GESTÃO E ANÁLISE DE RISCOS Livro-Texto - Unidade III

Prévia do material em texto

91
GESTÃO E ANÁLISE DE RISCOS
Unidade III
5 GOVERNANÇA DOS RISCOS À SEGURANÇA DA INFORMAÇÃO
A efetiva governança e gestão de riscos à segurança da informação passa pela compreensão de como 
é estruturado o sistema de gestão de segurança da informação (SGSI) dentro do ambiente corporativo 
para, assim, entender a importância que a análise e gestão de riscos e segurança da informação 
tem para os processos da segurança da informação como um todo.
Segundo Campos (2006), a definição e o direcionamento do SGSI é o primeiro passo para uma 
governança eficaz. Isso exige necessariamente a compreensão dos riscos da organização.
Definição de 
escopo
Análise de 
risco
Planejamento 
e tratamento 
do risco
Figura 29 – Etapas do planejamento do sistema de segurança
Após a conclusão desses processos, estará encerrada a fase de planejamento do SGSI.
5.1 Planejando o sistema de governança de riscos de segurança da informação
O primeiro processo para atingir o objetivo de implantar um SGSI é a definição do escopo, 
sendo ideal, segundo a ABNT NBR ISO 27001 (2013), que esse escopo atinja toda a organização, 
mas, dependendo do porte da organização, isso não é possível num primeiro momento. Uma 
saída, segundo Campos (2006), é a implementação desse sistema de forma segregada por áreas ou 
domínios, o que facilita o trabalho e a implementação gradual. Um exemplo disso seria definir um 
escopo inicial envolvendo a área de tecnologia da informação e de recursos humanos. Quando o SGSI 
estiver totalmente implantado nessas áreas, o escopo pode ser ampliado e incluir, talvez, as áreas 
de produção e vendas. É importante lembrar que o escopo deve ser ampliado em uma crescente de 
abrangência, não abandonar a área anterior e concentrar-se apenas nas novas áreas definidas.
92
Unidade III
Organização
Vendas Produção
Recursos 
humanos
Tecnologia da 
informação
Escopo final
Escopo inicial
Figura 30 – Definição do escopo de SGSI faseado
A definição do escopo deve ser devidamente documentada durante todas as etapas, para, 
ao final, gerar documentação única do escopo do SGSI. É obrigatório que se reflita em toda a 
organização. Segundo Campos (2006), esse documento deve conter também o contexto estratégico 
da organização.
Devem existir critérios para definir o escopo, a abordagem para a avaliação de risco e os critérios 
para tratamento do risco.
Amparado nessas informações, deve ser estabelecido um processo para definir o escopo, ou seja, 
uma técnica que deverá ser devidamente identificada, documentada e declarada, registrando, assim, em 
forma de documento, o escopo SGSI.
Para isso, são necessárias algumas observações: o primeiro passo é deixar bem claros os objetivos e a 
abrangência do SGSI, para que todos na organização os entendam e os compreendam, evitando possíveis 
desavenças futuras. É comum haver confusões sobre o que é realmente um SGSI, sua importância 
e seu impacto na organização, sendo, assim, declarado onde e sobre quais ativos da organização o 
sistema vai atuar.
Uma das principais metodologias para identificar a melhor maneira de definir o escopo para o SGSI 
é realizar uma análise de cadeia de valor da organização.
 Lembrete
O SGSI, juntamente a análise da cadeia de valor, auxilia a definição do 
próprio escopo da gestão e da análise de riscos à segurança da informação, 
bem como na priorização de tratamento dos riscos.
Segundo Campos (2006), o objetivo de desenvolver um modelo de análise de cadeia de valor é 
compreender quais são as informações primordiais para cada parte da cadeia. Na figura seguinte, está 
93
GESTÃO E ANÁLISE DE RISCOS
disposto um exemplo adaptado presente na obra de Campos (2006), que demonstra, de forma simples, 
os principais passos ou etapas realizados por uma organização para a execução de suas atividades e 
para que os objetivos corporativos sejam atingidos de forma funcional. Esses passos ou etapas também 
podem ser chamados de macroprocessos.
Compras Produção FinanceiroFornecedor
Pedido 
de compra
Remessa 
de material
Necessidade de 
materiais
Contas 
a pagar
Nota fiscal 
de venda
Figura 31 – Exemplo de cadeia de valor
Nesse caso, temos os principais macroprocessos da organização: comprar, produzir e executar as 
operações financeiras. Esses processos são apenas ilustrativos do conceito, pois se sabe que há muitos 
outros processos organizacionais considerados primordiais a qualquer organização. Mas como a análise 
da cadeia de valor poderia ajudar na definição do escopo, ou seja, na definição da abrangência do 
SGSI? A resposta, segundo Campos (2006), vem da própria cadeia de valor: quando observada, podemos 
localizar quais são as informações que sustentam os macroprocessos. Dessa forma, é possível determinar 
quais as informações mais importantes ou quais processos são mais dependentes de informações. Isso 
ajudará a definir onde deve ser priorizada a implantação do SGSI.
No exemplo apresentado na figura anterior, se fosse necessário escolher apenas uma área como 
escopo inicial do SGSI, a escolha mais lógica seria a área de compras. Esse é o processo que mais 
gera e consome informações, ou seja, é o que mais depende da segurança das informações e o que 
potencialmente sofreria os maiores impactos em casos de incidentes de segurança.
Todavia existe algo a ser considerado sobre essas informações: as informações que sustentam os 
processos da organização estão devidamente amparadas por sistemas informatizados? Se a resposta for 
sim, então, talvez, o SGSI deva ser implantado primeiramente na área de tecnologia da informação, pois 
isso garantiria minimamente a confidencialidade, a integridade e a disponibilidade das informações que 
trafegam nesses sistemas de informação que sustentam os processos. Entretanto um fator ainda mais 
importante é definir o grau de relevância que cada um dos processos tem para o negócio da organização. 
Esse nível pode ser classificado de várias formas, mas uma sugestão está no quadro a seguir.
94
Unidade III
Quadro 22 – Sugestão de matriz de relevância
Relevância do processo
Grau Faixa percentual
Mínima 1 20
Baixa 21 40
Média 41 60
Alta 61 80
Máxima 81 100
Fonte: Campos (2006, p. 40).
Observando os processos classificados, de alguma forma, fica mais fácil perceber quais precisam ser 
protegidos pelo SGSI de maneira hierarquizada, ou seja, quais devem essencialmente compor o escopo 
do sistema desde o início. Posteriormente, na fase de análise de risco, está a classificação que será de 
grande importância, pois poderá compor a fórmula de cálculo do risco de incidentes de segurança 
da informação. Se o risco considerar a relevância do processo, significa dizer que o tratamento de 
risco, de algum modo, atenderá primeiro ou de forma mais definitiva os processos mais relevantes. 
O que está de acordo com a ideia de potencializar o negócio da organização por meio de ações em 
segurança da informação. Desse modo, a análise da cadeia de valor pode contribuir para a decisão sobre 
qual é o escopo mais adequado para a implantação do SGSI.
Segundo Campos (2006), outra importante contribuição da implantação do SGSI utilizando 
a análise da cadeia de valor está no melhor dimensionamento do custo-benefício. Sendo assim, 
uma análise adequada pode definir todos os benefícios tangíveis, ou seja, quantificáveis, e todos os 
custos previstos em um projeto de implantação do SGSI.
Com essas informações iniciais, é possível elaborar um fluxo de investimento, ou seja, estabelecer 
qual será o gasto e o retorno mensal em um dado período. Então, calculando a soma de gastos e a soma 
de retornos financeiros no período, seria possível determinar em quanto tempo o projeto estaria pago 
(tempo de payback).
 Observação
Payback é o período que um investimento leva para dar retorno à 
empresa. O conceito se refere ao tempo que a organização vai levar para 
fazer com que algum dinheiro aplicado retorne ao caixa.
95
GESTÃO E ANÁLISE DE RISCOS
40.000
20.000
0
-40.000
-20.000
-10.000
-5.000
Jan.
Fev.Mar. Abr. Mai. Jun.
Jul. Ago.
Set.
Out.
Nov.
Dez.
Fluxo Saldo
Figura 32 – Exemplo de fluxo de caixa e tempo de payback
O exemplo da figura anterior é totalmente fictício a fim de demonstrar de forma lúdica como se 
comporta o fluxo de caixa em um projeto de implantação de um SGSI em uma organização. É possível 
perceber que existem dois valores relacionados: o primeiro, o fluxo de dinheiro e quanto se obtém de 
retorno a cada mês; o segundo, o saldo do projeto, considerando a soma de todos os investimentos e 
todos os retornos a cada mês.
No exemplo apresentado, o projeto deixa de gerar custos a partir do mês de junho e, desde então, 
começa a gerar apenas resultados positivos ou retornos financeiros; mas, no exemplo, ele apenas 
consegue ser pago (payback) em dezembro, quando a soma dos retornos financeiros ultrapassa a 
soma dos investimentos realizados. Geralmente em projetos de desenvolvimento de novos produtos, 
por exemplo, a aplicação dos conceitos de retorno sobre investimento (ROI) e tempo de pagamento 
(payback) é facilmente realizada.
Dessa forma, após todo o investimento no novo produto, ele passará a ser vendido, o que resulta 
em lucro. Sendo assim, o lucro apenas compensará se os investimentos efetuados derem o retorno 
esperado em um prazo razoável. No caso de projetos de implantação de um SGSI, há uma questão que 
apresenta algumas situações de complexidades adicionais, um tanto conturbadas. Isso ocorre porque 
não é uma tarefa simples definir de forma quantificada, considerando financeiramente, os benefícios 
da implantação do SGSI, ou seja, definir claramente quanto a organização vai lucrar em virtude do 
sistema implantado.
