL
Indicação 1
Esta revisão bibliográfica proposta a seguir aborda, de maneira 
bastante eficiente, os métodos de gestão de riscos em projetos, 
utilizando como referência várias fontes de peso no segmento 
(inclusive da área de engenharia). Este material pode ser 
encontrado na internet por meio das referências abaixo:
LOURO, A. C.; PUGIRÁ, C. G. Estudo bibliográfico em gestão 
de riscos visando identificar as ferramentas, métodos e 
relacionamentos mais referenciados. Iberoamerican Journal of 
Project Management, Buenos Aires, v. 6, n. 1, p. 78-93, 2015.
Indicação 2
Nesta monografia de pós-graduação, Freitas (2009) comenta sobre 
a gestão de riscos aplicada a sistemas de informação. Criando 
uma linha do tempo bem estruturada, o autor explica o valor 
da informação, prazos para guarda de documentos baseado no 
Novo Código Civil, além de tratar a respeito da classificação dos 
níveis de segurança. O conteúdo pode ser localizado na referência 
abaixo.
FREITAS, E. A. M. Gestão de riscos aplicada a sistemas de 
informação: segurança estratégica da informação. 2009. 71 f. 
Monografia (Pós-graduação em Gestão Estratégica e Qualidade) 
– Universidade Cândido Mendes, Brasília, 2009. Disponível em: 
http://www.academia.edu/download/34979046/gestao_riscos_
freitas.pdf. Acesso em: 19 jun. 2020.
Indicações de leitura
http://www.academia.edu/download/34979046/gestao_riscos_freitas.pdf.
http://www.academia.edu/download/34979046/gestao_riscos_freitas.pdf.
33
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes 
neste Aprendizagem em Foco.
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em 
Foco e dos slides usados para a gravação das videoaulas, 
além de questões de interpretação com embasamento no 
cabeçalho da questão.
1. Prover a segurança da informação é um dos propósitos da 
gestão de risco. De acordo com Freitas (2009), a ameaça que 
infesta uma rede sobrecarregando recursos, é chamada de: 
a. Vírus.
b. Worm. 
c. Trojan.
d. Spyware. 
e. Keylogger.
2. Uma das formas de manter os critérios de segurança da 
informação é por meio da comprovação de integridade. Freitas 
(2009) aponta-nos dois tipos de criptografia que auxiliam neste 
processo: 
a. Simétrica e assimétrica.
b. Ação e verificação.
c. Hash e coding.
d. Simétrica e hash.
34
e. Coding e hash.
GABARITO
Questão 1 - Resposta A
Resolução: O objetivo do worm (verme) é sobrecarregar 
recursos de uma rede por meio da autorreplicação. Ele pode 
permitir acesso remoto a recursos do computador.
Questão 2 - Resposta A
Resolução: Por meio da criptografia simétrica/assimétrica, a 
integridade de uma mensagem/dado/informação pode ser 
protegida e assegurada.
TEMA 4
Tratamento, aceitação e 
monitoramento dos riscos 
______________________________________________________________
Autoria: Márcio dos Santos
Leitura crítica: Cecilia Sosa Arias Peixoto
36
DIRETO AO PONTO
O processo de tratamento de riscos pode, via de regra, ser 
minimizado por meio de sua modificação, que consiste 
em alterar o panorama do risco e, por consequência, seus 
impactos.
A eliminação das atividades que geram o risco é uma das 
maneiras de se atingir tal objetivo. Afinal, se um risco existe, 
pressupõe-se que ele foi originado a partir de um fator que o 
provocou; se este fator vier a ser eliminado, o risco tende a ser 
suprimido também.
Neste caso, espera-se do gestor de TI ou do time de governança 
que façam uma análise quanto aos impactos de se eliminar 
o fator gerador do risco. Se os impactos forem aceitáveis em 
detrimento ao combate de um risco de alto grau, talvez seja 
uma boa alternativa optar por eliminar a atividade-origem ou, 
ainda, a fonte de risco (que pode ser um ativo, por exemplo).
Mas, em alguns casos, o risco é propositalmente encarado 
como um mal menor frente a uma oportunidade iminente, ou 
seja, o impacto do risco é baixo quando comparado com uma 
oportunidade de se alcançar um benefício importante. É como 
arriscar na bolsa de valores com base em especulação de uma 
fonte confiável. 
É importante ressaltar que, nesta opção, existem duas 
vertentes: uma quanto à aceitação de um novo risco e outra 
quanto à aceitação de elevação de um risco controlado e 
já sob processo de tratamento. Esta segunda opção é a de 
julgamento mais simples, considerando que o risco em questão 
37
já é conhecido e se tem dele todo um histórico, estatísticas e 
probabilidades de ocorrência e impacto.
