Aprendizagem em Foco

Prévia do material em texto

<p>WBA0453_v1.0</p><p>GESTÃO DE RISCOS EM TI</p><p>APRENDIZAGEM EM FOCO</p><p>2</p><p>APRESENTAÇÃO DA DISCIPLINA</p><p>Autoria: Márcio dos Santos</p><p>Leitura crítica: Cecilia Sosa Arias Peixoto</p><p>Olá, estudante! Boas-vindas à disciplina de Gestão de riscos em TI.</p><p>Nesta disciplina, você conhecerá um pouco sobre riscos: oque são,</p><p>como identificá-los, como amenizá-los. Você ainda conhecerá a</p><p>biblioteca ITIL, utilizada no gerenciamento de serviços de TI, o guia</p><p>Cobit, utilizado como base para governança de TI, o guia PMBOK,</p><p>focado em gerenciamento de projetos, normas ISO voltadas à</p><p>segurança da informação.</p><p>Você conseguirá perceber que os riscos nem sempre devem ser</p><p>evitados dentro de uma organização e, via de regra, jamais devem</p><p>ser eliminados! Este tema está totalmente ligado com as ações</p><p>tomadas pela governança de TI, composta por colaboradores de</p><p>todos os níveis hierárquico de uma organização.</p><p>Paralelamente, estudaremos um pouco a respeito da importância</p><p>da informação dentro do mundo cotidiano e entenderemos qual</p><p>a matéria-prima da informação e qual seu objetivo dentro de um</p><p>contexto.</p><p>Embora pareçam muitos assuntos novos e complexos, não se</p><p>preocupe, pois iremos evoluir pouco a pouco na disciplina e,</p><p>paulatinamente, você conseguirá compreender toda a estrutura</p><p>e o conceito que existe por trás do processo de gestão de riscos</p><p>voltado à área de Tecnologia da Informação.</p><p>Será uma caminhada um tanto longa, mas não se preocupe,</p><p>caminharemos juntos, passo a passo, para que, ao término da</p><p>3</p><p>disciplina, você seja capaz de identificar os métodos, métricas e</p><p>conceitos envolvidos no tema.</p><p>Vamos lá?</p><p>INTRODUÇÃO</p><p>Olá, aluno (a)! A Aprendizagem em Foco visa destacar, de maneira</p><p>direta e assertiva, os principais conceitos inerentes à temática</p><p>abordada na disciplina. Além disso, também pretende provocar</p><p>reflexões que estimulem a aplicação da teoria na prática</p><p>profissional. Vem conosco!</p><p>TEMA 1</p><p>Introdução à gestão de riscos</p><p>______________________________________________________________</p><p>Autoria: Márcio dos Santos</p><p>Leitura crítica: Cecilia Sosa Arias Peixoto</p><p>5</p><p>DIRETO AO PONTO</p><p>A concepção da gestão de riscos em TI tem como pré-requisito</p><p>compreender a importância da Tecnologia da Informação dentro de</p><p>um cenário corporativo e os artefatos que regem esta ciência. Como</p><p>a própria definição já aponta, o cerne do tema é a informação e como</p><p>ela é tratada pelos dispositivos informáticos da organização.</p><p>Primeiramente, você deve compreender que a informação é a união</p><p>de vários dados brutos que, isolados, não representam nenhum</p><p>recurso de valor. Estes dados só passam a ter algum valor quando</p><p>são unidos e contextualizados, representando uma informação, da</p><p>qual seja possível abstrair conhecimento.</p><p>Veja o exemplo de dados brutos a seguir:</p><p>Quadro 1 – Exemplo de dados brutos</p><p>João 117 1234 36 S</p><p>Fonte: desenvolvido pelo autor.</p><p>É fácil perceber que, aparentemente, não existe um sentido</p><p>lógico nos dados brutos alocados no Quadro 1, mas podemos</p><p>modificar um pouco este cenário, tornando estes dados em uma</p><p>informação:</p><p>Quadro 2 – Exemplo de dados sendo lidos como informação</p><p>Nome Agência Conta Idade Casado</p><p>João 117 1234 36 S</p><p>Fonte: desenvolvido pelo autor.</p><p>Observe que tornar um dado em informação consiste em</p><p>trabalhar com este dado dentro de um cenário conhecido. O</p><p>próximo passo é bastante intuitivo, pois, com a informação</p><p>6</p><p>disposta, é possível gerar um novo conhecimento, vamos ver?</p><p>Antes de ler a informação acima, você não sabia que João era</p><p>casado, por exemplo, mas agora você detém este conhecimento.</p><p>Viu como é simples?</p><p>Aqui trabalhamos com dados fictícios e de pouca relevância, mas,</p><p>no meio corporativo, as informações geradas e o conhecimento</p><p>que pode ser obtido é um fator de suma importância para</p><p>a colocação da organização no mercado; é questão de</p><p>competitividade.</p><p>Desta forma, a segurança da informação (SI) deve ser tratada</p><p>com alta prioridade. Para isso, é importante que, dentro da</p><p>organização, exista uma governança de TI, que assuma um papel</p><p>de tomada de decisão – por este motivo, membros do alto escalão</p><p>devem compor este órgão. Executivos, diretores, gerentes e, claro,</p><p>profissionais de TI são alguns dos componentes da governança de</p><p>TI.</p><p>Toda esta estrutura é organizada com um objetivo bem definido:</p><p>traçar as métricas, os passos, procedimentos e mapa de ações</p><p>quanto aos serviços que envolvam a tecnologia da informação</p><p>(seja ela voltada aos dispositivos de hardware ou software).</p><p>Toda esta definição consiste em ter controle absoluto sobre as</p><p>eventuais situações de risco que possam afetar o fluxo contínuo</p><p>das atividades corporativas ou criar vazamento de informações.</p><p>Assim, a gestão de risco entra em evidência dentro deste cenário.</p><p>É a gestão de risco que irá definir o que são riscos para aquela</p><p>organização, bem como tratá-los, categorizá-los, priorizá-los e</p><p>medi-los – quanto ao impacto que causarão. A gestão de riscos</p><p>também irá ditar o quão tolerável a organização é àquele risco.</p><p>7</p><p>Embora seja uma afirmativa um tanto estranha, toda organização</p><p>precisa de riscos. Os riscos são moduladores do nível de</p><p>importância de determinada informação. Caso a perda de uma</p><p>informação não gere impactos, então a informação não teria</p><p>importância, logo, a organização estaria atuando sem trunfos de</p><p>competitividade no mercado.</p><p>Compreenda, então, que os riscos devem existir, mas,</p><p>paralelamente, deve-se ter uma excelente estrutura de</p><p>governança de TI que faça sua gestão e seu controle, mantendo-os</p><p>dentro de um ambiente controlado.</p><p>Quadro 3 – A gestão de riscos dentro de uma organização</p><p>Fonte: elaborado pelo autor.</p><p>Na “Leitura digital”, você poderá acompanhar este tema em</p><p>maiores detalhes, bem como conhecer os detalhes que envolvem</p><p>a governança de TI e a adesão da gestão de riscos por uma</p><p>organização.</p><p>8</p><p>Referências bibliográficas</p><p>CABRAL, C.; CAPRINO, W. Trilhas em segurança da informação:</p><p>caminhos e ideias para a proteção de dados. Rio de Janeiro:</p><p>Brasport, 2015.