Prévia do material em texto
52 Unidade II Unidade II 3 INTRODUÇÃO À GESTÃO DO RISCO À SEGURANÇA DA INFORMAÇÃO 3.1 Terminologia de análise de risco à segurança da informação Não é tarefa fácil manter a segurança das informações quando os ativos de informação estão envoltos em complexas estruturas que demandam altos investimentos para mantê-las a salvo das ameaças aos princípios da segurança da informação (confidencialidade, integridade e disponibilidade). Quando adicionamos aqui o princípio de legalidade, a situação fica ainda mais complexa, a Lei n. 13.709 – Lei Geral de Proteção de Dados (LGPD) traz a exigência de cumprir requisitos que se transformaram em riscos adicionais à segurança das informações caso não sejam devidamente cumpridos. Beal (2008) afirma que é de extrema importância para atingir os objetivos a adoção de um enfoque de gestão baseada nos riscos específicos para cada negócio. Cabe, então, à segurança da informação identificar as ameaças, mapear as vulnerabilidades e analisar os impactos que podem ocorrer, comprometendo a segurança das informações. Dessa forma, é possível fundamentar e subsidiar a tomada de decisão sobre o quanto gastar com a proteção dos dados corporativos. Para Beal (2008), a gestão de riscos à segurança da informação é um conjunto de processos que permite que as organizações identifiquem e implementem medidas de proteção necessárias para diminuir o risco a que estão sujeitos os ativos de informação, com a incumbência de equilibrar os custos operacionais e financeiros envolvidos no processo de proteção das informações. Assim como já foi visto, existem termos de que devemos ter conhecimento sobre os próprios riscos e em relação aos riscos à segurança da informação. Dessa forma, cabe revisitar alguns termos e adicionar outros referentes à gestão dos riscos à segurança da informação com o intuito de nivelá-los e incorporá-los. A ISO Guide 73, de 2009, em sua versão em inglês, estabelece um vocabulário de termos relacionados à gestão de riscos: Quadro 5 – Termos e definições Terminologia Descrição Básicos Consequência Resultado de um evento Critério de risco Termos de referência pelos quais a relevância do risco é avaliada Evento Ocorrência de um conjunto particular de circunstâncias que caracterizam uma única ocorrência ou uma série delas 53 GESTÃO E ANÁLISE DE RISCOS Terminologia Descrição Fonte Item ou atividade associada a uma consequência potencial Gestão do risco Coordena atividades para direcionar e controlar uma organização com relação ao risco. A gestão do risco normalmente inclui avaliação do risco, tratamento do risco, aceitação do risco e comunicação do risco Probabilidade Associada a um evento é calculada para determinado período de tempo, e é definida como número real na escala de O a 1 associado a um evento aleatório, que pode estar relacionado a uma frequência de ocorrência relativa de longo prazo ou a um grau de confiança de que um evento vai ocorrer (para um alto grau de confiança na ocorrência, a probabilidade é próxima de 1) Risco Combinação da probabilidade de um evento e sua consequência Relacionados às pessoas ou organizações afetadas pelo risco Comunicação do risco Troca ou compartilhamento da informação sobre o risco feita entre o tomador de decisão e outros stakeholders. A informação pode estar relacionada a existência, natureza, forma, probabilidade, gravidade, aceitabilidade, tratamento ou outros aspectos do risco Parte interessada Pessoa ou grupo que possui interesse no desempenho ou sucesso de uma organização. Exemplos: clientes, proprietários, integrantes da organização, fornecedores, bancos, sindicatos, parceiros, sociedade Percepção do risco Maneira pela qual um stakeholder vê um risco, com base em um conjunto de valores ou preocupações Stakeholder Qualquer indivíduo, grupo ou organização que pode influir, sofrer influência ou perceber-se como sendo afetado por um risco. O termo stakeholder inclui, mas tem significado maior do que as partes interessadas (termo definido na ISO 9000) Relacionados à aviação de riscos Análise de risco Uso sistemático de informação (dados históricos, análise teórica, opiniões fundamentadas, preocupações dos stakeholders) para identificar fontes e estimar o risco. A análise de risco oferece uma base para a avaliação, o tratamento e a aceitação do risco Avaliação do risco (risk evaluation) Processo de comparação do risco estimado com determinado critério de risco para determinar sua relevância. A avaliação do risco pode ser usada para subsidiar a decisão de aceitar ou tratar um risco Estimativa do risco (risk estimation) Processo usado para atribuir valores à probabilidade e às consequências de um risco. A estimativa do risco pode considerar custo, benefícios, preocupações de stakeholders e outras variáveis apropriadas para a avaliação do risco Estudo do risco (risk assessment): Processo global de análise e avaliação do risco. Identificação do risco: processo de localizar, listar e caracterizar elementos do risco. Os elementos podem incluir fonte, evento, consequência e probabilidade Termos relacionados ao tratamento e ao controle do risco Aceitação do risco Decisão de aceitar um risco Atenuação Limitação de quaisquer consequências negativas de um evento em particular Controle do risco Ações para implementação das decisões de gestão do risco. O controle do risco pode envolver monitoração, reavaliação e conformidade com decisões Evasão do risco Decisão de não se envolver, ou ação de fuga de uma situação de risco Otimização do risco Processo relacionado a um risco para minimizar as consequências negativas e maximizar as consequências positivas e suas respectivas probabilidades Redução do risco Ações tomadas para reduzir a probabilidade, as consequências negativas ou ambas, associadas a um risco Risco residual Risco remanescente após o tratamento do risco Transferência do risco Compartilhamento com um terceiro do prejuízo da perda ou benefício do ganho em relação a determinado risco (a transferência do risco pode ser feita por meio de seguros ou outros tipos de acordo) Tratamento do risco Processo de seleção e implementação de medidas para modificar o risco. A expressão tratamento do risco é às vezes utilizada para se referir às próprias medidas de proteção usadas para atenuar, reduzir, transferir ou evitar o risco Adaptado de: ISO (2009). 