1 09 COC INTRODUÇÃO À ANÁLISE E GESTÃO DE RISCOS

Prévia do material em texto

GESTÃO E ANÁLISE DE RISCOS 
Cacilda Andrade 
 
 
 
 
 
 
 
 
 
, 
 
 
2 
 
 
1 INTRODUÇÃO À ANÁLISE E GESTÃO DE RISCOS 
 
Este é o bloco introdutório ao assunto de riscos, especificamente para a área de 
Segurança da Informação. Ao longo de outras disciplinas já cursadas deste curso, além 
de todo conhecimento teórico e prático sobre os mais diferentes aspectos lógicos e 
físicos da segurança da informação, você já deve ter se deparado com várias situações 
de risco. Na verdade, estamos sempre correndo algum tipo de risco, 7x24 (7 dias na 
semana e 24h por dia) como cita-se na área de TI. Todo negócio e todo processo tem 
seu risco, por mais baixo que seja. Como já dizia Murphy, “se algo pode dar errado, 
com certeza dará”. Por isso, como profissionais de TI temos a responsabilidade de 
estudar, compreender e aplicar as melhores práticas com relação à gestão de risco em 
nosso cotidiano. As organizações contratam profissionais de Segurança da Informação 
para fazerem os processos devidos de forma que tudo saia correto e seja um sucesso. 
O foco principal desta disciplina, para a formação de um profissional de Segurança da 
Informação estudado e competente, é abordar a gestão de risco, uma ferramenta e 
também um dos pilares que compõem a governança de TI e faz parte da governança 
corporativa da organização. Riscos e governança de TI serão abordados no último 
bloco. 
Nem sempre as questões de segurança estão relacionadas a aspectos tecnológicos, 
existe também a questão comportamental de uso indevido ou roubo de informações 
até mesmo em papel. A TI não é a única responsável e, em muitas empresas, a área de 
Segurança da Informação está fora da diretoria de TI, por ser importante 
estrategicamente. 
Quando se fala em segurança da informação ou segurança de TI o assunto é muito 
vasto e abrangente, por isso cada disciplina é específica em algum tema, mas sempre 
atenta ao todo no que tange à segurança da informação. 
, 
 
 
3 
 
Cabe aqui uma pergunta básica, porém reflexiva, por que é necessário se preocupar 
com a segurança da informação? Devido ao crescente uso da TI e da Internet desde os 
anos 80, para o bem e para o mal, tanto em ambiente residencial como corporativo. 
Lembrando que: não existe sistema 100% seguro, o que existe é um sistema mal 
configurado, mal gerenciado. 
A PWC faz pesquisa anual na parte de segurança da Informação e em seu último 
relatório de 2018, concluiu que 30% funcionários e 28% ex-funcionários são as duas 
principais causas de incidentes, ou seja, o risco maior dentro das organizações é 
interno, partiu de dentro. Cabe outra pergunta para você: já soube de algum desses 
casos internos, direta ou indiretamente? Conhecendo a organização em que atua, 
deve saber que muitos dados e processos estão expostos, o que facilita a ação 
destruidora por parte de pessoas mal-intencionadas. 
A segurança total de uma rede não se concentra apenas nas defesas de hackers e vírus, 
ou, por exemplo, procedimento de segurança no local onde estão os servidores e os 
demais equipamentos críticos, ou ainda o acesso de pessoas não permitidas, somente 
acompanhadas de funcionários que tenham acesso ao local. É muito mais do que isso e 
um dos aspectos a serem aplicados pela equipe de segurança da informação da 
organização é a gestão de risco, que é simplesmente a prevenção e proteção das 
informações, ou seja, partindo da identificação de problemas possíveis ou potenciais e 
adotando a respectiva prevenção. 
Além de todos os sistemas lógicos de segurança ativos e atualizados, a segurança física 
é outro fator que deve ser monitorado. Já foram feitas pesquisas, como a da PWC 
2018, onde se comprovou que os maiores roubos de informação surgem de dentro da 
própria empresa, por não ter e/ou não adotar, fazer cumprir, suas políticas de 
segurança da informação. 
Adotar um processo de gestão de risco só traz benefícios para a organização, tais 
como: 
 
, 
 
 
4 
 
 - Prevenção de perdas; 
 - Otimização dos processos; 
 - Melhor entendimento dos processos críticos; 
 - Melhoria da qualidade dos processos; 
 - Indicador de maturidade da organização; 
 - Maior transparência dos processos; 
 - Compartilhamento das ações entre a área de TI e as áreas de negócios. 
O processo deve ser pensado de forma simples e pautado na gestão de riscos em 
Segurança da Informação. Resumidamente, segue abaixo uma lista dos principais 
assuntos que serão detalhados ao longo da disciplina nos próximos blocos. 
 - Identificação de riscos; 
 - Classificação em algum tipo de mapa de risco; 
 - Promoção de ações, respostas e tratamentos; 
 - Monitoração da ocorrência dos possíveis riscos; 
 - Plano de continuidade dos negócios. 
Sobre este contexto interno e externo das organizações é que se pautará esta 
disciplina, principalmente este bloco introdutório cujos principais objetivos seguem 
listados abaixo: 
Objetivos pretendidos: 
- Entender conceitos básicos envolvendo tanto a segurança da informação como a 
parte de gestão de risco; 
- Conhecer melhor as questões relacionadas ao gerenciamento de riscos em ambiente 
de TI; 
, 
 
 
5 
 
- Ter uma visão global das estratégias e aspectos envolvidos na prática de gestão de 
risco de diferentes pontos de vista; 
 
 
1.1 Conceitos básicos 
Antes de detalhamentos, é preciso estar alinhado com os conceitos básicos envolvidos 
com segurança da informação e gestão de risco, utilizados largamente em qualquer 
ambiente de TI. Segue abaixo: 
Risco: efeito de incerteza no alcance dos objetivos da organização de acordo com a ISO 
31000. 
Risco: possibilidade de determinada ameaça explorar vulnerabilidades de um ativo ou 
de um conjunto de ativos, prejudicando assim a organização. 
Medida de risco: é a combinação da probabilidade de um evento indesejável e a sua 
consequência. Além disso, é pautada na relação de probabilidade da ocorrência, 
severidade e relevância do ativo envolvido segundo a ISO 27005. 
“É um evento incerto que, se ocorrer, pode comprometer a realização do objetivo do 
projeto” (CLEMENTS; GIDO, 2013, p. 275) 
Saiba Mais 
LAGINESTRA, A. Gestão de Riscos em Segurança da Informação. Disponível em: 
<https://www.youtube.com/watch?v=uHV4pRpyzT8>. Acesso em: 29 out. 2019. 
BABESCO, A. O que é Gerenciamento de Riscos em Segurança da Informação? Blog de Segurança 
Digital da Starti. Disponível em: <https://blog.starti.com.br/gerenciamento-de-riscos/>. Acesso em: 
29 out. 2019. 
 
https://www.youtube.com/watch?v=uHV4pRpyzT8
https://blog.starti.com.br/gerenciamento-de-riscos/
, 
 
 
6 
 
Analisando a palavra em si, Risco deriva do italiano risicare, que vem do latim risicu, 
que por sua vez significa “ousar”. Refletindo neste contexto, é a ousadia da incerteza, 
de possíveis problemas. 
Ativo de informação: segundo Lujan (2019) são todos os recursos de valor para uma 
organização que geram, processam, armazenam ou transmitem informação. Ou seja, 
ativo é qualquer item de valor para a organização e ativo de informação, focando-se 
em segurança da informação, são quaisquer dados e informações de valor 
manipulados ou tratados na organização. 
Ameaça: para Oliveira (2019) é um evento ou atitude indesejável que potencialmente 
remove, desabilita ou destrói um recurso. Ou seja, qualquer condição que pode causar 
algum tipo de dano, perda ou comprometimento de um ativo. 
Não repúdio: garante que a comunicação foi realizada entre o emissor e o receptor. 
Segue abaixo alguns exemplos de ameaças: 
 - Desastres naturais; 
 - Ataques cibernéticos; 
 - Violação de integridade dos dados; 
 - Vazamento de dados confidenciais; 
 - Malwares; 
 - Insiders. 
Vulnerabilidade: De acordo com Oliveira (2019) é falha ou fraqueza de procedimento, 
design, implementação ou controles internos de um sistema que possa ser 
acidentalmente ou propositalmente explorada, resultando em uma brecha de 
segurança ou violação da política de segurançado sistema. 
Segue abaixo alguns exemplos de vulnerabilidade: 
 
, 
 
 
7 
 
 - Erros de software; 
 - Software mal configurado; 
 - Dispositivos de rede mal configurados; 
 - Segurança física inadequada. 
Probabilidade: chance ou indício de que algo aconteça e o quanto há de possibilidade 
de ocorrer. 
Impacto: consequência de algum acontecimento. 
Conforme Turban, MacLeane e Wetherbe (2004), existe uma terminologia básica 
relacionada à Segurança da Informação retratada a seguir: 
 
Figura 1.1 - Turban, MacLean e Wetherbe (2004) 
, 
 
 
8 
 
No passado, a segurança da informação baseou-se em seus três pilares básicos: CID 
(Confidencialidade, Integridade, Disponibilidade). Atualmente, muitos especialistas 
consideram que os quatro componentes principais da segurança em sistemas de 
informação são: CIDA - Confidencialidade, Integridade, Disponibilidade e 
Autenticidade. É com base nestes que os sistemas são desenvolvidos para fornecer o 
nível de proteção adequado a cada necessidade de negócio, sempre dependendo do 
nível de criticidade necessário. É sempre bom reforçar o conceito e importância destes 
princípios, que são clássicos. Segue abaixo os conceitos de acordo com ISO 27002. 
Confidencialidade: o acesso à informação deve ser limitado às entidades que possuem 
acesso legítimo a ela. Dados como senhas, movimentação bancária, histórico escolar e 
registro de entrada e saída de funcionários não são de domínio público e só podem ser 
acessados por entidades autorizadas pelo proprietário da informação. 
Integridade: a informação manipulada deve manter suas características originais, bem 
como o controle de mudanças feitas pelo seu proprietário ou entidades autorizadas. É 
a garantia de que a informação recuperada é exatamente a mesma publicada pelo seu 
proprietário, sem ter sofrido nenhuma alteração acidental ou não. O que inclui desde a 
perda de uma página de livro até a adulteração de seu conteúdo. 
Disponibilidade: a informação gerenciada deve estar sempre disponível para uso 
legítimo – seja pelo seu proprietário ou entidades autorizadas. Informação que não se 
encontra disponível quando requisitada perde o seu propósito, o que não pode ser 
confundido com sigilo (confidencialidade). 
Autenticidade: deve-se garantir a identidade de qualquer entidade que tenha acesso a 
informação, pois sem esse controle é impossível garantir os princípios anteriores. 
 
 
 
 
Saiba Mais 
LACCONCURSOS. Segurança da Informação. Disponível em: 
<https://www.youtube.com/watch?v=V2mD9XI95no> Acesso em: 29 out. 2019. 
 
https://www.youtube.com/watch?v=V2mD9XI95no
, 
 
 
9 
 
1.2 Tipos de riscos 
A área de risco, cada vez mais, está sendo considerada e discutida nas organizações, 
devido a muitos acontecimentos mundiais recentes, como colapsos, socorros 
emergenciais, perdas financeiras, ataques cibernéticos e, principalmente, o ataque de 
11 de setembro, que pode ser considerado um “divisor de águas” para muitas 
organizações, pois as fizeram pensar em novos processos, em ataques tanto físicos 
como lógicos pela Internet. Não existe risco zero, por mais baixo que seja o risco, 
sempre é possível que ocorra, por diferentes razões, por diferentes causas e quando 
ocorre gera uma consequência, uma resposta que pode ser positiva ou negativa, 
dependendo do tipo de risco. Tudo é muito relativo e precisa ser avaliado e entendido. 
Nesta linha de que em quase tudo existe risco, podem ser citados diferentes tipos 
como os listados abaixo que aparecem em diferentes áreas da organização e que 
deveriam estar relacionados, mas são negligenciados pela direção. Muitas vezes, não 
sendo bem vistas por diferentes motivos, por falta de profissional competente para 
medição do risco, por necessidade de investimento, por achar que isto nunca 
acontecerá no Brasil ou por falta de uma cultura de risco nas organizações. 
Riscos operacionais; 
Riscos corporativos; 
Riscos ambientais; 
Riscos em gerenciamento de projetos; 
Riscos na segurança do trabalho; 
Riscos em TI; 
Outra forma de listar os tipos seria considerando: 
Risco externo ao ambiente de TI; 
Risco interno ao ambiente de TI; 
Riscos lógicos; 
, 
 
 
10 
 
Independentemente do tipo de risco, os componentes básicos comuns em todos eles, 
segundo Salles (2010) são: 
 - Evento que tem uma causa e consequentemente um efeito específico; 
 - Probabilidade associada; 
 - Impacto associado; 
Para determinado evento e ocasião naquele ambiente haverá um grau de 
probabilidade de que algo ocorra e, consequentemente, um impacto para o negócio 
ou para a situação. Esta correlação é muito importante para a identificação de risco e 
mapeamento do mesmo dentre várias possibilidades. 
Por fim, sempre tenha em mente que a prioridade, independentemente do tipo de 
risco, é a vida humana que deve estar em primeiro lugar. 
 