E, ainda na mesma linha de raciocínio quanto aos riscos 
conhecidos, salienta-se que a própria forma de analisá-los pode 
ser ajustada de forma a prover um cenário diverso do inicial. 
Este cenário paralelo gerará, por consequência, umanova 
probabilidade de ocorrência. Nesta vertente, é possível também 
modificar as consequências advindas do risco, podendo torná-lo 
mais aceitável.
Algo que é bastante comum atualmente é atribuir a um 
terceiro a responsabilidade de lidar com os riscos por meio de 
seguradoras, para as quais transfere-se o prejuízo de lidar com 
os riscos ocorridos.
Por fim, é trivial considerar a aceitação de um determinado 
risco, caso os impactos dele em detrimento ao custo de 
tratamento sejam ínfimos. Esta aceitação requer, claro, um 
aval da governança de TI, que irá, com base em uma análise 
totalmente estruturada, apontar a possibilidade de aceitação do 
risco.
Todos esses cenários expostos devem ser levados em 
consideração com um detalhe adicional: em nenhum deles 
o objetivo principal foi eliminar o risco. Afinal, um risco, em 
uma visão ampla, é algo que não se pode eliminar, apenas 
minimizar; além disso, um risco também é necessário para se 
mensurar o grau de importância de um determinado ativo ou 
insumo da organização.
E, independentemente da forma escolhida para se modificar o 
risco, o gestor de TI ou time de governança de TI devem estar 
bem cientes do que uma modificação no risco A pode ocasionar 
38
na geração de um risco B, ou que uma alteração no risco B 
pode agravar o risco C.
Cabe, ainda, uma ressalva quanto à forma como a organização 
irá encarar a ocorrência fatídica do risco. Espera-se que 
exista um plano de continuidade de negócios (BCP – business 
continuity planning) que assegure que os trabalhos da 
organização retornem às atividades no mesmo ritmo de antes; 
concomitantemente, espera-se, também, um DRP (disaster 
recovery planning) – plano de recuperação de desastres –, que 
foca em colocar as atividades novamente em operação após a 
ocorrência de um desastre.
Figura 1 – Sequência de ocorrências mediante 
concretização de uma ameaça
Fonte: elaborada pelo autor.
É, de fato, uma cadeia emaranhada de ligações que precisa 
ser analisada com minúcia e por pessoas com conhecimento 
técnico em várias áreas – justificando ser um papel atribuído 
prioritariamente à governança de TI.
Referências bibliográficas
CABRAL, C.; CAPRINO, W. Trilhas em segurança da informação: 
caminhos e ideias para a proteção de dados. Rio de Janeiro: 
Brasport, 2015.
39
HINTZBERGEN, J. et al. Fundamentos de segurança da 
informação: com base na ISO 27.001 e na ISO 27.002. Rio de 
Janeiro: Brasport, 2018.
PARA SABER MAIS
Em um cenário de TI, a proteção de acesso aos dados é um dos 
grandes objetivos dos sistemas de informação. Existem estruturas 
computacionais e técnicas de segurança que auxiliam neste 
processo de prevenção de acesso indevido, sendo uma delas a 
DMZ – demilitarized zone. Esta rede de perímetro estabelece uma 
sub-rede que pode ser física ou lógica, criando uma espécie de 
separação entre a rede interna e a rede de acesso externo.
A rede DMZ encontra-se na base da estrutura de uma rede 
interna, responsável por acessar sites, e-mails, sistemas de 
armazenamento, etc. Esta segunda não tem acesso direto à 
primeira sem antes passar por um firewall e vice-versa; ambas 
as redes só se enxergam por meio da proteção estabelecida do 
firewall, que também é responsável por conectar ambas as redes à 
internet. Esta estrutura é representada pela Figura 2:
40
Figura 2 – Estrutura de uma DMZ
Fonte: elaborada pelo autor.
Referências bibliográficas
CABRAL, C.; CAPRINO, W. Trilhas em segurança da informação: 
caminhos e ideias para a proteção de dados. Rio de Janeiro: 
Brasport, 2015.
41
TEORIA EM PRÁTICA
A empresa ABC S/A, que está implantando a gestão de riscos 
em sua estrutura, ingressou na fase de tratamento e aceitação 
dos riscos. Você, enquanto gestor de TI e membro do time de 
governança de TI, tem como responsabilidade verificar as formas 
de modificar os riscos que podem afetar a organização.