</p><p>PARA SABER MAIS</p><p>Manter a informação segura não está apenas relacionado à</p><p>forma que ela é armazenada, mas também quanto à forma como</p><p>ela é trafegada em determinados ambientes. Alguns critérios</p><p>que podem ser facilmente adotados quanto ao tráfego de</p><p>informações poderão contribuir nos requisitos de segurança e,</p><p>consequentemente, ajudarão a diminuir o nível do risco em um</p><p>mapa de gestão de riscos.</p><p>Em uma organização, é comum o tráfego intenso de dados entre</p><p>seus vários departamentos internos ou até mesmo para ambiente</p><p>externo. A partir do momento em que uma informação entra</p><p>em um ambiente de rede de computadores, ela está sujeita a</p><p>ser capturada ou adulterada (note que aqui estamos tratando</p><p>especificamente dos critérios de proteção digital, mas os meios</p><p>físicos também requerem zelo para proteção das informações).</p><p>Para evitar o vazamento de informações ou mesmo proteger os</p><p>dados corporativos caso o vazamento ocorra, geralmente recorre-</p><p>se à forma mais segura de proteção de dados: a criptografia.</p><p>Existem várias formas de se trabalhar com criptografia, seja na</p><p>própria estrutura do dado (ou arquivo) em si ou na emissão de</p><p>uma mensagem cujo conteúdo só possa ser descriptografado pelo</p><p>receptor mediante troca de chaves.</p><p>9</p><p>Ao realizar esses procedimentos de segurança, atende-se ao</p><p>que Barreto et al. (2018) nos orientam quanto às categorias</p><p>de segurança da informação. Os autores nos apontam que</p><p>uma informação estará segura se atender aos requisitos de</p><p>confidencialidade, autenticidade, disponibilidade e integridade.</p><p>Em uma rede interna, geralmente, ocorre a preocupação mais</p><p>elevada com a confidencialidade, disponibilidade e integridade,</p><p>enquanto que, no tráfego de dados para ambiente externo à</p><p>organização, preocupa-se com a autenticidade, ou seja, garantir</p><p>que o dado enviado seja autêntico, podendo-se garantir a origem</p><p>da fonte emissora.</p><p>Toda esta coletânea de procedimentos visa proteger os dados/</p><p>informação, pois, também de acordo com Barreto et al. (2018),</p><p>as informações podem fidelizar</p><p>ou conquistar clientes. Nota-se,</p><p>portanto, que a informação tem um valor de alto grau no meio</p><p>corporativo e a sua correta proteção garantirá à organização uma</p><p>maior certeza de estabilidade no mercado em que atua.</p><p>Referências bibliográficas</p><p>BARRETO, J. S. et al. Fundamentos de segurança da</p><p>informação. Porto Alegre: SAGAH, 2018.</p><p>TEORIA EM PRÁTICA</p><p>Em qualquer ambiente, as mudanças causam certo desconforto</p><p>devido à mudança de paradigmas que trazem consigo. Em raras</p><p>situações, as propostas de mudanças são bem-vistas por todos</p><p>sem que haja algum tipo de rejeição por alteração nos padrões</p><p>10</p><p>Lorem ipsum dolor sit amet</p><p>Autoria: Nome do autor da disciplina</p><p>Leitura crítica: Nome do autor da disciplina</p><p>de trabalho ao qual já se está acostumado. Essas mesmas</p><p>rejeições podem ser notadas quando uma organização decide</p><p>implementar uma governança de TI com poderes equivalentes</p><p>(senão superiores) à própria direção e presidência, pois estará</p><p>focado na tomada de decisão que impactará diretamente o</p><p>posicionamento da organização no mercado em que atua.</p><p>Considere-se como um gestor de TI da Organização ABC S/A.</p><p>Quais argumentos você utilizaria para demonstrar ao alto</p><p>escalão a necessidade de implantar uma governança de TI e</p><p>priorizar a gestão de riscos dentro da instituição?</p><p>Para conhecer a resolução comentada proposta pelo</p><p>professor, acesse a videoaula deste Teoria em Prática no</p><p>ambiente de aprendizagem.</p><p>LEITURA FUNDAMENTAL</p><p>Indicação 1</p><p>Ainda no capítulo I deste livro, o autor aborda de forma bem</p><p>direta o que é informação e, logo em seguida, explana a respeito</p><p>de sistemas de informação. Em poucas páginas, você conseguirá</p><p>ter uma visão ampla quanto ao conceito de dados, informação e</p><p>conhecimento, bem como compreender a sua importância nos dias</p><p>atuais. Para realizar a leitura, acesse a plataforma Biblioteca Virtual</p><p>da Kroton e busque pelo título da obra.</p><p>MACHADO, F. N. R. Segurança da informação: princípios e controle</p><p>de ameaças. 1. ed. São Paulo: Érica, 2014.</p><p>Indicações de leitura</p><p>11</p><p>Indicação 2</p><p>Neste artigo científico, os autores abordam os padrões de</p><p>governança de TI utilizando uma das bibliotecas mais conceituadas</p><p>para tal assunto: o Cobit. Para realizar a leitura, acesse o artigo</p><p>disposto a seguir, que pode ser encontrado na Revista Análise.</p><p>GIAMPAOLI, R. Z.; TESTA, M. G.; LUCIANO, E. M. Contribuições do</p><p>modelo Cobit para a governança corporativa e de tecnologia da</p><p>informação: desafios, problemas e benefícios na percepção de</p><p>especialistas e CIOs. Análise A Revista Acadêmica da FACE, Porto</p><p>Alegre, v. 22, n. 2, p. 120-133, 2011.</p><p>QUIZ</p><p>Prezado aluno, as questões do Quiz têm como propósito a</p><p>verificação de leitura dos itens Direto ao Ponto, Para Saber</p><p>Mais, Teoria em Prática e Leitura Fundamental, presentes</p><p>neste Aprendizagem em Foco.</p><p>Para as avaliações virtuais e presenciais, as questões serão</p><p>elaboradas a partir de todos os itens do Aprendizagem em</p><p>Foco e dos slides usados para a gravação das videoaulas,</p><p>além de questões de interpretação com embasamento no</p><p>cabeçalho da questão.</p><p>1. No tráfego de informações dentro de uma mesma rede</p><p>interna, um determinado dado foi interceptado por um</p><p>invasor, funcionário da própria organização. Este dado foi</p><p>posteriormente encaminhado ao destinatário inicial, mas já</p><p>com as modificações feitas pelo invasor. Este tipo de falha de</p><p>12</p><p>segurança da informação é um risco de TI que precisa constar</p><p>no mapa de riscos e:</p><p>a. Ser categorizado como quebra de disponibilidade.</p><p>b. Ser classificado como ataque do tipo man-in-the-middle,</p><p>causando quebra de segurança, afetando a autenticidade e</p><p>integridade.</p><p>c. Não ser considerado um risco, pois não houve roubo de dados,</p><p>apenas modificações.</p><p>d. Ser tratado como um erro a ser sanado pela governança de TI.</p><p>e. Ser direcionado ao alto escalão da organização para sanar a</p><p>quebra de integridade.</p><p>2. Quanto aos riscos em uma organização, é correto afirmar</p><p>que:</p><p>a. Devem ser eliminados pelo plano de gestão de riscos.</p><p>b. Podem ser evitados, mas devem ocorrer para se comprovar</p><p>a importância da informação.</p><p>c. São de responsabilidade do departamento de TI.