 
 
 
 
Saiba Mais 
FERRARI, M. Gestão de Risco – aula 01 (conceitos iniciais). Disponível em: 
<https://www.youtube.com/watch?v=5tbxtrNNOr4>. Acesso em: 29 out. 2019. 
GESSAÚDE. Riscos de TI com Ricardo Gomes. Disponível em: < 
https://www.youtube.com/watch?v=NxYvsQ5_SZM>. Acesso em: 29 out. 2019. 
 
https://www.youtube.com/watch?v=5tbxtrNNOr4
https://www.youtube.com/watch?v=NxYvsQ5_SZM
, 
 
 
11 
 
1.3 Processo da gestão de riscos 
De forma simplificada e direta, independentemente da área de aplicação, do tipo ou 
estrutura (também conhecido como framework ou modelo), conforme texto anterior, 
o processo básico para gestão de riscos está focado em: identificação, análise e 
tratamento dos riscos. 
As organizações conscientes e preocupadas com a ocorrência de riscos que fazem seu 
gerenciamento de forma clara e profissional têm muito mais possibilidades de se 
proteger dos perigos e ameaças que estão o tempo todo acontecendo. Este é um 
desafio diário, além da preocupação com o negócio em si, como realizar e integrar as 
etapas da gestão de risco de forma prática. 
Existem muitas formas de fazer gestão de risco, uma delas é adotar norma ISO, que 
são normas internacionais amplamente usadas e reconhecidas no mundo todo. Por 
isso, uma boa prática é adotar o processo de gestão de riscos conforme a norma 
brasileira NBR ISO 31000:2018 publicada pela ABNT em 2018 com base na norma 
internacional ISO 31000 específica para gestão de riscos em geral, que pode ser usada 
por qualquer pessoa dentro da organização, principalmente para o tomador de 
decisão. Essa nova versão revisada de 2018 está bem simples, fácil de interpretar e 
prática para agregar valor às organizações na gestão de risco, com objetivo de fornecer 
diretrizes/orientações e não de certificação. 
Segue abaixo a figura modelo da ISO 31000 que retrata todas as etapas que acontecem 
dentro do processo de gestão de risco, de forma bem genérica, conforme se propõe. 
, 
 
 
12 
 
 
Figura 1.2 - NBR ISO 31000, 2018 
Para entender cada uma dessas etapas, segue explicação da ISO 31000 segundo 
BRASILIANO (2018): 
>> Comunicação e consulta: comunicação e consulta a envolvidos devem estar sempre 
presentes e envolvendo todas as partes interessadas. 
>> Escopo, contexto, critério: bem abrangente, com definição de objetivos, cultura, 
política, custos, entre outros aspectos relativos aos riscos envolvidos. 
>> Processo de Avaliação de Risco, dividido em 3 outras partes: 
 Identificação de riscos: identificação de todos os riscos possíveis com as 
respectivas partes interessadas pela organização. 
 Análise de riscos: envolve estratégias e técnicas de como o risco será 
tratado e qual plano de ação no caso de sua ocorrência. 
 Avaliação de riscos: como cada risco será tratado na prática quando de 
sua ocorrência, inclusive com definição de prioridades. 
, 
 