Com base em seus conhecimentos sobre segurança, controle de 
acesso, normas ISO, Cobit, ITIL e PMBOK, você sabe que deverá 
ter, no escopo da gestão de riscos, uma área específica para tratar 
sobre BCP e DRP.
Assim, elabore um relatório que contenha métricas que devem ser 
adotadas para um plano de continuidade dos negócios e um plano 
de recuperação de desastres em caso de perda de dados por pane 
geral no datacenter devido a desastre natural.
Para conhecer a resolução comentada proposta pelo 
professor, acesse a videoaula deste Teoria em Prática no 
ambiente de aprendizagem.
LEITURA FUNDAMENTAL
Indicação 1
No livro Criptografia e segurança de redes, de Willian Stalings, 
você poderá ver maiores detalhes sobre sistemas de controle 
de acesso por meio de sistemas de detecção de intrusos (IDS) 
e sistema de prevenção de intrusão (IPS). Entre as páginas 400 
Indicações de leitura
42
e 410, o tema é abordado de maneira mais enfática, embora 
haja menção em outras seções do livro. É uma leitura que irá 
contribuir para que você compreenda, com maior clareza, duas 
formas adicionais de prover um controle de acesso aos dados 
em uma rede.
Este material está disponível em nossa biblioteca virtual e a 
referência está logo a seguir.
STALLINGS, W. Criptografia e segurança de redes. 6. ed. São 
Paulo: Pearson Education do Brasil, 2015.
Indicação 2
O livro Sistemas de informação gerenciais, de Laudon e Laudon, 
provê uma abordagem ampla sobre SI e dá uma visão completa 
quanto ao assunto. Uma das abordagens é quanto aos erros, 
falhas e defeitos em sistemas. É uma leitura interessante para 
que você seja capaz de diferenciar erros de falhas e consiga 
compreender o tipo de tratativa para cada situação.
O livro encontra-se disponível para leitura em nossa biblioteca 
virtual e pode ser localizado com a referência a seguir.
LAUDON, K. Sistemas de informação gerenciais. São Paulo: 
Pearson Education do Brasil, 2007
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes neste 
Aprendizagem em Foco.
43
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em Foco 
e dos slides usados para a gravação das videoaulas, além de 
questões de interpretação com embasamento no cabeçalho 
da questão.
1. O encerramento das atividades que originam um risco é: 
a. Uma forma de modificar os riscos.
b. Uma maneira de tratar as ameaças. 
c. Um recurso para minimizar os impactos.
d. Uma alternativa para detectar ameaças. 
e. Um meio de mensurar os ativos.
2. A alteração da probabilidade de ocorrência de um risco 
pode ser feita: 
a. Por meio da geração de dados fictícios.
b. Por meio do cálculo da média de ocorrências nocivas.
c. Utilizando informações de eventos anteriores.
d. A partir de uma estimativa futura.
e. Via manipulação das variáveis envolvidas.
GABARITO
Questão 1 - Resposta A
Resolução: A modificação dos riscos pode ocorrer de 
formas diversas. Uma delas é por meio do encerramento da 
atividade que dá origem ao risco em questão.
44
Questão 2 - Resposta E
Resolução: A manipulação das variáveis envolvidas em um 
cálculo probabilístico alterará o valor final. Desta forma, a 
probabilidade pode ser modificada ao serem considerados 
outros fatores que haviam sido deixados de fora nos 
cálculos iniciais.
	Apresentação da disciplina
	Introdução
	TEMA 1
	Direto ao ponto
	Para saber mais
	Teoria em prática
	Leitura fundamental
	Quiz
	Gabarito
	TEMA 2
	Direto ao ponto
	Teoria em prática
	Leitura fundamental
	Quiz
	Gabarito
	TEMA 3
	Direto ao ponto
	Para saber mais
	Teoria em prática
	Leitura fundamental
	Quiz
	Gabarito
	TEMA 4
	Direto ao ponto
	Teoria em prática
	Leitura fundamental
	Quiz
	Gabarito
	Botão TEMA 5: 
	TEMA 2: 
	Botão 158: 
	Botão TEMA4: 
	Inicio 2: 
	Botão TEMA 6: 
	TEMA 3: 
	Botão 159: 
	Botão TEMA5: 
	Inicio 3: 
	Botão TEMA 7: 
	TEMA 4: 
	Botão 160: 
	Botão TEMA6: 
	Inicio 4: 
	Botão TEMA 8: 
	TEMA 5: 
	Botão 161: 
	Botão TEMA7: 
	Inicio 5: