ISO 27005 Gestao-de riscos-de-ti-nbr-27005

Prévia do material em texto

Gestão de Riscos de TI – N
BR 27005
ISBN 978-85-63630-06-3
9 788563 630063
O livro de apoio ao curso apresenta os conceitos de 
gestão de riscos a partir da norma NBR ISO 27005. 
Define conceitos e trabalha a contextualização do am-
biente, identificação e levantamento dos riscos através 
do conhecimento das ameaças, ativos, vulnerabilidades, 
probabilidade de ocorrência e impactos. São realizados 
a estimativa e o cálculo de risco e definido o tratamento 
mais adequado. Todo o trabalho é baseado em um es-
tudo de caso, visando consolidar o conhecimento teórico. 
Este livro inclui os roteiros das atividades práticas e o con-
teúdo dos slides apresentados em sala de aula, apoiando 
profissionais na disseminação deste conhecimento em 
suas organizações ou localidades de origem.
Gestão de
Riscos de TI
NBR 27005
LI
VR
O 
DE
 A
PO
IO
 A
O 
CU
RS
O
Edson Kowask Bezerra
A RNP – Rede Nacional de Ensino 
e Pesquisa – é qualificada como 
uma Organização Social (OS), 
sendo ligada ao Ministério da 
Ciência, Tecnologia e Inovação 
( MC T I ) e r e s po ns á v e l pe l o 
Programa Interministerial RNP, 
que conta com a participação dos 
ministérios da Educação (MEC), da 
Saúde (MS) e da Cultura (MinC). 
Pioneira no acesso à Internet no 
Brasil, a RNP planeja e mantém a 
rede Ipê, a rede óptica nacional 
acadêmica de alto desempenho. 
Com Pontos de Presença nas 
27 unidades da federação, a rede 
tem mais de 800 instituições 
conectadas. São aproximadamente 
3,5 milhões de usuários usufruindo 
de uma infraestrutura de redes 
avançadas para comunicação, 
computação e experimentação, 
que contribui para a integração 
entre o sistema de Ciência e 
Tecnologia, Educação Superior, 
Saúde e Cultura.
Ciência, Tecnologia
e Inovação
Ministério da
Educação
Ministério da
Saúde
Ministério da
Cultura
Ministério da
Edson Kowask Bezerra é profissional 
da área de segurança da informação e 
governança há mais de quinze anos, 
atuando como auditor líder, pesquisa-
dor, gerente de projeto e gerente téc-
nico, em inúmeros projetos de gestão 
de riscos, gestão de segurança da 
informação, continuidade de negócios, PCI, auditoria e recu-
peração de desastres em empresas de grande porte do 
setor de telecomunicações, financeiro, energia, indústria e 
governo. Com vasta experiência nos temas de segurança e 
governança, tem atuado também como palestrante nos 
principais eventos do Brasil e ainda como instrutor de trei-
namentos focados em segurança e governança. É professor 
e coordenador de cursos de pós-graduação na área de 
segurança da informação, gestão integrada, inovação e tec-
nologias web. Hoje atua como Coordenador Acadêmico de 
Segurança e Governança de TI da Escola Superior de Redes. 
Possui a certificação CRISC da ISACA, além de diversas 
outras em segurança e governança.
A RNP – Rede Nacional de Ensino 
e Pesquisa – é qualificada como 
uma Organização Social (OS), 
sendo ligada ao Ministério da 
Ciência, Tecnologia e Inovação 
(M CT I ) e r e s po n s á v e l pe l o 
Programa Interministerial RNP, 
que conta com a participação dos 
ministérios da Educação (MEC), da 
Saúde (MS) e da Cultura (MinC). 
Pioneira no acesso à Internet no 
Brasil, a RNP planeja e mantém a 
rede Ipê, a rede óptica nacional 
acadêmica de alto desempenho. 
Com Pontos de Presença nas 
27 unidades da federação, a rede 
tem mais de 800 instituições 
conectadas. São aproximadamente 
3,5 milhões de usuários usufruindo 
de uma infraestrutura de redes 
avançadas para comunicação, 
computação e experimentação, 
que contribui para a integração 
entre o sistema de Ciência e 
Tecnologia, Educação Superior, 
Saúde e Cultura.
Ciência, Tecnologia
e Inovação
Ministério da
Educação
Ministério da
Saúde
Ministério da
Cultura
Ministério da
Edson Kowask Bezerra
Gestão de 
Riscos de TI 
NBR 27005
Edson Kowask Bezerra
 