54 Unidade II É possível determinar o risco dentro do contexto da segurança da informação alinhado aos termos e às definições elencados no quadro anterior. A ISO Guide 73 (ISO, 2009) afirma que todo e qualquer tipo de situação (ou evento) que possibilitar uma oportunidade de favorecer ou prejudicar o sucesso de projeto, processo, produto é considerado “risco”. A norma ISO Guide 73 (ISO, 2009) continua alertando para o fato de que é necessário que se estabeleça um vocabulário básico para desenvolver o entendimento comum sobre a gestão de riscos em todas as organizações ao redor do mundo, sendo necessárias apenas algumas adaptações em expressões regionalizadas para atender às necessidades dentro de um domínio específico. Beal (2008) exemplifica esse fato com o caso do setor financeiro, em que o risco está associado a flutuações monetárias representadas por oportunidades de ganho ou perda, e, consequentemente, o processo de gestão de risco considera igualmente com os aspectos negativos e positivos da situação de risco. É evidente que, em outras áreas, como no exemplo da prevenção de acidentes, a gestão do risco tem a preocupação em evitar o risco negativo relacionado aos acidentes. Com os diversos cenários existentes para a aplicação da gestão de riscos, faz-se necessário promover ajustes na terminologia, alterando-a ou expandindo-a conforme necessário, a fim de tratar a questão dentro do escopo definido de avaliação e gestão dos riscos. Quando o assunto é segurança da informação, é necessário que os termos sejam revistos e complementados para refletir a necessidade desse escopo: • Ameaça: expectativade acontecimento acidental ou proposital causado por um agente, que pode afetar um ambiente, sistema ou ativo de informação. • Vulnerabilidade: fragilidade que poderia ser explorada por uma ameaça para concretizar um ataque. • Impacto: efeito ou consequência de um ataque ou incidente para a organização (corresponde ao termo, consequência da ISO Guide 73, sendo que, para a segurança da informação, está sempre relacionada ao aspecto negativo). Segundo Beal (2008), no contexto da segurança da informação, a ameaça é algo normalmente externo ao ativo que se deseja proteger (falha de energia elétrica, vírus, ataques cibernéticos); já a vulnerabilidade está relacionada ao próprio ativo, podendo ser originada de diversos fatores diferentes, como falta de conhecimento, falta de atualização no sistema operacional, falha na manutenção, entre outros. Essas falhas podem comprometer a segurança da informação se forem exploradas por alguma ameaça. 55 GESTÃO E ANÁLISE DE RISCOS Observação Os termos assessment e evaluation, usados no ISO Guide 73, têm como equivalente em português a palavra “avaliação”. Optou-se pela expressão “estudo do risco” para traduzir risk assessment, que corresponde ao processo global de análise e avaliação (evaluation) do risco. Alguns outros termos são importantes para gestão de riscos à segurança da informação: • Agente: fonte produtora de um evento que pode ter efeitos adversos sobre um ativo de informação. Exemplos de agente: funcionários, meio ambiente, hackers etc. • Alvo: ativo de informação que pode ser objeto de um ataque/incidente. Exemplos: base de dados, equipamentos de hardware, sistema de informação, serviço de comunicação. • Ataque: evento decorrente da exploração de uma vulnerabilidade por uma ameaça. Exemplos de ataque: digitação incorreta de dados pelo usuário, vazamento de água, inclusão indevida no sistema de pagamento de compra fictícia. • Incidente: evento com consequências negativas resultantes de um ataque bem-sucedido. Exemplos de incidentes: dados incorretos armazenados num sistema, inundação que danifica as máquinas do CPD, pagamento indevido em decorrência da inclusão indevida de fatura de compra no sistema. Tais incidentes podem não se concretizar, em caso de ataque, se houver controles suficientes para interrompê-los (rejeição de dados incorretos inseridos pelo usuário, barreiras e alertas para evitar que o vazamento de água atinja os equipamentos, controles gerenciais que impeçam o pagamento sem a prévia conferência por um supervisor). A próxima figura retrata a ligação existente entre os termos relacionados às análises de risco e à segurança da informação, em que a ameaça é um elemento do risco que pode ser associado a uma probabilidade de atuação, o valor compõe o cálculo da estimativa de risco. Em diversas situações, a probabilidade está associada a uma ameaça e é calculada considerando a frequência de ocorrência (por exemplo, a frequência de ataques de negação de serviço DDOs nas últimas semanas ou meses); em outras situações, os dados da frequência não estão à disposição, nesse caso, a probabilidade pode ser estimada considerando o grau de confiança atribuída à ocorrência, por exemplo, o grau de confiança de que vai ocorrer uma ou mais tentativas de invasão a determinado sistema. Por sua vez, as medidas de proteção, que também podem ser chamadas de controles, têm como objetivo reduzir o risco por meio da mitigação da probabilidade de concretização de uma ameaça. 