Para algumas organizações que dependem da certificação ISO 27001 a fim de adentrarem um 
novo mercado ou para manter-se nele, é mais simples realizar o cálculo do retorno, basta entender 
o quanto se perde em novos negócios por não ter um SGSI implantado. Mas para a grande maioria 
das organizações, os resultados não podem ser fácil e diretamente relacionados ao faturamento, 
o que dificulta ainda mais o cálculo estimado de quanto o sistema representará de resultado 
financeiro. Essa mesma situação persegue outras implantações de mecanismos de qualidade, por 
exemplo, as ISOs 14000 e 9000. 
Outra forma de ver essa situação é tentar estimar os prejuízos financeiros em valores presentes 
causados por incidentes de segurança da informação na organização, quando o SGSI pode reduzir os 
índices de incidentes e, dessa forma, calcular quanto a organização deixará de gastar em função da 
96
Unidade III
implantação do sistema. A situação é que, por não ter o sistema implantado, as organizações, em geral, 
não fazem registro desses incidentes e, por isso, não conseguem calcular os prejuízos que causam. Isso 
pode dar margem à utilização de médias estatísticas de mercado, mas, de qualquer forma, a média de 
mercado pode ser muito diferente da situação de cada organização, pois cada organização tem a sua 
realidade individual.
A questão é extremamente complexa e polêmica. Estudos são desenvolvidos para comprovar o 
retorno, todavia, se for possível implantar as ferramentas de análise de custo-benefício de um sistema 
de segurança da informação, deverá ser devidamente documentado no escopo do sistema.
Segundo Campos (2006), a implantação do SGSI deve ser devidamente aprovada pela alta direção, 
inclusive sua parte financeira. Sendo assim, propostas de escopo para o SGSI devem possuir várias 
alternativas. Essas propostas terão custos de investimento diferentes e, por essa razão, benefícios 
tangíveis e intangíveis diferentes. O objetivo é possibilitar a análise das opções e a escolha consciente 
do escopo mais adequado para a organização.
É importante ressaltar que o contexto estratégico pode auxiliar a definir qual é o escopo mais 
adequado como alvo para a implantação do SGSI. Dessa forma, se a estratégia da organização é 
fortemente dependente do lançamento de um novo produto no mercado, pode ser que o escopo mais 
adequado para o SGSI sejam todos os processos de criação, fabricação e venda desse produto, o que 
passaria por diversas áreas funcionais da organização.
Outra possibilidade é que a estratégia seja fortemente dependente do relacionamento com o cliente. 
Nesse caso, o escopo mais adequado seriam as áreas funcionais relacionadas com o cliente, tais como 
as áreas de vendas, pós-vendas e assistência técnica.
Segundo Campos (2006), é importante destacar que a definição do escopo do SGSI é uma decisão 
estratégica, pois determina o volume de investimento financeiro no projeto, e quantos e quais ativos de 
informação serão alvos do sistema.
5.2 Princípios da gestão de riscos
Analisar os riscos de incidentes de segurança da informação é uma atividade fundamental e de 
extrema importância para a gestão de segurança da informação. A análise de risco permite identificar o 
nível de proteção que os ativos de informação de cada processo da organização precisam, possibilitando 
não apenas adicionar proteção em um nível adequado para o negócio, mas também acoplar de maneira 
inteligente os recursos da organização.
A análise de risco é o coração do SGSI, pois sem ela seria impossível determinar o conjunto adequado 
de medidas de segurança e garantir qualquer nível de sinergia nas ações tomadas.
Para Campos (2006), a gestão e análise de risco deve ser o primeiro passo. O objetivo é definir os 
resultados almejados e, por conseguinte, o que deverá ser feito.
97
GESTÃO E ANÁLISE DE RISCOS
As equipes de segurança da informação menos experientes, sobretudo aquelas que fazem sua 
primeira análise de risco, tendem a querer produzir resultados em um curto espaço de tempo. 
Essa ansiedade pelos resultados imediatos pode limitar os esforços de definição de objetivos e de 
planejamento. Nesse caso, pode parecer clichê, mas fica difícil chegar a algum local quando não se 
sabe para onde se vai. Dessa forma, na definição do método de análise de risco, é fundamental ter em 
mente que existem duas categorias, ou métodos, de análise de risco: a qualitativa e a quantitativa. 
As duas envolvem cálculos, mas a qualitativa é a que utiliza cálculos simplificados e, também, menos 
precisos do ponto de vista financeiro.
 Observação
É importante ressaltar que não é uma questão de escolha entre os 
métodos quantitativos ou qualitativos de análise de riscos à segurança da 
informação, e sim uma orientação conforme a modalidade de risco que 
está sendo analisada, pois ambas possuem benefícios e limitações.
No quadro seguinte, podem-se comparar os dois modelos:
Quadro 23 – Matriz comparativa das categorias de análise de riscos
Quantitativo Qualitativo
Resultados baseados em valores objetivos Resultados baseados em valores subjetivos
Cálculos complexos Cálculos simples
Valores financeiros são atribuídos ao risco Não há valoração do risco
Grande tempo e esforço são necessários para atribuir 
as taxas de risco Menor trabalho para atribuir as taxas de risco
Facilita o cálculo de custo/benefício Dificulta o cálculo de custo/benefício
Fonte: Campos (2006, p. 45).
Evidentemente que os dados desse quadro são uma parte das duas categorias. Como visto 
anteriormente, existem diversos outros pontos que devem ser considerados para a seleção da melhor 
metodologia de análise de risco.
Segundo Campos (2006), existem dois pontos que defendem cada um dos métodos com argumentos 
convincentes.
Os dois métodos são práticos e até certo ponto eficazes. A escolha deve ser realizada com base no 
perfil da organização. Por exemplo, aquelas organizações que nunca fizeram qualquer análise de risco, 
se escolherem pelo método quantitativo, mais complexo, terão maior probabilidade de fracasso em uma 
primeira tentativa. Já as organizações que fazem análise de risco por alguns anos e que precisam avaliar 
seus riscos a partir de uma visão financeira, deverão fazer os empenhos necessários para implementar 
o método quantitativo.
98
Unidade III
Outro ponto a ser relacionado é o desenvolvimentode uma política para a redução de riscos. 
Segundo Campos (2006), deve ser definida de forma prioritária uma política para reduzi-los ou um 
conjunto de conceitos aceitáveis na organização no que se refere a investimentos de tempo e recursos 
para esse fim. Obviamente, isso vai variar de organização para organização, mas algumas diretrizes 
podem ser utilizadas como padrão. Por exemplo, a política pode determinar que os investimentos 
destinados à redução de riscos deve ser proporcional ao valor da informação a ser protegida, que os 
investimentos pretendem diminuir os riscos de forma gradual, que os investimentos em redução dos 
riscos não devem exceder a 5% do faturamento da organização ou que os riscos relacionados com a 
disponibilidade da informação devem ser considerados prioritários em relação àqueles relacionados 
com confidencialidade e disponibilidade, entre muitos outros.
Segundo Campos (2006), essas e outras prioridades que possam influenciar direta ou indiretamente 
os trabalhos de análise e redução de riscos necessitam estar devidamente definidas no estágio inicial 
do projeto, direcionando os esforços de todas as partes envolvidas, até mesmo quando são definidas 
as prioridades logo em seu início. Pode ocorrer que, durante a realização da análise de risco, novas 
necessidades sejam inclusas na política de redução de riscos, o que é totalmente viável.
A definição dos critérios para identificação e aceitação do risco é a base para a decisão sobre o nível 
do risco. Dessa forma, os critérios devem ser estabelecidos para conduzir os trabalhos de identificação 
e avaliação do risco. Entre os critérios definidos, é necessário compor aqueles que vão hierarquizar 
as ameaças, vulnerabilidades e impactos. Outras considerações podem ser realizadas quanto aos 
critérios do risco.
A organização precisa definir que nível de risco é aceitável e a partir de que nível o risco passa 
a ser inaceitável e precisa ser tratado. Algumas questões necessitam ser avaliadas para chegar a um 
indicador de risco. Apenas como exemplo, a organização pode definir que riscos com nível a partir de 
20% precisam ser tratados, ao passo que riscos abaixo desse percentual podem ser ignorados ou aceitos.
Após a definição dos critérios de análise e níveis de aceitação de risco, é necessário que as ameaças 
sejam graduadas quanto ao grau de exposição que apresentam para o ativo em avaliação. Por exemplo, 
um sistema de Firewall que fica ligado diretamente à internet está mais exposto a ataques de crackers 
do que um servidor de correio eletrônico que está protegido por esse Firewall dentro da rede local.
O quadro seguinte é um exemplo de como podem ser definidos os critérios para a classificação da 
ameaça quanto ao grau de exposição que ela oferece para os ativos de informação. Reparar que os 
critérios apresentados são exatamente os mesmos do quadro 22, que mostra a matriz de relevância do 
processo. Isso se dá em virtude da padronização dos critérios.
99
GESTÃO E ANÁLISE DE RISCOS
Quadro 24 – Sugestão de matriz graduação das ameaças
Ameaça
Grau Faixa percentual
Mínima 1 20
Baixa 21 40
Média 41 60
Alta 61 80
Máxima 81 100
Fonte: Campos (2006, p. 46).
Seguindo com o exemplo apresentado, considerando os ativos de informação envolvidos, temos:
• sistema Firewall;
• servidor de correio eletrônico.
E a seguinte ameaça:
• invasor externo (hacker).
Então, poderíamos dizer que o grau de exposição da ameaça seria de 100%, ou seja, a máxima, para 
o primeiro ativo; enquanto de apenas 30%, ou seja, baixa, para o segundo ativo.
Segundo Campos (2006), similarmente aos critérios anteriormente expostos, podem ser estabelecidos 
critérios para as vulnerabilidades. Sendo assim, algumas vulnerabilidades contam com alguma 
forma de controle, ou seja, são baixas; enquanto outras vulnerabilidades não receberam qualquer tipo 
de controle e devem ser definidas como altas. O quadro seguinte mostra uma proposta para critério de 
graduação das vulnerabilidades.
