Baixe o app para aproveitar ainda mais
Prévia do material em texto
Gestão de Riscos de TI – N BR 27005 ISBN 978-85-63630-06-3 9 788563 630063 O livro de apoio ao curso apresenta os conceitos de gestão de riscos a partir da norma NBR ISO 27005. Define conceitos e trabalha a contextualização do am- biente, identificação e levantamento dos riscos através do conhecimento das ameaças, ativos, vulnerabilidades, probabilidade de ocorrência e impactos. São realizados a estimativa e o cálculo de risco e definido o tratamento mais adequado. Todo o trabalho é baseado em um es- tudo de caso, visando consolidar o conhecimento teórico. Este livro inclui os roteiros das atividades práticas e o con- teúdo dos slides apresentados em sala de aula, apoiando profissionais na disseminação deste conhecimento em suas organizações ou localidades de origem. Gestão de Riscos de TI NBR 27005 LI VR O DE A PO IO A O CU RS O Edson Kowask Bezerra A RNP – Rede Nacional de Ensino e Pesquisa – é qualificada como uma Organização Social (OS), sendo ligada ao Ministério da Ciência, Tecnologia e Inovação ( MC T I ) e r e s po ns á v e l pe l o Programa Interministerial RNP, que conta com a participação dos ministérios da Educação (MEC), da Saúde (MS) e da Cultura (MinC). Pioneira no acesso à Internet no Brasil, a RNP planeja e mantém a rede Ipê, a rede óptica nacional acadêmica de alto desempenho. Com Pontos de Presença nas 27 unidades da federação, a rede tem mais de 800 instituições conectadas. São aproximadamente 3,5 milhões de usuários usufruindo de uma infraestrutura de redes avançadas para comunicação, computação e experimentação, que contribui para a integração entre o sistema de Ciência e Tecnologia, Educação Superior, Saúde e Cultura. Ciência, Tecnologia e Inovação Ministério da Educação Ministério da Saúde Ministério da Cultura Ministério da Edson Kowask Bezerra é profissional da área de segurança da informação e governança há mais de quinze anos, atuando como auditor líder, pesquisa- dor, gerente de projeto e gerente téc- nico, em inúmeros projetos de gestão de riscos, gestão de segurança da informação, continuidade de negócios, PCI, auditoria e recu- peração de desastres em empresas de grande porte do setor de telecomunicações, financeiro, energia, indústria e governo. Com vasta experiência nos temas de segurança e governança, tem atuado também como palestrante nos principais eventos do Brasil e ainda como instrutor de trei- namentos focados em segurança e governança. É professor e coordenador de cursos de pós-graduação na área de segurança da informação, gestão integrada, inovação e tec- nologias web. Hoje atua como Coordenador Acadêmico de Segurança e Governança de TI da Escola Superior de Redes. Possui a certificação CRISC da ISACA, além de diversas outras em segurança e governança. A RNP – Rede Nacional de Ensino e Pesquisa – é qualificada como uma Organização Social (OS), sendo ligada ao Ministério da Ciência, Tecnologia e Inovação (M CT I ) e r e s po n s á v e l pe l o Programa Interministerial RNP, que conta com a participação dos ministérios da Educação (MEC), da Saúde (MS) e da Cultura (MinC). Pioneira no acesso à Internet no Brasil, a RNP planeja e mantém a rede Ipê, a rede óptica nacional acadêmica de alto desempenho. Com Pontos de Presença nas 27 unidades da federação, a rede tem mais de 800 instituições conectadas. São aproximadamente 3,5 milhões de usuários usufruindo de uma infraestrutura de redes avançadas para comunicação, computação e experimentação, que contribui para a integração entre o sistema de Ciência e Tecnologia, Educação Superior, Saúde e Cultura. Ciência, Tecnologia e Inovação Ministério da Educação Ministério da Saúde Ministério da Cultura Ministério da Edson Kowask Bezerra Gestão de Riscos de TI NBR 27005 Edson Kowask Bezerra Rio de Janeiro Escola Superior de Redes 2013 Gestão de Riscos de TI NBR 27005 Copyright © 2013 – Rede Nacional de Ensino e Pesquisa – RNP Rua Lauro Müller, 116 sala 1103 22290-906 Rio de Janeiro, RJ Diretor Geral Nelson Simões Diretor de Serviços e Soluções José Luiz Ribeiro Filho Escola Superior de Redes Coordenação Luiz Coelho Edição Pedro Sangirardi Coordenação Acadêmica de Segurança e Governança de TI Edson Kowask Bezerra Equipe ESR (em ordem alfabética) Celia Maciel, Cristiane Oliveira, Derlinéa Miranda, Elimária Barbosa, Evellyn Feitosa, Felipe Nascimento, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, Renato Duarte e Yve Abel Marcial. Capa, projeto visual e diagramação Tecnodesign Versão 2.0.1 Este material didático foi elaborado com fins educacionais. Solicitamos que qualquer erro encon- trado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de conteúdo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas, a pessoas ou bens, originados do uso deste material. As marcas registradas mencionadas neste material pertencem aos respectivos titulares. Distribuição Escola Superior de Redes Rua Lauro Müller, 116 – sala 1103 22290-906 Rio de Janeiro, RJ http://esr.rnp.br info@esr.rnp.br Dados Internacionais de Catalogação na Publicação (CIP) B574g Bezerra, Edson Kowask Gestão de riscos de TI: NBR 27005 / Edson Kowask Bezerra. – Rio de Janeiro: RNP/ESR, 2013. 138 p. : il. ; 28 cm. Bibliografia: p.137. ISBN 978-85-63630-32-2 1. Tecnologia da informação - Técnicas de segurança. 2. Redes de computadores – Medidas de segurança. 3. Gestão de riscos de segurança da informação. I. Título. CDD 005.8 iii Sumário Escola Superior de Redes A metodologia da ESR ix Sobre o curso x A quem se destina x Convenções utilizadas neste livro x Permissões de uso xi Sobre o autor xii 1. Introdução à Gestão de Riscos Introdução 1 Exercício de nivelamento 1 – Introdução à gestão de riscos 2 Conceitos fundamentais 2 Exercício de fixação 1 – Conceitos fundamentais 5 Princípios da Gestão de Riscos 5 Normas de gestão de segurança e de riscos 7 Norma ABNT NBR ISO/IEC 27005:2008 9 Visão geral da gestão de riscos 10 Exercício de fixação 2 – Visão geral 12 Exercício de fixação 3 – PDCA 15 Fatores críticos para o sucesso 15 Áreas de conhecimento necessárias 16 iv Roteiro de Atividades 1 19 Atividade 1.1 – Conhecendo os conceitos 19 Atividade 1.2 – Conhecendo a norma 19 Atividade 1.3 – Identificando o processo 20 Atividade 1.4 – Fatores críticos 20 2. Contexto da gestão de riscos Introdução 21 Exercício de nivelamento 1 – Contexto 21 Processo de gestão de riscos de segurança da informação 21 Contexto 22 Estabelecimento do contexto 23 Contexto da norma ABNT NBR ISO/IEC 27005 23 Definindo o contexto 24 Itens para identificação 24 Exercício de fixação 1 – Definindo o contexto 25 Definindo escopo e limites 26 Exercício de fixação 2 – Definindo o escopo e limites 27 Critérios para avaliação de riscos 28 Critérios de impacto 28 Critérios para aceitação do risco 29 Exercício de fixação 3 – Definindo os critérios 31 Organização para a gestão de riscos 32 Roteiro de Atividades 2 33 Anexo A – Descrição da empresa 36 3. Identificação de riscos Introdução 41 Exercício de nivelamento 1 – Identificação dos riscos 41 Processo de análise de riscos de segurança da informação 41 Identificação de riscos 42 Identificando os ativos 43 Identificando os ativos primários 45 v Identificando os ativos de suporte e infraestrutura 46 Exercício de fixação 1 – Identificandoos ativos 46 Identificando as ameaças 47 Exercício de fixação 2 – Identificando as ameaças 49 Identificando os controles existentes 49 Roteiro de Atividades 3 53 Anexo B – Infraestrutura 55 4. Análise de riscos: Vulnerabilidades e consequências Introdução 59 Exercício de nivelamento 1 – Vulnerabilidades e consequências 59 Processo de análise de riscos de segurança da informação 60 Identificando as vulnerabilidades 60 Exercício de fixação 1 – Identificando vulnerabilidades 63 Identificação das consequências 63 Exercício de fixação 2 – Identificando as consequências 65 Roteiro de Atividades 4 67 Anexo C – Problemas relatados 69 5. Análise de Riscos: Avaliação das consequências Introdução 83 Exercício de nivelamento 1 – Avaliação das consequências 83 Visão geral do processo de estimativa de risco 83 Metodologias 84 Metodologia de análise qualitativa 85 Metodologia de análise quantitativa 85 Exercício de fixação 1 – Metodologias 86 Estimativa de riscos 86 Avaliação das consequências 87 Roteiro de Atividades 5 89 vi 6. Análise de riscos: avaliação da probabilidade Introdução 91 Exercício de nivelamento 1 – Avaliação da probabilidade 91 Visão geral do processo de avaliação de risco 92 Avaliação da probabilidade de ocorrência de incidentes 92 Exercício de fixação 1 – Avaliação da probabilidade 94 Determinação do nível de risco 94 Roteiro de Atividades 6 97 7. Avaliação de riscos Introdução 101 Exercício de nivelamento 1 – Avaliação de riscos 101 Processo de avaliação de riscos de segurança da informação 101 Avaliação de riscos de segurança da informação 102 Exercício de fixação 1 – Avaliação de risco 103 Roteiro de Atividades 7 105 8. Tratamento e aceitação de riscos Introdução 107 Exercício de nivelamento 1 – Tratamento e aceitação dos riscos 107 Visão geral do processo de tratamento do risco 107 Tratamento do risco 109 Riscos residuais 111 Modificação do risco 111 Retenção