Rio de Janeiro
Escola Superior de Redes
2013
Gestão de 
Riscos de TI 
NBR 27005 
Copyright © 2013 – Rede Nacional de Ensino e Pesquisa – RNP 
Rua Lauro Müller, 116 sala 1103 
22290-906 Rio de Janeiro, RJ
Diretor Geral 
Nelson Simões
Diretor de Serviços e Soluções 
José Luiz Ribeiro Filho
Escola Superior de Redes
Coordenação 
Luiz Coelho
Edição 
Pedro Sangirardi
Coordenação Acadêmica de Segurança e Governança de TI 
Edson Kowask Bezerra 
Equipe ESR (em ordem alfabética) 
Celia Maciel, Cristiane Oliveira, Derlinéa Miranda, Elimária Barbosa, Evellyn Feitosa, 
Felipe Nascimento, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, Renato Duarte 
e Yve Abel Marcial.
Capa, projeto visual e diagramação 
Tecnodesign
Versão 
2.0.1
Este material didático foi elaborado com fins educacionais. Solicitamos que qualquer erro encon-
trado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de 
conteúdo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e 
Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas, a 
pessoas ou bens, originados do uso deste material. 
As marcas registradas mencionadas neste material pertencem aos respectivos titulares.
Distribuição 
Escola Superior de Redes 
Rua Lauro Müller, 116 – sala 1103 
22290-906 Rio de Janeiro, RJ 
http://esr.rnp.br 
info@esr.rnp.br
Dados Internacionais de Catalogação na Publicação (CIP)
B574g Bezerra, Edson Kowask 
 Gestão de riscos de TI: NBR 27005 / Edson Kowask Bezerra. – Rio de Janeiro: RNP/ESR, 2013. 
 138 p. : il. ; 28 cm.
 Bibliografia: p.137. 
 ISBN 978-85-63630-32-2
 1. Tecnologia da informação - Técnicas de segurança. 2. Redes de computadores – Medidas 
 de segurança. 3. Gestão de riscos de segurança da informação. I. Título.
 CDD 005.8
iii
Sumário
Escola Superior de Redes
A metodologia da ESR ix
Sobre o curso  x
A quem se destina x
Convenções utilizadas neste livro x
Permissões de uso xi
Sobre o autor xii
1. Introdução à Gestão de Riscos
Introdução 1
Exercício de nivelamento 1 – Introdução à gestão de riscos 2
Conceitos fundamentais 2
Exercício de fixação 1 – Conceitos fundamentais 5
Princípios da Gestão de Riscos 5
Normas de gestão de segurança e de riscos 7
Norma ABNT NBR ISO/IEC 27005:2008 9
Visão geral da gestão de riscos 10
Exercício de fixação 2 – Visão geral 12
Exercício de fixação 3 – PDCA 15
Fatores críticos para o sucesso 15
Áreas de conhecimento necessárias 16
iv
Roteiro de Atividades 1 19
Atividade 1.1 – Conhecendo os conceitos 19
Atividade 1.2 – Conhecendo a norma 19
Atividade 1.3 – Identificando o processo 20
Atividade 1.4 – Fatores críticos 20
2. Contexto da gestão de riscos
Introdução 21
Exercício de nivelamento 1 – Contexto 21
Processo de gestão de riscos de segurança da informação 21
Contexto  22
Estabelecimento do contexto 23
Contexto da norma ABNT NBR ISO/IEC 27005 23
Definindo o contexto 24
Itens para identificação 24
Exercício de fixação 1 – Definindo o contexto 25
Definindo escopo e limites 26
Exercício de fixação 2 – Definindo o escopo e limites 27
Critérios para avaliação de riscos 28
Critérios de impacto 28
Critérios para aceitação do risco  29
Exercício de fixação 3 – Definindo os critérios 31
Organização para a gestão de riscos 32
Roteiro de Atividades 2 33
Anexo A – Descrição da empresa 36
3. Identificação de riscos
Introdução 41
Exercício de nivelamento 1 – Identificação dos riscos 41
Processo de análise de riscos de segurança da informação 41
Identificação de riscos 42
Identificando os ativos 43
Identificando os ativos primários 45
v
Identificando os ativos de suporte e infraestrutura 46
Exercício de fixação 1 – Identificandoos ativos 46
Identificando as ameaças 47
Exercício de fixação 2 – Identificando as ameaças 49
Identificando os controles existentes 49
Roteiro de Atividades 3 53
Anexo B – Infraestrutura 55
4. Análise de riscos: Vulnerabilidades e consequências
Introdução  59
Exercício de nivelamento 1 – Vulnerabilidades e consequências 59
Processo de análise de riscos de segurança da informação 60
Identificando as vulnerabilidades 60
Exercício de fixação 1 – Identificando vulnerabilidades 63
Identificação das consequências 63
Exercício de fixação 2 – Identificando as consequências 65
Roteiro de Atividades 4 67
Anexo C – Problemas relatados 69
5. Análise de Riscos: Avaliação das consequências
Introdução 83
Exercício de nivelamento 1 – Avaliação das consequências 83
Visão geral do processo de estimativa de risco 83
Metodologias 84
Metodologia de análise qualitativa 85
Metodologia de análise quantitativa 85
Exercício de fixação 1 – Metodologias 86
Estimativa de riscos 86
Avaliação das consequências 87
Roteiro de Atividades 5 89
vi
6. Análise de riscos: avaliação da probabilidade
Introdução 91
Exercício de nivelamento 1 – Avaliação da probabilidade 91
Visão geral do processo de avaliação de risco 92
Avaliação da probabilidade de ocorrência de incidentes 92
Exercício de fixação 1 – Avaliação da probabilidade 94
Determinação do nível de risco 94
Roteiro de Atividades 6 97
7. Avaliação de riscos
Introdução 101
Exercício de nivelamento 1 – Avaliação de riscos 101
Processo de avaliação de riscos de segurança da informação 101
Avaliação de riscos de segurança da informação 102
Exercício de fixação 1 – Avaliação de risco 103
Roteiro de Atividades 7 105
8. Tratamento e aceitação de riscos
Introdução 107
Exercício de nivelamento 1 – Tratamento e aceitação dos riscos 107
Visão geral do processo de tratamento do risco 107
Tratamento do risco 109
Riscos residuais 111
Modificação do risco 111
Retenção do risco 113
Ação de evitar o risco 113
Compartilhamento do risco 113
Exercício de fixação 1 – Tratamento de risco 114
Visão geral do processo de aceitação do risco 114
Aceitando o risco 115
Roteiro de Atividades 8 117
vii
9. Comunicação e monitoramento dos riscos
Introdução 121
Exercício de nivelamento 1 – Comunicação e consulta dos riscos 121
Processo de comunicação e consulta do risco de segurança 
da informação 122
Comunicação e consulta do risco de segurança da informação 123
Exercício de fixação 1 – Comunicação e consulta dos riscos 124
Roteiro de Atividades 9 125
10. Monitoramento dos riscos
Introdução 127
Exercício de nivelamento 1 – Monitoramento de riscos 127
Processo de monitoramento e análise crítica de riscos de 
segurança da informação 127
Monitoramento e análise crítica dos fatores de risco 129
Exercício de fixação 1 – Monitoramento e análise crítica dos riscos 130
Monitoramento, análise crítica e melhoria do processo de 
gestão de riscos 130
Roteiro de Atividades 10 133
Conclusão 135
Bibliografia  137
viii
ix
A Escola Superior de Redes (ESR) é a unidade da Rede Nacional de Ensino e Pesquisa (RNP) 
responsável pela disseminação do conhecimento em Tecnologias da Informação e Comunica-
ção (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competências 
em TIC para o corpo técnico-administrativo das universidades federais, escolas técnicas e 
unidades federais de pesquisa. Sua missão fundamental é realizar a capacitação técnica do 
corpo funcional das organizações usuárias da RNP, para o exercício de competências aplicá-
veis ao uso eficaz e eficiente das TIC. 
A ESR oferece dezenas de cursos distribuídos nas áreas temáticas: Administração e Projeto 
de Redes, Administração de Sistemas, Segurança, Mídias de Suporte à Colaboração Digital e 
Governança de TI.
A ESR também participa de diversos projetos de interesse público, como a elaboração e 
execução de planos de capacitação para formação de multiplicadores para projetos edu-
cacionais como: formação no uso da conferência web para a Universidade Aberta do Brasil 
(UAB), formação do suporte técnico de laboratórios do Proinfo e criação de um conjunto de 
cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).
A metodologia da ESR
A filosofia pedagógica e a metodologia que orientam os cursos da ESR são baseadas na 
aprendizagem como construção do conhecimento por meio da resolução de problemas típi-
cos da realidade do profissional em formação. Os resultados obtidos nos cursos de natureza 
teórico-prática são otimizados, pois o instrutor, auxiliado pelo material didático, atua não 
apenas como expositor de conceitos e informações, mas principalmente como orientador do 
aluno na execução de atividades contextualizadas nas situações do cotidiano profissional. 
A aprendizagem é entendida como a resposta do aluno ao desafio de situações-problema 
semelhantes às encontradas na prática profissional, que são superadas por meio de análise, 
síntese, julgamento, pensamento crítico e construção de hipóteses para a resolução do pro-
blema, em abordagem orientada ao desenvolvimento de competências. 
Dessa forma, o instrutor tem participação ativa e dialógica como orientador do aluno para as 
atividades em laboratório. Até mesmo a apresentação da teoria no início da sessão de apren-
dizagem não é considerada uma simples exposição de conceitos e informações. O instrutor 
busca incentivar a participação dos alunos continuamente. 
Escola Superior de Redes
x
As sessões de aprendizagem onde se dão a apresentação dos conteúdos e a realização das 
atividades práticas têm formato presencial e essencialmente prático, utilizando técnicas de 
estudo dirigido individual, trabalho em equipe e práticas orientadas para o contexto de atua-
ção do futuro especialista que se pretende formar. 
As sessões de aprendizagem desenvolvem-se em três etapas, com predominância de tempo 
para as atividades práticas, conforme descrição a seguir:
Primeira etapa: apresentação da teoria e esclarecimento de dúvidas (de 60 a 90 minutos). 
O instrutor apresenta, de maneira sintética, os conceitos teóricos correspondentes ao tema 
da sessão de aprendizagem, com auxílio de slides em formato PowerPoint. O instrutor levanta 
questões sobre o conteúdo dos slides em vez de apenas apresentá-los, convidando a turma 
à reflexão e participação. Isso evita que as apresentações sejam monótonas e que o aluno se 
coloque em posição de passividade, o que reduziria a aprendizagem. 
Segunda etapa: atividades práticas de aprendizagem (de 120 a 150 minutos). 
Esta etapa é a essência dos cursos da ESR. A maioria das atividades dos cursos é assíncrona e 
realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no 
livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dúvidas e oferecer 
explicações complementares. 
Terceira etapa: discussão das atividades realizadas (30 minutos). 
O instrutor comenta cada atividade, apresentando uma das soluções possíveis para resolvê-la, 
devendo ater-se àquelas que geram maior dificuldade e polêmica. Os alunos são convidados a 
comentar as soluções encontradas e o instrutor retoma tópicos que tenham gerado dúvidas, 
estimulando a participação dos alunos. O instrutor sempre estimula os alunos a encontrarem 
soluções alternativas às sugeridas por ele e pelos colegas e, caso existam, a comentá-las.
Sobre o curso 
O curso apresenta os conceitos de gestão de riscos a partir da norma NBR ISO 27005. 
Define conceitos e trabalha a contextualização do ambiente, identificação e levantamento 
dos riscos através do conhecimento das ameaças, ativos, vulnerabilidades, probabilidade 
de ocorrência e impactos. São realizados a estimativa e o cálculode risco e definido o 
tratamento mais adequado. Todo o trabalho é baseado em um estudo de caso, visando 
consolidar o conhecimento teórico. Ao final do curso o participante estará apto a realizar 
uma análise de risco qualitativa no ambiente da sua organização.
A quem se destina
Curso direcionado a gestores, técnicos e profissionais de informática ou áreas afins, que 
estão em busca do desenvolvimento de competências na realização de gestão e análise 
de riscos no ambiente de tecnologias da informação e comunicação (TIC). Profissionais de 
outras áreas podem participar desde que possuam conhecimentos de TIC, segurança da 
informação e normas ISO 27001 e 27002.
Convenções utilizadas neste livro
As seguintes convenções tipográficas são usadas neste livro:
Itálico 
Indica nomes de arquivos e referências bibliográficas relacionadas ao longo do texto. 
xi
Largura constante
 
Indica comandos e suas opções, variáveis e atributos, conteúdo de arquivos e resultado da saída 
de comandos. Comandos que serão digitados pelo usuário são grifados em negrito e possuem 
o prefixo do ambiente em uso (no Linux é normalmente # ou $, enquanto no Windows é C:\).
Conteúdo de slide 
Indica o conteúdo dos slides referentes ao curso apresentados em sala de aula. 
Símbolo 
Indica referência complementar disponível em site ou página na internet.
Símbolo 
Indica um documento como referência complementar.
Símbolo 
Indica um vídeo como referência complementar. 
Símbolo 
Indica um arquivo de aúdio como referência complementar.
Símbolo 
Indica um aviso ou precaução a ser considerada.
Símbolo 
Indica questionamentos que estimulam a reflexão ou apresenta conteúdo de apoio ao 
entendimento do tema em questão.
Símbolo 
Indica notas e informações complementares como dicas, sugestões de leitura adicional ou 
mesmo uma observação.
Permissões de uso
Todos os direitos reservados à RNP. 
Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. 
Exemplo de citação: BEZERRA, E. K. Gestão de Riscos de TI – NBR 27005. Rio de Janeiro: Escola 
Superior de Redes, RNP, 2013.
Comentários e perguntas
Para enviar comentários e perguntas sobre esta publicação: 
Escola Superior de Redes RNP 
Endereço: Av. Lauro Müller 116 sala 1103 – Botafogo 
Rio de Janeiro – RJ – 22290-906 
E-mail: info@esr.rnp.br
xii
Sobre o autor
Edson Kowask Bezerra é profissional da área de segurança da informação e governança 
há mais de quinze anos, atuando como auditor líder, pesquisador, gerente de projeto e 
gerente técnico, em inúmeros projetos de gestão de riscos, gestão de segurança da infor-
mação, continuidade de negócios, PCI, auditoria e recuperação de desastres em empresas 
de grande porte do setor de telecomunicações, financeiro, energia, indústria e governo. 
Com vasta experiência nos temas de segurança e governança, tem atuado também como 
palestrante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados 
em segurança e governança. É professor e coordenador de cursos de pós-graduação na área 
de segurança da informação, gestão integrada, inovação e tecnologias web. Hoje atua como 
Coordenador Acadêmico de Segurança e Governança de TI da Escola Superior de Redes. Pos-
sui a certificação CRISC da ISACA, além de diversas outras em segurança e governança.
1
 
C
ap
ítu
lo
 1
 - 
In
tr
od
uç
ão
 à
 G
es
tã
o 
de
 R
is
co
s
ob
je
tiv
os
conceitos
1
Introdução à Gestão de Riscos
Conceituar e compreender ameaças, vulnerabilidades, probabilidade e riscos; 
conhecer e utilizar a norma de gestão de riscos; identificar as atividades do 
processo de gestão de riscos e os fatores críticos para o sucesso; identificar 
e definir as áreas necessárias para a gestão de riscos.
 
Ameaças, vulnerabilidades, probabilidade, riscos, segurança da informação e gestão 
de riscos.
 