Quadro 25 – Sugestão de matriz graduação das vulnerabilidades
Vulnerabilidade
Grau Faixa percentual
Mínima 1 20
Baixa 21 40
Média 41 60
Alta 61 80
Máxima 81 100
Fonte: Campos (2006, p. 47).
100
Unidade III
É importante ressaltar que os padrões de nomenclatura para relevância, ameaça e vulnerabilidade 
devem ser os mesmos para permitir comparativos. Nesse exemplo, consideremos os seguintes ativos 
de informação:
• o servidor de arquivos;
• o servidor de correio eletrônico.
E a seguinte vulnerabilidade:
• as portas TCP do protocolo TCP/IP.
Na suposição de que no primeiro ativo todas as portas TCP estejam fechadas, podemos concluir que 
se trata de uma vulnerabilidade mínima, talvez 5%. Enquanto para o segundo ativo, que pelo menos as 
portas SMTP e POP estejam abertas, o que torna a vulnerabilidade, média, talvez a 50%.
Segundo Campos (2006), deverão ser estabelecidos os critérios para impacto. Lembrando que o 
impacto se refere ao dano ou prejuízo causado ao negócio por um incidente. Certamente existem 
diversas formas de relacionar as informações, consequentemente, os ativos que as suportam, o negócio.
Uma das mais utilizadas relaciona as informações aos processos do negócio, como foi demonstrado 
na figura 31. Dessa maneira, é possível identificar que o processo será prejudicado por um incidente, 
e, conhecendo a relevância do processo, é possível determinar o impacto do incidente de segurança. 
Um exemplo disso está na relação do nível de impacto à duração da interrupção que um determinado 
processo de negócio suporta. Dessa forma, pode continuar em operação sem causar prejuízo.
No quadro seguinte, está disposto o modelo de graduação que pode ser utilizado de maneira a 
quantificar a análise dos impactos. Repare que os números se mantêm em relação às demais análises 
anteriormente apresentadas.
Quadro 26 – Sugestão de matriz graduação das vulnerabilidades
Impacto
Grau Faixa percentual
Mínima 1 20
Baixa 21 40
Média 41 60
Alta 61 80
Máxima 81 100
Fonte: Campos (2006, p. 48).
101
GESTÃO E ANÁLISE DE RISCOS
Usemos o exemplo anterior de ativos para exemplificar esse conceito:
• o servidor de arquivos;
• o servidor de correio eletrônico.
Se na organização em questão os processos são fortemente baseados na troca de mensagens 
eletrônicas entre as áreas, poderíamos supor que a interrupção desse serviço não seria tolerada por mais 
que um dia, o que classificaria o grau do impacto em 75%, por exemplo. Já o servidor de arquivos talvez 
seja usado com menos frequência e intensidade, e a organização suportaria alguns dias, talvez até uma 
semana, sem esse serviço. Assim, talvez pudéssemos classificar o grau de impacto em 55%.
Esse método é apenas um exemplo simples de consideração dos conceitos. Evidentemente, definir 
um método mais adequado para medir os prejuízos financeiros que um incidente pode causar pode 
representar uma tarefa bem mais complexa.
Segundo Campos (2006), para a definição dos critérios para cálculo do risco, outras definições devem 
ser utilizadas na identificação e avaliação dos riscos, com destaque para o critério de composição. Isso se 
refere a como o risco é visto pela organização, ou seja, qual é a fórmula para o risco. Embora existam os 
defensores de outros modelos, não existe um consenso definitivo e suficientemente convincente, cada 
organização deve avaliar a melhor maneira de compor a fórmula que melhor lhe atente. Assim, para 
iniciar a definição dessa fórmula, é necessário estabelecer as variáveis a serem utilizadas. Recomenda-se 
no mínimo:
• Probabilidade: essa variável se refere à chance que existe de o incidente acontecer.
• Impacto: essa variável se refere ao impacto no negócio que o incidente vai provocar, caso ocorra.
• Ocorrências: essa variável se refere ao número de vezes que esse incidente já ocorreu no passado.
• Relevância do processo: essa variável se refere à importância do processo para o negócio 
da organização.
Ao considerar quando acontecem problemas de segurança, pode tercerteza, foram abordados os 
conceitos de probabilidade e impacto. A principal diferença entre o risco e a simples probabilidade é que, 
ao contrário da probabilidade, o risco considera os danos que o incidente de segurança da informação 
pode causar ao negócio da organização.
Assim sendo, temos três elementos básicos para compor a fórmula do risco. Apenas desses simples 
elementos, diferentes configurações podem ser consideradas. Em um primeiro momento, pode parecer 
adequado considerar pesos iguais para as variáveis que encontramos, o que levaria à proposta de 
composição, de acordo com a figura a seguir.
102
Unidade III
Risco Probabilidades
Ameaças
Vulnerabilidades
Ocorrências
Impacto
Figura 33 – Risco, modelo balanceado das variáveis
Conforme visto anteriormente, a probabilidade, quando se refere aos efeitos do incidente de 
segurança da informação, é uma composição do nível de ameaça com o nível de vulnerabilidade 
existente nos ativos de informação.
Nessa representação, consideramos que o risco é construído pela equação entre probabilidade, 
impacto e ocorrências passadas desse incidente. Mas dependendo da organização e de como ela quer 
tratar o risco, os pesos de cada um desses componentes pode variar, e, ainda mais, outros componentes 
poderão ser incluídos nessa fórmula. Por exemplo, se há a intenção de dar maior relevância ao impacto, 
a composição da figura a seguir poderia ser mais adequada.
Risco
Probabilidades
Ameaças
Vulnerabilidades
OcorrênciasImpacto
Figura 34 – Risco, considerando a relevância no impacto
Quando observado sob essa perspectiva, proporcionalmente, o peso do impacto será maior do que 
no exemplo anterior, já que as ocorrências anteriores foram diluídas dentro da probabilidade, dividindo 
o espaço com as ameaças e as vulnerabilidades.
Embora esse modelo pareça mais apropriado, por trabalhar em um composição de probabilidade 
que considere não apenas o que “pode” acontecer, mas também o que efetivamente já aconteceu, ainda 
falta um elemento muito importante. Não existem subsídios nessa fórmula para o cálculo do impacto 
ou do prejuízo que o incidente poderia causar para a organização.
Dessa forma, se pode observar que o modelo se torna um tanto superficial como relação, 
identificação e metrificação do impacto, todavia esse tipo de abordagem pode ser útil quando a 
empresa não tem a intenção de detalhar comparativos entre a probabilidade e o impacto. Dessa 
forma, poderia identificar ou classificar todos os impactos como relevantes, podendo incorrer na 
supervalorização do impacto, proporcionando custos desnecessários no mecanismo de proteção, o 
que pode tornar o orçamento de segurança muito alto, podendo deixar desprotegido aquilo que 
103
GESTÃO E ANÁLISE DE RISCOS
realmente necessita de proteção. Da forma como está, a classificação do impacto se torna algo 
meramente subjetivo.
Para aumentar a objetividade dessa variável, embora não seja ainda possível por esse método atingir 
a objetividade total, deve-se considerar um dado obtido anteriormente durante a elaboração do modelo 
da cadeia de valor da organização, visto no planejamento do sistema. Ao fazer isso, teríamos definida a 
relevância de cada um dos processos. Isso nos permitiria uma fórmula um pouco mais precisa, conforme 
a figura seguinte.
Risco
Probabilidades
Ameaças
Vulnerabilidades
Relevância
Ocorrências
Impacto
Figura 35 – Risco, considerando a relevância no processo
Considerando as composições apresentadas na figura anterior, se pode ter uma visão do fato de que 
o critério para a elaboração do risco pode influenciar significativamente as decisões que serão tomadas 
após identificação e avaliação do risco.
Uma simples mudança na fórmula pode alterar todo o plano de ação traçado. Por isso é importante 
definir de forma minuciosa esse critério. Há diversas maneiras para elaborar a composição da fórmula de 
risco. Não existe a pretensão em dizer qual é melhor, mesmo porque cada uma tem uma abordagem que 
pode ser acoplada à estratégia corporativa daquele momento ou para determinada situação. O fato é 
que a fórmula apresentada aqui se propõe a ilustrar os conceitos de risco como um exemplo para auxílio 
na compreensão e estudo do assunto.
Segundo Campos (2006), após definidos os critérios, é hora de realizar a identificação dos riscos, que 
engloba a identificação dos ativos, das ameaças, das vulnerabilidades e dos impactos.
A identificação dos ativos pode ser considerada um inventário dos ativos relevantes para os 
processos da organização, no qual o envolvimento em um incidente de segurança da informação 
trará um impacto negativo para o negócio. É muito importante que se identifique não apenas o ativo, 
mas o seu proprietário, ou seja, aquela área ou pessoa que utiliza o ativo. Não menos importante 
seria identificar o processo de negócio da organização, que é suportado pelo ativo. Assim, pode ser 
possível atribuir um nível de relevância ao processo que indique o nível do impacto de um incidente 
de segurança no referido ativo de informação. A figura a seguir demonstra o processo que será a base 
para nosso exemplo.
104
Unidade III
Manter serviços 
de rede
Servidor de 
arquivosFirewall
Servidor de 
internet
Tecnologia de 
informação
Figura 36 – Exemplo de processo de risco
Para esse exemplo, temos um dos processos da área de tecnologia da informação. Dessa forma, 
podemos elaborar o inventário seguinte.
Quadro 27 – Inventário de ativos
Processo Proprietário Ativo
Manter serviços de rede TI
Firewall
Servidor de arquivo
Servidor de internet
Adaptado de: Campos (2006, p. 52).