do risco 113 Ação de evitar o risco 113 Compartilhamento do risco 113 Exercício de fixação 1 – Tratamento de risco 114 Visão geral do processo de aceitação do risco 114 Aceitando o risco 115 Roteiro de Atividades 8 117 vii 9. Comunicação e monitoramento dos riscos Introdução 121 Exercício de nivelamento 1 – Comunicação e consulta dos riscos 121 Processo de comunicação e consulta do risco de segurança da informação 122 Comunicação e consulta do risco de segurança da informação 123 Exercício de fixação 1 – Comunicação e consulta dos riscos 124 Roteiro de Atividades 9 125 10. Monitoramento dos riscos Introdução 127 Exercício de nivelamento 1 – Monitoramento de riscos 127 Processo de monitoramento e análise crítica de riscos de segurança da informação 127 Monitoramento e análise crítica dos fatores de risco 129 Exercício de fixação 1 – Monitoramento e análise crítica dos riscos 130 Monitoramento, análise crítica e melhoria do processo de gestão de riscos 130 Roteiro de Atividades 10 133 Conclusão 135 Bibliografia 137 viii ix A Escola Superior de Redes (ESR) é a unidade da Rede Nacional de Ensino e Pesquisa (RNP) responsável pela disseminação do conhecimento em Tecnologias da Informação e Comunica- ção (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competências em TIC para o corpo técnico-administrativo das universidades federais, escolas técnicas e unidades federais de pesquisa. Sua missão fundamental é realizar a capacitação técnica do corpo funcional das organizações usuárias da RNP, para o exercício de competências aplicá- veis ao uso eficaz e eficiente das TIC. A ESR oferece dezenas de cursos distribuídos nas áreas temáticas: Administração e Projeto de Redes, Administração de Sistemas, Segurança, Mídias de Suporte à Colaboração Digital e Governança de TI. A ESR também participa de diversos projetos de interesse público, como a elaboração e execução de planos de capacitação para formação de multiplicadores para projetos edu- cacionais como: formação no uso da conferência web para a Universidade Aberta do Brasil (UAB), formação do suporte técnico de laboratórios do Proinfo e criação de um conjunto de cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA). A metodologia da ESR A filosofia pedagógica e a metodologia que orientam os cursos da ESR são baseadas na aprendizagem como construção do conhecimento por meio da resolução de problemas típi- cos da realidade do profissional em formação. Os resultados obtidos nos cursos de natureza teórico-prática são otimizados, pois o instrutor, auxiliado pelo material didático, atua não apenas como expositor de conceitos e informações, mas principalmente como orientador do aluno na execução de atividades contextualizadas nas situações do cotidiano profissional. A aprendizagem é entendida como a resposta do aluno ao desafio de situações-problema semelhantes às encontradas na prática profissional, que são superadas por meio de análise, síntese, julgamento, pensamento crítico e construção de hipóteses para a resolução do pro- blema, em abordagem orientada ao desenvolvimento de competências. Dessa forma, o instrutor tem participação ativa e dialógica como orientador do aluno para as atividades em laboratório. Até mesmo a apresentação da teoria no início da sessão de apren- dizagem não é considerada uma simples exposição de conceitos e informações. O instrutor busca incentivar a participação dos alunos continuamente. Escola Superior de Redes x As sessões de aprendizagem onde se dão a apresentação dos conteúdos e a realização das atividades práticas têm formato presencial e essencialmente prático, utilizando técnicas de estudo dirigido individual, trabalho em equipe e práticas orientadas para o contexto de atua- ção do futuro especialista que se pretende formar. As sessões de aprendizagem desenvolvem-se em três etapas, com predominância de tempo para as atividades práticas, conforme descrição a seguir: Primeira etapa: apresentação da teoria e esclarecimento de dúvidas (de 60 a 90 minutos). O instrutor apresenta, de maneira sintética, os conceitos teóricos correspondentes ao tema da sessão de aprendizagem, com auxílio de slides em formato PowerPoint. O instrutor levanta questões sobre o conteúdo dos slides em vez de apenas apresentá-los, convidando a turma à reflexão e participação. Isso evita que as apresentações sejam monótonas e que o aluno se coloque em posição de passividade, o que reduziria a aprendizagem. Segunda etapa: atividades práticas de aprendizagem (de 120 a 150 minutos). Esta etapa é a essência dos cursos da ESR. A maioria das atividades dos cursos é assíncrona e realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dúvidas e oferecer explicações complementares. Terceira etapa: discussão das atividades realizadas (30 minutos). O instrutor comenta cada atividade, apresentando uma das soluções possíveis para resolvê-la, devendo ater-se àquelas que geram maior dificuldade e polêmica. Os alunos são convidados a comentar as soluções encontradas e o instrutor retoma tópicos que tenham gerado dúvidas, estimulando a participação dos alunos. O instrutor sempre estimula os alunos a encontrarem soluções alternativas às sugeridas por ele e pelos colegas e, caso existam, a comentá-las. Sobre o curso O curso apresenta os conceitos de gestão de riscos a partir da norma NBR ISO 27005. Define conceitos e trabalha a contextualização do ambiente, identificação e levantamento dos riscos através do conhecimento das ameaças, ativos, vulnerabilidades, probabilidade de ocorrência e impactos. São realizados a estimativa e o cálculode risco e definido o tratamento mais adequado. Todo o trabalho é baseado em um estudo de caso, visando consolidar o conhecimento teórico. Ao final do curso o participante estará apto a realizar uma análise de risco qualitativa no ambiente da sua organização. A quem se destina Curso direcionado a gestores, técnicos e profissionais de informática ou áreas afins, que estão em busca do desenvolvimento de competências na realização de gestão e análise de riscos no ambiente de tecnologias da informação e comunicação (TIC). Profissionais de outras áreas podem participar desde que possuam conhecimentos de TIC, segurança da informação e normas ISO 27001 e 27002. Convenções utilizadas neste livro As seguintes convenções tipográficas são usadas neste livro: Itálico Indica nomes de arquivos e referências bibliográficas relacionadas ao longo do texto. xi Largura constante Indica comandos e suas opções, variáveis e atributos, conteúdo de arquivos e resultado da saída de comandos. Comandos que serão digitados pelo usuário são grifados em negrito e possuem o prefixo do ambiente em uso (no Linux é normalmente # ou $, enquanto no Windows é C:\). Conteúdo de slide Indica o conteúdo dos slides referentes ao curso apresentados em sala de aula. Símbolo Indica referência complementar disponível em site ou página na internet. Símbolo Indica um documento como referência complementar. Símbolo Indica um vídeo como referência complementar. Símbolo Indica um arquivo de aúdio como referência complementar. Símbolo Indica um aviso ou precaução a ser considerada. Símbolo Indica questionamentos que estimulam a reflexão ou apresenta conteúdo de apoio ao entendimento do tema em questão. Símbolo Indica notas e informações complementares como dicas, sugestões de leitura adicional ou mesmo uma observação. Permissões de uso Todos os direitos reservados à RNP. Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. Exemplo de citação: BEZERRA, E. K. Gestão de Riscos de TI – NBR 27005. Rio de Janeiro: Escola Superior de Redes, RNP, 2013. Comentários e perguntas Para enviar comentários e perguntas sobre esta publicação: Escola Superior de Redes RNP Endereço: Av. Lauro Müller 116 sala 1103 – Botafogo Rio de Janeiro – RJ – 22290-906 E-mail: info@esr.rnp.br xii Sobre o autor Edson Kowask Bezerra é profissional da área de segurança da informação e governança há mais de quinze anos, atuando como auditor líder, pesquisador, gerente de projeto e gerente técnico, em inúmeros projetos de gestão de riscos, gestão de segurança da infor- mação, continuidade de negócios, PCI, auditoria e recuperação de desastres em empresas de grande porte do setor de telecomunicações, financeiro, energia, indústria e governo. Com vasta experiência nos temas de segurança e governança, tem atuado também como palestrante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em segurança e governança. É professor e coordenador de cursos de pós-graduação na área de segurança da informação, gestão integrada, inovação e tecnologias web. Hoje atua como Coordenador Acadêmico de Segurança e Governança de TI da Escola Superior de Redes. Pos- sui a certificação CRISC da ISACA, além de diversas outras em segurança e governança. 1 C ap ítu lo 1 - In tr od uç ão à G es tã o de R is co s ob je tiv os conceitos 1 Introdução à Gestão de Riscos Conceituar e compreender ameaças, vulnerabilidades, probabilidade e riscos; conhecer e utilizar a norma de gestão de riscos; identificar as atividades do processo de gestão de riscos e os fatores críticos para o sucesso; identificar e definir as áreas necessárias para a gestão de riscos. Ameaças, vulnerabilidades, probabilidade, riscos, segurança da informação e gestão de riscos. Introdução q 1 A ação e interação dos objetivos com as incertezas originam o risco, que se apresenta no dia a dia de toda e qualquer atividade. 