 
Introdução
q 1 A ação e interação dos objetivos com as incertezas originam o risco, que se apresenta 
no dia a dia de toda e qualquer atividade. 
 1 Muitas vezes, o risco não se apresenta visível, sendo necessárias ações para identificá-lo. 
 1 Outras vezes, o risco é fruto de ações repentinas que fogem ao controle humano, 
como em eventos de causas naturais.
Nas fases do ciclo de vida de qualquer atividade humana planejada, convivemos com duas cer-
tezas básicas: daquilo que deve acontecer (os objetivos) e o que pode acontecer (as incertezas). 
A ação e interação dos objetivos com as incertezas dão origem ao risco, que se apresenta no 
dia a dia de toda e qualquer atividade desenvolvida. Muitas vezes, o risco não se apresenta 
visível, sendo necessárias ações para identificá-lo; em outras situações o risco é proveniente 
de ações repentinas que fogem ao controle do ser humano, como no caso de eventos de 
causas naturais.
Diariamente vemos manchetes em publicações das mais diversas áreas que destacam, com 
ênfase, os problemas relacionados aos riscos tecnológicos de segurança da informação: roubos 
de mídias de backup e de notebooks, vazamento de números de cartões de crédito, manuseio 
impróprio de registros eletrônicos, roubo de identidade e quebra de propriedade intelectual.
Este capítulo abordará os conceitos fundamentais para a Gestão de Riscos e apresentará a 
norma ABNT NBR ISO/IEC 27005:2008 - Tecnologia da Informação – Técnicas de segurança – 
Gestão de riscos de segurança da informação.
2
 
G
es
tã
o 
de
 R
is
co
s 
de
 T
I N
BR
 2
70
05
Exercício de nivelamento 1 e 
Introdução à gestão de riscos
Como você avalia na sua organização o processo de gestão de riscos?
Existem riscos para os trabalhos e atividades da sua organização?
Conceitos fundamentais
q 1 Norma ISO Guide 73:2009 Gestão de riscos – Vocabulário 
 2 Recomendações para uso em normas. 
 2 Apresenta as principais terminologias para uso nas atividades de gestão de riscos. 
 1 Esta terminologia deve ser combinada com os termos apresentados nas normas: 
 2 ABNT NBR ISO/IEC 27001. 
 2 ABNT ISO/IEC 27002. 
 1 Termos apresentados nas normas: 
 2 Segurança da Informação.
 2 Ameaça.
 2 Vulnerabilidade.
 2 Risco.
 2 Riscos de segurança da informação.
 2 Identificação de riscos.
 2 Impacto.
 2 Estimativa de riscos.
 2 Modificação do risco.
 2 Comunicação do risco.
 2 Ação de evitar o risco.
 2 Retenção do risco.
 2 Compartilhamento do risco.
É importante ter sempre em mente os seguintes conceitos:
Segurança da Informação é a proteção da informação de vários tipos de ameaças, visando 
garantir a continuidade do negócio, minimizar os riscos que possam comprometê-lo, 
maximizar o retorno sobre os investimentos e as oportunidades de negócio. A segurança 
da informação é obtida como resultado da implementação de um conjunto de controles, 
compreendendo políticas, processos, procedimentos, estruturas organizacionais e funções 
de hardware e software.
A segurança da informação é obtida com a implementação de controles que deverão ser 
monitorados, analisados e continuamente melhorados, com o intuito de atender aos 
3
 
C
ap
ítu
lo
 1
 - 
In
tr
od
uç
ão
 à
 G
es
tã
o 
de
 R
is
co
s
objetivos do negócio, mitigando os riscos e garantindo os preceitos de segurança da organi-
zação: Confidencialidade, Integridade, Disponibilidade e Autenticidade (CIDA).
q 1 Ameaça é todo e qualquer evento que possa explorar vulnerabilidades. 
 1 Causa potencial de um incidente indesejado, que pode resultar em dano para os 
sistemas, pessoas ou a própria organização. 
 1 As ameaças podem ser classificadas em:
 2 Ameaças intencionais.
 2 Ameaças da ação da natureza.
 2 Ameaças não intencionais.
São exemplos de ameaças:
 1 Erroshumanos;
 1 Falhas de hardware;
 1 Falhas de software;
 1 Ações da natureza;
 1 Terrorismo;
 1 Vandalismo, entre outras.
Vulnerabilidade é qualquer fraqueza que possa ser explorada para comprometer a segu-
rança de sistemas ou informações. Fragilidade de um ativo ou grupo de ativos que pode ser 
explorada por uma ou mais ameaças.
Para pensar
Ameaça versus Vulnerabilidade
Entende-se que a ameaça é o evento ou incidente, enquanto a vulnerabilidade é 
a fragilidade que será explorada para que a ameaça se torne concreta. Ameaças 
podem assumir diversas formas, como furto de equipamentos, mídia e docu-
mentos, escuta não autorizada, incêndio, inundação e radiação eletromagnética, 
até fenômenos climáticos e sísmicos. Por exemplo, um computador cuja senha seja 
do conhecimento de todos, sofre ameaças como roubo, destruição ou alteração de 
informações; a vulnerabilidade que permite que estas ameaças se concretizem é 
justamente a senha ser conhecida e compartilhada por todos.
Vulnerabilidade Ameaça
Falta de treinamento de funcionários Erros humanos
Interrupção no servidor por queima da fonte Falha de hardware
Sistema aplicativo aceita qualquer valor nos seus campos Falha de software
Inundação da sala em virtude das fortes chuvas Ações da natureza
Explosão provocada intencionalmente no terminal de ônibus Terrorismo
Máquina ATM virada e pichada Vandalismo
Tabela 1.1 
Exemplos de 
vulnerabilidades 
e ameaças.
4
 
G
es
tã
o 
de
 R
is
co
s 
de
 T
I N
BR
 2
70
05
Os conceitos a seguir dizem respeito às atividades após a identificação dos riscos e relacio-
nadas ao seu tratamento.
 1 Risco: combinação da probabilidade (chance da ameaça se concretizar) de um evento 
indesejado ocorrer e de suas consequências para a organização. É a incerteza resultante 
da combinação da probabilidade de ocorrência de um evento e suas consequências. 
A pergunta “Qual o risco?” levanta dúvidas a respeito da ocorrência de algo incerto ou 
inesperado. Em segurança da informação, esta incerteza reside nos aspectos tecno-
lógicos envolvidos, nos processos executados e, principalmente, nas pessoas que em 
algum momento interagem com a tecnologia e se envolvem com os processos.
 1 Riscos de segurança da informação: possibilidade de uma determinada ameaça explorar 
vulnerabilidades de um ativo ou de um conjunto de ativos, assim prejudicando a organização.
 1 Identificação de riscos: processo para localizar, listar e caracterizar elementos de risco. 
Por menor que seja a probabilidade de ocorrência de um risco, pode ser que determinada 
incerteza ocorra e explore uma vulnerabilidade, concretizando uma ameaça. Para se pre-
parar para isso é necessário conhecer os riscos de todo o ambiente, através da realização 
de um processo formalizado de identificação de riscos. 
 1 Impacto: mudança adversa no nível obtido dos objetivos de negócios. Consequência ava-
liada dos resultados com a ocorrência de um evento em particular, em que determinada 
vulnerabilidade foi explorada, uma ameaça ocorreu e o risco se concretizou. Qual foi o 
impacto deste evento nos negócios? Quanto se perdeu? A organização será responsabili-
zada? Haverá multas? Ações legais serão impetradas? Haverá danos de imagem?
Imagine as seguintes situações hipotéticas: 
1. Em uma faculdade, um usuário com acesso às informações dos alunos deixou sua senha 
escrita num papel após renová-la. O que pode ocorrer? Qual o impacto? 
2. Em plena preparação para o vestibular de uma determinada instituição, as provas 
vazaram. Qual o impacto se este vazamento ocorreu seis meses antes da realização do 
vestibular? E se ocorreu nas 48 horas que antecedem a realização do vestibular?
Exemplos de impactos: perdas financeiras, paralisação de serviços essenciais, perda de 
confiança dos clientes, pane no fornecimento de energia e falhas de telecomunicações, 
entre tantos outros.
 1 Estimativa de riscos: processo utilizado para atribuir valores à probabilidade e conse-
quências de um risco. A estimativa de riscos permite quantificar ou descrever de forma 
qualitativa um risco, permitindo às organizações priorizar os riscos de acordo com os 
critérios estabelecidos.
 1 Ações de modificação do risco: ações tomadas para reduzir a probabilidade, as conse-
quências negativas, ou ambas, associadas a um risco.
 1 Comunicação do risco: troca ou compartilhamento de informações sobre o risco entre o 
tomador de decisão e outras partes interessadas.
 1 Ação de evitar o risco: decisão de não se envolver ou agir de forma a mitigar uma 
situação de risco.
 1 Retenção do risco: aceitação do ônus da perda ou do benefício do ganho associado a um 
determinado risco.
 1 Compartilhamento do risco: compartilhamento com outra entidade do ônus da perda 
ou do benefício do ganho associado a um risco.
5
 
C
ap
ítu
lo
 1
 - 
In
tr
od
uç
ão
 à
 G
es
tã
o 
de
 R
is
co
s
Exercício de fixação 1 e 
Conceitos fundamentais
Durante uma apresentação sobre os conceitos de gestão de riscos para a alta direção da sua 
organização, você foi questionado sobre duas possíveis ameaças existentes e seus riscos. 
Como você responderia?
Em função da sua resposta para a alta direção, lhe pediram para explicar os possíveis 
impactos relacionados a estes riscos. Como você responderia?
Princípios da Gestão de Riscos
qPrincípios da gestão de riscos:
 1 A gestão de riscos cria e protege valor.
 1 A gestão de riscos é parte integrante de todos os processos organizacionais.
 1 A gestão de riscos é parte da tomada de decisões.
 1 A gestão de riscos aborda explicitamente a incerteza.
 1 A gestão de riscos é sistemática, estruturada e oportuna.
 1 A gestão de riscos baseia-se nas melhores informações disponíveis.
 1 A gestão de riscos é feita sob medida.
 1 A gestão de riscos considera fatores humanos e culturais.
 1 A gestão de riscos é transparente e inclusiva.
 1 A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças.
 1 A gestão de riscos facilita a melhoria contínua da organização.
Para a gestão de riscos ser eficaz, convém que uma organização, em todos os níveis, atenda 
aos princípios descritos a seguir.
a. A gestão de riscos cria e protege valor.
A gestão de riscos contribui para a realização demonstrável dos objetivos e para a melhoria 
do desempenho, referente à segurança e saúde das pessoas, à conformidade legal e regula-
tória, à aceitação pública, à proteção do meio ambiente, à qualidade do produto, ao geren-
ciamento de projetos, à eficiência nas operações, à governança e à reputação.
6
 