Quando realizado o inventário, ele deve ser feito em toda a organização, ou então deverá cobrir 
ao menos os processos identificados como relevantes para o negócio. Isso remete a um trabalho de 
identificação dos ativos relevantes caso a organização ainda não o tenha. Esse exemplo pode ser 
considerado simples, mas pode haver processos que se estendem por diversas áreas diferentes, e poderá 
haver ativos que suportem diferentes processos.
Esses fatores aumentam a complexidade do inventário de ativos. Por isso, é recomendável que o 
inventário seja feito em um sistema de informação exclusivo, apesar de ser possível utilizar planilhas 
eletrônicas para esse fim.
Segundo Campos (2006), é necessário identificar as ameaças que podem provocar incidentes de 
segurança da informação, explorando as vulnerabilidades dos ativos inventariados. Lembrando que as 
ameaças são agentes externos aos ativos, e não internos.
Existem as ameaças intencionais ou maliciosas e as não intencionais. Por exemplo, os vírus 
de computador são ameaças maliciosas desenvolvidas com a intenção específica de contaminar 
105
GESTÃO E ANÁLISE DE RISCOS
outros sistemas e, de alguma maneira, proporcionar algum impacto. Já os maremotos são ameaças 
não intencionais, ou seja, não há por trás deles uma intenção ou um plano, já que se trata de um 
fenômeno natural com relativo baixo nível de previsibilidade. Continuando com o mesmo exemplo 
anterior, podemos localizar algumas ameaças para os ativos de informação, como pode ser verificado 
na figura seguinte.
Manter serviços 
de rede
Servidor de 
arquivosFirewall
Invasor 
interno
Invasor 
externo Vírus
Variação de 
energia
Servidor de 
internet
Tecnologia de 
informação
Ameaças
Figura 37 – Identificando a ameaça
No exemplo da figura anterior, podemos perceber que é possível que a mesma ameaça atinja diferentes 
ativos ou que uma determinada ameaça seja específica de um determinado ativo. Em nosso exemplo, 
os ativos são sistemas computacionais, as ameaças levantadas aplicam-se a todos simultaneamente, 
todavia cabe ressaltar que em um processo real de identificação de ameaças existirá um nível de 
complexidade ainda maior.
Sendo assim, o resultado do processo de identificação de ameaças origina uma planilha mais 
completa composta pelos ativos de informações, os processos que esses ativos apoiam, os proprietários 
desses ativos e, agora, as ameaçasque podem provocar algum incidente de segurança da informação 
envolvendo esses ativos.
Evidentemente, conforme o tamanho da organização, essa planilha terá infinitos ativos e ameaças 
identificadas, o que pode tornar o processo de atualização extremamente complexo e pouco efetivo. 
Nesse caso, a introdução de um processo automatizado é fortemente recomendada para os gestores da 
segurança da informação.
106
Unidade III
Quadro 28 – Relação de ativos × ameaças
Processo Proprietário Ativo Ameaça
Manter serviços 
de rede TI 
Firewall
Invasor externo
(hacker)
Invasor interno
Vírus
Variação de energia
Servidor de arquivo
Invasor externo (hacker)
Invasor interno
Vírus
Variação de energia
Servidor de internet
Invasor externo (hacker)
Invasor interno
Vírus
Variação de energia
Adaptado de: Campos (2006, p. 54).
Segundo Campos (2006), o processo para identificar as vulnerabilidades remete a cada uma dessas 
ameaças que poderão explorar vulnerabilidades específicas dos ativos de informação em questão. Dessa 
forma, agora é hora de identificar quais vulnerabilidades esses ativos têm e que poderiam ser exploradas 
pelas ameaças levantadas. É importante ressaltar que existe relação total entre a identificação da 
vulnerabilidade e o controle de segurança da informação. Isso acontece porque os pontos vulneráveis 
são exatamente aqueles em que é possível a implementação de algum tipo de controle. Nesse sentido, 
fica claro que uma única vulnerabilidade poderá receber diversos controles para implantar a segurança 
no ativo em função da alta incidência de ocorrências anteriores ou em função do elevado nível da 
ameaça para aquela determinada vulnerabilidade. A identificação das vulnerabilidades demonstrada no 
exemplo pode ser observada na nuvem criada entre os ativos de segurança e as ameaças já identificadas, 
como disposto na figura seguinte.
107
GESTÃO E ANÁLISE DE RISCOS
Manter serviços 
de rede
Servidor de 
arquivosFirewall
Portas TCP Acesso físico
Ausência do 
antivírus
Ausência do 
nobreak
Invasor 
interno
Invasor 
externo Vírus
Variação de 
energia
Servidor de 
internet
Tecnologia de 
informação
Vulnerabilidades
Ameaças
Figura 38 – Identificando as vulnerabilidades
Cabe ressaltar que quanto maior for o controle implementado sobre a vulnerabilidade, tanto menor 
será o grau da vulnerabilidade. Por exemplo, o sistema antivírus pode não existir, existir e nunca ser 
atualizado, existir e ser atualizado com frequência irregular ou existir e ser atualizado regularmente 
em curtos intervalos de tempo. Dessa forma, é necessária uma gradação da vulnerabilidade entre 
vulnerabilidade máxima até vulnerabilidade mínima. A vulnerabilidade, de fato, seria a ausência de um 
sistema antivírus em qualquer um dos ativos identificados destacados no exemplo.
O processo de identificação das vulnerabilidades fortalece a planilha da qual foram inventariados os 
ativos, identificadas as ameaças e, agora, identificadas as respectivas vulnerabilidades.
Todo esse processo aliado à categorização dos níveis de frequência das ameaças servirá de base 
para a decisão de quais medidas serão aplicadas primeiramente e onde será necessário priorizar 
os investimentos em segurança da informação para, dessa maneira, conseguir atingir o objetivo, 
flexibilizando o custo-benefício nos investimentos em ativos de proteção.
108
Unidade III
Quadro 29 – Relação de ativos × ameaças × vulnerabilidades
Processo Proprietário Ativo Ameaça Vulnerabilidades
Manter serviços 
de rede TI 
Firewall
Invasor externo (hacker) Portas TCP abertas
Invasor interno Sem controle de acesso físico
Vírus Ausência de antivírus
Variação de energia Ausência de nobreak
Servidor de 
arquivo
Invasor externo (hacker) Portas TCP abertas
Invasor interno Sem controle de acesso físico
Vírus Ausência de antivírus
Variação de energia Ausência de nobreak
Servidor de 
internet
Invasor Externo (hacker) Portas TCP abertas
Invasor interno Sem controle de acesso físico
Vírus Ausência de antivírus
Variação de energia Ausência de nobreak
Adaptado de: Campos (2006, p. 56).
Segundo Campos (2006), a parte final do processo está na identificação do nível de impacto que 
a ocorrência de um incidente de segurança da informação causaria para o negócio da organização, 
considerando o prejuízo imposto pela própria ocorrência do incidente, o tempo e o custo despendido 
para a reabilitação do ativo, o prejuízo à imagem, a terceiros e nos casos de furto ou vazamento de 
informações de clientes e fornecedores, entre outros.
A figura seguinte demonstra os níveis relativos de impacto para cada um dos ativos identificados 
para o exemplo assumido como padrão. Lembrando que para uma melhor explicação, é utilizado um 
exemplo extremamente simples e, no caso da figura seguinte, destinado à disponibilidade dos ativos. 
Considerando de forma acadêmica que a organização exemplificada faz uso do sistema de servidor de 
arquivo em suas operações cujo impacto maior seria em caso da indisponibilidade desse ativo e de forma 
semelhantemente acadêmica à indisponibilidade do sistema de Firewall, não chega a ser um problema 
muito grave, uma vez que a organização utiliza uso limitado da internet, e o Firewall mencionado é 
aquele que conecta a organização à internet.
109
GESTÃO E ANÁLISE DE RISCOS
Manter serviços 
de rede
Servidor de 
arquivosFirewall
Portas TCP Acesso físico
Ausência do 
antivírus
Ausência do 
nobreak
Invasor 
interno
Invasor 
externo Vírus
Variação de 
energia
Servidor de 
internet
Tecnologia de 
informação
Vulnerabilidades
Ameaças
Mé
dio Mé
dioAl
to
Figura 39 – Identificando impactos
Quando se pensa além da questão da disponibilidade, o impacto pode ser mensurado e medido 
também quanto a incidentes de segurança da informação, que quebram confidencialidade e/ou a 
integridade de um determinado ativo. Caso altere o foco da análise, o nível de impacto para cada 
ativo pode ser diferente para confidencialidade, integridade e disponibilidade. Dessa forma, remete-se à 
seguinte conclusão: existe crescente complexidade em um projeto de análise de risco.
Como o próprio exemplo demonstra, o impacto de um mesmo incidente de segurança poderá ser 
diferente em diversas organizações. Isso se dá porque o impacto guarda relação direta com o negócio 
da organização, com sua estratégia e modelo de processos. Sendo assim, não existe fórmula única, uma 
receita para a identificação do risco ou algo como risco padrão para as organizações. Muitas vezes a 
organização do mesmo setor apresenta resultados diferentes, a não ser que todas adotem a mesma 
estratégia de negócio. Isso não é natural, já que mesmo as organizações que adotam, por exemplo, 
o diferencial de custo como estratégia principal, há variações em suas estratégias secundárias para 
conseguir superar a concorrência de alguma forma. Desse modo, concluímos que a identificação e a 
análise de riscos precisam ser elaboradas e aplicadas para cada organização que pretenda implementar 
controles de segurança da informação para impedir ou diminuir a ocorrência de incidentes.
110
Unidade III
O quadro seguinte representa a junção de tudo que foi apresentado, restando agora a avaliação dos 
riscos identificados.