1 Muitas vezes, o risco não se apresenta visível, sendo necessárias ações para identificá-lo. 1 Outras vezes, o risco é fruto de ações repentinas que fogem ao controle humano, como em eventos de causas naturais. Nas fases do ciclo de vida de qualquer atividade humana planejada, convivemos com duas cer- tezas básicas: daquilo que deve acontecer (os objetivos) e o que pode acontecer (as incertezas). A ação e interação dos objetivos com as incertezas dão origem ao risco, que se apresenta no dia a dia de toda e qualquer atividade desenvolvida. Muitas vezes, o risco não se apresenta visível, sendo necessárias ações para identificá-lo; em outras situações o risco é proveniente de ações repentinas que fogem ao controle do ser humano, como no caso de eventos de causas naturais. Diariamente vemos manchetes em publicações das mais diversas áreas que destacam, com ênfase, os problemas relacionados aos riscos tecnológicos de segurança da informação: roubos de mídias de backup e de notebooks, vazamento de números de cartões de crédito, manuseio impróprio de registros eletrônicos, roubo de identidade e quebra de propriedade intelectual. Este capítulo abordará os conceitos fundamentais para a Gestão de Riscos e apresentará a norma ABNT NBR ISO/IEC 27005:2008 - Tecnologia da Informação – Técnicas de segurança – Gestão de riscos de segurança da informação. 2 G es tã o de R is co s de T I N BR 2 70 05 Exercício de nivelamento 1 e Introdução à gestão de riscos Como você avalia na sua organização o processo de gestão de riscos? Existem riscos para os trabalhos e atividades da sua organização? Conceitos fundamentais q 1 Norma ISO Guide 73:2009 Gestão de riscos – Vocabulário 2 Recomendações para uso em normas. 2 Apresenta as principais terminologias para uso nas atividades de gestão de riscos. 1 Esta terminologia deve ser combinada com os termos apresentados nas normas: 2 ABNT NBR ISO/IEC 27001. 2 ABNT ISO/IEC 27002. 1 Termos apresentados nas normas: 2 Segurança da Informação. 2 Ameaça. 2 Vulnerabilidade. 2 Risco. 2 Riscos de segurança da informação. 2 Identificação de riscos. 2 Impacto. 2 Estimativa de riscos. 2 Modificação do risco. 2 Comunicação do risco. 2 Ação de evitar o risco. 2 Retenção do risco. 2 Compartilhamento do risco. É importante ter sempre em mente os seguintes conceitos: Segurança da Informação é a proteção da informação de vários tipos de ameaças, visando garantir a continuidade do negócio, minimizar os riscos que possam comprometê-lo, maximizar o retorno sobre os investimentos e as oportunidades de negócio. A segurança da informação é obtida como resultado da implementação de um conjunto de controles, compreendendo políticas, processos, procedimentos, estruturas organizacionais e funções de hardware e software. A segurança da informação é obtida com a implementação de controles que deverão ser monitorados, analisados e continuamente melhorados, com o intuito de atender aos 3 C ap ítu lo 1 - In tr od uç ão à G es tã o de R is co s objetivos do negócio, mitigando os riscos e garantindo os preceitos de segurança da organi- zação: Confidencialidade, Integridade, Disponibilidade e Autenticidade (CIDA). q 1 Ameaça é todo e qualquer evento que possa explorar vulnerabilidades. 1 Causa potencial de um incidente indesejado, que pode resultar em dano para os sistemas, pessoas ou a própria organização. 1 As ameaças podem ser classificadas em: 2 Ameaças intencionais. 2 Ameaças da ação da natureza. 2 Ameaças não intencionais. São exemplos de ameaças: 1 Erroshumanos; 1 Falhas de hardware; 1 Falhas de software; 1 Ações da natureza; 1 Terrorismo; 1 Vandalismo, entre outras. Vulnerabilidade é qualquer fraqueza que possa ser explorada para comprometer a segu- rança de sistemas ou informações. Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. Para pensar Ameaça versus Vulnerabilidade Entende-se que a ameaça é o evento ou incidente, enquanto a vulnerabilidade é a fragilidade que será explorada para que a ameaça se torne concreta. Ameaças podem assumir diversas formas, como furto de equipamentos, mídia e docu- mentos, escuta não autorizada, incêndio, inundação e radiação eletromagnética, até fenômenos climáticos e sísmicos. Por exemplo, um computador cuja senha seja do conhecimento de todos, sofre ameaças como roubo, destruição ou alteração de informações; a vulnerabilidade que permite que estas ameaças se concretizem é justamente a senha ser conhecida e compartilhada por todos. Vulnerabilidade Ameaça Falta de treinamento de funcionários Erros humanos Interrupção no servidor por queima da fonte Falha de hardware Sistema aplicativo aceita qualquer valor nos seus campos Falha de software Inundação da sala em virtude das fortes chuvas Ações da natureza Explosão provocada intencionalmente no terminal de ônibus Terrorismo Máquina ATM virada e pichada Vandalismo Tabela 1.1 Exemplos de vulnerabilidades e ameaças. 4 G es tã o de R is co s de T I N BR 2 70 05 Os conceitos a seguir dizem respeito às atividades após a identificação dos riscos e relacio- nadas ao seu tratamento. 1 Risco: combinação da probabilidade (chance da ameaça se concretizar) de um evento indesejado ocorrer e de suas consequências para a organização. É a incerteza resultante da combinação da probabilidade de ocorrência de um evento e suas consequências. A pergunta “Qual o risco?” levanta dúvidas a respeito da ocorrência de algo incerto ou inesperado. Em segurança da informação, esta incerteza reside nos aspectos tecno- lógicos envolvidos, nos processos executados e, principalmente, nas pessoas que em algum momento interagem com a tecnologia e se envolvem com os processos. 1 Riscos de segurança da informação: possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, assim prejudicando a organização. 1 Identificação de riscos: processo para localizar, listar e caracterizar elementos de risco. Por menor que seja a probabilidade de ocorrência de um risco, pode ser que determinada incerteza ocorra e explore uma vulnerabilidade, concretizando uma ameaça. Para se pre- parar para isso é necessário conhecer os riscos de todo o ambiente, através da realização de um processo formalizado de identificação de riscos. 1 Impacto: mudança adversa no nível obtido dos objetivos de negócios. Consequência ava- liada dos resultados com a ocorrência de um evento em particular, em que determinada vulnerabilidade foi explorada, uma ameaça ocorreu e o risco se concretizou. Qual foi o impacto deste evento nos negócios? Quanto se perdeu? A organização será responsabili- zada? Haverá multas? Ações legais serão impetradas? Haverá danos de imagem? Imagine as seguintes situações hipotéticas: 1. Em uma faculdade, um usuário com acesso às informações dos alunos deixou sua senha escrita num papel após renová-la. O que pode ocorrer? Qual o impacto? 2. Em plena preparação para o vestibular de uma determinada instituição, as provas vazaram. Qual o impacto se este vazamento ocorreu seis meses antes da realização do vestibular? E se ocorreu nas 48 horas que antecedem a realização do vestibular? Exemplos de impactos: perdas financeiras, paralisação de serviços essenciais, perda de confiança dos clientes, pane no fornecimento de energia e falhas de telecomunicações, entre tantos outros. 1 Estimativa de riscos: processo utilizado para atribuir valores à probabilidade e conse- quências de um risco. A estimativa de riscos permite quantificar ou descrever de forma qualitativa um risco, permitindo às organizações priorizar os riscos de acordo com os critérios estabelecidos. 1 Ações de modificação do risco: ações tomadas para reduzir a probabilidade, as conse- quências negativas, ou ambas, associadas a um risco. 1 Comunicação do risco: troca ou compartilhamento de informações sobre o risco entre o tomador de decisão e outras partes interessadas. 1 Ação de evitar o risco: decisão de não se envolver ou agir de forma a mitigar uma situação de risco. 1 Retenção do risco: aceitação do ônus da perda ou do benefício do ganho associado a um determinado risco. 1 Compartilhamento do risco: compartilhamento com outra entidade do ônus da perda ou do benefício do ganho associado a um risco. 5 C ap ítu lo 1 - In tr od uç ão à G es tã o de R is co s Exercício de fixação 1 e Conceitos fundamentais Durante uma apresentação sobre os conceitos de gestão de riscos para a alta direção da sua organização, você foi questionado sobre duas possíveis ameaças existentes e seus riscos. Como você responderia? Em função da sua resposta para a alta direção, lhe pediram para explicar os possíveis impactos relacionados a estes riscos. Como você responderia? Princípios da Gestão de Riscos qPrincípios da gestão de riscos: 1 A gestão de riscos cria e protege valor. 1 A gestão de riscos é parte integrante de todos os processos organizacionais. 1 A gestão de riscos é parte da tomada de decisões. 1 A gestão de riscos aborda explicitamente a incerteza. 1 A gestão de riscos é sistemática, estruturada e oportuna. 1 A gestão de riscos baseia-se nas melhores informações disponíveis. 1 A gestão de riscos é feita sob medida. 1 A gestão de riscos considera fatores humanos e culturais. 1 A gestão de riscos é transparente e inclusiva. 1 A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças. 1 A gestão de riscos facilita a melhoria contínua da organização. Para a gestão de riscos ser eficaz, convém que uma organização, em todos os níveis, atenda aos princípios descritos a seguir. a. A gestão de riscos cria e protege valor. A gestão de riscos contribui para a realização demonstrável dos objetivos e para a melhoria do desempenho, referente à segurança e saúde das pessoas, à conformidade legal e regula- tória, à aceitação pública, à proteção do meio ambiente, à qualidade do produto, ao geren- ciamento de projetos, à eficiência nas operações, à governança e à reputação. 6 G es tã o de R is co s de T I N BR 2 70 05 b. A gestão de riscos é parte integrante de todos os processos organizacionais. A gestão de riscos não é uma atividade autônoma separada das principais atividades e processos da organização. A gestão de riscos faz parte das responsabilidades da adminis- tração e é parte integrante de todos os processos organizacionais, incluindo o planejamento estratégico e todos os processos de gestão de projetos e gestão de mudanças. c. A gestão de riscos é parte da tomada de decisões. A gestão de riscos auxilia os tomadores de decisão a fazer escolhas conscientes, priorizar ações e distinguir entre formas alternativas de ação. d. A gestão de riscos aborda explicitamente a incerteza. A gestão de riscos explicitamente leva em consideração a incerteza, a natureza dessa incer- teza, e como ela pode ser tratada. e. A gestão de riscos é sistemática, estruturada e oportuna. Uma abordagem sistemática, oportuna e estruturada para a gestão de riscos contribui para a eficiência e para os resultados consistentes, comparáveis e confiáveis. f. A gestão de riscos baseia-senas melhores informações disponíveis. As entradas para o processo de gerenciar riscos são baseadas em fontes de informação, tais como dados históricos, experiências, retroalimentação das partes interessadas, obser- vações, previsões e opiniões de especialistas. Entretanto, convém que os tomadores de decisão se informem e levem em consideração quaisquer limitações dos dados ou mode- lagem utilizados, ou a possibilidade de divergências entre especialistas. g. A gestão de riscos é feita sob medida. A gestão de riscos está alinhada com o contexto interno e externo da organização e com o perfil do risco. h. A gestão de riscos considera fatores humanos e culturais. A gestão de riscos reconhece as capacidades, percepções e intenções do pessoal interno e externo, que podem facilitar ou dificultar a realização dos objetivos da organização. i. A gestão de riscos é transparente e inclusiva. O envolvimento apropriado e oportuno de partes interessadas e, em particular, dos toma- dores de decisão em todos os níveis da organização assegura que a gestão de riscos perma- neça pertinente e atualizada. O envolvimento também permite que as partes interessadas sejam devidamente representadas e tenham suas opiniões levadas em consideração na determinação dos critérios de risco. j. A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças. A gestão de riscos continuamente percebe e reage às mudanças. À medida que acontecem eventos externos e internos, o contexto e o conhecimento modificam-se, o monitoramento e a análise crítica de riscos são realizados, novos riscos surgem, alguns se modificam e outros desaparecem. 7 C ap ítu lo 1 - In tr od uç ão à G es tã o de R is co s k. A gestão de riscos facilita a melhoria contínua da organização. Convém que as organizações desenvolvam e implementem estratégias para melhorar a sua maturidade na gestão de riscos, juntamente com todos os demais aspectos da sua organização. Estes princípios da gestão dos riscos devem ser os norteadores desta nobre ativi- dade no dia a dia das organizações. Normas de gestão de segurança e de riscos q 1 Norma ABNT NBR ISO/IEC 27001:2006 1 Norma ABNT NBR ISO/IEC 27002:2005 A área de segurança da informação possui um conjunto de normas para serem utilizadas nas mais diversas organizações, a fim de permitir uma padronização dos requisitos e proce- dimentos para a implementação de um SGSI. Norma ABNT NBR ISO/IEC 27001:2006 2 Tecnologia da Informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos 2 Apresenta e descreve os requisitos que devem ser implementados no estabeleci- mento de um Sistema de Gestão de Segurança da Informação (SGSI). 1 Norma ABNT NBR ISO/IEC 27002:2005 2 Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação 2 Apresenta as melhores práticas para uma gestão adequada da segurança da informação. Podendo ser aplicadas a qualquer ambiente de uma organização (particularmente ao ambiente de TI), estas normas destacam a necessidade das organizações de possuírem uma gestão de riscos estruturada, com a padronização de processos e requisitos de gestão de riscos. Em 1995, a comissão de padronização da Austrália e Nova Zelândia lançou a primeira norma tratando do tema: AS/NZS 4360 – Gestão de Risco. Genérica, a norma estabelece um processo de gestão de riscos amplamente aceito, tendo sido atualizada em 1999 (AS/NZS 4360:1999). Em 1996, a International Organization for Standardization (ISO) criou um grupo de trabalho baseado na AS/NZS 4360 para criar um projeto de gestão de risco, que passou por diversos problemas e só foi concluído em 2009. qABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes: 1 Norma que fornece os princípios e diretrizes genéricas para qualquer indústria ou setor. 1 Criada para ser aplicada a qualquer ambiente ou organização. ABNT ISO GUIDE 73:2009 Gestão de Riscos – Vocabulário: 1 Norma que apresenta as definições de termos genéricos relativos à gestão de riscos. 1 Referência de conceitos ligados à gestão de risco. ABNT Fundada em 1940, a Associação Brasileira de Normas Técnicas é o órgão responsável pela normalização técnica no país, fornecendo a base necessária ao desenvolvimento tecno- lógico brasileiro. É uma entidade privada, sem fins lucrativos. Saiba mais As normas descritas acima são apresentadas no curso Gestão de Segu- rança da Informação – NBR 27001 e 27002, oferecido pela Escola Superior de Redes. l 8 G es tã o de R is co s de T I N BR 2 70 05 qISO/IEC 31010:2009 Gestão de riscos – Técnicas de avaliação de riscos: 1 Norma que deve ser trabalhada em apoio à norma “ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes”. 1 Descreve as diversas técnicas e ferramentas de análise de risco, e não foi ainda tradu- zida pela ABNT. Em 2009 é lançada pela ISO e imediatamente pela Associação Brasileira de Normas Téc- nicas (ABNT) a norma ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes. Esta norma fornece os princípios e diretrizes genéricas para qualquer indústria ou setor. No mesmo ano foi lançada a norma ABNT ISO GUIDE 73:2009 Gestão de Riscos – Vocabu- lário. Ela apresenta as definições de termos genéricos relativos à gestão de riscos. Quando se pretende fazer referência a um conceito de gestão de riscos, deve ser utilizada a defi- nição da norma ABNT ISO GUIDE 73:2009 Gestão de Riscos – Vocabulário. Segundo a ABNT: “Este guia fornece as definições de termos genéricos relativos à gestão de riscos. Destina-se a incentivar uma compreensão mútua e consistente, uma abordagem coerente na descrição das atividades relativas à gestão de riscos e a utilização de terminologia uniforme de gestão de riscos em processos e estruturas para gerenciar riscos”. Em 2012, foi lançada em português a norma “ABNT NBR ISO/IEC 31010:2012 Gestão de riscos – Técnicas para o processo de avaliação de riscos” deve ser trabalhada em apoio à norma “ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípios e diretrizes”. A norma descreve as diversas técnicas e ferramentas de análise de risco, fornecendo orientações sobre a seleção e aplicação de técnicas sistemáticas para o processo de avaliação de riscos. Este grupo de normas da série 31000 visa atender a qualquer tipo de ambiente de uma organização. Proporcionam, portanto, uma concepção ampla e genérica da gestão de riscos, sendo aplicadas para avaliar e tratar qualquer tipo de risco corporativo. Durante o desen- volvimento destas normas, foi publicada em 2008, pelo grupo de trabalho específico de tecnologia da informação, a norma “ABNT NBR ISO/IEC 27005: 2008 Tecnologia da Infor- mação – Técnicas de Segurança – Gestão de riscos de segurança da informação”. Esta norma foi desenvolvida com base nos estudos da ISO 31000:2009, e portanto atende aos seus requisitos e ao seu processo de gestão de risco. A ISO/IEC 27005 faz parte do conjunto de normas da série de 27000, sobre o Sistema de Gestão de Segurança da Informação (SGSI), onde são incluídas ainda as normas ISO/IEC 27001 e ISO/IEC 27002. Esta norma apresenta as melhores práticas e possibilita o aprofundamento em aspectos exclusivos da segurança da informação, enquanto a ISO 31000 é mais genérica e contempla todos os setores. O enfoque deste curso está na norma “ABNT NBR ISO/IEC 27005: 2008 Tecnologia da Informação – Técnicas de Segurança – Gestão de riscos de segurança da infor- mação”. Os conceitos, processos e atividades apresentados se adequam ao que propõe a norma “ABNT NBR ISO 31000:2009 Gestão de Riscos – Princípiose dire- trizes”, podendo ser aplicados em qualquer outra área que não a de TI. 9 C ap ítu lo 1 - In tr od uç ão à G es tã o de R is co s O quadro abaixo apresenta um resumo comparativo entre estas normas: Norma Título Objetivo Observação 27001 Tecnologia da infor- mação – Técnicas de segurança – Sistemas de gestão de segu- rança da informação – Requisitos Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criti- camente, manter e melhorar um SGSI docu- mentado no contexto dos riscos de negócio globais da organização. Especifica requisitos para a implementação de controles de segu- rança personalizados para as necessidades individuais de organizações ou de suas partes. Cobre todos os tipos de organização (empre- endimentos comerciais, agências governamen- tais, organizações sem fins lucrativos, entre diversas outras). Trata mais especifica- mente de diretrizes e princípios para um sistema de gestão de segurança da infor- mação. 27002 Tecnologia da infor- mação – Técnicas de segurança – Código de prática para a gestão de segurança da infor- mação Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação. Os obje- tivos definidos nesta norma estabelecem dire- trizes gerais para as metas e melhores práticas para a gestão da segurança da informação. Voltada para controles de segurança. 27005 Tecnologia da infor- mação – Técnicas de segurança – Gestão de riscos de segu- rança da informação Apresenta um sistema de gestão de riscos de segurança da informação com foco em tecno- logia da informação. Esclarece como geren- ciar riscos de segu- rança da informação. 31000 Gestão de riscos – Princípios e diretrizes Norma que apresenta princípios e diretrizes básicas para a gestão de riscos em geral em qualquer tipo de ambiente. Editada em 2009, deste ano em diante as demais normas de gestão de riscos devem estar alinhadas a ela. 31010 Gestão de riscos — Técnicas para o processo de avaliação de riscos Descreve as diversas técnicas e ferramentas de análise de riscos. Editada em 2012. GUIDE 73 Gestão de risos – Vocabulário Apresenta as definições de termos genéricos relativos à gestão de riscos. Editada em 2009. Norma ABNT NBR ISO/IEC 27005:2008 qABNT NBR ISO/IEC 27005:2008 – Tecnologia da Informação – Técnicas de Segurança – Gestão de riscos de segurança da informação 1 Apresenta as diretrizes para o gerenciamento dos riscos de segurança da informação. 1 Emprega os conceitos da norma ABNT NBR ISO 27001:2005. A norma “ABNT NBR ISO/IEC 27005:2008 – Tecnologia da Informação – Técnicas de Segu- rança – Gestão de riscos de segurança da informação” foi publicada em julho de 2008 e apresenta as diretrizes para o gerenciamento dos riscos de segurança da informação. Emprega os conceitos da norma ABNT NBR ISO 27001:2005, que especifica os requisitos de sistemas de gestão da segurança da informação. Tabela 1.2 Resumo comparativo entre as normas. 10 G es tã o de R is co s de T I N BR 2 70 05 Esta norma descreve todo o processo necessário para a gestão de riscos de segurança da informação e as atividades necessárias para a perfeita execução da gestão. Apresenta prá- ticas para gestão de riscos da segurança da informação. As técnicas nela descritas seguem o conceito, os modelos e os processos globais especificados na norma ABNT NBR ISO/IEC 27001, além de apresentar a metodologia de avaliação e tratamento dos riscos requeridos pela mesma norma. Partindo do princípio de que a gestão de riscos é um processo cíclico e contínuo, a norma está dividida em sessões e anexos. As sessões contêm as informações do processo e das atividades necessárias para a sua execução. Existem 12 sessões ao todo: as sessões de 1 a 4 tratam das referências e da estrutura da norma, e as sessões 5 e 6 apresentam a visão geral do processo de gestão de riscos. As sessões a partir da 7 tratam especificamente do processo de gestão de riscos. Os seis anexos são identificados de A a F e trazem informações adicionais e exemplos. Nas sessões de 7 a 12 as atividades de gestão são apresentadas de acordo com a seguinte estrutura: 1 Entrada: refere-se aos insumos e premissas necessárias para a realização da atividade. 1 Ação: descrição da atividade, sempre acompanhada do “convém”. 1 Diretrizes para implementação: diretrizes necessárias para a realização da ação, isto é, o detalhamento de como a ação pode ser realizada. Estas diretrizes devem ser adaptadas a cada tipo de organização. Também estão acompanhadas do “convém”. 1 Saída: apresenta os resultados que devem ser alcançados e que vão servir para gerar evidências. Este curso utiliza o processo de gestão de riscos normatizado contido na norma ABNT NBR ISO/IEC 27005. Visão geral da gestão de riscos q 1 É necessária uma abordagem sistemática de gestão de riscos que varia de organi- zação para organização assim como o nível de risco aceitável de cada uma. 1 Risco aceitável é o grau de risco que a organização está disposta a aceitar para con- cretizar os seus objetivos. 1 Necessidade de aumentar a capacidade de gerir o risco e otimizar o retorno. 1 A abordagem de gestão de riscos de segurança da informação deve ser: 2 Contínua. 2 Realizada no tempo apropriado. 2 Repetitiva. 2 Própria ao ambiente da organização. 2 Ajustada ao processo de gestão de riscos corporativos. 2 Alinhada com os requisitos de negócios. 2 Apoiada pela alta direção. Gestão de riscos são atividades formalizadas e coordenadas para controlar e dirigir um con- junto de instalações e pessoas com relações e responsabilidades, entre si e externamente, no que se refere a riscos nos negócios sob a ótica da segurança da informação. 11 C ap ítu lo 1 - In tr od uç ão à G es tã o de R is co s Definição do contexto; 1 Análise/Avaliação de riscos; 1 Tratamento do risco; 1 Aceitação do risco; 1 Comunicação do risco; 1 Monitoramento e análise crítica; 1 Ciclo de melhoria contínua PDCA. A Tabela 1.3 mostra as principais atividades de gestão de riscos da segurança da informação. Processo do SGSI Processo de gestão de riscos de segurança da informação PLANEJAR 1Definição do contexto 1Análise/Avaliação de riscos 1Definição do plano de tratamento do risco 1Aceitação do risco EXECUTAR Implementação do plano de tratamento do risco VERIFICAR Monitoramento contínuo e análise crítica de riscos AGIR Manutenção e melhoria do processo de gestão de riscos de segu-rança da informação Em seu livro “Desafio aos deuses: a fascinante história do risco”, Peter Bernstein nos pre- senteia com uma detalhada análise histórica da evolução do controle e previsão dos riscos pela humanidade, desde a Grécia antiga. Segundo o autor, somos possuidores de elevado potencial técnico para a prevenção das perdas e ganhos, mesmo que o comportamento dos agentes seja imprevisível. Nas suas palavras: “... aconteça o que acontecer e apesar de todos os nossos esforços, os seres humanos não possuem o conhecimento completo sobre as leis que definem a ordem do mundo objetivamente existente”. Portanto, o autor nos desquali- fica como “previsores perfeitos” do futuro. Bernstein diz ainda que “Quando investidores compram ações, cirurgiões realizam opera- ções, engenheiros projetam pontes, empresários abrem seus negócios e políticos concorrem a cargos eletivos, o risco é um parceiro inevitável. Contudo, suas ações revelam que o risco não precisa ser tão temido: administrar o risco é sinônimo de desafio e oportunidade”.O risco faz parte de nosso cotidiano, de modo que precisamos conhecê-lo para poder tratá- -lo e dele extrair novas oportunidades. É inquestionável a importância do papel que a tecnologia da informação exerce na socie- dade para que esta alcance seus objetivos. A integração do ambiente tecnológico, caracte- rizado pela complexidade e interdependência, produz contextos muitas vezes hostis que propiciam ataques cada vez mais frequentes à segurança da informação, exigindo respostas cada vez mais rápidas das organizações. A este quadro vêm somar-se novas obrigações legais, de proteção de privacidade e governança corporativa, gerando a necessidade das organizações gerenciarem mais efetivamente sua infraestrutura de tecnologia. Para enfrentar estas novas ameaças e demandas as organizações devem desenvolver uma atitude proativa, antecipando-se em conhecer suas fraquezas e vulnerabilidades. Isto pode ser obtido através da adoção de um processo formal de gerenciamento de riscos de segu- rança da informação, que permita à organização estabelecer um nível aceitável de risco. Tabela 1.3 Principais atividades de gestão de riscos da segurança da informação. Saiba mais Dica de leitura: BERNSTEIN, Peter. Desafio aos deuses: a fas- cinante história do risco. Editora Campus, 1997. l 12 G es tã o de R is co s de T I N BR 2 70 05 Para isso é necessária uma abordagem sistemática de gestão de riscos, que irá variar de acordo com o negócio de cada organização, assim como o nível de risco aceitável estabele- cido pela direção de cada organização. Risco aceitável é o grau de risco que a organização está disposta a aceitar para a concretização dos