G
es
tã
o 
de
 R
is
co
s 
de
 T
I N
BR
 2
70
05
b. A gestão de riscos é parte integrante de todos os processos organizacionais.
A gestão de riscos não é uma atividade autônoma separada das principais atividades e 
processos da organização. A gestão de riscos faz parte das responsabilidades da adminis-
tração e é parte integrante de todos os processos organizacionais, incluindo o planejamento 
estratégico e todos os processos de gestão de projetos e gestão de mudanças.
c. A gestão de riscos é parte da tomada de decisões.
A gestão de riscos auxilia os tomadores de decisão a fazer escolhas conscientes, priorizar 
ações e distinguir entre formas alternativas de ação.
d. A gestão de riscos aborda explicitamente a incerteza.
A gestão de riscos explicitamente leva em consideração a incerteza, a natureza dessa incer-
teza, e como ela pode ser tratada.
e. A gestão de riscos é sistemática, estruturada e oportuna.
Uma abordagem sistemática, oportuna e estruturada para a gestão de riscos contribui para 
a eficiência e para os resultados consistentes, comparáveis e confiáveis.
f. A gestão de riscos baseia-senas melhores informações disponíveis.
As entradas para o processo de gerenciar riscos são baseadas em fontes de informação, tais 
como dados históricos, experiências, retroalimentação das partes interessadas, obser-
vações, previsões e opiniões de especialistas. Entretanto, convém que os tomadores de 
decisão se informem e levem em consideração quaisquer limitações dos dados ou mode-
lagem utilizados, ou a possibilidade de divergências entre especialistas.
g. A gestão de riscos é feita sob medida.
A gestão de riscos está alinhada com o contexto interno e externo da organização e com o 
perfil do risco.
h. A gestão de riscos considera fatores humanos e culturais.
A gestão de riscos reconhece as capacidades, percepções e intenções do pessoal interno e 
externo, que podem facilitar ou dificultar a realização dos objetivos da organização.
i. A gestão de riscos é transparente e inclusiva.
O envolvimento apropriado e oportuno de partes interessadas e, em particular, dos toma-
dores de decisão em todos os níveis da organização assegura que a gestão de riscos perma-
neça pertinente e atualizada. O envolvimento também permite que as partes interessadas 
sejam devidamente representadas e tenham suas opiniões levadas em consideração na 
determinação dos critérios de risco.
j. A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças.
A gestão de riscos continuamente percebe e reage às mudanças. À medida que acontecem 
eventos externos e internos, o contexto e o conhecimento modificam-se, o monitoramento 
e a análise crítica de riscos são realizados, novos riscos surgem, alguns se modificam e 
outros desaparecem.
7
 
C
ap
ítu
lo
 1
 - 
In
tr
od
uç
ão
 à
 G
es
tã
o 
de
 R
is
co
s
k. A gestão de riscos facilita a melhoria contínua da organização.
Convém que as organizações desenvolvam e implementem estratégias para melhorar a sua 
maturidade na gestão de riscos, juntamente com todos os demais aspectos da sua organização.
Estes princípios da gestão dos riscos devem ser os norteadores desta nobre ativi-
dade no dia a dia das organizações.
Normas de gestão de segurança e de riscos
q 1 Norma ABNT NBR ISO/IEC 27001:2006 
 1 Norma ABNT NBR ISO/IEC 27002:2005 
A área de segurança da informação possui um conjunto de normas para serem utilizadas 
nas mais diversas organizações, a fim de permitir uma padronização dos requisitos e proce-
dimentos para a implementação de um SGSI. 
Norma ABNT NBR ISO/IEC 27001:2006 
 2 Tecnologia da Informação – Técnicas de segurança – Sistemas de gestão de segurança 
da informação – Requisitos 
 2 Apresenta e descreve os requisitos que devem ser implementados no estabeleci-
mento de um Sistema de Gestão de Segurança da Informação (SGSI).
 1 Norma ABNT NBR ISO/IEC 27002:2005 
 2 Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão 
de segurança da informação 
 2 Apresenta as melhores práticas para uma gestão adequada da segurança da informação.
Podendo ser aplicadas a qualquer ambiente de uma organização (particularmente ao ambiente 
de TI), estas normas destacam a necessidade das organizações de possuírem uma gestão de 
riscos estruturada, com a padronização de processos e requisitos de gestão de riscos.
Em 1995, a comissão de padronização da Austrália e Nova Zelândia lançou a primeira 
norma tratando do tema: AS/NZS 4360 – Gestão de Risco. Genérica, a norma estabelece um 
processo de gestão de riscos amplamente aceito, tendo sido atualizada em 1999 (AS/NZS 
4360:1999). Em 1996, a International Organization for Standardization (ISO) criou um grupo 
de trabalho baseado na AS/NZS 4360 para criar um projeto de gestão de risco, que passou 
por diversos problemas e só foi concluído em 2009.
qABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes:
 1 Norma que fornece os princípios e diretrizes genéricas para qualquer indústria ou setor. 
 1 Criada para ser aplicada a qualquer ambiente ou organização.
ABNT ISO GUIDE 73:2009 Gestão de Riscos – Vocabulário:
 1 Norma que apresenta as definições de termos genéricos relativos à gestão de riscos. 
 1 Referência de conceitos ligados à gestão de risco. 
ABNT 
Fundada em 1940, a 
Associação Brasileira 
de Normas Técnicas é o 
órgão responsável pela 
normalização técnica 
no país, fornecendo 
a base necessária ao 
desenvolvimento tecno-
lógico brasileiro. É uma 
entidade privada, sem 
fins lucrativos.
Saiba mais
As normas descritas 
acima são apresentadas 
no curso Gestão de Segu-
rança da Informação 
– NBR 27001 e 27002, 
oferecido pela Escola 
Superior de Redes.
l
8
 
G
es
tã
o 
de
 R
is
co
s 
de
 T
I N
BR
 2
70
05
qISO/IEC 31010:2009 Gestão de riscos – Técnicas de avaliação de riscos:
 1 Norma que deve ser trabalhada em apoio à norma “ABNT NBR ISO 31000:2009 Gestão 
de Riscos – Princípios e diretrizes”. 
 1 Descreve as diversas técnicas e ferramentas de análise de risco, e não foi ainda tradu-
zida pela ABNT.
Em 2009 é lançada pela ISO e imediatamente pela Associação Brasileira de Normas Téc-
nicas (ABNT) a norma ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes. 
Esta norma fornece os princípios e diretrizes genéricas para qualquer indústria ou setor. 
No mesmo ano foi lançada a norma ABNT ISO GUIDE 73:2009 Gestão de Riscos – Vocabu-
lário. Ela apresenta as definições de termos genéricos relativos à gestão de riscos. Quando 
se pretende fazer referência a um conceito de gestão de riscos, deve ser utilizada a defi-
nição da norma ABNT ISO GUIDE 73:2009 Gestão de Riscos – Vocabulário. Segundo a ABNT: 
“Este guia fornece as definições de termos genéricos relativos à gestão de riscos. Destina-se 
a incentivar uma compreensão mútua e consistente, uma abordagem coerente na descrição 
das atividades relativas à gestão de riscos e a utilização de terminologia uniforme de gestão 
de riscos em processos e estruturas para gerenciar riscos”.
Em 2012, foi lançada em português a norma “ABNT NBR ISO/IEC 31010:2012 Gestão de riscos 
– Técnicas para o processo de avaliação de riscos” deve ser trabalhada em apoio à norma 
“ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes”. A norma descreve as 
diversas técnicas e ferramentas de análise de risco, fornecendo orientações sobre a seleção 
e aplicação de técnicas sistemáticas para o processo de avaliação de riscos. 
Este grupo de normas da série 31000 visa atender a qualquer tipo de ambiente de uma 
organização. Proporcionam, portanto, uma concepção ampla e genérica da gestão de riscos, 
sendo aplicadas para avaliar e tratar qualquer tipo de risco corporativo. Durante o desen-
volvimento destas normas, foi publicada em 2008, pelo grupo de trabalho específico de 
tecnologia da informação, a norma “ABNT NBR ISO/IEC 27005: 2008 Tecnologia da Infor-
mação – Técnicas de Segurança – Gestão de riscos de segurança da informação”. Esta norma 
foi desenvolvida com base nos estudos da ISO 31000:2009, e portanto atende aos seus 
requisitos e ao seu processo de gestão de risco. A ISO/IEC 27005 faz parte do conjunto de 
normas da série de 27000, sobre o Sistema de Gestão de Segurança da Informação (SGSI), 
onde são incluídas ainda as normas ISO/IEC 27001 e ISO/IEC 27002. Esta norma apresenta as 
melhores práticas e possibilita o aprofundamento em aspectos exclusivos da segurança da 
informação, enquanto a ISO 31000 é mais genérica e contempla todos os setores.
O enfoque deste curso está na norma “ABNT NBR ISO/IEC 27005: 2008 Tecnologia 
da Informação – Técnicas de Segurança – Gestão de riscos de segurança da infor-
mação”. Os conceitos, processos e atividades apresentados se adequam ao que 
propõe a norma “ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípiose dire-
trizes”, podendo ser aplicados em qualquer outra área que não a de TI.
9
 