56 Unidade II Quando nos referimos às vulnerabilidades, temos de ter em mente que elas sempre podem ser exploradas por uma ameaça refletida em incidentes de segurança, causando impactos que, para a gestão de riscos à segurança da informação, serão sempre negativos. Reduzem Aplicadas ! Agente Ameaça Incidente Impacto Vulnerabilidade AtaqueExplora Provoca % (probabilidade) Produz Protege Foca Causa Gera Evitam Evitam Afastam Ajuda Medidas de proteção Alvo Figura 17 – Relacionamento entre os termos associados aos riscos à segurança da informação Segundo Beal (2008), é importante compreender a gestão de riscos à segurança da informação como um processo contínuo que deve ser melhorado constantemente, dessa maneira, é necessário ter mapeadas as várias etapas cíclicas que levam à redução do risco, partindo da análise ao tratamento, passando pela aceitação e comunicação. Para que tudo isso ocorra de forma eficaz, é aconselhável que o processo de gestão de risco seja apresentado ao processo de melhoria contínua chamado de PDCA, do idioma inglês plan, do, check e action, traduzindo para o português: “planejamento”, “execução”, “avaliação” e “ação corretiva”. Action Agir Plan Planejar Check Checar Do Fazer • Ação corretiva no insucesso • Padronizar e treinar no sucesso • Localizar problemas • Estabelecer planos de ação • Verificar atingimento de meta • Acompanhar indicadores • Execução do plano • Colocar o plano em prática Figura 18 – Ciclo PDCA para gestão de riscos à segurança da informação 57 GESTÃO E ANÁLISE DE RISCOS Avaliação do risco Tratamento do risco Aceitação do risco residual Co m un ic aç ão d o ris co M on ito ra çã o e av al ia çã o do s r es ul ta do s Identificando o risco Análise do risco Estabelecendo o contexto Ameaça ImpactoVulnerabilidade Estimativa de risco Critérios de risco Probabilidade Grau de incerteza Perda estimada Figura 19 – Etapas da gestão de riscos A gestão do risco é complexa e deve ser tratada por etapas dentro das organizações, considerando que faz parte de um ciclo que deve ser constantemente renovado e aperfeiçoado. O processo de gestão de risco inicia-se com a análise do contexto, do cenário de risco ao qual aquele artefato a ser analisado está inserido. Por exemplo, quando falamos de um escopo de acesso remoto externo por funcionários, alguns cenários de risco devem ser traçados, como a configuração dos roteadores dos funcionários. Será que todos estão devidamente configurados? Uma vez identificado o contexto a ser analisado, temos a identificação dos riscos inseridos naquele cenário escolhido, aqui são considerados os elementos-alvo agentes, ameaças, vulnerabilidades, impactos. Lembrando que ameaças podem ser classificadas como: • Ambientais: naturais, como fogo, chuva, raio, terremoto, ou decorrentes de condições do ambiente, como interferência eletrônica, contaminação por produtos químicos, falhas no suprimento de energia elétrica ou no sistema de climatização. • Técnicas: configuração incorreta de componentes de TI, falhas de hardware e software. 58 Unidade II • Lógicas: códigos maliciosos, invasão de sistemas. • Humanas: erro de operação, fraude, sabotagem. As ameaças exploram vulnerabilidades para atingir seus alvos em forma de ataque, já as vulnerabilidades demonstram o grau de exposição a que um ativo de informação está sujeito, falhas em um ambiente ou sistema. A falta de treinamento dos usuários, por exemplo, representa uma vulnerabilidade em relação à ameaça de erro humano, assim como a instalação de um data center no subsolo de um prédio produz uma vulnerabilidade associada à ameaça de inundação. Segundo Beal (2008), são exemplos de vulnerabilidades associadas a ameaças ambientais comumente encontradas em processos de auditoria de riscos físicos em instalações de processamento de informações: • Materiais estocados dentro do data center, aumentando o risco de incêndio. • Fitas de backup armazenadas em armários sem proteção, dentro de caixas de papelão. • Excesso de poeira. • Cabeamento de rede desorganizado e desprotegido. Vulnerabilidades lógicas observadas em sistemas conectados à internet incluem senhas de administrador mantidas de fábrica não alteradas na instalação do software, ausência de instalação de patches após a descoberta de um bug no sistema e permanência de utilitários e ferramentas de administração que tornam o computador inseguro e não são necessários para o seufuncionamento no dia a dia. Hackers dispõem de várias técnicas para descobrir vulnerabilidades dessa natureza e, com esse conhecimento, planejar ataques. No quadro a seguir, estão mencionados as ameaças e os impactos relacionados a instalações e componentes de TI, para exemplificação prática. Quadro 6 – Lista de ameaças e impactos relacionados à TI Ameaça Tipo de recurso vulnerável Impacto para o objetivo de confidencialidade Impacto para o objetivo de integridade Impacto para o objetivo de disponibilidade Desastres naturais como terremoto, nevasca e furacão Edifícios torres de comunicação Controles físicos de acesso podem ser desconsiderados durante a recuperação do desastre, e equipamentos descartados podem conter informações confidenciais Ameaça Tipo de recurso vulnerável Impacto para o objetivo de confidencialidade Impacto para o objetivo de integridade Impacto para o objetivo de disponibilidade Falhas ambientais, incluindo queda da energia elétrica Hardware Serviços podem ser interrompidos e hardware pode ser danificado 59 GESTÃO E ANÁLISE DE RISCOS Ameaça Tipo de recurso vulnerável Impacto para o objetivo de confidencialidade Impacto para o objetivo de integridade Impacto para o objetivo de disponibilidade Furto Equipamentos valiosos e portáteis Equipamentos furtados podem conter informações confidenciais Serviços podem ser interrompidos e dados podem ser perdidos Vírus Principalmente computadores pessoais conectados em rede Dados podem ser corrompidos pelo vírus Computadores infectados podem parar de funcionar, e dados importantes podem ser apagados Hacking Todos os sistemas em rede O objetivo dos hackers pode ser a quebra do sigilo de informações ou a indisponibilidade dos serviços (ataque do tipo DoS, Denial of Service), a alteração ou destruição de dados ou a utilização dos recursos informatizados da organização para realizar invasões a terceiros Código escondido Todo o software Código não autorizado pode levar ao vazamento de informações sigilosas, tais como senhas de acesso Funções escondidas podem manipular dados indevidamente Programas podem ser projetados para destruir dados ou negar acesso autorizado a serviços Falha de hardware Todo o hardware Hardware danificado pode ser enviado para manutenção contendo informação sigilosa Dados podem ser corrompidos quando o hardware falha Serviço indisponível Falha de software Todo o software A falha dos controles de acesso pode levar à divulgação indevida de dados e informações Dados podem ser corrompidos Serviço indisponível Erro humano Todos os sistemas Funcionários podem divulgar acidentalmente informações sigilosas, por exemplo, enviando dados para a impressora errada Funcionários podem inserir dados incorretamente Funcionários podem destruir informações acidentalmente, danificar hardware ou interromper o funcionamento do sistema por erro de configuração Fonte: Beal (2008 p. 20-21). Lembrete Os gestores de riscos à segurança da informação devem estar atentos às principais ameaças que rondam e que podem aumentar os riscos para as organizações, devem, assim, consultar os relatórios de ameaças emergentes publicados pelas grandes empresas de consultoria em tecnologia. Saiba mais O vídeo a seguir demonstra de forma objetiva as definições relacionadas aos riscos à segurança da informação: ANÁLISE de risco: você já faz todo o tempo, talvez não tenha percebido. 