seus objetivos estratégicos. Exercício de fixação 2 e Visão geral Na sua organização, qual seria o “risco aceitável” na realização das suas atividades? Explique. Aumentar a capacidade de gerir o risco e otimizar o retorno são ações integrantes de uma abordagem sistêmica, que proporciona um processo formal para a melhoria da capacidade de identificação e avaliação dos riscos. Esta abordagem deve estar de acordo com os obje- tivos da organização, atendendo às suas necessidades específicas de acordo com os requi- sitos de segurança da informação. Para isso, a abordagem de gestão de riscos de segurança da informação deve ser: 1 Contínua; 1 Realizada no tempo apropriado; 1 Repetitiva; 1 De acordo com o ambiente da organização; 1 Ajustada ao processo de gestão de riscos corporativos; 1 Alinhada com os requisitos de negócios; 1 Apoiada pela alta direção. Partindo do conceito amplo de que o processo de gestão é composto de atividades coordenadas e formalizadas para controlar e dirigir uma organização – formada por suas instalações e pessoal, com relações e responsabilidades entre si e com agentes externos –, pode-se inferir que a gestão de riscos é composta de atividades formalizadas e coordenadas para controlar e dirigir um conjunto de instalações e pessoas com relações e responsabilidades, entre si e com o ambiente externo, no que se refere a riscos nos negócios sob a ótica da segurança da informação. 13 C ap ítu lo 1 - In tr od uç ão à G es tã o de R is co s A Figura 1.1 apresenta uma visão do processo de gestão de riscos de segurança da infor- mação segundo a norma ABNT NBR ISO/IEC 27005. IDENTIFICAÇÃO DE RISCOS ANÁLISE DE RISCOS ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES CO M U N IC AÇ ÃO E C O N SU LT A D O R IS CO M O N IT O RA M EN TO E A N ÁL IS E CR ÍT IC A D E RI SC O S PONTO DE DECISÃO 2 Tratamento satisfatório PONTO DE DECISÃO 1 Avaliação satisfatória Não Sim Não Sim PROCESSO DE AVALIAÇÃO DE RISCOS TRATAMENTO DO RISCO AVALIAÇÃO DE RISCOS DEFINIÇÃO DO CONTEXTO O processo tem seis grandes grupos de atividades: 1 Definição do contexto; 1 Análise/Avaliação de riscos; 1 Tratamento do risco; 1 Aceitação do risco; 1 Comunicação do risco; 1 Monitoramento e análise crítica. Como pode ser visto na Figura 1.1, o ciclo de vida da gestão de riscos de segurança da infor- mação é iterativo, onde a gestão se desenvolve de maneira incremental, através de uma sucessão de iterações, e cada iteração libera uma entrega (saída) para a seguinte, minimi- zando tempo e esforço. Definição do contexto Dentro do processo, a definição do contexto é responsável pela definição do ambiente, escopo, critérios de avaliação, entre outras definições. Figura 1.1 Processo de gestão de riscos de segurança da informação. 14 G es tã o de R is co s de T I N BR 2 70 05 Esta etapa é essencial para a equipe que realiza a gestão de risco conhecer todas as infor- mações sobre a organização. Análise/Avaliação de riscos A próxima iteração é de análise e avaliação de risco, que permitirá a identificação dos riscos e a determinação das ações necessárias para reduzir o risco a um nível aceitável. Tratamento do risco A partir dos resultados obtidos na análise e avaliação do risco são definidos os controles necessários para o tratamento do risco. A norma ABNT NBR ISO/IEC 27001 especifica os controles que deverão ser implementados. Aceitação do risco Assegura os riscos aceitos pela organização, ou seja, os riscos que por algum motivo não serão tratados ou serão tratados parcialmente. São os chamados riscos residuais, cujo enquadramento nesta categoria deverá ser justificado. Comunicação do risco Nesta etapa é feita a comunicação do risco e da forma como será tratado, para todas as áreas operacionais e seus gestores. Monitoramento e análise crítica São as atividades de acompanhamento dos resultados, implementação dos controles e de análise crítica para a melhoria contínua do processo de gestão de riscos. Todas estas etapas serão detalhadas nas próximas sessões. A norma ABNT NBR ISO/IEC 27001 especifica que os controles implementados no escopo, limites e contexto do Sistema de Gestão de Segurança da Informação (SGSI) devem estar baseados no risco. Este requisito deve ser atendido através da aplicação do processo de gestão de riscos de segurança da informação. No ambiente de um SGSI, a definição do contexto, a análise e avaliação de riscos, o desen- volvimento do plano de tratamento do risco e a aceitação do risco fazem parte da fase “Pla- nejar” do ciclo de melhoria contínua PDCA. Já a fase “Executar” do SGSI é a implementação de controles para conduzir os riscos ao nível aceitável pela organização. A fase “Verificar” do SGSI, por sua vez, inclui as ações de revisão. Finalmente, a fase “Agir” compreende as ações necessárias para execução, incluindo a reaplicação do processo de gestão de riscos de segurança da informação. Podemos resumir da seguinte forma as principais atividades de Gestão de riscos de segu- rança da informação: Processo do SGSI Processo de gestão de riscos de segurança da informação PLANEJAR Definição do contexto Análise/Avaliação de riscos Definição do plano de tratamento do risco Aceitação do risco EXECUTAR Implementação do plano de tratamento do risco 15 C ap ítu lo 1 - In tr od uç ão à G es tã o de R is co s Processo do SGSI Processo de gestão de riscos de segurança da informação VERIFICAR Monitoramento contínuo e análise crítica de riscos AGIR Manutenção e melhoria o processo de Gestão de Riscos de Segu-rança da Informação Manutenção e melhoria do processo Monitoramento e análise crítica Implementar o plano de tratamento Aceitaçãodo risco Definição do plano de tratamento Análise/Avaliação de riscos Definição do contexto AG IR PLANEJAR PLAN EJAR PLANEJAR PLANEJAR EX EC UT AR V ER IF IC AR Exercício de fixação 3 e PDCA Explique como a fase planejar (PDCA) do processo do SGSI é executado no processo de gestão de riscos de segurança da informação. Fatores críticos para o sucesso q 1 Redução das surpresas operacionais e prejuízos. 1 Identificação de oportunidades de crescimento e melhorias. 1 Racionalização do capital estabelecendo uma ordem de prioridades de investimento. 1 Prá-atividade com o uso dos recursos computacionais nos negócios. 1 Envolvimento e participação da alta direção no processo. 1 Comunicação e treinamento. 1 Definição de objetivos. 1 Papéis e responsabilidades definidos. 1 Integração com as atividades de gestão de segurança da informação. Figura 1.2 Processo de gestão de riscos e o modelo PDCA. 16 G es tã o de R is co s de T I N BR 2 70 05 A gestão de riscos de segurança da informação é implementada pelas organizações na busca por vantagens competitivas para os negócios. É fundamental demonstrar, para as partes interessadas, uma postura de segurança na gestão dos riscos relacionados à pro- teção dos ativos e informações. Os fatores críticos para o sucesso estão relacionados aos benefícios que devem ser alcan- çados pelas organizações, a depender da natureza de cada organização. Para atingir tais benefícios é preciso realizar as etapas que envolvem os fatores críticos para o sucesso. Como exemplos destes fatores podemos mencionar os listados a seguir. Envolvimento e participação da alta direção no processo É essencial para o sucesso de qualquer projeto que a direção esteja envolvida e comprometida com o seu desenvolvimento e sucesso de acordo com os objetivos estratégicos definidos. Comunicação e treinamento Todo o processo precisa ser comunicado a todas as partes envolvidas antes do seu início, durante o seu desenvolvimento e após sua conclusão, com a apresentação dos resultados alcançados e metas atingidas. Em um processo de gestão de riscos todos os participantes devem ser envolvidos, e para isso é necessária a realização de campanhas de conscienti- zação e treinamentos. Definição de objetivos O estabelecimento de objetivos contribui decisivamente com o alcance das metas da gestão de riscos. Papéis e responsabilidades definidas Todos os integrantes das partes envolvidas devem conhecer as suas atribuições e responsa- bilidades durante todo o processo de gestão de riscos de segurança da informação. Integração com a gestão de segurança da informação As atividades de gestão de riscos devem estar totalmente integradas às atividades do SGSI. No desenvolvimento deste curso serão explorados os fatores críticos de sucesso perten- centes a cada etapa da gestão de riscos de segurança da informação. Áreas de conhecimento necessárias qOs profissionais envolvidos nas atividades de análise de risco possuem um perfil com conhecimento em diversas áreas: 1 Técnico. 1 Negócios. 1 Legislação. 1 Processos. Para a melhor aplicação do processo de gestão de riscos, é importante que os profissionais envolvidos possuam um perfil com conhecimento de áreas diversas, permitindo a identifi- cação das ameaças e vulnerabilidades em qualquer ambiente organizacional. Na equipe encarregada da realização da análise de risco preferencialmente devem ser encontrados os seguintes perfis: 17 C ap ítu lo 1 - In tr od uç ão à G es tã o de R is co s 1 Técnico: contribui no atendimento das demandas das diversas áreas técnicas da organi- zação, incluindo as áreas de hardware, software, sistemas operacionais, infraestrutura e aplicações web, entre outras. 