 
13 
 
>> Tratamento e registro: o tratamento dos riscos deve ser feito de forma cíclica, 
repetindo-se até que satisfaça as partes interessadas.>> Registro e relato: processo em si e resultados devem ser devidamente 
documentados e divulgados, como parte da governança corporativa e subsídios para 
tomada de decisão. 
>> Monitoramento e análise crítica: controle e reavaliação realizados periodicamente. 
1.4 Estruturas para gestão de riscos 
Estruturas ou frameworks, como referenciados pelo mercado, são modelos aplicados a 
diferentes áreas como projetos, infraestrutura, serviço ou outra. Seu principal 
propósito é apresentar as melhores práticas, experiências bem e mal sucedidas que 
serão referências para profissionais e organizações. Estas estruturas fazem parte da 
Governança de TI, atualmente aplicada largamente pela eficácia e resultados positivos 
que vem trazendo desde o início dos anos 2000. 
Para a área de TI, segue abaixo estruturas/frameworks mais utilizados e divulgados 
mundialmente: 
Saiba Mais 
Outro exemplo de processo é o do NIST – Guia de avaliação e condução de risco, publicação 800-
30 específico para segurança da informação. 
CJF. Conscientização em Segurança da Informação – impactos e riscos na Adm Publica. Disponível 
em: <https://www.youtube.com/watch?v=5jjDGTLivOk&t=161s>. Acesso em: 23 ago. 2019. 
BASTOS, A. Novidades da ISO 31000 2018. Disponível em: 
<https://www.youtube.com/watch?v=51N74rUqMAw>. Acesso em: 27 ago. 2019. 
QUALISEG. 2. ISO 31000 – 2018 - Princípios. Disponível em: 
<https://www.youtube.com/watch?v=9--witxMf8s>. Acesso em: 27 ago. 2019. 
https://www.youtube.com/watch?v=5jjDGTLivOk&t=161s
https://www.youtube.com/watch?v=51N74rUqMAw
https://www.youtube.com/watch?v=9--witxMf8s
, 
 
 
14 
 
>> ITIL: Information Technology Infrastructure Library ou Biblioteca de Infraestrutura 
de Tecnologia da Informação, um conjunto de práticas detalhadas para o 
gerenciamento de serviços de TI, está na sua 4º versão em 2019. 
>> COBIT: Control Objectives for Information and Related Technologies, um guia para a 
governança e controle de serviços e soluções baseadas em TI, voltadas para negócios, 
fornecendo um conjunto de controles para mitigar os riscos de TI, está em sua 5º 
versão em 2019. 
>> PMBOK: Project Management Body of Knowledge, um guia das melhores práticas 
em gerenciamento de projetos, está em sua 6. Edição em 2019, suportado pelo PMI 
(Project Management Institute) 
>> COSO ERM: Committee of Sponsoring Organizations of the Treadway Commission - 
Enterprise Risk Management Framework, modelo para discussão e avaliação de 
gerenciamento de riscos corporativos para que haja “consciência sobre riscos e 
controles” 
>> MOF: Microsoft Operations Framework, guia das melhores práticas, princípios e 
atividades que fornecem diretrizes abrangentes para alcançar confiabilidade para 
soluções de TI e serviços, baseado no ITIL. 
>> M_o_R: Management of Risk, guia de risco de modelo para tomada de decisão em 
risco, para a área financeira, principalmente. 
>> RISK IT: conjunto de princípios orientadores e o primeiro framework que ajuda as 
organizações a identificar, governar e gerenciar riscos de TI, complementando COBIT. 
 
, 
 
 
15 
 
 
1.5 Lições aprendidas 
Lições aprendidas é um conceito da área de Gerenciamento de Projetos que pode ser 
aplicada a qualquer outra área de atuação. O foco é a observação e registro, antes, 
durante e depois de alguma atividade e/ou processo para avaliar o que deu certo e o 
que deu errado; pontos fortes, fracos, pontos a melhorar; que lições foram positivas 
e/ou quais foram negativas. 
É muito importante que esta análise sobre lições aprendidas seja devidamente 
registrada, pois é uma informação da organização para a própria organização, com 
intuito de melhorar seus processos, não cometer os mesmos erros e repetir os acertos. 
Assim, este conhecimento deve ser devidamente registrado, armazenado e 
disseminado, de forma a estar acessível, preferencialmente, a toda organização. 
Conhecimento útil é aquele que é usado. É esta a ideia deste trabalho e atividade 
sobre lições aprendidas seja do processo, de um sistema, de um projeto, de uma 
operação, de uma atividade operacional, ou seja, de tudo que for cabível e envolver a 
atuação de profissionais. 
Saiba Mais 
BRIDGE ACADEMY. O que é Governança de TI? Disponível em: 
<https://www.youtube.com/watch?v=0VCjXyd6MkA>. Acesso em: 30 out. 2019. 
PMH eDucation. O que é ITIL v3 Foundation. Disponível em: 
<https://www.youtube.com/watch?v=B0vF7xaloFU>. Acesso em: 30 out. 2019. 
PALMA, F. ITIL e COBIT: o que você precisa saber. Portal GSTI. Disponível em: 
<https://www.youtube.com/watch?v=5f4aO4nhaNs>. Acesso em: 30 out. 2019. 
SOFTEXPERT. Entendendo o gerenciamento de riscos na ótica do COSO | Webinar | 
SoftExpert. SoftExpert Software. Disponível em: < 
https://www.youtube.com/watch?v=sGOlC5sh7Gk>. Acesso em: 30 out. 2019. 
 