</p><p>d. Devem ser resolvidos pelo corpo executivo da governança</p><p>de TI.</p><p>e. São essenciais para que se avalie a importância da</p><p>informação.</p><p>GABARITO</p><p>Questão 1 - Resposta B</p><p>Resolução: Como a informação foi interceptada, então</p><p>ocorreu o ataque do tipo man-in-the-middle (homem no</p><p>13</p><p>meio). A informação sofreu reencaminhamento, logo, o</p><p>remetente inicial não é o mesmo remetente final. Isso causa</p><p>quebra de autenticidade e, como o conteúdo foi modificado,</p><p>ocorreu quebra de integridade.</p><p>Questão 2 - Resposta E</p><p>Resolução: Uma informação só pode ser considerada de</p><p>valor se existir algo que a coloque em risco, logo, os riscos são</p><p>essenciais para se avaliar a importância de uma informação.</p><p>TEMA 2</p><p>Introdução à gestão de riscos</p><p>______________________________________________________________</p><p>Autoria: Márcio dos Santos</p><p>Leitura crítica: Cecilia Sosa Arias Peixoto</p><p>15</p><p>DIRETO AO PONTO</p><p>Considerando que os riscos estão presentes em qualquer</p><p>organização, torna-se necessário estruturar estratégias consolidadas</p><p>para lidar com estes cenários.</p><p>Para que o processo de tratamento dos riscos ocorra de maneira</p><p>eficaz, é importante que ele seja embasado em conhecimentos</p><p>anteriores que tenham estabelecido métricas a serem adotadas,</p><p>de forma a orientar a organização sobre os procedimentos,</p><p>sequências e diretivas a serem seguidas de acordo com o estado e</p><p>comportamento de uma situação.</p><p>Algumas dessas métricas que serão abordadas nesta leitura serão:</p><p>família de normas ISO 27.000, família de normas ISO 31.000, guia</p><p>PMBOK e as próprias diretivas mencionadas em todas as literaturas</p><p>que abordam a gestão de riscos de TI, direcionadas à governança de</p><p>TI, como o Cobit.</p><p>Para iniciarmos, é importante ressaltar que o que define o leque</p><p>temático de uma norma ISO é o seu número inicial, por exemplo:</p><p>27.000. Esta norma, especificamente, introduz o tema “Sistemas</p><p>de gestão de segurança da informação – SGSI”, com definição</p><p>e vocabulário, enquanto que as numerações que vêm a seguir</p><p>afunilam mais o tema, especificando detalhes e procedimentos. Em</p><p>outras palavras, você não encontrará uma norma ISO da família</p><p>27.000 que aborde o tema “qualidade” – papel este da família ISO</p><p>9.000.</p><p>Adicionalmente, após o número da norma, coloca-se o ano de</p><p>sua publicação, por exemplo: ISO 27.001:2005. É importante que</p><p>você compreenda esta estrutura para que comece a relacionar</p><p>determinados assuntos abordados em toda a extensão deste tema.</p><p>16</p><p>A ISO 27.001 define os requisitos para gestão dos sistemas de</p><p>informação. Já a ISO 27.005:2011 define o gerenciamento de riscos de</p><p>segurança da informação.</p><p>Para Hintzbergen (2018), a família ISO 27.000 fornece um código de</p><p>prática que orientará os gestores de TI a compreender os cenários</p><p>de segurança, seus insumos, elementos, componentes e recursos</p><p>humanos, de forma a implantar e gerenciar de maneira eficaz os</p><p>riscos de segurança da informação, provendo melhorias contínuas</p><p>com base no monitoramento cíclico de desempenho.</p><p>Já a família de normas ISO 31.000 orienta-nos quanto às melhores</p><p>práticas para implantação e manutenção da gestão de riscos em uma</p><p>organização. Atente-se que, quando tratamos a respeito de gestão de</p><p>riscos, abordamos algo mais conceitual, ou seja, é algo mais filosófico</p><p>que deve impactar a organização, para que possam se colher</p><p>resultados mais tangíveis e concretos.</p><p>Como parte da família ISO 31.000, temos a ISO 31.010, que fornece</p><p>algumas técnicas para avaliação da gestão de riscos. Adicionalmente,</p><p>o Guia 73, vinculado à mesma família, traz um vocabulário quanto às</p><p>expressões utilizadas na gestão de riscos.</p><p>Em geral, para que se obtenham bons resultados no gerenciamento</p><p>de riscos em uma organização, subentende-se que os riscos devem</p><p>ser amplamente conhecidos e reconhecidos.</p><p>Desta maneira, a família ISO 31.000 estabelece alguns passos a</p><p>serem seguidos tanto no momento de implantação</p><p>quanto no</p><p>gerenciamento constante – considerando que o processo deve ser</p><p>cíclico e contínuo.</p><p>O primeiro desses passos é o estabelecimento de um contexto, por</p><p>meio do qual será definido o cenário no qual a norma será aplicada e,</p><p>17</p><p>com base neste cenário, é estabelecido o que pode ser definido como</p><p>risco, identificando suas incidências e categorizando-os. Como passos</p><p>seguintes, é executada a análise desses riscos, uma avaliação e, por</p><p>fim, seu tratamento.</p><p>Para se estabelecer este contexto, é necessário conhecer bem a</p><p>estrutura da organização, bem como seus pontos fracos e fortes. De</p><p>forma a facilitar esta mensuração, recomenda-se o uso de métricas</p><p>também já preestabelecidas (afinal, por que reinventar a roda se</p><p>podemos, simplesmente, utilizá-la?). Uma forma bastante conhecida</p><p>de mensuração desses pontos fortes e fracos é por meio da análise</p><p>SWOT (ou matriz SWOT), que aponta todos os fatores positivos,</p><p>negativos, oportunidades e ameaças a uma organização. Geralmente,</p><p>ela é descrita com uma imagem similar à Figura 1, a seguir.</p><p>Figura 1 – Análise SWOT</p><p>Fonte: human/iStock.com.</p><p>18</p><p>Utilizar a família de normas ISO não limita a equipe de</p><p>governança de TI ou o gestor de TI em utilizar apenas esta base</p><p>de conhecimentos, pelo contrário, é possível utilizar um leque</p><p>mais amplo de recursos (bibliotecas, guias, frameworks) para</p><p>complementar a base estrutural da gestão de riscos.</p><p>Alguns guias que geralmente são aderidos de forma paralela:</p><p>• PMBOK (para gerenciamento de projetos), que tem uma</p><p>seção específica voltada à implementação de respostas aos</p><p>riscos.</p><p>• Prince 2, também para o mesmo segmento de projetos e</p><p>que conta com os critérios semelhantes para identificação,</p><p>avaliação e controle dos riscos.</p><p>• Biblioteca ITIL, para gerenciamento de serviços, que</p><p>garante por meio de sua estrutura que os requisitos de</p><p>determinados serviços sejam atendidos, reduzem o risco de</p><p>falhas e interrupção de serviços.</p><p>Na “Leitura digital”, é possível conhecer maiores detalhes sobre</p><p>as normas ISO voltadas à segurança de informação, bem como</p><p>analisar e compreender em detalhes os passos propostos pela ISO</p><p>31.000 quanto ao processo cíclico de gestão de riscos.