C
ap
ítu
lo
 1
 - 
In
tr
od
uç
ão
 à
 G
es
tã
o 
de
 R
is
co
s
O quadro abaixo apresenta um resumo comparativo entre estas normas:
Norma Título Objetivo Observação
27001 Tecnologia da infor-
mação – Técnicas de 
segurança – Sistemas 
de gestão de segu-
rança da informação 
– Requisitos
Especifica os requisitos para estabelecer, 
implementar, operar, monitorar, analisar criti-
camente, manter e melhorar um SGSI docu-
mentado no contexto dos riscos de negócio 
globais da organização. Especifica requisitos 
para a implementação de controles de segu-
rança personalizados para as necessidades 
individuais de organizações ou de suas partes. 
Cobre todos os tipos de organização (empre-
endimentos comerciais, agências governamen-
tais, organizações sem fins lucrativos, entre 
diversas outras). 
Trata mais especifica-
mente de diretrizes 
e princípios para um 
sistema de gestão de 
segurança da infor-
mação.
27002 Tecnologia da infor-
mação – Técnicas de 
segurança – Código de 
prática para a gestão 
de segurança da infor-
mação
Estabelece diretrizes e princípios gerais para 
iniciar, implementar, manter e melhorar a 
gestão de segurança da informação. Os obje-
tivos definidos nesta norma estabelecem dire-
trizes gerais para as metas e melhores práticas 
para a gestão da segurança da informação.
Voltada para controles 
de segurança.
27005 Tecnologia da infor-
mação – Técnicas de 
segurança – Gestão 
de riscos de segu-
rança da informação
Apresenta um sistema de gestão de riscos de 
segurança da informação com foco em tecno-
logia da informação.
Esclarece como geren-
ciar riscos de segu-
rança da informação.
31000 Gestão de riscos – 
Princípios e diretrizes
Norma que apresenta princípios e diretrizes 
básicas para a gestão de riscos em geral em 
qualquer tipo de ambiente. 
Editada em 
2009, deste ano em 
diante as demais 
normas de gestão de 
riscos devem estar 
alinhadas a ela.
31010 Gestão de riscos 
— Técnicas para o 
processo de avaliação 
de riscos
Descreve as diversas técnicas e ferramentas 
de análise de riscos.
Editada em 2012.
GUIDE 73 Gestão de risos – 
Vocabulário
Apresenta as definições de termos genéricos 
relativos à gestão de riscos.
Editada em 2009.
Norma ABNT NBR ISO/IEC 27005:2008
qABNT NBR ISO/IEC 27005:2008 – Tecnologia da Informação – Técnicas de Segurança – 
Gestão de riscos de segurança da informação 
 1 Apresenta as diretrizes para o gerenciamento dos riscos de segurança da informação. 
 1 Emprega os conceitos da norma ABNT NBR ISO 27001:2005.
A norma “ABNT NBR ISO/IEC 27005:2008 – Tecnologia da Informação – Técnicas de Segu-
rança – Gestão de riscos de segurança da informação” foi publicada em julho de 2008 e 
apresenta as diretrizes para o gerenciamento dos riscos de segurança da informação. 
Emprega os conceitos da norma ABNT NBR ISO 27001:2005, que especifica os requisitos de 
sistemas de gestão da segurança da informação.
Tabela 1.2 
Resumo 
comparativo entre 
as normas. 
10
 
G
es
tã
o 
de
 R
is
co
s 
de
 T
I N
BR
 2
70
05
Esta norma descreve todo o processo necessário para a gestão de riscos de segurança da 
informação e as atividades necessárias para a perfeita execução da gestão. Apresenta prá-
ticas para gestão de riscos da segurança da informação. As técnicas nela descritas seguem 
o conceito, os modelos e os processos globais especificados na norma ABNT NBR ISO/IEC 
27001, além de apresentar a metodologia de avaliação e tratamento dos riscos requeridos 
pela mesma norma.
Partindo do princípio de que a gestão de riscos é um processo cíclico e contínuo, a norma 
está dividida em sessões e anexos. As sessões contêm as informações do processo e das 
atividades necessárias para a sua execução. Existem 12 sessões ao todo: as sessões de 1 
a 4 tratam das referências e da estrutura da norma, e as sessões 5 e 6 apresentam a visão 
geral do processo de gestão de riscos. As sessões a partir da 7 tratam especificamente do 
processo de gestão de riscos. Os seis anexos são identificados de A a F e trazem informações 
adicionais e exemplos.
Nas sessões de 7 a 12 as atividades de gestão são apresentadas de acordo com a 
seguinte estrutura:
 1 Entrada: refere-se aos insumos e premissas necessárias para a realização da atividade.
 1 Ação: descrição da atividade, sempre acompanhada do “convém”.
 1 Diretrizes para implementação: diretrizes necessárias para a realização da ação, isto é, 
o detalhamento de como a ação pode ser realizada. Estas diretrizes devem ser adaptadas 
a cada tipo de organização. Também estão acompanhadas do “convém”.
 1 Saída: apresenta os resultados que devem ser alcançados e que vão servir para gerar evidências.
Este curso utiliza o processo de gestão de riscos normatizado contido na norma ABNT NBR 
ISO/IEC 27005.
Visão geral da gestão de riscos
q 1 É necessária uma abordagem sistemática de gestão de riscos que varia de organi-
zação para organização assim como o nível de risco aceitável de cada uma. 
 1 Risco aceitável é o grau de risco que a organização está disposta a aceitar para con-
cretizar os seus objetivos. 
 1 Necessidade de aumentar a capacidade de gerir o risco e otimizar o retorno.
 1 A abordagem de gestão de riscos de segurança da informação deve ser:
 2 Contínua.
 2 Realizada no tempo apropriado.
 2 Repetitiva.
 2 Própria ao ambiente da organização.
 2 Ajustada ao processo de gestão de riscos corporativos.
 2 Alinhada com os requisitos de negócios.
 2 Apoiada pela alta direção.
Gestão de riscos são atividades formalizadas e coordenadas para controlar e dirigir um con-
junto de instalações e pessoas com relações e responsabilidades, entre si e externamente, 
no que se refere a riscos nos negócios sob a ótica da segurança da informação. 
11
 
C
ap
ítu
lo
 1
 - 
In
tr
od
uç
ão
 à
 G
es
tã
o 
de
 R
is
co
s
Definição do contexto;
 1 Análise/Avaliação de riscos;
 1 Tratamento do risco;
 1 Aceitação do risco;
 1 Comunicação do risco;
 1 Monitoramento e análise crítica;
 1 Ciclo de melhoria contínua PDCA.
A Tabela 1.3 mostra as principais atividades de gestão de riscos da segurança da informação.
Processo do SGSI Processo de gestão de riscos de segurança da informação
PLANEJAR
 1Definição do contexto
 1Análise/Avaliação de riscos
 1Definição do plano de tratamento do risco
 1Aceitação do risco
EXECUTAR Implementação do plano de tratamento do risco
VERIFICAR Monitoramento contínuo e análise crítica de riscos
AGIR Manutenção e melhoria do processo de gestão de riscos de segu-rança da informação
Em seu livro “Desafio aos deuses: a fascinante história do risco”, Peter Bernstein nos pre-
senteia com uma detalhada análise histórica da evolução do controle e previsão dos riscos 
pela humanidade, desde a Grécia antiga. Segundo o autor, somos possuidores de elevado 
potencial técnico para a prevenção das perdas e ganhos, mesmo que o comportamento dos 
agentes seja imprevisível. Nas suas palavras: “... aconteça o que acontecer e apesar de todos 
os nossos esforços, os seres humanos não possuem o conhecimento completo sobre as leis 
que definem a ordem do mundo objetivamente existente”. Portanto, o autor nos desquali-
fica como “previsores perfeitos” do futuro.
Bernstein diz ainda que “Quando investidores compram ações, cirurgiões realizam opera-
ções, engenheiros projetam pontes, empresários abrem seus negócios e políticos concorrem 
a cargos eletivos, o risco é um parceiro inevitável. Contudo, suas ações revelam que o risco 
não precisa ser tão temido: administrar o risco é sinônimo de desafio e oportunidade”.O risco faz parte de nosso cotidiano, de modo que precisamos conhecê-lo para poder tratá-
-lo e dele extrair novas oportunidades.
É inquestionável a importância do papel que a tecnologia da informação exerce na socie-
dade para que esta alcance seus objetivos. A integração do ambiente tecnológico, caracte-
rizado pela complexidade e interdependência, produz contextos muitas vezes hostis que 
propiciam ataques cada vez mais frequentes à segurança da informação, exigindo respostas 
cada vez mais rápidas das organizações. A este quadro vêm somar-se novas obrigações 
legais, de proteção de privacidade e governança corporativa, gerando a necessidade das 
organizações gerenciarem mais efetivamente sua infraestrutura de tecnologia.
Para enfrentar estas novas ameaças e demandas as organizações devem desenvolver uma 
atitude proativa, antecipando-se em conhecer suas fraquezas e vulnerabilidades. Isto pode 
ser obtido através da adoção de um processo formal de gerenciamento de riscos de segu-
rança da informação, que permita à organização estabelecer um nível aceitável de risco. 
Tabela 1.3 
Principais 
atividades de 
gestão de riscos 
da segurança da 
informação.
Saiba mais
Dica de leitura: 
BERNSTEIN, Peter. 
Desafio aos deuses: a fas-
cinante história do risco. 
Editora Campus, 1997.
l
12
 