Quadro 30 – Relação de ativos × ameaças × vulnerabilidades × impactos
Processo Proprietário Ativo Ameaça Vulnerabilidades Impacto
Manter 
serviços de 
rede
TI 
Firewall
Invasor externo (hacker) Portas TCP abertas Médio
Invasor interno Sem controle de acesso físico Médio
Vírus Ausência de antivírus Médio
Variação de energia Ausência de nobreak Médio
Servidor de 
arquivo
Invasor externo (hacker) Portas TCP abertas Alto 
Invasor interno Sem controle de acesso físico Alto 
Vírus Ausência de antivírus Alto 
Variação de energia Ausência de nobreak Alto 
Servidor de 
internet
Invasor externo (hacker) Portas TCP abertas Médio
Invasor interno Sem controle de acesso físico Médio 
Vírus Ausência de antivírus Médio 
Variação de energia Ausência de nobreakMédio
Adaptado de: Campos (2006, p. 58).
Segundo Campos (2006), a avaliação do risco se refere a comparar a estimativa de riscos contra os 
critérios de riscos, para, assim, identificar os níveis de riscos de incidentes de segurança da informação. 
Nesse momento, os critérios de risco já foram definidos, e um inventário de ativos por processo de negócio 
já foi realizado incluindo as ameaças, vulnerabilidades e impactos. Ao definir as tabelas, os critérios, é 
possível obter o formato de como os ativos foram relacionados ao processo por eles suportados, o que, 
para o caso específico do exemplo, foi o de manutenção dos serviços de rede.
Quando levado a uma esfera prática de uma organização, todos os processos dentro do escopo do 
SGSI devem ser avaliados.
Dessa forma, serão avaliados todos os ativos quanto a sua relevância para o negócio da organização. 
Os valores percentuais identificados vão possibilitar a realização do cálculo do risco.
Quanto aos incidentes, é possível identificar as possibilidades de ocorrência para cada ativo, inclusive 
com o registro das suas ocorrências no ano anterior, gerando, assim, base de conhecimento, o que 
também poder ser transformado em uma taxa percentual quando se divide o total de dias em que aconteceu 
o incidente pelo total de dias no ano. Dessa forma, é possível obter os índices de ocorrência anteriores 
ao incidente em questão.
Referente às vulnerabilidades quando são descritas, o nível da vulnerabilidade também pode ser 
demonstrado de forma percentual. Para isso, é necessário analisar cada ativo e definir o quanto está 
vulnerável em relação às ameaças existentes e identificadas. Cabe ressaltar que, para chegar a avaliar 
111
GESTÃO E ANÁLISE DE RISCOS
o nível de vulnerabilidade, devem-se ter os controles de segurança da informação já implementados. 
As ameaças são enumeradas, e um nível deve ser atribuído a cada uma delas. Com base nos níveis de 
ameaças, vulnerabilidades e no índice de ocorrência, será possível calcular o grau de probabilidade 
de uma nova ocorrência para cada incidente de segurança identificado.
Considerando a probabilidade de uma nova ocorrência e o impacto gerado pela sua ocorrência 
efetiva, é possível determinar o nível de risco para o incidente e para cada um dos ativos que 
sustenta o processo.
Assim será possível tomar decisões sobre o que fazer em relação a essas probabilidades.
Segundo Campos (2006), ao realizar uma análise de risco, podemos perceber que não é uma atividade 
comum. Como já foi demonstrado ao longo dos estudos, envolve uma série de fases, planejamento e um 
grande esforço de trabalho para assegurar um resultado eficiente.
Uma forma de viabilizar a execução da análise de risco é dividir o projeto em três frentes distintas 
que, unificadas, formam a análise de risco.
Sendo assim, a primeira frente é sobre a divisão do trabalho por processo de negócio, que 
representa um passo primordial para a análise de risco, uma vez que a relevância do processo é uma 
variável importante para a definição do impacto de um eventual incidente de segurança da informação 
em determinada área.
Todavia, além da definição de relevância dos processos, é importante entender o fluxo da 
informação entre esses processos, o que possibilita compreender quais informações precisam 
ser protegidas. Essa compreensão é importante para determinar sua geração quanto aos fluxos 
que esta percorre e quanto ao consumo dessa informação nos processos organizacionais.
Uma forma interessante de modelagem de processos é a utilização da metodologia Aris (Arquitetura 
de Sistemas de Informação Integrados), que se baseia em dois principais modelos:
• VAC (cadeia de valor agregado);
• EPC (cadeia de processos orientados a eventos).
No primeiro modelo, é possível construir uma visão geral da organização, a definição dos seus 
macroprocessos e, consequentemente, a definição da relevância desses macroprocessos. No segundo 
modelo, é possível compreender o fluxo da informação entre os processos, bem como sua geração 
e consumo.
Vender Comprar Produzir Entregar
Figura 40 – Exemplo de VAC
112
Unidade III
Esse modelo demonstra uma organização que trabalha “contra pedido”, ou seja, ela fecha as 
encomendas. Depois compra os materiais necessários para produzir, produz e, finalmente, entrega o 
produto ao cliente. Evidentemente que outros processos são agregados, como da área financeira, da 
gestão de recursos humanos, entre outros. Esses processos não foram inclusos no exemplo para não 
gerar complexidade. Esse modelo já é suficiente para definir um nível de relevância para cada processo 
e ajudará a definir o impacto de um eventual incidente de segurança da informação. O próximo passo é 
compreender o fluxo de informações entre esses processos, conforme a figura seguinte.
Vender Comprar Remessa de materiais Produzir
Produtos a 
entregar
Materiais a 
comprar
Remessa de 
produtos 
finais
Entrega
Figura 41 – Fluxo de informações entre processos
Analisando o fluxo das informações, é possível entender claramente onde as informações são geradas 
e, portanto, propor a implementação de controles para garantir a segurança dessas informações que são 
fundamentais aos processos.
Outra contribuição que esse tipo de modelo pode oferecer é o entendimento da quantidade de 
fluxos que passam por um determinado processo. Pode parecer ser razoável acreditar que os processos 
que geram e consomem mais informações sejam os mais relevantes do ponto de vista da segurança 
da informação, mas isso não pode ser determinado como uma verdade absoluta. Após obtidas as 
informações de aspecto geral dos macroprocessos, tanto do ponto de vista da cadeia de valor quanto da 
compreensão do fluxo de informações entre esses processos, é necessário estudar em detalhes cada um 
desses macroprocessos para compreender melhor os pontos de produção e consumo das informações.
É importante ressaltar que a segurança da informação deve se concentrar nas informações 
relevantes para os processos de negócio da organização. Isso se o objetivo da segurança da informação 
for contribuir com os objetivos estratégicos.
A compreensão maior dos processos passa pelo desenho da cadeia de subprocessos e de seus 
eventos, ou seja, pela elaboração de um EPC. Um EPC é, na verdade, o detalhamento ou a explosão 
de um processo de nível maior, ou seja, em uma cadeia de valor agregado (VAC) ou em um diagrama de 
fluxo de informação (DFD).
113
GESTÃO E ANÁLISE DE RISCOS
O processo definido no exemplo escolhido foi o de “Produzir”, detalhado na figura seguinte. 
Nessa figura, o primeiro e o último símbolo se referem a outros processos. O símbolo é uma interface, 
ou conexão, com o processo “Vender”, que o antecede, e com o processo “Comprar”, que o sucede. 
Do processo “Vender” vem a informação “Produtos a entregar”, que foi gerada naquele processo, 
e que é o compromisso de entrega dos produtos da organização para seus clientes. Essa informação é 
consumida no processo “Planejar capacidade de produção”, após o qual é realizado o processo “Planejar 
necessidade de materiais”. Esse processo produz a informação “Materiais a comprar”, que é na verdade a 
lista de matérias-primas necessárias para realizar a produção encomendada pelos clientes. A informação 
será enviada para o processo “Comprar”, que, em algum de seus subprocessos, a consumirá.
Vender
Planejar 
capacidade de 
produção
Planejar 
necessidade de 
materiais
Comprar
Materias 
precisam ser 
comprados
Capacidade 
de produção 
definida
Necessidade 
de materiais 
definida
Materiais a 
entregar
Produtos a 
entregar
Figura 42 – Exemplo de fluxograma de cadeia de processo EPC
 Observação
O fluxograma de cadeia de processo mobilizada por eventos (EPC, em 
inglês) serve para documentar ou planejar um processo de negócio.
114
Unidade III
Para analisar os processos, que na verdade são ativos de informação, pois produzem e consomem 
informações, é possível identificar as vulnerabilidades que apresentam e avaliaras ameaças que podem 
explorar essas vulnerabilidades, as probabilidades de ocorrência de incidente e os impactos que 
podem acometer as organizações.
No exemplo analisado, uma possível vulnerabilidade remete ao fato de que a lista de materiais a 
comprar pode estar sendo transmitida de maneira não estruturada do processo de “Produzir” para o 
processo “Comprar”, talvez, por telefone ou e-mail.
Esse tipo de vulnerabilidade pode se transformar em uma ameaça não intencional, como o 
esquecimento ou a exclusão da mensagem de e-mail por engano. Isso poderia gerar incidentes de 
segurança da informação, como a indisponibilidade da informação ou falha na sua integridade, que 
compromete o processo de compra de matérias-primas de forma incorreta ou insuficiente. Todos os 
processos da organização necessitam ser analisados quanto ao risco de incidentes de segurança.
Segundo Campos (2006), as pessoas têm papel fundamental nas análises de riscos e também são 
consideradas ativos de informação. Assim, os riscos relacionados a esse tipo de ativo também precisam 
ser analisados.
Algumas pessoas executam ou constituem os processos. Essas pessoas geram e consomem as 
informações desses processos. São as pessoas que utilizam as tecnologias e o ambiente. Não demora 
muito para compreender que as pessoas são os ativos mais importantes e, teoricamente, podem oferecer 
os maiores riscos.