1 Negócios: auxilia a equipe no entendimento preciso dos negócios da organização e seus múltiplos processos, além de ter importância no cálculo dos impactos. 1 Legislação: perfil voltado ao entendimento dos aspectos legais e normativos com os quais a organização analisada necessita se alinhar. 1 Processos: permite a compreensão dos processos e através de sua análise identifica pos- síveis ameaças e vulnerabilidades, contribuindo com a elaboração de planos de gestão e tratamento de riscos. Estes são alguns exemplos de perfis ou conhecimentos necessários para a análise de risco. O tipo da organização e seus objetivos de negócios indicarão os perfis realmente importantes para compor a equipe de trabalho. Não existe a necessidade de um profissional para cada perfil citado, pois os conhecimentos podem ser encontrados em um mesmo profissional. A quantidade de profissionais alocados será determinada pelo escopo da análise e prazo. Leitura complementar 1 Sessões 4, 5 e 6 da norma ABNT NBR ISO/IEC 27005. 1 Item 4 da Norma Complementar Gestão de Riscos de Segurança da Informação e Comuni- cações – GRSIC, do DSIC/GSI/PR: http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf 1 Enterprise Risk Management: Past, Present and Future: http://www.casact.org/education/erm/2004/handouts/kloman.pdf 1 Interdisciplinary Risk Management: http://www.riskinfo.com/rmr/rmrjun05.htm 1 Quatro dicas para uma gestão de riscos eficiente: http://cio.uol.com.br/gestao/2009/07/03/quatro-dicas-para-a-boa-gestao-de-riscos/ 1 AS/NZS 4360: http://www.standards.org.au/ 1 História da AS/NZS 4360: http://www.riskinfo.com/rmr/rmrsept00.htm 18 G es tã o de R is co s de T I N BR 2 70 05 19 C ap ítu lo 1 - Ro te ir o de A ti vi da de s Roteiro de Atividades 1 Atividade 1.1 – Conhecendo os conceitos Para cada conceito a seguir, explique e apresente um exemplo baseado na organização em que você trabalha. Justifique sua resposta: Conceito Definição Exemplo Justificativa Riscos de segurança da informação Identificação de riscos Impacto Compartilhamento do risco Evitar o risco Comunicação do risco Estimativa do risco Tratamento do risco Aceitação do risco Atividade 1.2 – Conhecendo a norma Descreva como está organizada a norma ABNT NBR ISO/IEC 27005, citando suas sessões. Explique como estão estruturadas as atividades das sessões 7 a 12 da norma ABNT NBR ISO/IEC 27005. 20 G es tã o de R is co s de T I N BR 2 70 05 Atividade 1.3 – Identificando o processo Descreva a sequência das etapas do processo de gestão de riscos. Atividade 1.4 – Fatores críticos O que é a gestão de riscos de segurança da informação e como ela se aplica na sua organização? Quais são os fatores críticos de sucesso? Dê exemplos baseados na sua organização. Em sua opinião qual a importância de entendermos a gestão de risco para o exercício das nossas atividades cotidianas? O que foi aprendido q 1 Conceito de gestão de risco. 1 Visão geral da gestão de risco. 1 Fatores críticos de sucesso. 21 C ap ítu lo 2 - Co nt ex to d a ge st ão d e ri sc os ob je tiv os conceitos 2 Contexto da gestão de riscos Conceituar e definir o contexto do ambiente da gestão de riscos; identificar o escopo e as atividades de definição de critérios no processo de gestão de riscos. Contexto, escopo, limites e critérios. Introdução Ao iniciar qualquer tipo de trabalho, a primeira atividade a ser feita é conhecer o ambiente em que o trabalho será desenvolvido, as pessoas que de alguma forma irão interagir, o que será desenvolvido; em resumo, “conhecer o terreno” para saberconduzir o andamento dos trabalhos. Nas atividades que envolvem gestão de riscos de segurança da informação a definição do con- texto é a parte inicial e tem como objetivo permitir o conhecimento do ambiente da organização. Exercício de nivelamento 1 e Contexto No seu entendimento qual o contexto atual da sua organização? Processo de gestão de riscos de segurança da informação q 1 Conhecer a sequência das fases da gestão de riscos. 1 Ter acesso a toda a documentação da organização. Na sessão anterior foi apresentada a visão geral do processo de gestão de riscos. É neces- sário que o conhecimento da sequência das fases do processo faça parte do dia a dia dos profissionais envolvidos com a gestão de riscos. 22 G es tã o de R is co s de T I N BR 2 70 05 IDENTIFICAÇÃO DE RISCOS ANÁLISE DE RISCOS ACEITAÇÃO DO RISCO FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES CO M U N IC AÇ ÃO E C O N SU LT A D O R IS CO M O N IT O RA M EN TO E A N ÁL IS E CR ÍT IC A D E RI SC O S PONTO DE DECISÃO 2 Tratamento satisfatório PONTO DE DECISÃO 1 Avaliação satisfatória Não Sim Não Sim PROCESSO DE AVALIAÇÃO DE RISCOS TRATAMENTO DO RISCO AVALIAÇÃO DE RISCOS DEFINIÇÃO DO CONTEXTO Para realizar esta atividade, os profissionais deverão ter acesso a toda documentação sobre a organização, permitindo assim o amplo conhecimento sobre as especificidades da organização. Contexto É necessário entender o significado conceitual de “contexto” e sua aplicação na gestão de riscos. Ao buscar o seu significado nos dicionários, encontra-se, entre outras definições, que contexto é um substantivo masculino que significa “inter-relação de circunstâncias que acompanham um fato ou uma situação”. Assim, ao nos referirmos a “contexto” queremos na verdade tratar da totalidade de circunstân- cias que possibilitam, condicionam ou determinam a realização de um texto, projeto, ativi- dade ou mesmo de um evento de segurança da informação. Em outras palavras, contexto é o conjunto de circunstâncias que se relacionam de alguma forma com um determinado aconteci- mento. É a situação geral ou o ambiente a que está sendo referido um determinado assunto. Chamamos de contextualização a atividade de mapear todo o ambiente que envolve o evento em análise. No processo de gestão de riscos esta é a primeira atividade a ser desempenhada. Figura 2.1 Definição do contexto. 23 C ap ítu lo 2 - Co nt ex to d a ge st ão d e ri sc os Segundo a norma ABNT NBR ISO 31000:2009 o contexto pode ser analisado sob dois aspectos: q 1 Contexto Externo: é o ambiente externo no qual a organização se situa e busca atingir seus objetivos (ambiente cultural, financeiro, regulatórios, tecnológico, econômico, competitivo, entre outros). 1 Contexto Interno: é o ambiente interno no qual a organização busca atingir seus objetivos (governança, estrutura organizacional, políticas, objetivos, capacidades, sistemas de informação, cultura organizacional, normas, diretrizes, entre outras). Estabelecimento do contexto qDe acordo com a norma ABNT NBR ISO/IEC 31000, no momento em que a organização estabelece seu contexto ela: 1 Articula seus objetivos. 1 Define parâmetros internos e externos. 1 Define o escopo e os critérios de risco para todo o processo de gestão de riscos. De acordo com a norma ABNT NBR ISO/IEC 31000, no momento que a organização estabe- lece seu contexto ela articula seus objetivos, definindo parâmetros internos e externos que devem ser levados em consideração para gerenciar o risco, e define o escopo e os critérios de risco para todo o processo de gestão de riscos. Contexto da norma ABNT NBR ISO/IEC 27005 qSeção 7 da ABNT NBR ISO/IEC 27005: trata as atividades desenvolvidas durante a fase de contexto da gestão de riscos. 1 Apresentações da organização. 1 Entrevistas. 1 Questionários: 2 Seção 7.1 – Considerações iniciais. 2 Seção 7.2 – Critérios básicos. 2 Seção 7.3 – Escopo e limites. 2 Seção 7.4 – Organização para gestão de riscos de segurança da informação. 1 Anexo A – Informativo. A seção 7 da norma ABNT NBR ISO/IEC 27005 trata das atividades que devem ser desen- volvidas durante a fase de contexto da gestão de riscos. Essas atividades devem ser desenvolvidas pela equipe responsável pela gestão de riscos, sendo realizadas por meio de interações com os profissionais da organização avaliada através de: 1 Apresentações da organização; 1 Entrevistas com diretores, gerentes, técnicos e usuários; 1 Questionários. A seção 7 desta norma está organizada da seguinte forma: 1 Seção 7.1 – Considerações iniciais: finalidade de realizar a contextualização; 1 Seção 7.2 – Critérios básicos: critérios de avaliação; 24 G es tã o de R is co s de T I N BR 2 70 05 1 Seção 7.3 – Escopo e limites: importância da definição do escopo e os limites da gestão de riscos; 1 Seção 7.4 – Organização para gestão de riscos de segurança da informação: organização e responsabilidades do processo de gestão de riscos; 1 Anexo A – Informativo: detalhes para a definição do escopo e restrições que podem impactar nos trabalhos. Definindo o contexto q 1 Suporte a SGSI. 1 Conformidade legal. 1 Plano de continuidade de negócios. 1 Plano de resposta a incidentes. Ao iniciar o trabalho de gestão de riscos deve-se primeiramente fazer um levantamento de todas as informações relevantes sobre o ambiente onde será executada a análise de riscos. Deve estar claro ainda o entendimento sobre as atividades da organização e os propósitos que a levaram à gestão de riscos de segurança da informação. São exemplos destes propósitos: 1 Suporte a SGSI: a organização optou por implementar um SGSI e para isso deve realizar a gestão de risco de segurança da informação como requisito obrigatório. 