G
es
tã
o 
de
 R
is
co
s 
de
 T
I N
BR
 2
70
05
Para isso é necessária uma abordagem sistemática de gestão de riscos, que irá variar de 
acordo com o negócio de cada organização, assim como o nível de risco aceitável estabele-
cido pela direção de cada organização. 
Risco aceitável é o grau de risco que a organização está disposta a aceitar para a 
concretização dos seus objetivos estratégicos. 
Exercício de fixação 2 e 
Visão geral
Na sua organização, qual seria o “risco aceitável” na realização das suas atividades? Explique.
Aumentar a capacidade de gerir o risco e otimizar o retorno são ações integrantes de uma 
abordagem sistêmica, que proporciona um processo formal para a melhoria da capacidade 
de identificação e avaliação dos riscos. Esta abordagem deve estar de acordo com os obje-
tivos da organização, atendendo às suas necessidades específicas de acordo com os requi-
sitos de segurança da informação. Para isso, a abordagem de gestão de riscos de segurança 
da informação deve ser:
 1 Contínua;
 1 Realizada no tempo apropriado;
 1 Repetitiva;
 1 De acordo com o ambiente da organização;
 1 Ajustada ao processo de gestão de riscos corporativos;
 1 Alinhada com os requisitos de negócios;
 1 Apoiada pela alta direção.
Partindo do conceito amplo de que o processo de gestão é composto de atividades coordenadas 
e formalizadas para controlar e dirigir uma organização – formada por suas instalações e pessoal, 
com relações e responsabilidades entre si e com agentes externos –, pode-se inferir que a gestão 
de riscos é composta de atividades formalizadas e coordenadas para controlar e dirigir um 
conjunto de instalações e pessoas com relações e responsabilidades, entre si e com o ambiente 
externo, no que se refere a riscos nos negócios sob a ótica da segurança da informação. 
13
 
C
ap
ítu
lo
 1
 - 
In
tr
od
uç
ão
 à
 G
es
tã
o 
de
 R
is
co
s
A Figura 1.1 apresenta uma visão do processo de gestão de riscos de segurança da infor-
mação segundo a norma ABNT NBR ISO/IEC 27005.
IDENTIFICAÇÃO DE RISCOS
ANÁLISE DE RISCOS
ACEITAÇÃO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES
CO
M
U
N
IC
AÇ
ÃO
 E
 C
O
N
SU
LT
A 
D
O
 R
IS
CO
M
O
N
IT
O
RA
M
EN
TO
 E
 A
N
ÁL
IS
E 
CR
ÍT
IC
A 
D
E 
RI
SC
O
S
PONTO DE DECISÃO 2
Tratamento satisfatório
PONTO DE DECISÃO 1
Avaliação satisfatória
Não
Sim
Não
Sim
PROCESSO DE AVALIAÇÃO DE RISCOS
TRATAMENTO DO RISCO
AVALIAÇÃO DE RISCOS
DEFINIÇÃO DO CONTEXTO
O processo tem seis grandes grupos de atividades:
 1 Definição do contexto;
 1 Análise/Avaliação de riscos;
 1 Tratamento do risco;
 1 Aceitação do risco;
 1 Comunicação do risco;
 1 Monitoramento e análise crítica.
Como pode ser visto na Figura 1.1, o ciclo de vida da gestão de riscos de segurança da infor-
mação é iterativo, onde a gestão se desenvolve de maneira incremental, através de uma 
sucessão de iterações, e cada iteração libera uma entrega (saída) para a seguinte, minimi-
zando tempo e esforço.
 Definição do contexto
Dentro do processo, a definição do contexto é responsável pela definição do ambiente, 
escopo, critérios de avaliação, entre outras definições.
Figura 1.1 
Processo de 
gestão de riscos 
de segurança da 
informação.
14
 
G
es
tã
o 
de
 R
is
co
s 
de
 T
I N
BR
 2
70
05
Esta etapa é essencial para a equipe que realiza a gestão de risco conhecer todas as infor-
mações sobre a organização.
Análise/Avaliação de riscos
A próxima iteração é de análise e avaliação de risco, que permitirá a identificação dos riscos 
e a determinação das ações necessárias para reduzir o risco a um nível aceitável.
Tratamento do risco
A partir dos resultados obtidos na análise e avaliação do risco são definidos os controles 
necessários para o tratamento do risco. A norma ABNT NBR ISO/IEC 27001 especifica os 
controles que deverão ser implementados. 
Aceitação do risco
Assegura os riscos aceitos pela organização, ou seja, os riscos que por algum motivo não 
serão tratados ou serão tratados parcialmente. São os chamados riscos residuais, cujo 
enquadramento nesta categoria deverá ser justificado.
Comunicação do risco
Nesta etapa é feita a comunicação do risco e da forma como será tratado, para todas as 
áreas operacionais e seus gestores.
Monitoramento e análise crítica
São as atividades de acompanhamento dos resultados, implementação dos controles e de 
análise crítica para a melhoria contínua do processo de gestão de riscos.
Todas estas etapas serão detalhadas nas próximas sessões.
A norma ABNT NBR ISO/IEC 27001 especifica que os controles implementados no escopo, 
limites e contexto do Sistema de Gestão de Segurança da Informação (SGSI) devem estar 
baseados no risco. Este requisito deve ser atendido através da aplicação do processo de 
gestão de riscos de segurança da informação.
No ambiente de um SGSI, a definição do contexto, a análise e avaliação de riscos, o desen-
volvimento do plano de tratamento do risco e a aceitação do risco fazem parte da fase “Pla-
nejar” do ciclo de melhoria contínua PDCA. Já a fase “Executar” do SGSI é a implementação 
de controles para conduzir os riscos ao nível aceitável pela organização. A fase “Verificar” 
do SGSI, por sua vez, inclui as ações de revisão. Finalmente, a fase “Agir” compreende as 
ações necessárias para execução, incluindo a reaplicação do processo de gestão de riscos de 
segurança da informação.
Podemos resumir da seguinte forma as principais atividades de Gestão de riscos de segu-
rança da informação:
Processo do SGSI Processo de gestão de riscos de segurança da informação
PLANEJAR
Definição do contexto
Análise/Avaliação de riscos
Definição do plano de tratamento do risco
Aceitação do risco
EXECUTAR Implementação do plano de tratamento do risco
15
 
C
ap
ítu
lo
 1
 - 
In
tr
od
uç
ão
 à
 G
es
tã
o 
de
 R
is
co
s
Processo do SGSI Processo de gestão de riscos de segurança da informação
VERIFICAR Monitoramento contínuo e análise crítica de riscos
AGIR Manutenção e melhoria o processo de Gestão de Riscos de Segu-rança da Informação
Manutenção
e melhoria 
do processo
Monitoramento
e análise
crítica
Implementar 
o plano de 
tratamento
Aceitaçãodo risco
Definição 
do plano de 
tratamento
Análise/Avaliação 
de riscos
Definição 
do contexto
AG
IR 
 
 PLANEJAR 
 
PLAN
EJAR 
 
PLANEJAR 
 
PLANEJAR 
 
EX
EC
UT
AR
 
 
 
 V
ER
IF
IC
AR
 
Exercício de fixação 3 e 
PDCA
Explique como a fase planejar (PDCA) do processo do SGSI é executado no processo de 
gestão de riscos de segurança da informação.
Fatores críticos para o sucesso
q 1 Redução das surpresas operacionais e prejuízos.
 1 Identificação de oportunidades de crescimento e melhorias.
 1 Racionalização do capital estabelecendo uma ordem de prioridades de investimento.
 1 Prá-atividade com o uso dos recursos computacionais nos negócios.
 1 Envolvimento e participação da alta direção no processo.
 1 Comunicação e treinamento.
 1 Definição de objetivos.
 1 Papéis e responsabilidades definidos.
 1 Integração com as atividades de gestão de segurança da informação.
Figura 1.2 
Processo de gestão 
de riscos e o 
modelo PDCA.
16
 
G
es
tã
o 
de
 R
is
co
s 
de
 T
I N
BR
 2
70
05
A gestão de riscos de segurança da informação é implementada pelas organizações na 
busca por vantagens competitivas para os negócios. É fundamental demonstrar, para as 
partes interessadas, uma postura de segurança na gestão dos riscos relacionados à pro-
teção dos ativos e informações.
Os fatores críticos para o sucesso estão relacionados aos benefícios que devem ser alcan-
çados pelas organizações, a depender da natureza de cada organização. Para atingir tais 
benefícios é preciso realizar as etapas que envolvem os fatores críticos para o sucesso. 
Como exemplos destes fatores podemos mencionar os listados a seguir.
Envolvimento e participação da alta direção no processo
É essencial para o sucesso de qualquer projeto que a direção esteja envolvida e comprometida 
com o seu desenvolvimento e sucesso de acordo com os objetivos estratégicos definidos. 
Comunicação e treinamento
Todo o processo precisa ser comunicado a todas as partes envolvidas antes do seu início, 
durante o seu desenvolvimento e após sua conclusão, com a apresentação dos resultados 
alcançados e metas atingidas. Em um processo de gestão de riscos todos os participantes 
devem ser envolvidos, e para isso é necessária a realização de campanhas de conscienti-
zação e treinamentos.
Definição de objetivos
O estabelecimento de objetivos contribui decisivamente com o alcance das metas da gestão 
de riscos.
Papéis e responsabilidades definidas
Todos os integrantes das partes envolvidas devem conhecer as suas atribuições e responsa-
bilidades durante todo o processo de gestão de riscos de segurança da informação.
Integração com a gestão de segurança da informação
As atividades de gestão de riscos devem estar totalmente integradas às atividades do SGSI.
No desenvolvimento deste curso serão explorados os fatores críticos de sucesso perten-
centes a cada etapa da gestão de riscos de segurança da informação.
Áreas de conhecimento necessárias
qOs profissionais envolvidos nas atividades de análise de risco possuem um perfil com 
conhecimento em diversas áreas:
 1 Técnico. 
 1 Negócios. 
 1 Legislação. 
 1 Processos. 
Para a melhor aplicação do processo de gestão de riscos, é importante que os profissionais 
envolvidos possuam um perfil com conhecimento de áreas diversas, permitindo a identifi-
cação das ameaças e vulnerabilidades em qualquer ambiente organizacional.
Na equipe encarregada da realização da análise de risco preferencialmente devem ser 
encontrados os seguintes perfis:
17
 