https://www.youtube.com/watch?v=0VCjXyd6MkA
https://www.youtube.com/watch?v=B0vF7xaloFU
https://www.youtube.com/watch?v=5f4aO4nhaNs
https://www.youtube.com/watch?v=sGOlC5sh7Gk
, 
 
 
16 
 
Detalhe, o mundo é dinâmico, assim, qualquer conhecimento ou processo não deve 
ser considerado engessado, ou seja, imutável. Se necessário atualiza-se, altera-se, 
desde que devidamente acordado e registrado o autor da atualização ou alteração, 
para que nada se perca. Isto é rastreabilidade, dentro da organização, para controle 
correto, o histórico, o registro de alteradores ou criadores deve estar claro em 
qualquer documento, para que se tenha o registro correto. “Lições aprendidas são 
usadas para melhorar o desempenho do projeto e evitar a repetição de erros, o 
registro ajuda a identificar onde definir regras ou diretrizes para alinhar as ações da 
equipe”. (PMBOK, 2017, p.129) 
Segue abaixo exemplos de lições aprendidas. 
Lições aprendidas – pontos positivos: 
 - Reuniões 
 - Ferramentas de monitoração 
 - Atribuição de papéis, responsabilidades e atividades 
Lições aprendidas – pontos negativos 
 - Relatórios que não agregam 
 - Falta de especialista em determinado assunto 
 - Falta de disponibilidade da equipe 
 
Aprendizado através de filmes, principalmente os baseados em histórias reais com 
foco sempre na área de TI dentro das organizações é um dos caminhos para entender 
e inspirar. Uma história real e atual é a do Wikileaks que ainda está nas mídias, desde o 
início o risco foi alto e o preço está sendo pago até os dias de hoje pelo seu criador 
Julian Assange. Outros filmes relacionados a este tema são: Underground, O quinto 
poder, RIsk e Mediastan. 
, 
 
 
17 
 
 
Conclusão 
Em toda organização, independentemente de seu porte, pequenas, médias ou grandes 
empresas, o profissional deve estar sempre atualizado e repensando seus processos de 
trabalho. 
Os recursos de informação espalhados através da organização, locais ou remotos são 
vulneráveis a ataques o tempo todo, por isso a área de Segurança da Informação deve 
atuar clara e fortemente na gestão de riscos. 
Resumindo, este bloco focou na introdução à gestão de riscos, segue abaixo as 5 
principais partes abordadas: 
 
Saiba Mais 
FORÇA AÉREA BRASILEIRA. RIO 2016 – Ministério da defesa debate lições aprendidas. 
Disponível em: <https://www.youtube.com/watch?v=JRDFzxfASHI> Acesso em: 30 out. 
2019. 
VASCONCELOS, E. Lições aprendidas do SOC da Microsoft. Disponível em: 
<https://www.youtube.com/watch?v=qBExAtisURc>. Acesso em: 30 out. 2019. 
STRONG SECURITY. 8 filmes que todo gestor de TI precisa assistir. Disponível em: < 
https://www.strongsecurity.com.br/blog/4-filmes-que-todo-gestor-de-ti-de-sucesso-
precisa-assistir/>. Acesso em: 30 out. 2019. 
ESTEVES, A.C. Mesmo que você já esteja cansado do Julian Assange, veja este 
documentário do WikiLeaks. Disponível em: <https://gizmodo.uol.com.br/review-
documentario-julian-assange-wikileaks/>. Acesso em: 30 out. 2019. 
 