</p><p>Referências bibliográficas</p><p>HINTZBERGEN, J. et al. Fundamentos de segurança da</p><p>informação: com base na ISO 27.001 e na ISO 27.002. Rio de</p><p>Janeiro: Brasport, 2018.</p><p>19</p><p>PARA SABER MAIS</p><p>Diante de tantos guias, ferramentas, bibliotecas e frameworks, a</p><p>escolha da melhor prática para se implantar em uma organização</p><p>pode se tornar uma tarefa bastante árdua e demorada.</p><p>O PMBOK entra neste cenário como um guia – diferentemente do</p><p>Prince2, por exemplo, que é uma metodologia. O primeiro, um guia</p><p>sobre os passos a serem executados, enquanto que o segundo</p><p>define uma “receita de bolo” a ser seguida. Desta forma, nota-se que</p><p>o PMBOK é mais maleável e permite adaptações com mais facilidade,</p><p>tornando-o uma estratégia bastante versátil a qualquer organização</p><p>que execute suas tarefas baseadas em projetos.</p><p>Atente que a adoção de qualquer um dos balizadores (PMBOK ou</p><p>Prince2) depende da existência de um projeto a ser gerenciado. De</p><p>acordo com Newton (2011, p. 1 apud CARVALHO, 2012), “projeto é</p><p>basicamente um modo de trabalho, um modo de organizar pessoas</p><p>e um modo de gerenciar atividades. É um estilo de coordenação e</p><p>gestão de trabalho”.</p><p>Desta forma, para que haja a implementação do PMBOK, Prince2</p><p>ou outra metodologia/guia/framework, é uma premissa que exista,</p><p>de fato, um projeto a ser gerido. Se, porventura, a organização não</p><p>executar seus procedimentos com estrutura de projetos, talvez</p><p>a adoção de uma ferramenta complementar como essas citadas</p><p>torne-se algo inviável, simplesmente por alguns conceitos não se</p><p>encaixarem da devida forma dentro de um escopo maior.</p><p>Uma definição que empiricamente é utilizada para projetos é</p><p>um esforço temporário para se executar determinada tarefa</p><p>que tenha um começo, meio e fim. Assim, mesmo que ocorra</p><p>um ciclo de atividades, espera-se que, em um projeto, esse ciclo</p><p>20</p><p>seja acompanhado de incrementos, ou seja, o projeto inicia, se</p><p>desenvolve, finaliza e então recomeça com novos incrementos,</p><p>refazendo o ciclo de forma infinita.</p><p>Referências bibliográficas</p><p>CARVALHO, F. C. A. de. Gestão de projetos. São Paulo: Pearson</p><p>Education do Brasil, 2012.</p><p>TEORIA EM PRÁTICA</p><p>Você compõe a governança de TI da organização ABC S/A e,</p><p>já tendo colaborado na implantação da filosofia de gestão</p><p>de riscos com sucesso, toda a equipe precisa introduzir a</p><p>família ISO 31.000 neste processo. Você sabe que existem</p><p>alguns passos a serem dados, sendo o primeiro deles o</p><p>estabelecimento do contexto da organização, compreendido</p><p>basicamente pela definição do cenário no qual a gestão</p><p>de riscos atuará. A governança de TI deverá estabelecer os</p><p>procedimentos a serem adotados para estabelecer um contexto</p><p>que represente, de fato, a organização, ou seja, será necessário</p><p>que sejam estabelecidos quais os departamentos desta</p><p>organização (categorizando-os por níveis de criticidade), quais</p><p>são os responsáveis destes departamentos e o organograma</p><p>funcional de cada um; será necessário, ainda, apontar o</p><p>segmento em que cada departamento atua na composição do</p><p>todo, bem como a relação que os departamentos têm entre si;</p><p>adicionalmente, será necessário expor os níveis de informação</p><p>– e suas respectivas criticidades – que circulam em cada</p><p>departamento, de forma a gerar uma categorização. Uma dica</p><p>21</p><p>seria esboçar esta estrutura de forma individual (departamento</p><p>a departamento) e depois uni-las para compor um quadro</p><p>completo. Como você, enquanto membro da governança de TI,</p><p>realizaria esta tarefa?</p><p>Para conhecer a resolução comentada proposta pelo</p><p>professor, acesse a videoaula deste Teoria em Prática no</p><p>ambiente de aprendizagem.</p><p>LEITURA FUNDAMENTAL</p><p>Indicação 1</p><p>Como foi explanado anteriormente, algumas organizações</p><p>podem lidar com as atividades em forma de projetos e, neste</p><p>viés, detectar os riscos inerentes a cada etapa dos processos.</p><p>No livro Gestão de projetos, o autor aponta, a partir da página</p><p>18, a forma de comunicação com o público-alvo do projeto. Esta</p><p>identificação é interessante para que você compreenda a forma</p><p>como lidar com os stakeholders (indivíduo ou organização que</p><p>seja impactado pelas ações de uma determinada organização,</p><p>como um acionista, por exemplo) de um projeto, bem como</p><p>estabelecer os critérios de riscos (que podem ser diferentes, na</p><p>sua visão, quando comparados à visão do público-alvo). Este</p><p>livro pode ser encontrado na biblioteca Kroton. Os detalhes da</p><p>obra estão na referência abaixo.</p><p>CARVALHO, F. C. A. de. Gestão de projetos. São Paulo: Pearson</p><p>Education do Brasil, 2012.</p><p>Indicações de leitura</p><p>22</p><p>Indicação 2</p><p>O livro Implantando a governança de TI aborda, de maneira</p><p>bastante clara e didática, os processos necessários para a</p><p>obtenção de sucesso na governança de TI, desde os primeiros</p><p>passos de implantação até sua manutenibilidade. A partir da</p><p>página 501, o autor adentra nas normas ISO 31.000, apontando</p><p>suas definições e expondo uma estrutura complementar ao</p><p>quadro de processos de gerenciamento de riscos que vimos</p><p>na “Leitura digital”. Esta é uma leitura que irá dar a você uma</p><p>base muito mais sólida a respeito das métricas estabelecidas</p><p>pela família ISO 31.000 e, com certeza, irá agregar-lhe um novo</p><p>patamar de conhecimentos. O livro está disponível na biblioteca</p><p>Kroton e pode ser localizado por meio da referência a seguir:</p><p>FERNANDES, A. A. Implantando a governança de TI: da</p><p>estratégia à gestão dos processos e serviços. 4. ed. Rio de</p><p>Janeiro: Brasport, 2014.</p><p>QUIZ</p><p>Prezado aluno, as questões do Quiz têm como propósito a</p><p>verificação de leitura dos itens Direto ao Ponto, Para Saber</p><p>Mais, Teoria em Prática e Leitura Fundamental, presentes</p><p>neste Aprendizagem em Foco.</p><p>Para as avaliações virtuais e presenciais, as questões serão</p><p>elaboradas a partir de todos os itens do Aprendizagem em</p><p>Foco e dos slides usados para a gravação das videoaulas,</p><p>além de</p><p>questões de interpretação com embasamento no</p><p>cabeçalho da questão.</p><p>23</p><p>1. Considere que você, membro da governança de TI da ABC</p><p>S/A, precisa implantar a filosofia de gestão de riscos em</p><p>TI dentro da organização utilizando a família de normas</p><p>ISO 31.000. Um dos primeiros passos que você dará será</p><p>quanto:</p><p>a. A definir os riscos que podem afetar a organização.