1 Conformidade legal: atendimento a uma determinação legal ou normatizadora. Ex: bancos, operadoras de cartão de crédito. 1 Plano de Continuidade de Negócios: necessário para a preparação do plano que visa estruturar o modo como a organização enfrentará um evento catastrófico. Para que não ocorra um impacto significativo ao negócio é necessária a realização do processo de gestão de riscos. 1 Plano de resposta a incidentes: para que a organização possa ter seu plano de res- postas a incidentes é necessário o conhecimento de seus riscos e vulnerabilidades. De modo geral, o entendimento dos propósitos da implantação da gestão de riscos possibi- lita uma visão da importância desta atividade para os negócios da organização. Na norma ABNT NBR ISO/IEC 27005 o propósito faz parte das diretrizes para implementação da ativi- dade de definição do contexto: vide 7.1 – Considerações gerais. Itens para identificação Ao analisar o ambiente da organização, a equipe de analistas deve identificar os elementos que caracterizam a organização e contribuem para o seu desenvolvimento. Na análise da organização devem constar pelo menos os seguintes itens: Itens para identificação Exemplo de questionamentos Propósito principal da organização Qual a finalidade da empresa? Quais seus objetivos? O negócio Qual o seu negócio? Qual a finalidade do que é produzido / desenvolvido? A missão Qual a sua missão? Para que ela existe? O que ela se propõe a fazer? Para quem? Tabela 2.1 Itens para análise da organização. 25 C ap ítu lo 2 - Co nt ex to d a ge st ão d e ri sc os Itens para identificação Exemplo de questionamentos A visão de futuro Qual sua visão de futuro? Oque se espera dela no tempo? Os valores Quais os seus valores? Como eles são evidenciados? A estrutura organizacional Como ela está organizada e estruturada? E a segurança das informações? E as responsabilidades pela segurança? O organograma Qual o seu organograma? “Quem é quem e em que setor trabalha”? Há área de segurança da informação? As estratégias Quais são as suas principais estratégias de negócios? E de segurança da informação? Os produtos Quais são os seus produtos? Qual o principal produto de alavancagem dos negócios? Os parceiros Quem são seus parceiros? Como são escolhidos? Como contribuem? Como é o relacionamento da segurança da informação com eles? Quais as obrigações da segurança da informação? Os terceiros Quem são os terceiros? Como são escolhidos? Como contribuem? Como é o rela- cionamento da segurança da informação com eles? Como é o contrato? Quais as obrigações da segurança da informação? As instalações Como está dividida a organização? Onde estão os servidores? Há algum mecanismo de prevenção de incêndio? Como é feita a proteção física? Como são os acessos? Os funcionários Como são contratados? Há treinamento de segurança da informação? Como são contratados? Exercício de fixação 1 e Definindo o contexto Qual a finalidade da sua organização? Explique. Qual deve ser um dos propósitos que devem levar a gestão de riscos de segurança da infor- mação na sua organização? Justifique. 26 G es tã o de R is co s de T I N BR 2 70 05 Definindo escopo e limites q 1 Escopo é descrição dos limites do projeto, sua abrangência, seus resultados e entregas. É a finalidade da gestão de riscos. 1 Devem ser considerados: 2 Os objetivos e políticas da organização. 2 Estrutura e funções da organização. 2 Processos de negócios. 2 Ativos. 2 Expectativas. 2 Restrições. 1 As restrições afetam a organização e determinam o direcionamento da segurança da informação. 1 Algumas destas restrições podem causar impactos no escopo e a equipe tem que estar preparada para identificá-las e determinar a influência que terão no escopo. Exemplos de restrições: 2 Restrições técnicas. 2 Restrições financeiras. 2 Restrições ambientais. 2 Restrições temporais (tempo é um fator determinante). 2 Restrições organizacionais. 1 O anexo A da norma ABNT NBR ISO/IEC 27005 apresenta e detalha estas restrições. 1 Exemplos de escopo e limites: 2 Uma aplicação de TI. 2 A infraestrutura de TI. 2 Um processo de negócio. 2 O departamento de TI. 2 Uma filial. 2 O sistema de internet banking de uma instituição financeira. 2 O serviço de e-mail da organização. 2 O processo de controle de acesso físico da organização. 2 O datacenter da organização. 2 A infraestrutura que atende aos serviços ADSL de uma operadora. 2 O serviço de callcenter. 2 O sistema logístico de distribuição de provas de concurso público nacional. 2 A intranet da organização. Para lidar com a complexidade da definição do escopo, é recomendável escrevê-la por tópicos, tendo a certeza de que todos os pontos foram incluídos e que não existem dúvidas, principalmente entre o entendimento da equipe de gestão de riscos e a organização. 27 C ap ítu lo 2 - Co nt ex to d a ge st ão d e ri sc os É importante que a organização defina o escopo e os limites da gestão de riscos de segurança da informação. Mas o que é escopo? Escopo é a maneira como são descritos os limites do projeto, sua abrangência, seus resul- tados e suas entregas. É a finalidade, o alvo, o intento ou propósito da gestão de riscos. Se o escopo for nebuloso, ou deixar margem para interpretação, será difícil para a equipe de gestão de riscos identificar os limites do seu trabalho. Portanto, o escopo deve ser claro, bem definido e entendido pela equipe de trabalho e pela organização. Desta forma, com o escopo e os limites identificados, a equipe de análise e a organização estarão aptos a levantar os ativos, pessoas, processos e instalações que serão envolvidas na atividade de análise e avaliação dos riscos. Ao definir o escopo, a organização deverá levar em conta os objetivos que devem ser alcançados com a análise/avaliação (propósitos). Para isso devem ser considerados: 1 Os objetivos e políticas da organização; 1 Estrutura e funções da organização; 1 Processos de negócios; 1 Ativos; 1 Expectativas; 1 Restrições. É importante considerar as restrições que afetam a organização e determinam o direciona- mento da segurança da informação. Algumas destas restrições podem causar impactos no escopo, de modo que a equipe precisa estar preparada para identificá-las e determinar a influência que terão no escopo. Alguns exemplos de restrições: 1 Restrições técnicas; 1 Restrições financeiras; 1 Restrições ambientais; 1 Restrições temporais (tempo é um fator determinante); 1 Restrições organizacionais. Existem muitas outras restrições, que irão variar em função do tipo ou do negócio da orga- nização, assim como também irá variar a influência destas restrições na gestão de riscos. O anexo A da norma ABNT NBR ISO/IEC 27005 apresenta e detalha estas restrições, sendo uma leitura obrigatória para um melhor entendimento. Estes são apenas alguns exemplos bem objetivos. É preciso avaliar a complexidade do escopo e fazer um detalhamento dos seus objetivos, para que não haja dúvida a respeito da sua amplitude. Exercício de fixação 2 e Definindo o escopo e limites Quais propósitos devem ser considerados na sua organização para definição do escopo? Justifique. 28 G es tã o de R is co s de T I N BR 2 70 05 Cite uma restrição técnica e uma restrição organizacional possível de existir na sua organização? Justifique. Critérios para avaliação de riscos q 1 Os critérios fazem parte do método da gestão de riscos. 1 Os critérios são a forma e o valor (pesos) com que os riscos e impactos serão valorados. A palavra critério, do grego kritérion pelo latim critério, significa estabelecer um padrão que serve de base para que coisas e pessoas possam ser comparadas e julgadas. Os critérios para avaliação de riscos servem para avaliar os riscos de segurança e devem considerar: 1 O valor estratégico do processo; 1 A criticidade dos ativos; 1 O histórico de ocorrências de eventos de segurança; 1 O valor do ativo para o processo; 1 A probabilidade de ocorrências e outros, de acordo com a organização e escopo. Os critérios também serão utilizados para definir as prioridades para o tratamento dos riscos. Exemplo: Em um ambiente que possui uma sala usada como depósito de papel e com um precário sistema de prevenção e combate a incêndios, o risco de um incêndio pode ser ALTO. No desenvolvimento dos critérios é importante que: 1. Definir a quantidade de níveis necessários para o critério; 2. Definir o nome do nível; 3. Definir os valores de cada nível; 4. Fazer uma descrição detalhada de cada nível. Colocar o máximo de informações do que abrange aquele nível a fim de permitir que qualquer outra pessoa possa entender cada nível do critério e aplica-lo de forma igualitária e uniforme. Critérios de impacto Impacto é a mudança adversa no nível obtido nos objetivos de negócios. Os critérios de impacto servem para mensurar o montante dos danos ou custos à organização causados pela ocorrência de um evento de segurança da informação. Geralmente estão relacionados a perdas financeiras. Devem considerar, entre outros: 1 O comprometimento das operações; 1 O descumprimento de prazos; 1 Os danos de reputação e imagem; 29 C ap ítu lo 2
Compartilhar