27 nov. 2020. 1 vídeo (39 min.). Publicado por Fique Seguro; Fabio Sobiecki. Disponível em: https://bityli.com/NS513. Acesso em: 14 abr. 2021. 60 Unidade II 3.2 Estabelecendo a metodologia de análise e avaliação de risco O estabelecimento de uma metodologia de análise e avaliação de risco à segurança da informação requer aculturamento prévio da organização para não ser implantada de forma brusca, causando rejeição e impactos negativos, transformando algo benéfico em uma prospecção de fracasso. Segundo Beal (2008), devemos decompor o risco em seus componentes e implantá-lo de forma gradual na organização, processo por processo, etapa por etapa. A avaliação de risco e os componentes dessa decomposição, que levam à gestão do que Beal (2008) chama de “características mensuráveis” desses componentes, conduzem a uma estimativa do valor do risco, que depois será comparado com uma referência corporativa denominada de “critério de risco” a fim de determinar a sua relevância e auxiliar a tomada de decisão entre aceitar ou tratar o risco. Atualmente existem diversas metodologias destinadas para realização de análise e avaliação de riscos, mas todas se classificam em dois modelos: quantitativa ou qualitativa. Observação O desenvolvimento dos critérios de risco é influenciado por uma série de fatores, tais como políticas, objetivos e metas organizacionais, expectativas de clientes e stakeholders, e requisitos legais. Quando a escolha da empresa leva ao método quantitativo de avaliação de riscos, a análise, segundo Galante (2015), tende a ser tratada de forma a quantificar as vulnerabilidades e/ou os impactos causados, e isso vem do conceito de que o risco é resultado da combinação de dois componentes básicos: a frequência de ocorrência e a severidade/impacto do evento; isso pode causar uma confusão, levando a erros conceituais entre análise de risco e análises de vulnerabilidades, que são coisas distintas. Para Beal (2008), os métodos quantitativos de avaliação de risco à segurança da informação são bem aceitos quando se busca o equilíbrio entre custos de implementação e às medidas de segurança, em que é possível estimar o custo da não implantação de controles de segurança. Anteriormente, estudamos o método de análise quantitativa de risco pelo cálculo da Expectativa de Perda Anual (ALE, do inglês Annual Loss Expectation). O formato de cálculo do ALE vem da multiplicação da perda projetada para um incidente pela frequência esperada de ocorrência desse incidente. A metodologia sustenta-se no princípio de que, durante um período de 12 meses, “n” incidentes vão ocorrer para cada tipo de ameaça, em que “n” pode ser uma fração, nos casos de incidentes menos frequentes. 61 GESTÃO E ANÁLISE DE RISCOS Contando que para a segurança da informação cada incidente vai resultar em um prejuízo médio “i”, o cálculo do ALE será a resultante da equação “n x i”, assim, é possível decidir sobre os investimentos em segurança. Segundo Beal (2008), as medidas de proteção com um custo anual de “X” seriam justificadas em sua implementação caso representem uma expectativa de redução da ALE maior que “X”. Os métodos quantitativos não são bem vistos pelos estudiosos, isso ocorre pelo simples motivo da dificuldade de obter resultados representativos, em que são necessários obrigatoriamente um controle confiável dos incidentes de segurança passados e os impactos financeiros a eles causados para assim garantir o processo. Mas, mesmo a área de gestão de incidentes sendo bem estruturada, existem prejuízos difíceis de contabilizar por não serem totalmente subjetivos, como exemplo, osdanos de imagem, em que temos exemplos extremos: o portal Yahoo tinha uma valor estimado de 125 bilhões de dólares, após um vazamento de dados e alguns desastres administrativos, foi vendido por menos de 5 bilhões; em contrapartida, o Facebook já teve os dados de seus clientes vazados algumas vezes e não amargou prejuízos dessa magnitude. Isso ocorre por inúmeras variáveis, que não se limitam apenas ao vazamento, é claro; decisões incorretas na estratégia de negócios também compõem esse prejuízo, mas fica difícil associar o quanto o fator financeiro remete ao vazamento de dados, o que torna os cálculos quantitativos de risco algo extremamente complexo, mesmo porque as condições e os cenários se alteram constantemente. Beal (2008) afirma que a necessidade de medir os impactos monetários nem sempre representa uma expectativa realista e cita o exemplo da análise da expectativaanual de perda associada à interrupção do serviço em um site de comércio eletrônico, que, até certo ponto, seria simples, mas mesmo que fosse possível calcular a média do tempo previsto até a recuperação do serviço e a perda de receita a ela associada, como seria possível assegurar que o impacto financeiro causado resuma-se à perda imediata de receita? Pode ser que alguns ou muitos clientes insatisfeitos mudem de fornecedor após sofrerem uma ou mais falhas no serviço, dificilmente seria possível estimar de forma confiável essa perda com números exatos para adicionar ao cálculo da ALE, principalmente se as condições externas tiverem se alterado, como, por exemplo, se algum recente e poderoso concorrente tiver adentrado o mercado. Embora existam muitas dificuldades, alguns estudiosos, como Schneier (2000), acreditam que esse tipo de análise pode ser importante para dar perspectiva às questões de segurança. Grandes falhas de segurança serão aceitáveis se a probabilidade de ataque em relação a elas estiver perto de zero, já pequenas falhas podem ter de ser eliminadas se forem objeto de 10 milhões de ataques por dia. Schneier (2000) ilustra esse ponto comparando duas situações: • O risco de espionagem por um concorrente interessado em roubar os novos planos de design da empresa pode ter uma perda associada de US$ 10 milhões, mas se a frequência estimada de ocorrência for de, por exemplo, 0,001 (0,1% de probabilidade de ocorrência), o ALE cai para US$ 10 mil, desestimulando grandes investimentos em minimizar esse risco. • A perda esperada para um incidente de invasão por hackers pode ser de apenas US$ 10 mil (custo estimado de contratar alguém para identificar e corrigir o problema e outras despesas envolvidas), mas se a frequência de ocorrência for alta, por exemplo, 3 vezes por dia, ou 1.000 por ano, a ALE 62 Unidade II seria de U$ 10 milhões, suficiente para justificar, por exemplo, a implantação de um hardware de U$ 25 mil para proteger a rede. Os métodos qualitativos utilizam a descrição literal e integral dos riscos para avaliá-los, existem muitos métodos de avaliação quantitativa de riscos, a maioria utiliza questionários e matrizes de risco, assim como o exemplo do quadro a seguir. Quadro 7 – Matriz de risco quantitativo Gravidade do impacto Probabilidade de ocorrência do incidente F Impossível E Improvável D Remota C Ocasional B Provável A Frequente I Catástrofe II Alta III Média IV Baixa Imperativo reduzir o risco Medidas de proteção adicionais requeridas As medidas básicas de proteção adotadas pela organização são consideradas suficientes para manter os riscos em níveis aceitáveis Adaptado de: Beal (2008). No quadro anterior, está exemplificada a probabilidade de um incidente que apresenta seis níveis estimados de acordo com a frequência esperada da ocorrência ao longo do tempo em um período ou no nível de confiança na ocorrência do incidente; já a gravidade do impacto pode ser classificada de catastrófica quando o dano representa o fracasso da organização; a baixa, quando representa um ataque bem-sucedido que não foi capaz de provocar efeitos adversos consideráveis. Dessa forma, a matriz demonstra a combinação dessas duas esferas, confrontadas com critérios de risco previamente definidos, e leva à identificação dos riscos que, necessariamente, têm de ser reduzidos (nesse exemplo, pertencentes às células marcadas em vermelho e verde no quadro) pelo uso de medidas de proteção complementares aos controles básicos adotados pela organização. Não é uma tarefa fácil para o profissional de segurança da informação identificar o método mais adequado para realizar a análise de riscos, e mesmo optar pelo uso do método quantitativo ou qualitativo entre as inúmeras abordagens ofertadas no mercado. Os métodos de avaliação de risco geralmente têm um tema específico, por exemplo, tecnológico, ambiental, de segurança, de mercado, de crédito, entre outros. Não é incomum que uma análise de risco completa exija a combinação de diferentes métodos avaliativos, segundo Beal (2008), isso ocorre com a intenção de garantir uma análise mais abrangente do ambiente físico e lógico a ser protegido. A utilização 63 GESTÃO E ANÁLISE DE RISCOS dos métodos quantitativos é recomendada sempre que for cogitada a adoção de medidas de proteção de alto custo para a organização, e, nesse caso, uma estimativa de perda esperada pode ser comparada com o custo da solução almejada. Assim, é possível chegar à conclusão sobre o investimento proposto para reduzir o risco. Galante (2015) expõe que a avaliação de risco qualitativa pode ser aplicada de forma preliminar a outras ferramentas de análise e avaliação de risco em que podem ser agrupadas, formando o que ele chama de RAC (risk assessement code – código de graduação do risco), que possibilita comparar e constatar diversos riscos entre si, evidentemente, partindo do pressuposto de que foram utilizados os mesmos critérios. Ainda segundo Galante (2015), a ferramenta de avaliação de risco qualitativa mais utilizada é a APR (análise preliminar de risco). Segundo Beal (2008), os métodos qualitativos podem auxiliar as organizações que não dispõem de recursos financeiros, tecnológicos e de pessoas para executar a avaliação de risco aprimorada, trata-se de uma forma de análise simplificada que pode ser desenvolvida mediante a classificação do risco em critérios objetivos previamente estabelecidos para as principais ameaças identificadas. No quadro a seguir, está exposto um processo de análise e avaliação de risco que inclui a tarefa de reunião extensiva de dados, agrupamento, processamento e relatório. Existem várias metodologias e ferramentas que podem levar à redução dos esforços de cálculo e de documentação, e podem ser essenciais para uma avaliação de risco detalhada e abrangente devido ao grande volume de dados coletados, armazenados, processados e documentados. Lembrete É importante compreender que algumas análises de riscos podem ser simplesmente inviáveis sem a utilização de ferramentas automatizadas de análise de dados, que devem analisar centenas de milhares de dados e ramificações de dados. Mesmo sendo de extrema utilidade, não substitui a necessidade de pessoal qualificado e experiente, e, portanto, não oferece soluções em si mesma, apenas uma estrutura na qual se ampara o trabalho. O uso de cores e números na identificação do risco qualitativo pode ser recomendado para o rápido entendimento dos gestores. Quadro 8 – Exemplo de critério de riscos qualitativos Risco identificado Análise do ambiente Confidencialidade, integridade e disponibilidade Pontuação do risco Baixo de 0 a 2 - verde Médio igual a 3 - Amarelo Alto de 4 a 5 - Vermelho Incidentes naturais: desastres causados por fogo, inundação, terremoto, furacão As instalações estão situadas num local seguro, protegido contra incêndio. Não existe histórico da inundação, terremoto e furacão na área Integridade e disponibilidade 0 As instações