C
ap
ítu
lo
 1
 - 
In
tr
od
uç
ão
 à
 G
es
tã
o 
de
 R
is
co
s
 1 Técnico: contribui no atendimento das demandas das diversas áreas técnicas da organi-
zação, incluindo as áreas de hardware, software, sistemas operacionais, infraestrutura e 
aplicações web, entre outras.
 1 Negócios: auxilia a equipe no entendimento preciso dos negócios da organização e seus 
múltiplos processos, além de ter importância no cálculo dos impactos.
 1 Legislação: perfil voltado ao entendimento dos aspectos legais e normativos com os 
quais a organização analisada necessita se alinhar.
 1 Processos: permite a compreensão dos processos e através de sua análise identifica pos-
síveis ameaças e vulnerabilidades, contribuindo com a elaboração de planos de gestão e 
tratamento de riscos.
Estes são alguns exemplos de perfis ou conhecimentos necessários para a análise de risco. 
O tipo da organização e seus objetivos de negócios indicarão os perfis realmente importantes 
para compor a equipe de trabalho. Não existe a necessidade de um profissional para cada 
perfil citado, pois os conhecimentos podem ser encontrados em um mesmo profissional. 
A quantidade de profissionais alocados será determinada pelo escopo da análise e prazo.
Leitura complementar
 1 Sessões 4, 5 e 6 da norma ABNT NBR ISO/IEC 27005.
 1 Item 4 da Norma Complementar Gestão de Riscos de Segurança da Informação e Comuni-
cações – GRSIC, do DSIC/GSI/PR: http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf 
 1 Enterprise Risk Management: Past, Present and Future: 
http://www.casact.org/education/erm/2004/handouts/kloman.pdf
 1 Interdisciplinary Risk Management: 
http://www.riskinfo.com/rmr/rmrjun05.htm 
 1 Quatro dicas para uma gestão de riscos eficiente: 
http://cio.uol.com.br/gestao/2009/07/03/quatro-dicas-para-a-boa-gestao-de-riscos/
 1 AS/NZS 4360: 
http://www.standards.org.au/
 1 História da AS/NZS 4360: 
http://www.riskinfo.com/rmr/rmrsept00.htm
18
 
G
es
tã
o 
de
 R
is
co
s 
de
 T
I N
BR
 2
70
05
19
 
C
ap
ítu
lo
 1
 - 
Ro
te
ir
o 
de
 A
ti
vi
da
de
s
Roteiro de Atividades 1
Atividade 1.1 – Conhecendo os conceitos
Para cada conceito a seguir, explique e apresente um exemplo baseado na organização em 
que você trabalha. Justifique sua resposta:
Conceito Definição Exemplo Justificativa
Riscos de segurança 
da informação
Identificação de riscos
Impacto
Compartilhamento do 
risco
Evitar o risco
Comunicação do risco
Estimativa do risco
Tratamento do risco
Aceitação do risco
Atividade 1.2 – Conhecendo a norma
Descreva como está organizada a norma ABNT NBR ISO/IEC 27005, citando suas sessões.
Explique como estão estruturadas as atividades das sessões 7 a 12 da norma 
ABNT NBR ISO/IEC 27005.
20
 
G
es
tã
o 
de
 R
is
co
s 
de
 T
I N
BR
 2
70
05
Atividade 1.3 – Identificando o processo
Descreva a sequência das etapas do processo de gestão de riscos.
Atividade 1.4 – Fatores críticos
O que é a gestão de riscos de segurança da informação e como ela se aplica na sua organização?
Quais são os fatores críticos de sucesso? Dê exemplos baseados na sua organização.
Em sua opinião qual a importância de entendermos a gestão de risco para o exercício das 
nossas atividades cotidianas?
O que foi aprendido
q 1 Conceito de gestão de risco.
 1 Visão geral da gestão de risco.
 1 Fatores críticos de sucesso.
21
 
C
ap
ítu
lo
 2
 - 
Co
nt
ex
to
 d
a 
ge
st
ão
 d
e 
ri
sc
os
ob
je
tiv
os
conceitos
2
Contexto da gestão de riscos
Conceituar e definir o contexto do ambiente da gestão de riscos; identificar o escopo 
e as atividades de definição de critérios no processo de gestão de riscos.
 
Contexto, escopo, limites e critérios.
Introdução
Ao iniciar qualquer tipo de trabalho, a primeira atividade a ser feita é conhecer o ambiente em 
que o trabalho será desenvolvido, as pessoas que de alguma forma irão interagir, o que será 
desenvolvido; em resumo, “conhecer o terreno” para saberconduzir o andamento dos trabalhos. 
Nas atividades que envolvem gestão de riscos de segurança da informação a definição do con-
texto é a parte inicial e tem como objetivo permitir o conhecimento do ambiente da organização.
Exercício de nivelamento 1 e 
Contexto
No seu entendimento qual o contexto atual da sua organização? 
Processo de gestão de riscos de segurança da informação
q 1 Conhecer a sequência das fases da gestão de riscos.
 1 Ter acesso a toda a documentação da organização.
Na sessão anterior foi apresentada a visão geral do processo de gestão de riscos. É neces-
sário que o conhecimento da sequência das fases do processo faça parte do dia a dia dos 
profissionais envolvidos com a gestão de riscos.
22
 
G
es
tã
o 
de
 R
is
co
s 
de
 T
I N
BR
 2
70
05
IDENTIFICAÇÃO DE RISCOS
ANÁLISE DE RISCOS
ACEITAÇÃO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES
CO
M
U
N
IC
AÇ
ÃO
 E
 C
O
N
SU
LT
A 
D
O
 R
IS
CO
M
O
N
IT
O
RA
M
EN
TO
 E
 A
N
ÁL
IS
E 
CR
ÍT
IC
A 
D
E 
RI
SC
O
S
PONTO DE DECISÃO 2
Tratamento satisfatório
PONTO DE DECISÃO 1
Avaliação satisfatória
Não
Sim
Não
Sim
PROCESSO DE AVALIAÇÃO DE RISCOS
TRATAMENTO DO RISCO
AVALIAÇÃO DE RISCOS
DEFINIÇÃO DO CONTEXTO
Para realizar esta atividade, os profissionais deverão ter acesso a toda documentação sobre a 
organização, permitindo assim o amplo conhecimento sobre as especificidades da organização.
Contexto 
É necessário entender o significado conceitual de “contexto” e sua aplicação na gestão de 
riscos. Ao buscar o seu significado nos dicionários, encontra-se, entre outras definições, 
que contexto é um substantivo masculino que significa “inter-relação de circunstâncias que 
acompanham um fato ou uma situação”.
Assim, ao nos referirmos a “contexto” queremos na verdade tratar da totalidade de circunstân-
cias que possibilitam, condicionam ou determinam a realização de um texto, projeto, ativi-
dade ou mesmo de um evento de segurança da informação. Em outras palavras, contexto é o 
conjunto de circunstâncias que se relacionam de alguma forma com um determinado aconteci-
mento. É a situação geral ou o ambiente a que está sendo referido um determinado assunto. 
Chamamos de contextualização a atividade de mapear todo o ambiente que envolve 
o evento em análise. No processo de gestão de riscos esta é a primeira atividade a 
ser desempenhada.
Figura 2.1 
Definição do 
contexto.
23
 
C
ap
ítu
lo
 2
 - 
Co
nt
ex
to
 d
a 
ge
st
ão
 d
e 
ri
sc
os
Segundo a norma ABNT NBR ISO 31000:2009 o contexto pode ser analisado sob dois aspectos:
q 1 Contexto Externo: é o ambiente externo no qual a organização se situa e busca atingir 
seus objetivos (ambiente cultural, financeiro, regulatórios, tecnológico, econômico, 
competitivo, entre outros).
 1 Contexto Interno: é o ambiente interno no qual a organização busca atingir seus 
objetivos (governança, estrutura organizacional, políticas, objetivos, capacidades, 
sistemas de informação, cultura organizacional, normas, diretrizes, entre outras).
Estabelecimento do contexto
qDe acordo com a norma ABNT NBR ISO/IEC 31000, no momento em que a organização 
estabelece seu contexto ela:
 1 Articula seus objetivos.
 1 Define parâmetros internos e externos. 
 1 Define o escopo e os critérios de risco para todo o processo de gestão de riscos.
De acordo com a norma ABNT NBR ISO/IEC 31000, no momento que a organização estabe-
lece seu contexto ela articula seus objetivos, definindo parâmetros internos e externos que 
devem ser levados em consideração para gerenciar o risco, e define o escopo e os critérios 
de risco para todo o processo de gestão de riscos.
Contexto da norma ABNT NBR ISO/IEC 27005
qSeção 7 da ABNT NBR ISO/IEC 27005: trata as atividades desenvolvidas durante a fase 
de contexto da gestão de riscos.
 1 Apresentações da organização.
 1 Entrevistas. 
 1 Questionários:
 2 Seção 7.1 – Considerações iniciais.
 2 Seção 7.2 – Critérios básicos.
 2 Seção 7.3 – Escopo e limites.
 2 Seção 7.4 – Organização para gestão de riscos de segurança da informação. 
 1 Anexo A – Informativo.
A seção 7 da norma ABNT NBR ISO/IEC 27005 trata das atividades que devem ser desen-
volvidas durante a fase de contexto da gestão de riscos. Essas atividades devem ser 
desenvolvidas pela equipe responsável pela gestão de riscos, sendo realizadas por meio de 
interações com os profissionais da organização avaliada através de:
 1 Apresentações da organização;
 1 Entrevistas com diretores, gerentes, técnicos e usuários;
 1 Questionários.
A seção 7 desta norma está organizada da seguinte forma:
 1 Seção 7.1 – Considerações iniciais: finalidade de realizar a contextualização;
 1 Seção 7.2 – Critérios básicos: critérios de avaliação;
24
 