</p><p>b. À definição do contexto da organização.</p><p>c. A preparar um plano para diminuição dos riscos, já que é</p><p>impossível removê-los.</p><p>d. À elaboração de um mapa de riscos, expondo as</p><p>potenciais ameaças à fluidez dos processos.</p><p>e. Ao estabelecimento de critérios para se transformar um</p><p>risco em um projeto a ser sanado.</p><p>2. Quanto à identificação de riscos em TI, baseado na família</p><p>de normas ISO 31.000, é possível afirmar que:</p><p>a. São incrementais, ou seja, seguem uma execução cíclica,</p><p>podendo ocorrer em diferentes etapas da implantação da</p><p>gestão de riscos.</p><p>b. Ocorre paralelamente ao estabelecimento do contexto</p><p>organizacional no qual será aplicada a gestão de riscos.</p><p>c. Deve contemplar todos os riscos possíveis, pois se algum</p><p>risco for deixado de fora, ele não será tratado nos passos</p><p>seguintes.</p><p>d. Pode não ocorrer, para riscos cuja oportunidade seja</p><p>positiva, por exemplo, uma situação de aumento</p><p>exponencial de receita à organização.</p><p>e. É uma etapa obrigatória e ocorre após a criação de um</p><p>diagrama representativo da análise SWOT.</p><p>24</p><p>GABARITO</p><p>Questão 1 - Resposta B</p><p>Resolução: Considerando como base a família de normas</p><p>ISO 31.000, o primeiro passo é estabelecer o contexto da</p><p>organização para que seja possível conhecer o ambiente</p><p>no qual os riscos estarão atuando e, só então, seja</p><p>possível identificá-los, mensurá-los e iniciar o processo de</p><p>tratamento.</p><p>Questão 2 - Resposta C</p><p>Resolução: Conforme demonstra a família de normas</p><p>ISO 31.000, a identificação dos riscos deve ocorrer de</p><p>forma integral após o estabelecimento do contexto da</p><p>organização e nenhum risco pode ser deixado de fora,</p><p>caso contrário, ele não poderá receber um tratamento nos</p><p>passos seguintes do processo de gestão de riscos.</p><p>TEMA 3</p><p>Introdução à gestão de riscos</p><p>______________________________________________________________</p><p>Autoria: Márcio dos Santos</p><p>Leitura crítica: Cecilia Sosa Arias Peixoto</p><p>26</p><p>DIRETO AO PONTO</p><p>A organização de um esboço dos tipos de ameaças que ocasionam</p><p>riscos à organização é um processo criterioso e que requer atenção,</p><p>tempo, minúcia e tato para que este esboço possa representar, de</p><p>fato, o cenário fidedigno do quadro de ameaça. Lembre-se: ameaça é</p><p>tudo o que pode causar algum tipo de dano/prejuízo ao ativo de uma</p><p>organização.</p><p>Não há, propriamente, um modelo estabelecido e mandatório desta</p><p>estrutura, mas podemos presumir que alguns campos específicos</p><p>podem trazer maior nível de detalhamento das ameaças e contribuir</p><p>no processo de tratativa. Abaixo segue uma relação de tópicos que</p><p>podem ser considerados para guiar o processo de tratativa (em</p><p>forma de proposta):</p><p>• Ameaça: você deve apontar o nome da ameaça de</p><p>forma clara, de forma que ela possa ser claramente</p><p>identificada quando lida, observada ou prevista por alguém,</p><p>independentemente do cargo ou da posição dentro da</p><p>organização. É recomendado o uso de poucas palavras para</p><p>facilitar ainda mais o processo de reconhecimento.</p><p>• Tipo: propõe-se que a ameaça seja categorizada dentro</p><p>dos três tipos de agentes: intencional, involuntária (ou não</p><p>intencional) e natural. Esta designação contribuirá para</p><p>determinar as opções posteriores, inclusive, de tratativa.</p><p>• Origem: uma vez determinado o tipo da ameaça, de acordo</p><p>com a categoria do agente, é interessante apontar sua</p><p>origem (interna, externa ou ambos). Esta determinação</p><p>contribuirá tanto no processo de tratativa quanto na revisão</p><p>das métricas de aferição dos riscos – afinal, o processo de</p><p>gestão de riscos é algo contínuo e incremental.</p><p>27</p><p>• Impacto: toda ameaça, quando concretizada, gera impacto</p><p>(que nem sempre é negativo). Desta forma, apontar o</p><p>nível de impacto contribuirá para apontar o seu nível de</p><p>criticidade. É interessante observar que o impacto não deve</p><p>ser visto apenas no aspecto financeiro – o que é comum</p><p>de acontecer –, mas também nos impactos produtivos e de</p><p>imagem da organização.</p><p>• Modo de solução: algo bastante interessante de compor</p><p>o quadro de ameaças é a exposição clara das maneiras</p><p>como aquela ameaça poderia ser sanada. Esta etapa,</p><p>claro, pertence ao tratamento ou à aceitação do risco, mas</p><p>é importante que a ameaça tenha seu próprio leque de</p><p>tratativas dentro do contexto geral.</p><p>• Plano de contingência: o plano de contingência também é</p><p>uma etapa a ser abordada no tratamento ou na aceitação</p><p>do risco, mas assim como o modo de solução, descrito</p><p>anteriormente, é importante que o quadro de ameaças já</p><p>conte com uma diretiva apontando o caminho a ser seguido.</p><p>• Prazo de conclusão: a ameaça, quando identificada,</p><p>precisa ter um prazo para ter seus efeitos colocados em</p><p>modo de inércia – se possível. Esta abordagem será tratada</p><p>em detalhes no plano de contingência, mas pode receber</p><p>uma prévia nesta etapa também. É importante que se</p><p>compreenda que o prazo deverá ser mais célere ou mais</p><p>brando, de acordo com o nível de criticidade da ameaça.</p><p>• Nível de criticidade: como citado anteriormente, o nível</p><p>de criticidade irá determinar vários aspectos referentes à</p><p>tratativa da ameaça e um possível plano de contingência.</p><p>Não confunda: o plano de contingência não pertence à seção</p><p>de ameaças, mas pode influenciar esta área.</p><p>Observe a seguir um modelo utilizando os tópicos sugeridos acima:</p><p>28</p><p>Quadro 1 – Proposta de elicitação de ameaças,</p><p>com categorização</p><p>Ameaça Tipo Origem Impacto Modo de</p><p>solução</p><p>Plano de</p><p>contingência</p><p>Prazo de</p><p>conclusão</p><p>Nível</p><p>de</p><p>criticidade</p><p>Invasão Intencional Externa Roubo de</p><p>informações;</p><p>quebra de</p><p>integridade</p><p>Desconexão</p><p>dos</p><p>dispositivos</p><p>da rede</p><p>externa</p><p>Manter</p><p>dispositivos</p><p>desconectados</p><p>até que a</p><p>vulnerabilidade</p><p>seja sanada</p><p>Trafegar dados</p><p>essenciais apenas</p><p>pela sub-rede de</p><p>contingência</p><p>3 horas Alto</p><p>Malwares Não</p><p>intencional</p><p>Externa/</p><p>interna</p><p>Danificação</p><p>de dados</p><p>Restauração</p><p>de backup com,</p><p>no máximo,</p><p>40 minutos de</p><p>geração</p><p>A restauração</p><p>de uma cópia</p><p>básica dos dados</p><p>ocorrerá em 10%</p><p>das máquinas</p><p>afetadas para</p><p>que os serviços</p><p>continuem ativos</p><p>enquanto as</p><p>demais máquinas</p><p>recebem o backup</p><p>completo</p><p>30 minutos</p><p>para</p><p>colocar</p><p>o backup</p><p>básico em</p><p>atividade</p><p>4 horas</p><p>para</p><p>restaurar o</p><p>backup nas</p><p>máquinas</p><p>Alto</p><p>Queda de</p><p>energia</p><p>Não</p><p>intencional</p><p>Externa Compro</p><p>metimento da</p><p>integridade</p><p>Suspensão</p><p>temporária</p><p>das</p><p>operações</p><p>Perda de</p><p>comunicação</p><p>síncrona</p><p>com filiais.