apresentam problemas na rede elétrica e não possuem dispositivos de segurança contra incêndio. Os principais recursos estão no subsolo e correm risco quando há muita chuva Integridade e disponibilidade 4 64 Unidade II Risco identificado Análise do ambiente Confidencialidade, integridade e disponibilidade Pontuação do risco Baixo de 0 a 2 - verde Médio igual a 3 - Amarelo Alto de 4 a 5 - Vermelho Falhas ambientais como temperatura excessiva e queda de energia elétrica A organização está dotada de equipamentos nobreak, geradores e ar-condicionado, e não existe histórico de falhas ambientais Disponibilidade 0 Problemas com a rede elétrica e outras falhas ambientais têm-se mostrado frequentes e com sérias consequências para a disponibilidade dos sistemas Disponibilidade 4 Furto Não existem equipamentos portáteis do tipo notebook, e a segurança interna é bastante rígida, não havendo histórico de furto de equipamentos ou componentes Confidencialidade,integridade e disponibilidade 0 O acesso de estranhos não é controlado, os funcionários utilizam notebooks em viagens, ou já foram registradas ocorrências de furto ou perda de equipamento Confidencialidade, integridade e disponibilidade 5 Adaptado de: Beal (2008). Segundo Beal (2008), qualquer que seja a abordagem escolhida, é importante que as avaliações de risco sejam efetuadas por pessoas capacitadas com as seguintes habilidades: • entendimento aprofundado do papel e da importância dos ativos de informação sob análise para a organização; • formação técnica nas áreas que estão sendo avaliadas; • experiência de aplicação de princípios, procedimentos e práticas de segurança da informação; • experiência na metodologia de análise e avaliação de risco a ser empregada, e conhecimento das suas limitações. Não é incomum análises de riscos fadadas ao fracasso, um exemplo dessa situação descrita por Beal (2008) mostra que os gestores devem estar atentos a essas falhas, que podem levar ao insucesso das avaliações de risco e podem, como consequência, levar à proteção inadequada dos ativos informacionais. Uma avaliação do risco realizada numa empresa fortemente dependente da TI para realizar seus negócios pontuou como desprezível o risco de danos causados por água em suas instalações, já que a empresa se localizava em um andar intermediário de um edifício, o que a colocava a salvo de eventuais enchentes e não apresentava nenhuma vulnerabilidade aparente nas instalações hidráulicas. O resultado da análise de risco levou à realização de investimentos em outras áreas de proteção física, como alarme contra incêndio e controle eletrônico de acesso às instalações computacionais, mas um vazamento de água ocorrido num final de semana em outra empresa do andar superior acabou provocando uma 65 GESTÃO E ANÁLISE DE RISCOS infiltração no teto da sala de servidores. Foram necessários vários dias para recuperar todos os serviços, em função dos danos causados ao hardware pela água (BEAL, 2008, p. 26). 3.3 Tratamento dos riscos à segurança da informação Para melhor eficácia das análises de risco à segurança da informação, os testes de simulação de ataque ajudam a verificar o nível de proteção existente na organização naquele determinado instante. Esses testes verificam a qualidade dos controles elaborada pela simulação de ataque internos e externos que podem ser abrangentes ou ter um objetivo fixo, como exemplo, verificar as permissões de acesso aos sistemas ou o grau de conhecimento dos funcionários sobre segurança da informação, suas ameaças e ataques. Exemplos de testes de ataque podem utilizar especialistas para confrontar as permissões consentidas tentando invasões a sistemas por ataques de escalonamento de permissões de acesso, verificando, assim, falhas na segregação de funções ou permissões consentidas incorretamente e no caso do teste de ataque ao programa de educação e conscientização em segurança da informação, em que é possível realizar testes de engenharia social para descobrir senhas, testes de envio de phishing aos funcionários ou tentativas de acesso físico enganando funcionários. Após análises, avaliações, categorizações e testes referentes aos riscos identificados, é necessário classificar e adotar as medidas mais adequadas aos ativos de informações a serem protegidos, lembrando que essa decisão deve considerar os mais diversos fatores estudados anteriormente, mas principalmente o custo da proteção em relação ao valor da perda pelo impacto e o próprio valor do ativo a ser protegido, tudo isso relacionado à frequência, ou seja, à probabilidade de ocorrer. Muitas classificações estão disponíveis para as medidas de proteção a serem utilizadas para reduzir os riscos de segurança da informação. Beal (2008) sugere a seguinte classificação: • Medidas preventivas: controles que diminuem a probabilidade de uma ameaça ocorrer ou que reduzem o nível de vulnerabilidade do ambiente/ativo/sistema, reduzindo, assim, a probabilidade de um ataque e/ou sua capacidade de gerar efeitos negativos na organização. • Medidas conetivas ou reativas: reduzem o impacto de um ataque/incidente. São medidas tomadas durante ou após a ocorrência do evento. • Métodos detectivos: expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita. 66 Unidade II Ameaças + Vulnerabilidades Ataque Incidente Impacto Métodos detectivos Medidas preventivas Medidas reativas Invasão Acesso indevido Inserção incorreta de dados Monitoração da rede Sistemas de detecção de intrusos Auditorias Desencadeiam Exploram Realizam Ação legal Restauração do serviço Procedimento de resposta a incidentes Erro humano Desastres naturais Fraudes, invasão, espionagem etc. Destruição de dados Perda de integridade Divulgação indevida Quebra de equipamento Pessoal mal treinado Instalações desprotegidas Controles inadequados Política de segurança Controles de acesso físicos e lógicos Programas de conscientização e treinamento Prejuízo financeiro Prejuízo de imagem Perda de eficiência Figura 20 – Componentes do risco e medidas de proteção usadas para reduzi-lo Para a medida executada, a análise e avaliação de risco, é necessário definir o que deverá ser