https://www.youtube.com/watch?v=JRDFzxfASHI
https://www.youtube.com/watch?v=qBExAtisURc
https://www.strongsecurity.com.br/blog/4-filmes-que-todo-gestor-de-ti-de-sucesso-precisa-assistir/https://www.strongsecurity.com.br/blog/4-filmes-que-todo-gestor-de-ti-de-sucesso-precisa-assistir/
https://gizmodo.uol.com.br/review-documentario-julian-assange-wikileaks/
https://gizmodo.uol.com.br/review-documentario-julian-assange-wikileaks/
, 
 
 
18 
 
- Conceitos básicos 
- Tipos de riscos 
- Processo da gestão de riscos 
- Estruturas para gestão de riscos 
- Lições aprendidas 
 
 
Referências 
ABNT. NBR ISO/IEC 27005:2011 – Gestão de Riscos de Segurança da Informação. Rio 
de Janeiro: ABNT, 2011. 
____. NBR ISO 31000:2018. Gestão de Riscos. Disponível em: 
<https://iso31000.net/norma-iso-31000-de-gestao-de-riscos/>. Acesso em: 23 ago. 
2019. 
_____. NBR ISO/IEC 27002 - Código de prática para controles de segurança da 
informação. Disponível em: 
<https://www.abntcatalogo.com.br/norma.aspx?ID=60452> Acesso em: 23 ago. 2019. 
BIBLIO. Segurança da informação: como garantir a confiabilidade e integridade. 
Disponível em: <https://biblioo.cartacapital.com.br/seguranca-da-informacao/> 
Acesso em: 23 ago. 2019. 
BRASILIANO, A. Revisão da ISO 31000:2018 – o que mudou de estratégico? Disponível 
em: <https://www.linkedin.com/pulse/revis%C3%A3o-da-iso-310002018-o-que-
mudou-de-estrat%C3%A9gico-brasiliano/> Acesso em: 27 ago. 2019. 
CLEMENTS, J; GIDO, J. Gestão de Projetos. São Paulo: Cengage Learning, 2013. 
LUJÁN. Riesgos vs. Seguridad de la información. Universidade Nacional de Luján. 
Disponível em: 
https://iso31000.net/norma-iso-31000-de-gestao-de-riscos/
https://www.abntcatalogo.com.br/norma.aspx?ID=60452
https://biblioo.cartacapital.com.br/seguranca-da-informacao/
https://www.linkedin.com/pulse/revis%C3%A3o-da-iso-310002018-o-que-mudou-de-estrat%C3%A9gico-brasiliano/
https://www.linkedin.com/pulse/revis%C3%A3o-da-iso-310002018-o-que-mudou-de-estrat%C3%A9gico-brasiliano/
, 
 
 
19 
 
<http://www.seguridadinformatica.unlu.edu.ar/sites/www.seguridadinformatica.unlu.
edu.ar/files/site/material_taller_gestion_de_riesgo.pdf> Acesso em: 23 ago. 2019. 
OLIVEIRA, W. Riscos, vulnerabilidade e ameaça em segurança da informação. 
Disponível em: <https://www.techtem.com.br/seguranca-da-informacao-riscos-
vulnerabilidade-e-ameaca/> Acesso em: 23 ago. 2019. 
PMBOK. Um Guia do Conjunto de Conhecimentos do Gerenciamento de Projetos. 6ª 
ed. Newtown Square: PMI, 2017. 
PWC. Gsiss. Fortalecendo a privacidade e a confiança em um mundo baseado em 
dados. Disponível em: 
<https://www.pwc.com.br/pt/assets/document/2018/gsiss_18.pdf> Acesso em: 23 
ago. 2019. 
SALLES JR, C. A. C. et al. Gerenciamento de riscos em projetos. 2 ed. Rio de 
Janeiro: FGV, 2010. 
TURBAN, E. McLEAN, J.; WETHERBE, J. Tecnologia da Informação para gestão. 
Porto Alegre: Bookman, 2004. 
http://www.seguridadinformatica.unlu.edu.ar/sites/www.seguridadinformatica.unlu.edu.ar/files/site/material_taller_gestion_de_riesgo.pdf
http://www.seguridadinformatica.unlu.edu.ar/sites/www.seguridadinformatica.unlu.edu.ar/files/site/material_taller_gestion_de_riesgo.pdf
https://www.techtem.com.br/seguranca-da-informacao-riscos-vulnerabilidade-e-ameaca/
https://www.techtem.com.br/seguranca-da-informacao-riscos-vulnerabilidade-e-ameaca/
https://www.pwc.com.br/pt/assets/document/2018/gsiss_18.pdf