</p><p>Perda de</p><p>trabalhos em</p><p>execução</p><p>(não salvos)</p><p>Os nobreaks</p><p>(com</p><p>sustentação</p><p>de 5 horas)</p><p>deverão entrar</p><p>em operação</p><p>imediatamente</p><p>após a queda de</p><p>energia</p><p>O sistema de</p><p>gerador interno</p><p>de energia deverá</p><p>ser ativado assim</p><p>que a energia da</p><p>rede pública cair</p><p>Ativação</p><p>dos</p><p>nobreaks:</p><p>imediata</p><p>Ativação</p><p>dos</p><p>geradores</p><p>internos:</p><p>até 10</p><p>minutos</p><p>após a</p><p>queda de</p><p>energia</p><p>Baixo</p><p>Fonte: desenvolvido pelo autor.</p><p>29</p><p>O ideal é que você consiga adaptar o quadro de ameaças à forma</p><p>e necessidade da organização na qual você atua/atuará, pois seu</p><p>aspecto não é fixo, tampouco fechado.</p><p>Referências bibliográficas</p><p>CABRAL, C.; CAPRINO, W. Trilhas em segurança da informação:</p><p>caminhos e ideias para a proteção de dados. Rio de Janeiro: Brasport,</p><p>2015.</p><p>PARA SABER MAIS</p><p>Em gestão de riscos, costumamos apontar como ativo o elemento</p><p>diretamente afetado pela ocorrência da ameaça e esses</p><p>ativos podem ser caracterizados como concretos ou abstratos</p><p>(quantitativos e qualitativos, respectivamente).</p><p>Os ativos concretos são mais fáceis de serem identificados, pois</p><p>são tangíveis e mais facilmente mensuráveis. Já os abstratos,</p><p>geralmente, possuem alto grau de subjetividade que podem ser</p><p>vistos de maneiras diferentes por indivíduos distintos dentro da</p><p>mesma organização.</p><p>Um dos ativos concretos que muitas vezes são deixados</p><p>de lado</p><p>em uma análise de riscos são os recursos humanos, ou seja, o</p><p>próprio corpo de colaboradores da organização. Por serem ativos</p><p>alheios à organização, ou seja, não estão diretamente atrelados</p><p>a ela no sentido de posse, eles acabam não recebendo a tratativa</p><p>mais adequada dentro do contexto de gestão de riscos.</p><p>30</p><p>Veremos, a seguir, como lidar com o ativo de recursos humanos</p><p>dentro de uma estrutura que busca identificar os ativos para</p><p>compor a gestão de riscos de uma organização:</p><p>• Conhecer as características desses ativos: o primeiro</p><p>e talvez mais intuitivo e trivial passo está ligado ao</p><p>conhecimento do ativo em si, ou seja, seus hábitos,</p><p>costumes, ideologias e perfil ético. Essas características soam</p><p>bastante como um processo de recrutamento de pessoal,</p><p>mas é exatamente por meio dessa elicitação de diretrizes</p><p>que o perfil do ativo de recursos humanos será desenhado,</p><p>possibilitando reconhecer as formas como as ameaças irão</p><p>afetá-lo.</p><p>• Determinar o conhecimento técnico: dois recursos</p><p>humanos, atuantes em uma mesma seção e no mesmo</p><p>grupo de tarefas, podem sofrer impactos diferentes quando</p><p>da concretização de uma ameaça, de acordo com o nível</p><p>técnico de conhecimento que este ativo detenha.</p><p>Um bom exemplo seria o comportamento de dois</p><p>colaboradores mediante a chegada de um e-mail com link</p><p>suspeito. Aquele colaborador com menor conhecimento</p><p>técnico possivelmente clicará sobre o link suspeito,</p><p>colocando seu equipamento em risco, enquanto que aquele</p><p>colaborador com maior nível técnico reconhecerá a potencial</p><p>ameaça oculta e descartará o e-mail ou o encaminhará à TI</p><p>para análise e tratativas necessárias.</p><p>• Prover treinamento preventivo: uma das formas mais</p><p>eficientes de blindar o ativo recursos humanos é por meio</p><p>de treinamentos que aumentem seu nível técnico de</p><p>conhecimento dentro das áreas nas quais ele irá atuar. Estes</p><p>treinamentos visam dar maior aporte aos colaboradores, o</p><p>31</p><p>que impactará diretamente a forma como as ameaças irão</p><p>afetá-los.</p><p>Referências bibliográficas</p><p>BARRETO, J. S. et al. Fundamentos de segurança da informação.</p><p>Porto Alegre: SAGAH, 2018.</p><p>TEORIA EM PRÁTICA</p><p>A empresa ABC S/A está implantando a gestão de riscos dentro da</p><p>organização. A governança de TI já está ciente da importância desta</p><p>gestão e está se baseando nas normas técnicas (ISO) disponíveis,</p><p>além de seguir as designações passadas pelo Cobit e a biblioteca ITIL.</p><p>Todo o contexto já foi estabelecido e a governança está na etapa</p><p>de avaliação e análise dos riscos, especificamente na subetapa de</p><p>elencar as ameaças, organizando-as em um quadro de ameaças.</p><p>Considere-se como um gestor de TI desta organização. Elenque</p><p>as ameaças, os tipos, a origem, impactos e outros critérios que</p><p>poderiam afetar a organização. Lembre-se de que você pode ser</p><p>mais criterioso e criar quantas colunas desejar neste quadro.</p><p>OBS.: antes de realizar este desafio, determine o ramo de atividade</p><p>da ABC S/A, de forma que o cenário exposto possa fazer mais</p><p>sentido.</p><p>Para conhecer a resolução comentada proposta pelo</p><p>professor, acesse a videoaula deste Teoria em Prática no</p><p>ambiente de aprendizagem.</p><p>32</p><p>LEITURA FUNDAMENTAL</p><p>Indicação 1</p><p>Esta revisão bibliográfica proposta a seguir aborda, de maneira</p><p>bastante eficiente, os métodos de gestão de riscos em projetos,</p><p>utilizando como referência várias fontes de peso no segmento</p><p>(inclusive da área de engenharia). Este material pode ser</p><p>encontrado na internet por meio das referências abaixo:</p><p>LOURO, A. C.; PUGIRÁ, C. G. Estudo bibliográfico em gestão</p><p>de riscos visando identificar as ferramentas, métodos e</p><p>relacionamentos mais referenciados. Iberoamerican Journal of</p><p>Project Management, Buenos Aires, v. 6, n. 1, p. 78-93, 2015.</p><p>Indicação 2</p><p>Nesta monografia de pós-graduação, Freitas (2009) comenta sobre</p><p>a gestão de riscos aplicada a sistemas de informação. Criando</p><p>uma linha do tempo bem estruturada, o autor explica o valor</p><p>da informação, prazos para guarda de documentos baseado no</p><p>Novo Código Civil, além de tratar a respeito da classificação dos</p><p>níveis de segurança. O conteúdo pode ser localizado na referência</p><p>abaixo.