realizado, ou seja, a melhor decisão sobre as medidas a serem tomadas. No próximo quadro, está demonstrado como podem ser tomadas essas decisões e as medidas de segurança da informação. Quadro 9 – Exemplos de medidas preventivas e reativas Ameaça Medidas preventivas Medidas reativas Métodos detectivos Fraude Supervisão gerencial, segregação de funções, controle efetivo de senhas e permissões de acesso Interrupção de pagamentos suspeitos, investigação interna, denúncia à polícia Auditoria de logs, análise de trilhas de auditoria, conciliação de valores Furto de equipamentos Controles de entrada e saída Investigação interna, denúncia à polícia Inventário periódico, controle de entrada e saída Fonte: Beal (2008, p. 28). A ABNT NBR ISO 27001 (2018) considera como fundamentais para o tratamento dos riscos a visão legal, a proteção de dados e a privacidade das informações pessoais, a salvaguarda dos documentos organizacionais e dos direitos à propriedade intelectual e, do ponto de vista das melhores práticas, a elaboração da política de segurança da informação, bem como a formalização de uma norma de gestão de riscos corporativos e a definição de um programa de conscientização e educação em segurança da informação, visando o aculturamento e a definição dos papéis e responsabilidades referentes à gestão dos riscos corporativos. 67 GESTÃO E ANÁLISE DE RISCOS Segundo Beal (2008), esses aspectos de segurança devem ser considerados sabendo que nem todos os controles estabelecidos na ABNT NBR ISO 27001 (2018) devem ser implantados. Isso depende da estrutura e da cultura organizacional, bem como da análise de custo-benefício da implantação, e, com a certeza, de que todos os requisitos identificados estejam definidos em diretrizes internas, na legislação vigente ou na própria avaliação de risco, bem como nos impactos financeiros e não financeiros (para a credibilidade, imagem, entre outros associados). 3.3.1 Critérios de aceitação de risco Após selecionadas as medidas de proteção a serem aplicadas, é necessário que seja estabelecido um plano corporativo de comunicação para o risco residual com o aval da alta direção, de modo a garantir que seja entendido e aceito pelos responsáveis da organização, e, no caso de não aceitação, medidas devem ser implementadas em forma de controles adicionais escolhidos para diminuir o risco remanescente. Por exemplo, uma solução com mais um fator de autenticação chamado de “duplo fator de autenticação implantada de forma complementar” e redução do risco de comprometimento de um dos fatores. Segundo Beal (2008), ao decidir pela aprovação ou não por uma solução, a executiva precisaconsiderar o risco associado a uma falha de segurança leve de comprometimento de um dos fatores de autenticação que pode comprometer vários outros ambientes computacionais, e não apenas alguns dos recursos. Sendo assim, é possível, no entanto, que este possa ser minimizado por medidas adicionais, como a criação de dois fatores de autenticação, revezando-os: “o que você é – biometria”; o “que você tem – token, certificado digital”; ou “o que sabe – senha”. A decisão tem um custo de implantação que também deve ser considerado e devidamente aprovado pela alta direção, tudo isso também deve ser comunicado, demonstrando onde os riscos interligam-se e quais os sistemas que podem ser comprometidos. Uma vez que a aceitação de um risco pode comprometer outros ativos ou sistemas, tudo isso deve estar devidamente mapeado aos gestores para quando a decisão final for tomada. O entendimento claro das implicações de segurança devem mais do que facilitar as decisões e subsidiá-las de forma completa, e, quando for o caso, devem demonstrar as despesas adicionais necessárias para implantação dos controles que garantam a manutenção dos riscos dentro dos níveis anteriormente definidos, os chamados níveis aceitáveis de risco. Dessa forma, a gestão de riscos deve ser desenvolvida de maneira que esteja permanentemente interativa e cíclica, e assim acompanhar as mudanças nos sistemas e na forma como são usados nos perfis dos usuários, no ambiente, na tecnologia, nas ameaças, nas vulnerabilidades e em temas variáveis pertinentes, que não tornem obsoletos os requisitos de segurança estabelecidos. A organização deve programar revisões periódicas da análise de risco e recalcular as estimativas de risco sempre que seja constatada alguma mudança organizacional com implicações sobre a segurança dos seus ativos de informação. 68 Unidade II 4 FERRAMENTAS DE ESTUDO DO RISCO Conforme vimos, no processo de gestão de risco, um procedimento muito importante é a avaliação de risco, que é realizada por meio da utilização de ferramentas que devem representar o cenário a ser avaliado. É muito comum que as fases da análise e da avaliação sejam tratadas pela mesma ferramenta, juntando a análise e a avalição dos riscos em um único procedimento. Podemos destacar como literatura as obras de Hammer (1993) e Hammer e Price (2000), que são mencionadas em diversos artigos e manuais de avaliação de risco. Isso se deve porque os estudos de Hammer sobre os conceitos de risco serviram de base para a criação das ferramentas de análise e avaliação de riscos disponíveis. Esses autores demonstraram vários conceitos de ferramentas de análise e avaliação de risco, que, vistas de maneira geral, podem ser categorizadas em duas formas: • Análise de risco em árvores. • Análise de risco em planilhas. Os esquemas de análise de risco em árvores estão focados na determinação da cadeia de eventos, bem como em trabalhar, determinar, a frequência de ocorrência (probabilidade) para um risco. A TNO, em seu “Red Book” (Schuller et al., 1997), apresenta a técnica de análise de árvore de falhas, que é um exemplo válido da técnica da “análise de árvores”. Árvores de falha podem aumentar seu nível de complexidade por meio de uma abordagem estatística baseada na média e no desvio padrão para cada probabilidade utilizada nos cálculos. O outro esquema a ser considerado está representado em forma de planilha. Entre os diversos esquemas de planilha, os mais utilizados para identificação preliminar dos riscos