G
es
tã
o 
de
 R
is
co
s 
de
 T
I N
BR
 2
70
05
 1 Seção 7.3 – Escopo e limites: importância da definição do escopo e os limites da gestão 
de riscos;
 1 Seção 7.4 – Organização para gestão de riscos de segurança da informação: organização 
e responsabilidades do processo de gestão de riscos; 
 1 Anexo A – Informativo: detalhes para a definição do escopo e restrições que podem 
impactar nos trabalhos.
Definindo o contexto
q 1 Suporte a SGSI. 
 1 Conformidade legal. 
 1 Plano de continuidade de negócios. 
 1 Plano de resposta a incidentes.
Ao iniciar o trabalho de gestão de riscos deve-se primeiramente fazer um levantamento de 
todas as informações relevantes sobre o ambiente onde será executada a análise de riscos. 
Deve estar claro ainda o entendimento sobre as atividades da organização e os propósitos 
que a levaram à gestão de riscos de segurança da informação.
São exemplos destes propósitos:
 1 Suporte a SGSI: a organização optou por implementar um SGSI e para isso deve realizar 
a gestão de risco de segurança da informação como requisito obrigatório.
 1 Conformidade legal: atendimento a uma determinação legal ou normatizadora. 
Ex: bancos, operadoras de cartão de crédito.
 1 Plano de Continuidade de Negócios: necessário para a preparação do plano que visa 
estruturar o modo como a organização enfrentará um evento catastrófico. Para que não 
ocorra um impacto significativo ao negócio é necessária a realização do processo de 
gestão de riscos.
 1 Plano de resposta a incidentes: para que a organização possa ter seu plano de res-
postas a incidentes é necessário o conhecimento de seus riscos e vulnerabilidades.
De modo geral, o entendimento dos propósitos da implantação da gestão de riscos possibi-
lita uma visão da importância desta atividade para os negócios da organização. Na norma 
ABNT NBR ISO/IEC 27005 o propósito faz parte das diretrizes para implementação da ativi-
dade de definição do contexto: vide 7.1 – Considerações gerais.
Itens para identificação
Ao analisar o ambiente da organização, a equipe de analistas deve identificar os elementos 
que caracterizam a organização e contribuem para o seu desenvolvimento. Na análise da 
organização devem constar pelo menos os seguintes itens:
Itens para identificação Exemplo de questionamentos
Propósito principal da 
organização Qual a finalidade da empresa? Quais seus objetivos?
O negócio Qual o seu negócio? Qual a finalidade do que é produzido / desenvolvido?
A missão Qual a sua missão? Para que ela existe? O que ela se propõe a fazer? Para quem?
Tabela 2.1 
Itens para análise 
da organização.
25
 
C
ap
ítu
lo
 2
 - 
Co
nt
ex
to
 d
a 
ge
st
ão
 d
e 
ri
sc
os
Itens para identificação Exemplo de questionamentos
A visão de futuro Qual sua visão de futuro? Oque se espera dela no tempo?
Os valores Quais os seus valores? Como eles são evidenciados?
A estrutura organizacional Como ela está organizada e estruturada? E a segurança das informações? E as responsabilidades pela segurança?
O organograma Qual o seu organograma? “Quem é quem e em que setor trabalha”? Há área de segurança da informação?
As estratégias Quais são as suas principais estratégias de negócios? E de segurança da informação?
Os produtos Quais são os seus produtos? Qual o principal produto de alavancagem dos negócios?
Os parceiros
Quem são seus parceiros? Como são escolhidos? Como contribuem? Como é o 
relacionamento da segurança da informação com eles? Quais as obrigações da 
segurança da informação?
Os terceiros
Quem são os terceiros? Como são escolhidos? Como contribuem? Como é o rela-
cionamento da segurança da informação com eles? Como é o contrato? Quais as 
obrigações da segurança da informação?
As instalações Como está dividida a organização? Onde estão os servidores? Há algum mecanismo de prevenção de incêndio? Como é feita a proteção física? Como são os acessos?
Os funcionários Como são contratados? Há treinamento de segurança da informação? Como são contratados?
Exercício de fixação 1 e 
Definindo o contexto
Qual a finalidade da sua organização? Explique.
Qual deve ser um dos propósitos que devem levar a gestão de riscos de segurança da infor-
mação na sua organização? Justifique.
26
 
G
es
tã
o 
de
 R
is
co
s 
de
 T
I N
BR
 2
70
05
Definindo escopo e limites
q 1 Escopo é descrição dos limites do projeto, sua abrangência, seus resultados e 
entregas. É a finalidade da gestão de riscos.
 1 Devem ser considerados:
 2 Os objetivos e políticas da organização.
 2 Estrutura e funções da organização.
 2 Processos de negócios.
 2 Ativos.
 2 Expectativas.
 2 Restrições.
 1 As restrições afetam a organização e determinam o direcionamento da segurança 
da informação. 
 1 Algumas destas restrições podem causar impactos no escopo e a equipe tem que 
estar preparada para identificá-las e determinar a influência que terão no escopo. 
Exemplos de restrições:
 2 Restrições técnicas.
 2 Restrições financeiras.
 2 Restrições ambientais.
 2 Restrições temporais (tempo é um fator determinante).
 2 Restrições organizacionais.
 1 O anexo A da norma ABNT NBR ISO/IEC 27005 apresenta e detalha estas restrições.
 1 Exemplos de escopo e limites:
 2 Uma aplicação de TI.
 2 A infraestrutura de TI.
 2 Um processo de negócio.
 2 O departamento de TI.
 2 Uma filial.
 2 O sistema de internet banking de uma instituição financeira.
 2 O serviço de e-mail da organização.
 2 O processo de controle de acesso físico da organização.
 2 O datacenter da organização.
 2 A infraestrutura que atende aos serviços ADSL de uma operadora.
 2 O serviço de callcenter.
 2 O sistema logístico de distribuição de provas de concurso público nacional.
 2 A intranet da organização.
Para lidar com a complexidade da definição do escopo, é recomendável escrevê-la 
por tópicos, tendo a certeza de que todos os pontos foram incluídos e que não 
existem dúvidas, principalmente entre o entendimento da equipe de gestão de 
riscos e a organização.
27
 
C
ap
ítu
lo
 2
 - 
Co
nt
ex
to
 d
a 
ge
st
ão
 d
e 
ri
sc
os
É importante que a organização defina o escopo e os limites da gestão de riscos de segurança 
da informação. Mas o que é escopo? 
Escopo é a maneira como são descritos os limites do projeto, sua abrangência, seus resul-
tados e suas entregas. É a finalidade, o alvo, o intento ou propósito da gestão de riscos. Se 
o escopo for nebuloso, ou deixar margem para interpretação, será difícil para a equipe de 
gestão de riscos identificar os limites do seu trabalho. Portanto, o escopo deve ser claro, 
bem definido e entendido pela equipe de trabalho e pela organização. Desta forma, com 
o escopo e os limites identificados, a equipe de análise e a organização estarão aptos a 
levantar os ativos, pessoas, processos e instalações que serão envolvidas na atividade de 
análise e avaliação dos riscos.
Ao definir o escopo, a organização deverá levar em conta os objetivos que devem ser alcançados 
com a análise/avaliação (propósitos). Para isso devem ser considerados:
 1 Os objetivos e políticas da organização;
 1 Estrutura e funções da organização;
 1 Processos de negócios;
 1 Ativos;
 1 Expectativas;
 1 Restrições.
É importante considerar as restrições que afetam a organização e determinam o direciona-
mento da segurança da informação. Algumas destas restrições podem causar impactos no 
escopo, de modo que a equipe precisa estar preparada para identificá-las e determinar a 
influência que terão no escopo. Alguns exemplos de restrições:
 1 Restrições técnicas;
 1 Restrições financeiras;
 1 Restrições ambientais;
 1 Restrições temporais (tempo é um fator determinante);
 1 Restrições organizacionais.
Existem muitas outras restrições, que irão variar em função do tipo ou do negócio da orga-
nização, assim como também irá variar a influência destas restrições na gestão de riscos. 
O anexo A da norma ABNT NBR ISO/IEC 27005 apresenta e detalha estas restrições, sendo 
uma leitura obrigatória para um melhor entendimento. Estes são apenas alguns exemplos 
bem objetivos. É preciso avaliar a complexidade do escopo e fazer um detalhamento dos 
seus objetivos, para que não haja dúvida a respeito da sua amplitude.
Exercício de fixação 2 e 
Definindo o escopo e limites
Quais propósitos devem ser considerados na sua organização para definição do escopo? 
Justifique.
28
 
G
es
tã
o 
de
 R
is
co
s 
de
 T
I N
BR
 2
70
05
Cite uma restrição técnica e uma restrição organizacional possível de existir na sua 
organização? Justifique.
Critérios para avaliação de riscos
q 1 Os critérios fazem parte do método da gestão de riscos. 
 1 Os critérios são a forma e o valor (pesos) com que os riscos e impactos serão valorados.
A palavra critério, do grego kritérion pelo latim critério, significa estabelecer um padrão que 
serve de base para que coisas e pessoas possam ser comparadas e julgadas. 
Os critérios para avaliação de riscos servem para avaliar os riscos de segurança e 
devem considerar: 
 1 O valor estratégico do processo; 
 1 A criticidade dos ativos; 
 1 O histórico de ocorrências de eventos de segurança; 
 1 O valor do ativo para o processo; 
 1 A probabilidade de ocorrências e outros, de acordo com a organização e escopo. 
Os critérios também serão utilizados para definir as prioridades para o tratamento dos riscos.
Exemplo: 
Em um ambiente que possui uma sala usada como depósito de papel e com um precário 
sistema de prevenção e combate a incêndios, o risco de um incêndio pode ser ALTO.
No desenvolvimento dos critérios é importante que:
1. Definir a quantidade de níveis necessários para o critério;
2. Definir o nome do nível;
3. Definir os valores de cada nível;
4. Fazer uma descrição detalhada de cada nível. Colocar o máximo de informações do que 
abrange aquele nível a fim de permitir que qualquer outra pessoa possa entender cada 
nível do critério e aplica-lo de forma igualitária e uniforme.
Critérios de impacto
Impacto é a mudança adversa no nível obtido nos objetivos de negócios. Os critérios de 
impacto servem para mensurar o montante dos danos ou custos à organização causados 
pela ocorrência de um evento de segurança da informação. Geralmente estão relacionados 
a perdas financeiras. Devem considerar, entre outros: 
 1 O comprometimento das operações; 
 1 O descumprimento de prazos; 
 1 Os danos de reputação e imagem; 
29
 
C
ap
ítu
lo
 2