</p><p>FREITAS, E. A. M. Gestão de riscos aplicada a sistemas de</p><p>informação: segurança estratégica da informação. 2009. 71 f.</p><p>Monografia (Pós-graduação em Gestão Estratégica e Qualidade)</p><p>– Universidade Cândido Mendes, Brasília, 2009. Disponível em:</p><p>http://www.academia.edu/download/34979046/gestao_riscos_</p><p>freitas.pdf. Acesso em: 19 jun. 2020.</p><p>Indicações de leitura</p><p>http://www.academia.edu/download/34979046/gestao_riscos_freitas.pdf.</p><p>http://www.academia.edu/download/34979046/gestao_riscos_freitas.pdf.</p><p>33</p><p>QUIZ</p><p>Prezado aluno, as questões do Quiz têm como propósito a</p><p>verificação de leitura dos itens Direto ao Ponto, Para Saber</p><p>Mais, Teoria em Prática e Leitura Fundamental, presentes</p><p>neste Aprendizagem em Foco.</p><p>Para as avaliações virtuais e presenciais, as questões serão</p><p>elaboradas a partir de todos os itens do Aprendizagem em</p><p>Foco e dos slides usados para a gravação das videoaulas,</p><p>além de questões de interpretação com embasamento no</p><p>cabeçalho da questão.</p><p>1. Prover a segurança da informação é um dos propósitos da</p><p>gestão de risco. De acordo com Freitas (2009), a ameaça que</p><p>infesta uma rede sobrecarregando recursos, é chamada de:</p><p>a. Vírus.</p><p>b. Worm.</p><p>c. Trojan.</p><p>d. Spyware.</p><p>e. Keylogger.</p><p>2. Uma das formas de manter os critérios de segurança da</p><p>informação é por meio da comprovação de integridade. Freitas</p><p>(2009) aponta-nos dois tipos de criptografia que auxiliam neste</p><p>processo:</p><p>a. Simétrica e assimétrica.</p><p>b. Ação e verificação.</p><p>c. Hash e coding.</p><p>d. Simétrica e hash.</p><p>34</p><p>e. Coding e hash.</p><p>GABARITO</p><p>Questão 1 - Resposta A</p><p>Resolução: O objetivo do worm (verme) é sobrecarregar</p><p>recursos de uma rede por meio da autorreplicação. Ele pode</p><p>permitir acesso remoto a recursos do computador.</p><p>Questão 2 - Resposta A</p><p>Resolução: Por meio da criptografia simétrica/assimétrica, a</p><p>integridade de uma mensagem/dado/informação pode ser</p><p>protegida e assegurada.</p><p>TEMA 4</p><p>Tratamento, aceitação e</p><p>monitoramento dos riscos</p><p>______________________________________________________________</p><p>Autoria: Márcio dos Santos</p><p>Leitura crítica: Cecilia Sosa Arias Peixoto</p><p>36</p><p>DIRETO AO PONTO</p><p>O processo de tratamento de riscos pode, via de regra, ser</p><p>minimizado por meio de sua modificação, que consiste</p><p>em alterar o panorama do risco e, por consequência, seus</p><p>impactos.</p><p>A eliminação das atividades que geram o risco é uma das</p><p>maneiras de se atingir tal objetivo. Afinal, se um risco existe,</p><p>pressupõe-se que ele foi originado a partir de um fator que o</p><p>provocou; se este fator vier a ser eliminado, o risco tende a ser</p><p>suprimido também.</p><p>Neste caso, espera-se do gestor de TI ou do time de governança</p><p>que façam uma análise quanto aos impactos de se eliminar</p><p>o fator gerador do risco. Se os impactos forem aceitáveis em</p><p>detrimento ao combate de um risco de alto grau, talvez seja</p><p>uma boa alternativa optar por eliminar a atividade-origem ou,</p><p>ainda, a fonte de risco (que pode ser um ativo, por exemplo).</p><p>Mas, em alguns casos, o risco é propositalmente encarado</p><p>como um mal menor frente a uma oportunidade iminente, ou</p><p>seja, o impacto do risco é baixo quando comparado com uma</p><p>oportunidade de se alcançar um benefício importante. É como</p><p>arriscar na bolsa de valores com base em especulação de uma</p><p>fonte confiável.</p><p>É importante ressaltar que, nesta opção, existem duas</p><p>vertentes: uma quanto à aceitação de um novo risco e outra</p><p>quanto à aceitação de elevação de um risco controlado e</p><p>já sob processo de tratamento. Esta segunda opção é a de</p><p>julgamento mais simples, considerando que o risco em questão</p><p>37</p><p>já é conhecido e se tem dele todo um histórico, estatísticas e</p><p>probabilidades de ocorrência e impacto.</p><p>E, ainda na mesma linha de raciocínio quanto aos riscos</p><p>conhecidos, salienta-se que a própria forma de analisá-los pode</p><p>ser ajustada de forma a prover um cenário diverso do inicial.</p><p>Este cenário paralelo gerará, por consequência, uma</p><p>nova</p><p>probabilidade de ocorrência. Nesta vertente, é possível também</p><p>modificar as consequências advindas do risco, podendo torná-lo</p><p>mais aceitável.</p><p>Algo que é bastante comum atualmente é atribuir a um</p><p>terceiro a responsabilidade de lidar com os riscos por meio de</p><p>seguradoras, para as quais transfere-se o prejuízo de lidar com</p><p>os riscos ocorridos.</p><p>Por fim, é trivial considerar a aceitação de um determinado</p><p>risco, caso os impactos dele em detrimento ao custo de</p><p>tratamento sejam ínfimos. Esta aceitação requer, claro, um</p><p>aval da governança de TI, que irá, com base em uma análise</p><p>totalmente estruturada, apontar a possibilidade de aceitação do</p><p>risco.</p><p>Todos esses cenários expostos devem ser levados em</p><p>consideração com um detalhe adicional: em nenhum deles</p><p>o objetivo principal foi eliminar o risco. Afinal, um risco, em</p><p>uma visão ampla, é algo que não se pode eliminar, apenas</p><p>minimizar; além disso, um risco também é necessário para se</p><p>mensurar o grau de importância de um determinado ativo ou</p><p>insumo da organização.</p><p>E, independentemente da forma escolhida para se modificar o</p><p>risco, o gestor de TI ou time de governança de TI devem estar</p><p>bem cientes do que uma modificação no risco A pode ocasionar</p><p>38</p><p>na geração de um risco B, ou que uma alteração no risco B</p><p>pode agravar o risco C.</p><p>Cabe, ainda, uma ressalva quanto à forma como a organização</p><p>irá encarar a ocorrência fatídica do risco. Espera-se que</p><p>exista um plano de continuidade de negócios (BCP – business</p><p>continuity planning) que assegure que os trabalhos da</p><p>organização retornem às atividades no mesmo ritmo de antes;</p><p>concomitantemente, espera-se, também, um DRP (disaster</p><p>recovery planning) – plano de recuperação de desastres –, que</p><p>foca em colocar as atividades novamente em operação após a</p><p>ocorrência de um desastre.</p><p>Figura 1 – Sequência de ocorrências mediante</p><p>concretização de uma ameaça</p><p>Fonte: elaborada pelo autor.</p><p>É, de fato, uma cadeia emaranhada de ligações que precisa</p><p>ser analisada com minúcia e por pessoas com conhecimento</p><p>técnico em várias áreas – justificando ser um papel atribuído</p><p>prioritariamente à governança de TI.