Não seria inteligente deixar de fora da análise de risco esse tipo de ativo. Na figura a seguir, está 
representada a relevância das pessoas como ativos importantes em uma organização e que representam 
o elo entre os demais ativos de informação.
Processos Ambientes
Tecnologias
Pessoas
Figura 43 – A importância dos ativos de informação pessoas
Assim que analisadas com maior profundidade, é possível compreender as vulnerabilidades que as 
pessoas podem ter e as ameaças que podem explorar essas vulnerabilidades.
115
GESTÃO E ANÁLISE DE RISCOS
O desconhecimento das diretrizes, normas e procedimentos de segurança da informação forma 
exemplos de vulnerabilidades comuns aos funcionários.
Em algumas organizações, os funcionários desconhecem os conceitos essenciais de segurança da 
informação. Outras vezes, por mais estranho que possa parecer, os funcionários não têm conhecimento 
pleno das obrigações e responsabilidades relacionadas com sua própria posição na organização, 
originando conflitos sobre quem é responsável pela geração e consumo de determinadas informações 
essenciais aos processos organizacionais.
Assim, pode acontecer que mais de um funcionário se sinta dono de determinada informação, 
enquanto outras informações ficam sem responsável definido, causando prejuízos aos processos.
Nesse ambiente exemplificado, existe a possibilidade de extravio de informações pelos próprios 
funcionários, com a ausência de comprometimento na criação das informações prioritárias e a disputa 
por certo nível de poder por meio da indisponibilização de informações que deveriam estar fluindo nos 
processos. São apenas algumas das possíveis ameaças capazes de provocar a ocorrência de incidentes 
de segurança da informação.
É possível também identificar as permissões e restrições de acesso para os sistemas de informação 
desde que a organização tenha realizado a lição de casa de classificar e identificar os níveis e permissão 
de acesso à informação em cada função na organização. Caso negativo, isso se transformará em uma 
tarefa complexa, pois pode gerar novos entraves nos processos por insuficiência ou indisponibilidade 
da informação.
Outra vulnerabilidade a ser considerada remete às pessoas que realizam os processos de seleção e 
contratação de pessoal, pois elas podem ser enganadas. Os candidatos podem omitir ou acrescentar 
informações a respeito de si mesmos quando isso constituir um recurso extremamente necessário à 
obtenção de um resultado aguardado com grande expectativa, como é o caso de ocupar uma vaga de 
emprego ou de se galgar um cargo acima na hierarquia da organização. Esse tipo de vulnerabilidade 
pode constituir-se em incidente de segurança da informação quando essas pessoas passam a ocupar 
funções na organização, devido à quebra de integridade de suas próprias informações. Isso, em algum 
momento, causará danos ao negócio da organização, que poderão, ainda, serem maiores se essa pessoa 
contratada entrou na organização com intenções maliciosas, a fim de furtar informações sigilosas.
É necessário considerar, ainda, as vulnerabilidades dos funcionários da organização que atuam 
em cargos de relevância do ponto de vista da informação. Por exemplo, um funcionário que ocupa 
uma função na área de compras, pesquisa, produção, recursos humanos, o que poderá constituir um 
ativo relevante.
Os funcionários que acessam essas informações podem ter vulnerabilidades específicas, como 
problemas financeiros ou problemas legais. Essas vulnerabilidades poderão ser exploradas por ameaças. 
Alguém com acesso a informações privilegiadas, como um gerente da área de compras, poderá ser 
adulado por fornecedores que desejam vencer processos de licitação ou de concorrência, mesmo 
em empresas privadas. Isso seria fácil se as informações de preços ofertados nos processos fossem 
116
Unidade III
indevidamente divulgadas a esses interessados, sendo uma quebra da confidencialidade. Funcionários 
da área de pesquisa e produção poderão também ser induzidos a repassar informações industriais 
em troca de algum tipo de benefício. Um gerente de recursos humanos poderá vender informações a 
respeito dos talentos que atuam na organização, facilitando o agenciamento de contratação destes por 
outras organizações.
Inúmeras são as possibilidades que aumentam proporcionalmente se os ativos possuírem 
vulnerabilidades específicas. Todos os riscos relacionados às pessoas precisam ser avaliados no processo 
de análise de risco. Segundo Campos (2006), quando a análise de risco envolve tecnologias, certamente, 
essa é a primeira preocupação dos profissionais de risco, ainda mais quando se trata de tecnologias 
de informação, como computadores e softwares. Todavia é importante ressaltar que existem outras 
tecnologias a serem consideradas, como sistemas de telefonia, equipamentos de mídias, como projetores, 
televisores, entre outros, ainda mais com o advento da internet das coisas, que conectou praticamente 
tudo à internet, ou seja, agora tudo deve ser considerado como ativo de informação, e todos apresentam 
algum tipo de vulnerabilidade e ameaças que devem estar devidamente mapeadas. Outra consideração 
a ser feita se refere às tecnologias mais antigas, como os arquivos em papel.
Todo o ativo da categoria de tecnologia que tem alguma relevância para os processos precisa ser 
considerado na análise de risco. A análise de risco dessa categoria faz uso de diversos mecanismos 
de apoio, inclusive tecnologias especialmente criadas para esse fim, como softwares especialistas em 
detectar vulnerabilidades em ativos de informática.
As vulnerabilidades são diversas e podem estar em sistemas desprotegidos contra vírus e invasões, 
sistemas sem senhas, arquivos de pastas sem proteção de tranca e chave, celulares suscetíveis à 
contaminação por vírus, webcams sujeitas à interceptação, equipamentos de mídia sem manutenção, 
entre muitos outros.
Firewall
Servidor de 
internet
Servidor de 
arquivos
Figura 44 – Exemplo de ativos tecnológicos
117
GESTÃO E ANÁLISE DE RISCOS
 Saiba mais
O vídeo a seguir pode auxiliar na compreensão das ameaças e 
vulnerabilidades e sua importância na definição dos riscos:
AMEAÇAS, vulnerabilidades e riscos. 12 set. 2018. 1 vídeo (9 min.). 
Publicado por Daniel Donda. Disponível em: https://bit.ly/3wXWPxm. 
Acesso em: 14 abr. 2021.
Evidentemente que as vulnerabilidades podem ser exploradas por ameaças intencionais ou não 
intencionais, provocando de uma forma ou de outra a quebra de confidencialidade, integridade ou 
disponibilidade da informação, causando algum nível de prejuízo para a organização.
Segundo Campos(2006), quando o foco da análise são os espaços físicos, onde ocorrem os processos, 
trabalham as pessoas, são instalados os equipamentos. É prudente adicionar a esse cenário de ambiente 
o trabalho remoto, conhecido como home office, e tudo o que essa estrutura traz de vulnerabilidades e 
ameaças, ampliando, assim, o cenário analisado. Dessa forma, os ambientes físicos estão amplificados.
Convencionalmente os espaços físicos são onde são executados os processos, onde trabalham as 
pessoas e onde são instalados os equipamentos. Esse ambiente contempla os demais ativos, que, por 
sua vez, representam riscos diretos ao negócio da organização. Sendo assim, é fundamental analisar os 
riscos oferecidos por esses ambientes.
As vulnerabilidades comuns nesse tipo de ativo são o desconhecimento ou não demarcação das 
áreas físicas que guardam informações relevantes e, consequentemente, a falta de ação no que se refere a 
proteger esses ambientes. As áreas são visitadas por pessoas de fora da organização o tempo todo. 
Em algumas organizações, fornecedores, clientes, amigos e familiares dos funcionários podem conseguir 
acesso a praticamente todas as áreas.
Quando analisamos o trabalho remoto, as vulnerabilidades também são inúmeras, como a localidade 
de trabalho, que não pode ser um local público, a segurança dos mecanismos de rede do funcionário, 
como acesso à internet e configuração do roteador, verbalização das informações da organização, uso e 
guarda dos dispositivos de segurança para o acesso e para os casos de uso de equipamentos do próprio 
funcionário. Essas vulnerabilidades crescem exponencialmente.
Algumas questões devem ser respondidas, como: o que são áreas críticas? Qual o nível de riscos que 
essas áreas podem oferecer em termos de segurança da informação? Quais as providências que podem 
ser tomadas para reduzir o risco? Todas essas questões devem ser respondidas pela análise de riscos 
nesses ambientes.
Para isso, segundo Campos (2006), as pessoas que compõem o time de análise de risco devem 
conhecer todos os pontos fracos da organização. É fundamental que tenham consciência do grau 
118
Unidade III
de confidencialidade das informações, pois se elas forem utilizadas por pessoas mal intencionadas, 
provocam grandes prejuízos para a organização. Por isso, o time de análise de risco deve ser composto 
de pessoas de total confiança e que, além disso, assinem os termos de sigilo e confidencialidade. Isso 
se dá pelas características particulares de cada uma das quatro modalidades de análise de risco, elas 
exigem profissionais com qualificações distintas. É difícil imaginar alguém fazendo análise de risco 
na área de tecnologia sem formação e experiência nessa área. O mesmo acontece com as áreas de 
processos, pessoas e ambientes.
5.3 Definindo os critérios para tratamento do risco de segurança da informação
A definição dos critérios para tratamento dos riscos de segurança da informação passa pela 
compreensão dos riscos que envolvem os ativos de informação e, por consequência, os processos de 
negócio da organização, em que é possível decidir o que fazer em relação a esse risco identificado e 
devidamente categorizado.
Após o processo de identificação e categorização, é necessário dar uma resposta ao risco. Isso pode 
ocorrer basicamente de quatro formas:
• Evitando.
• Controlando.
• Transferindo.
• Aceitando.
Ao contrário do que se possa pensar, a princípio, é qualquer tipo de risco teria que ser evitado 
ou controlado, porém analisando cada caso, é possível entender que as outras opções podem ser 
bastante razoáveis.