</p><p>Referências bibliográficas</p><p>CABRAL, C.; CAPRINO, W. Trilhas em segurança da informação:</p><p>caminhos e ideias para a proteção de dados. Rio de Janeiro:</p><p>Brasport, 2015.</p><p>39</p><p>HINTZBERGEN, J. et al. Fundamentos de segurança da</p><p>informação: com base na ISO 27.001 e na ISO 27.002. Rio de</p><p>Janeiro: Brasport, 2018.</p><p>PARA SABER MAIS</p><p>Em um cenário de TI, a proteção de acesso aos dados é um dos</p><p>grandes objetivos dos sistemas de informação. Existem estruturas</p><p>computacionais e técnicas de segurança que auxiliam neste</p><p>processo de prevenção de acesso indevido, sendo uma delas a</p><p>DMZ – demilitarized zone. Esta rede de perímetro estabelece uma</p><p>sub-rede que pode ser física ou lógica, criando uma espécie de</p><p>separação entre a rede interna e a rede de acesso externo.</p><p>A rede DMZ encontra-se na base da estrutura de uma rede</p><p>interna, responsável por acessar sites, e-mails, sistemas de</p><p>armazenamento, etc. Esta segunda não tem acesso direto à</p><p>primeira sem antes passar por um firewall e vice-versa; ambas</p><p>as redes só se enxergam por meio da proteção estabelecida do</p><p>firewall, que também é responsável por conectar ambas as redes à</p><p>internet. Esta estrutura é representada pela Figura 2:</p><p>40</p><p>Figura 2 – Estrutura de uma DMZ</p><p>Fonte: elaborada pelo autor.</p><p>Referências bibliográficas</p><p>CABRAL, C.; CAPRINO, W. Trilhas em segurança da informação:</p><p>caminhos e ideias para a proteção de dados. Rio de Janeiro:</p><p>Brasport, 2015.</p><p>41</p><p>TEORIA EM PRÁTICA</p><p>A empresa ABC S/A, que está implantando a gestão de riscos</p><p>em sua estrutura, ingressou na fase de tratamento e aceitação</p><p>dos riscos. Você, enquanto gestor de TI e membro do time de</p><p>governança de TI, tem como responsabilidade verificar as formas</p><p>de modificar os riscos que podem afetar a organização.</p><p>Com base em seus conhecimentos sobre segurança, controle de</p><p>acesso, normas ISO, Cobit, ITIL e PMBOK, você sabe que deverá</p><p>ter, no escopo da gestão de riscos, uma área específica para tratar</p><p>sobre BCP e DRP.</p><p>Assim, elabore um relatório que contenha métricas que devem ser</p><p>adotadas para um plano de continuidade dos negócios e um plano</p><p>de recuperação de desastres em caso de perda de dados por pane</p><p>geral no datacenter devido a desastre natural.</p><p>Para conhecer a resolução comentada proposta pelo</p><p>professor, acesse a videoaula deste Teoria em Prática no</p><p>ambiente de aprendizagem.</p><p>LEITURA FUNDAMENTAL</p><p>Indicação 1</p><p>No livro Criptografia e segurança de redes, de Willian Stalings,</p><p>você poderá ver maiores detalhes sobre sistemas de controle</p><p>de acesso por meio de sistemas de detecção de intrusos (IDS)</p><p>e sistema de prevenção de intrusão (IPS). Entre as páginas 400</p><p>Indicações de leitura</p><p>42</p><p>e 410, o tema é abordado de maneira mais enfática, embora</p><p>haja menção em outras seções do livro. É uma leitura que irá</p><p>contribuir para que você compreenda, com maior clareza, duas</p><p>formas adicionais de prover um controle de acesso aos dados</p><p>em uma rede.</p><p>Este material está disponível em nossa biblioteca virtual e a</p><p>referência está logo a seguir.</p><p>STALLINGS, W. Criptografia e segurança de redes. 6. ed. São</p><p>Paulo: Pearson Education do Brasil, 2015.</p><p>Indicação 2</p><p>O livro Sistemas de informação gerenciais, de Laudon e Laudon,</p><p>provê uma abordagem ampla sobre SI e dá uma visão completa</p><p>quanto ao assunto. Uma das abordagens é quanto aos erros,</p><p>falhas e defeitos em sistemas. É uma leitura interessante para</p><p>que você seja capaz de diferenciar erros de falhas e consiga</p><p>compreender o tipo de tratativa para cada situação.</p><p>O livro encontra-se disponível para leitura em nossa biblioteca</p><p>virtual e pode ser localizado com a referência a seguir.</p><p>LAUDON, K. Sistemas de informação gerenciais. São Paulo:</p><p>Pearson Education do Brasil, 2007</p><p>QUIZ</p><p>Prezado aluno, as questões do Quiz têm como propósito a</p><p>verificação de leitura dos itens Direto ao Ponto, Para Saber</p><p>Mais, Teoria em Prática e Leitura Fundamental, presentes neste</p><p>Aprendizagem em Foco.</p><p>43</p><p>Para as avaliações virtuais e presenciais, as questões serão</p><p>elaboradas a partir de todos os itens do Aprendizagem em Foco</p><p>e dos slides usados para a gravação das videoaulas, além de</p><p>questões de interpretação com embasamento no cabeçalho</p><p>da questão.</p><p>1. O encerramento das atividades que originam um risco é:</p><p>a. Uma forma de modificar os riscos.</p><p>b. Uma maneira de tratar as ameaças.</p><p>c. Um recurso para minimizar os impactos.</p><p>d. Uma alternativa para detectar ameaças.</p><p>e. Um meio de mensurar os ativos.</p><p>2. A alteração da probabilidade de ocorrência de um risco</p><p>pode ser feita:</p><p>a. Por meio da geração de dados fictícios.</p><p>b. Por meio do cálculo da média de ocorrências nocivas.</p><p>c. Utilizando informações de eventos anteriores.</p><p>d. A partir de uma estimativa futura.</p><p>e. Via manipulação das variáveis envolvidas.</p><p>GABARITO</p><p>Questão 1 - Resposta A</p><p>Resolução: A modificação dos riscos pode ocorrer de</p><p>formas diversas. Uma delas é por meio do encerramento da</p><p>atividade que dá origem ao risco em questão.</p><p>44</p><p>Questão 2 - Resposta E</p><p>Resolução: A manipulação das variáveis envolvidas em um</p><p>cálculo probabilístico alterará o valor final. Desta forma, a</p><p>probabilidade pode ser modificada ao serem considerados</p><p>outros fatores que haviam sido deixados de fora nos</p><p>cálculos iniciais.</p><p>Apresentação da disciplina</p><p>Introdução</p><p>TEMA 1</p><p>Direto ao ponto</p><p>Para saber mais</p><p>Teoria em prática</p><p>Leitura fundamental</p><p>Quiz</p><p>Gabarito</p><p>TEMA 2</p><p>Direto ao ponto</p><p>Teoria em prática</p><p>Leitura fundamental</p><p>Quiz</p><p>Gabarito</p><p>TEMA 3</p><p>Direto ao ponto</p><p>Para saber mais</p><p>Teoria em prática</p><p>Leitura fundamental</p><p>Quiz</p><p>Gabarito</p><p>TEMA 4</p><p>Direto ao ponto</p><p>Teoria em prática</p><p>Leitura fundamental</p><p>Quiz</p><p>Gabarito</p><p>Botão TEMA 5:</p><p>TEMA 2:</p><p>Botão 158:</p><p>Botão TEMA4:</p><p>Inicio 2:</p><p>Botão TEMA 6:</p><p>TEMA 3:</p><p>Botão 159:</p><p>Botão TEMA5:</p><p>Inicio 3:</p><p>Botão TEMA 7:</p><p>TEMA 4:</p><p>Botão 160:</p><p>Botão TEMA6:</p><p>Inicio 4:</p><p>Botão TEMA 8:</p><p>TEMA 5:</p><p>Botão 161:</p><p>Botão TEMA7:</p><p>Inicio 5:</p>