A opção de resposta ao risco pode ser simplesmente evitá-lo, ou seja, não adotar tecnologias ou 
processos que ofereçam riscos ao negócio. Isso pode parecer impossível, mas não é. Considere o exemplo 
de uma organização que atua no mercado de fabricação e venda de móveis sob encomenda há muitos 
anos e mantém o nível de demanda relativamente estável por muito tempo. Dessa forma, se pode propor 
que o serviço da organização passe a ser ofertado por meio da internet. Isso envolverá a contratação 
de profissionais qualificados, equipamentos específicos e outros pontos a considerar. Essa decisão, com 
certeza, traz um novo risco para a organização, o que implicaria no risco de incidentes de segurança 
da informação, como eventual indisponibilidade dos serviços, tentativas de invasão, contaminação por 
vírus, entre outras. Quando avaliados todos os riscos envolvidos e contrapondo esses riscos à relevância 
desse processo para o negócio da organização, a conclusão dessa situação pode ser que o novo processo 
e seus riscos inerentes são inviáveis. Então, a organização decide simplesmente continuar como está, 
evitando, assim, completamente, os riscos mencionados.
A decisão pode ser a de controlar o risco. Geralmente, isso ocorre quando a maior parte dos riscos 
não pode ser evitada e faz parte do negócio. Sendo assim, nesse caso, uma das opções é tomar ações 
119
GESTÃO E ANÁLISE DE RISCOS
que diminuam as vulnerabilidades dos ativos que suportam os processos. Um bom exemplo disso seria o 
caso de uma organização que oferece seus serviços pela internet e que vem sofrendo invasões regulares. 
A organização não pode deixar de trabalhar nesse modelo; a opção é controlar o risco, tentando reduzir 
sua incidência. Dessa forma, a organização decide implementar dois controles:
• Sistema Firewall: impede a invasão dos computadores servidores através de portas lógicas 
eventualmente abertas.
• Sistema de IDS (Intruder Detection System): a despeito da proteção oferecida pelo Firewall, 
continua monitorando as tentativas de ataque, possibilitando o fortalecimento das barreiras de 
defesa ao passo que as técnicas de ataque se tornam conhecidas.
Existem casos em que o custo do impacto relacionado à concretização do risco é extremamente alto. 
A organização simplesmente não conseguiria absorver nesse momento a melhor saída e a transferência. 
Nesses casos em que a análise de risco recomenda transferir o risco para outra entidade ou organização, 
uma das maneiras seria contratar um seguro cujo prêmio garanta a cobertura dos danos causados pela 
concretização do risco por meio de incidente de segurança da informação. Outra forma de transferência 
é o repasse do serviço para prestação de outra organização, firmando um contrato de prestação de 
serviço que garanta um nível mínimo de serviço tendo por base um Acordo de Nível de Serviço (ANS) 
ou, do inglês, um Service Level Agreement (SLA).
Seguindo com o exemplo anterior daquelas duas organizações que precisavam manter um site na 
internet: uma delas, a que decidiu não seguir para evitar o risco; e a outra, que já possuía o site e teve 
que pensar em como controlar o risco. Poderiam simplesmente transferi-lo contratando uma empresa 
especializada para manter ou até mesmo implantar e manter o serviço ativo e seguro, exigindo dela um 
nível mínimo de serviços que garanta um máximo de horas do site inativo por mês ou por ano, cabendo 
ressaltar que quanto maior for a aderência da contratada às exigências do contratante, maior será a 
responsabilidade pela segurança e, consequentemente, maior será o custo do contrato.
A última forma de tratar o risco seria o de simplesmente aceitar, mas até mesmo isso requer 
procedimentos bem estabelecidos e devidamente alicerçados. Quando analisados os riscos, são 
identificados os riscos relevantes, mas que ficam abaixo do risco considerado mínimo, o que demonstra 
que ações como evitar, controlar ou transferir seriam desnecessárias ou até mesmo inviáveis 
financeiramente. Nesse caso, o custo dos controles seria alto em relação à probabilidade de algo acorrer 
com o ativo identificado.
Com essa análise em mãos, é possível direcionar os recursos financeiros de implantação de controles 
para os ativos que também foram identificados como relevantes, todavia, apresentam probabilidades 
maiores ou até mesmo danos maiores na ocorrência de incidentes de segurança da informação. Para 
esses casos,resta apenas aceitar. Quando a organização decide por esse caminho, sua abordagem 
para o tratamento de risco deverá especificar o que é considerado risco aceitável e o que é considerado 
risco inaceitável. Dessa forma, apenas o risco inaceitável é tratado de alguma maneira, uma vez que 
o tratamento de alguma forma significará alterações em processos, procedimentos, implantação de 
120
Unidade III
novos controles tecnológicos e assim por diante, que vão impactar o negócio, sem contar os custos 
financeiros envolvidos. O exemplo de Campos (2006) pode demonstrar bem essa situação.
Uma organização que tem um arquivo de pastas (físico) contendo 
documentos importantes, mas que fica em uma área de difícil acesso 
(baixa vulnerabilidade), cuja existência é pouco conhecida ou notada (baixa 
ameaça), e que, mesmo em caso de roubo, significaria pouco prejuízo para a 
organização (baixo impacto), por que gastar tempo e recurso para proteger 
esse ativo de informação? Talvez seja este o caso para aceitar esse risco 
(CAMPOS, 2006, p. 70).
Cabe ressaltar que o mais importante é ter em mente que o risco existe mesmo nesse caso. Existe 
uma diferença muito grande entre aceitar o risco e ignorá-lo. Ignorar o risco não é uma opção para as 
organizações no cenário atual, podendo ser considerada uma insanidade administrativa. Conhecer o 
risco permite o seu monitoramento constante e a tomada de ação caso ele venha a crescer.
Tratamento do risco 
de segurança da 
informação
Evitar:
não adotar tecnologias ou 
processos que ofereçam riscos 
ao negócio
Transferir:
o risco é tão alto que a 
organização simplesmente 
não consegue absorver
Controlar:
quando o risco ou a maior 
parte dos riscos não pode ser 
evitada
Aceitar:
o risco fica abaixo do risco 
considerado mínimo. Todavia, 
não deve ser ignorado
Figura 45 – Tratamento do risco
Segundo Campos (2006), após efetivado o processo, a análise de risco aponta para as ações mais 
importantes e urgentes e para os controles que precisam ser implementados prioritariamente. Mesmo 
assim, existem mais de uma centena de controles que podem ser implementados e que são propostos 
nas normas ABNT NBR ISO 27001 e 27002.
De forma simples, a ABNT NBR ISO 27001 (2013) propõe uma lista de controles mínimos a serem 
considerados; e a ABNT NBR ISO 27002 (2013), o formato de implantação para esses controles mínimos. 
Com as análises de riscos concluídas e as listas de possíveis controles, será possível pensar em duas 
formas de atuação:
• Implementar todos os controles apontados pela análise de risco.
• Implementar todos os controles da lista.
121
GESTÃO E ANÁLISE DE RISCOS
O problema da primeira opção é que existe a possibilidade de estar deixando de analisar controles 
importantes para a organização, mas que, por algum motivo, não foram indicados pela análise de 
risco. Erros na análise de risco impediriam a implementação de controles que poderiam comprometer 
o negócio da organização. Sendo assim, esse método pode ser eficiente, mas pouco abrangente, pois 
vários controles importantes poderiam ser deixados de fora.
O problema da segunda opção é que, apesar de garantir a implementação de todos os controles 
considerados como as melhores práticas de segurança da informação, é possível que a ordem de 
implementação não se enderece às necessidades mais urgentes, fazendo com que recursos preciosos 
sejam desperdiçados em ações de baixo impacto. Dessa forma, esse método pode ser abrangente, mas 
pouco eficiente. Uma saída para essa situação seria listar todos os controles possíveis e, depois disso, 
com base na análise de risco, selecionar aqueles que devem ser implementados primeiro.
No quadro a seguir, está disposta uma sugestão de priorização de controles. Evidentemente, cada 
organização deve estabelecer a sua priorização conforme o resultado da análise de risco. O exemplo 
demonstrado a seguir gera um documento com informações que é chamado de declaração de 
aplicabilidade. Esse modelo não tem a pretensão de se tornar oficial, muito menos uma preposição 
de norma, muito embora essa proposta de documento possui todos os campos exigidos pela norma:
• A lista de controles e seus objetivos – no quadro, foram mencionados apenas 10 controles 
dos 134 propostos pela ABNT NBR ISO 27002.
• Os motivos da seleção dos controles.
• Os motivos da eventual exclusão de algum controle.
Além disso, consta no quadro uma relação com a prioridade recomendada pela análise de riscos, 
integrando, assim, as duas informações sobre a lista de controles e a análise de risco.
Cabe ressaltar que esse documento deve ser revisitado periodicamente ou assim que a matriz de 
risco da organização sofrer alguma atualização ou alteração, possibilitando, dessa forma, manter-se 
sempre atualizada.
Quadro 31 – Exemplo de declaração de aplicabilidade
Controle Item da ISO Objetivo Justificativa
Prioridade de 
análise de risco
Políticas de segurança da 
informação 5
Diretrizes macros de 
segurança da informação Alta 
Organização da 
segurança da informação 6
Implantar estrutura de 
gestão de segurança da 
informação
Alicerça as análises Máxima
Segurança em recursos 
humanos 7
Estabelecer 
comportamentos Alta
Gestão de ativos 8 Mapear os ativos Gerir o risco Máxima
122
Unidade III
Controle Item da ISO Objetivo Justificativa
Prioridade de 
análise de risco
Controle de acesso 9 Gerir os acessos Alta
Criptografia 10 Institucionalizar modelo de chaves Média
Segurança física e do 
ambiente 11
Definir os controles 
físicos Média
Segurança nas operações 12 Estabelecer controles para segurança das operações Média
Segurança nas 
comunicações 13
Controles nas 
comunicações Média
Aquisição, 
desenvolvimento e 
manutenção de sistemas
14 Controles de segurança no desenvolvimento Alta
Relacionamento na 
cadeia de suprimento 15 Plano de contingência Baixa
Gestão de incidentes de 
segurança da informação 16
Plano de identificação, 
resposta e comunicação
Mantém a 
disponibilidade Máxima
Aspectos da segurança da 
informação na gestão da 
continuidade do negócio
17 Plano de continuidade de negócio estabelecido Média
Conformidade 18 Leis e regulamentações Sanções e multas Máxima 
 Lembrete
A organização deve estabelecer a sua declaração de aplicabilidade, que deve 
refletir os seus processos amparados evidentemente nas melhores práticas.
6 CONFORMIDADE E RISCO
Igualmente importante à análise de risco, está a conformidade com as leis e regulamentações que 
devem compor as análises de riscos. Muitas vezes, ou na maioria das vezes, o não cumprimento de uma 
exigência regulatória pode impedir o próprio funcionamento da organização.
Quando o assunto é legislação, existem outros impedimentos que vão além do impedimento 
operacional, como multas expressivas. Em termos de segurança da informação, a conformidade com as 
políticas e normas internas de segurança da informação estabelecidas pela organização, muitas vezes, 
atendem não apenas às melhores práticas, como leis, regulatórios, mas, se realmente forem eficientes, 
estão alicerçadas e amparadas pela análise e gestão dos riscos corporativos destinados à segurança da 
informação e cibernética.
Evidentemente que um processo de auditoria deve ser implantado para verificar se a aderência do 
que está declarado realmente reflete a realidade do cotidiano corporativo, mas até mesmo as auditorias 
apresentam riscos que serão devidamente analisados.
123
GESTÃO E ANÁLISE DE RISCOS
6.1 A conformidade e a segurança da informação
A importância de implantação de um processo de conformidade de segurança da informação está 
evidenciada na ABNT NBR ISO 27002 (2013), no seu capítulo 18, que descreve o objetivo da conformidade 
em segurança da informação como sendo o processo de evitar violação de quaisquer obrigações legais, 
estatutárias, regulamentares ou contratuais relacionadas à segurança da informação e de quaisquer 
requisitos de segurança.
Para isso, é importante identificar toda a legislação aplicável ao ramo de negócio da organização,bem como todos os requisitos contratuais que lhe são exigidos e se devem aos seus parceiros de 
negócio, sendo devidamente documentados e mantidos atualizados para cada sistema de informação 
da organização.
A norma também recomenda que algumas diretrizes de implantação sejam seguidas como premissas 
básicas para uma aferição de conformidade eficiente.
• É recomendado que os controles específicos e as responsabilidades individuais para atender a 
estes requisitos sejam definidos e documentados.
• É recomendado que os gestores identifiquem toda a legislação aplicável à sua organização para 
atender aos requisitos relativos ao seu tipo de negócio. Caso a organização realize negócios em 
outros países, convém que os gestores considerem a conformidade em todos esses países.
Ainda segundo a norma, é importante que os direitos à propriedade intelectual sejam preservados, 
devidamente documentados e aferidos continuamente, seguindo a adoção de procedimentos 
apropriados implementados para garantir a conformidade com os requisitos legislativos, regulamentares 
e contratuais relacionados aos direitos de propriedade intelectual e sobre o uso de produtos de 
softwares proprietários.
Devem ser adotados mecanismos de implantação que sigam procedimentos específicos para 
preservar a propriedade intelectual, evitando, dessa forma, que a organização sofra qualquer tipo de 
sanção ou processo legal:
• Divulgar uma política de conformidade com os direitos de propriedade intelectual que defina o 
uso legal de produtos de software e de informação.
• Adquirir software somente por meio de fontes conhecidas e de reputação para assegurar que o 
direito autoral não esteja sendo violado.
• Manter a conscientização das políticas para proteger os direitos de propriedade intelectual e 
notificar a intenção de tomar ações disciplinares contra pessoas que violarem essas políticas.
• Manter, de forma adequada, os registros de ativos, e identificar todos os ativos com requisitos 
para proteger os direitos de propriedade intelectual.
124
Unidade III
• Manter provas e evidências da propriedade de licenças, discos-mestres, manuais etc.
• Implementar controles para assegurar que o número máximo de usuários permitidos, dentro da 
licença concedida, não esteja excedido.
• Conduzir verificações para que somente produtos de software autorizados e licenciados 
sejam instalados.
• Estabelecer uma política para a manutenção das condições adequadas de licenças.
• Estabelecer uma política para disposição ou transferência de software para outros.
• Cumprir termos e condições para software e informação obtidos a partir de redes públicas.
• Não duplicar, converter para outro formato ou extrair de registros comerciais (filme, áudio) outros 
que não os permitidos pela lei de direito autoral.
• Não copiar, no todo ou em partes, livros, artigos, relatórios ou outros documentos, além daqueles 
permitidos pela lei de direito autoral.
É importante ressaltar que os direitos de propriedade intelectual incluem direitos autorais de software 
ou documentos, direitos de projetos, marcas, patentes e licenças de código-fonte.
Produtos de softwares proprietários são normalmente fornecidos sob um contrato de licenciamento 
que especifica os termos e as condições da licença, por exemplo, limitar o uso dos produtos em máquinas 
especificadas ou limitar a reprodução apenas para a criação de cópias de backup. Dessa forma, deve ser 
dada a devida importância à conscientização dos direitos de propriedade intelectual de software que 
sejam comunicados aos responsáveis pelo desenvolvimento de software na organização.
Requisitos legais, regulamentares e contratuais podem colocar restrições sobre a cópia de material 
proprietário. Em particular, eles podem exigir que apenas o material desenvolvido pela organização ou 
que está licenciado ou fornecido pelo desenvolvedor para a organização possa ser utilizado. Violação de 
direitos autorais pode levar à ação judicial e pode envolver multas e processos criminais.
Outra fonte importante de conformidade faz referência à gestão e proteção dos registros, em que a 
ABNT NBR ISO 27002 recomenda os seguintes controles.
• Os registros sejam protegidos contra perda, destruição, falsificação, acesso não autorizado e 
liberação não autorizada, de acordo com os requisitos regulamentares, estatutários, contratuais 
e do negócio.
Dessa maneira, é importante se atentar no momento da implantação dos controles necessários para 
a devida proteção dos registros.
• Quando a organização decidir proteger os registros específicos, que a classificação correspondente 
seja baseada no esquema de classificação da organização.
125
GESTÃO E ANÁLISE DE RISCOS
• Os registros devem ser categorizados em tipos de registros, como registros contábeis, registros 
de base de dados, registros de transações, registros de auditoria e procedimentos operacionais, 
cada qual com detalhes do período de retenção e do tipo de mídia de armazenamento, como, por 
exemplo, papel, microficha, meio magnético ou ótico.
• Quaisquer chaves de criptografia relacionadas com arquivos cifrados ou assinaturas digitais devem 
ser armazenadas para permitir a decifração de registros pelo período em que eles serão mantidos.
• Cuidados devem ser tomados a respeito da possibilidade de deterioração das mídias usadas no 
armazenamento dos registros.
• Devem existir procedimentos de armazenamento e manuseio implementados de acordo com as 
recomendações dos fabricantes.
• Onde mídias eletrônicas armazenadas forem escolhidas, devem ter inclusos procedimentos para 
assegurar a capacidade de acesso aos dados (leitura tanto na mídia como no formato utilizado) 
durante o período de retenção, para proteger contra perdas ocasionadas pelas futuras mudanças 
na tecnologia.
• Os sistemas de armazenamento de dados devem ser escolhidos de modo que o dado solicitado 
possa ser recuperado de forma aceitável, dependendo dos requisitos a serem atendidos.
• Os sistemas de armazenamento e manuseio devem assegurar a clara identificação dos registros 
e dos seus períodos de retenção, conforme definido pela legislação nacional ou regional ou por 
regulamentações, se aplicáveis.
• É fundamental que o sistema permita a destruição apropriada dos registros após esse período, 
caso não sejam mais necessários à organização.
Para atender aos objetivos de proteção dos registros, convém que os seguintes passos sejam 
executados pela organização, conforme disposto na figura a seguir.
Emitir diretrizes 
gerais para retenção, 
armazenamento, 
tratamento e disposição 
de registros e 
informações
Elaborar uma 
programação para 
retenção, identificando 
os registros essenciais e 
o período recomendado 
para que cada um seja 
mantido
Manter um inventário 
das fontes de 
informação-chave
Figura 46 – Processo para proteção dos registros
126
Unidade III
Alguns registros podem precisar ser retidos de forma segura para atender a requisitos estatutários, 
regulamentares ou contratuais, bem como para apoiar as atividades essenciais do negócio. Os exemplos 
incluem os registros que podem ser exigidos como prova de que uma organização opera dentro de 
normas estatutárias ou regulamentares a fim de assegurar a defesa contra potencial ação civil ou 
criminal, ou para confirmar a situação financeira de uma organização perante os acionistas, partes 
externas e auditores. A legislação nacional ou a regulamentação pode definir conteúdo de dados e o 
período para a retenção de informações.
Quando o assunto é a proteção e privacidade de informações de identificação pessoal, temos 
legislações consolidadas na Europa com a GDPR (General Data Protection Regulation) de 2016 e, no 
Brasil, a Lei n. 13.709/2018, conhecida como LGPD (Lei Geral de Proteção de Dados). Elas instituíram 
a posse das informações pessoais aos seus verdadeiros donos às pessoas que possam determinar 
onde, quando, quem, para que e por quanto tempo suas informações poderão ser utilizadas pelas 
organizações, aplicando sanções