estão em Defence (1980; 1993; 2000; 2012). Outras ferramentas de análise por planilha têm o objetivo de estabelecer o entendimento do risco e estabelecer uma hierarquia entre os vários e diferentes riscos, permitindo a implementação de um conjunto mais eficiente de ações mitigadoras. Muitos sistemas de avalição de risco são ferramentas sob forma de planilhas. Existe uma enorme variedade de regimes de matrizes de risco, mas Galante (2015) destaca a APR. A maioria dos modelos de análise de risco aborda o problema usando o princípio da compartimentação, estudando os subsistemas e subcomponentes, em nome da simplicidade em cenários (sistemas) complexos. Esta “compartimentalização” é feita através do estabelecimento das fronteiras do cenário. Essas fronteiras podem definir subáreas para a análise, subsistema, subcomponente ou mesmo dividir o “alvo” da análise usando “nós” (pontos notáveis através do fluxograma do processo (GALANTE, 2015, p. 84). Ainda Segundo Galante (2015), um bom exemplo de técnica é o HazOp (estudo de perigos e operabilidade), que utiliza o princípio de “nós” para “cortar” os fluxos de matéria e energia e analisar o risco envolvido em cada etapa da atividade (assumindo que nenhum risco elencado “ocorreu” no “nó” anterior). 69 GESTÃO E ANÁLISE DE RISCOS Mas também existem outras técnicas que, ao contrário do HazOp, são de análise e avaliação de risco e abordam o problema de forma sistêmica: como a soma de seus subsistemas onde há seus componentes, como exemplo da FMEA e APR. Mesmo assim, o HazOp pode ser utilizado em uma forma híbrida, onde se usam as premissas de investigação do HAzOp com matrizes de risco da APR. A escolha da abordagem profissional nos estudos de risco pode levar às ferramentas de avaliação disponíveis, proporcionando resultados de saída que podem resultar em saídas qualitativas ou quantitativas do risco. Quando a escolha é a abordagem qualitativa, não existirá hierarquia entre os diversos riscos avaliados, sendo vagos com o risco; ainda tem o fato de que pode falhar em estabelecer qual a prioridade de implementação entre as ações de mitigação selecionadas. Dessa forma, as ferramentas de análise e avaliação de risco podem ser classificadas, simultaneamente, em duas categorias distintas: • Qualitativa ou quantitativa. • Planilha ou árvore. Quadro 10 – Classificação das ferramentas de análise de risco Análise sob forma de planilha Análise sob a forma de árvore Análise qualitativa HazOp FMEA Série de risco Análise quantitativa APR Matriz de relevância Árvore de eventos Fonte: Galante (2015, p. 85). A decisão sobre a ferramenta a ser utilizada independe de esta seguir uma abordagem qualitativa ou quantitativa, dependerá da disponibilidade de dados anteriores, bem como pessoal qualificado para realizar a análise. Evidentemente que, em qualquer caso, a análise quantitativa deve ser preferida em vez de qualquer análise qualitativa pelos motivos anteriormente expostos; todavia isso depende muito, como vimos anteriormente, às vezes, são extremamente complexas e, muitas vezes, inconclusivas as análises quantitativas de riscos à segurança da informação devido às dificuldades de conseguir os valores exatos dos impactos e dos incidentes de segurança da informação. Mas, quando analisadas as ferramentas de análise e avaliação de risco de uma maneira geral, se podem combinar os pontos fortes de cada uma devidamente adaptados ao cenário estudado. 70 Unidade II Quadro 11 – Abordagem das ferramentas de análise de risco Formato da análise Descrição Análise em planilhas Destacam-se o HazOp e o FMEA. O HazOp é muito apropriado quando existe qualquer processo de fluxo para aplicarem-se os “nós”. Sabe-se que um diagrama de caixas pode representar cada fase de cada tarefa e, dessa forma, pode ser usado como um “fluxograma” para efeitos de aplicação do HazOp, assumindo-se que os níveis de risco justifiquem essa abordagem. O FMEA foca em analisar o modo de falha de um sistema, portanto, é mais adequado para máquinas ou equipamentos Análise em árvore Todas as ferramentas de avaliação dessa categoria prestam-se para definir uma cadeia de eventos, ignorando as consequências desse evento. Essa análise pode ser realizada qualitativamente (estabelecimento de nexo causal) ou quantitativamente. Nas abordagens quantitativas, busca-se determinar um valor para a frequência (probabilidade) de ocorrência de um evento. Ferramentas de análise de risco que se enquadremnessa categoria ignoram o componente “severidade” do risco Esquemas matriciais A forma desse sistema de abordagem dos riscos torna-o o mais flexível de todos eles. Essas ferramentas tratam as componentes do risco (frequência e severidade) independentemente, combinando-as para determinar o RAC (Risk Assessment Code). Destaca-se a técnica da APR conforme apresentada na MIL STD 882 (DEFENCE, 1993; 2000; 2012) como exemplo de esquema matricial Adaptado de: Galante (2015, p. 86). Entre as mais variadas ferramentas ou metodologias aplicadas atualmente em análise de riscos, bem como para estabelecer medidas redutoras, entre as técnicas de análise mais comuns aplicadas em estudos iniciais de risco, se podem destacar: • Matriz de relevância. • Estudo de causas e efeitos. • Análise probabilística de segurança (APS). • Análise preliminar de perigos (APP). • Estudo de perigos e operabilidade (HazOp). • Análise de modos e efeitos de falhas (FMEA). Segundo Vincoli (2006), destaca-se, todavia, que, ao longo dos anos, muitos métodos e técnicas têm sido desenvolvidos para a gestão dos riscos de processos, favorecendo, inclusive, a melhoria deles. Mesuram-se as seguintes metodologias para identificação e análise de riscos: • Análise Preliminar de Risco (APR) ou Preliminary Hazard Analysis (PHA). • Análise de Perigo de Sistema (APS) ou System Hazard Analysis (SHA). • Análise de Perigo do Subsistema (APSS) ou Sub-System Hazard Analysis (SSHA). 71 GESTÃO E ANÁLISE DE RISCOS • Análise de Perigo da Operação e Suporte ou Operating and Support Hazard Analysis (O&SHA). • Análise Crítica dos Efeitos dos Modos de Falhas (FMECA) ou Failure Mode and Effect Analysis (FMEA). • Análise de Árvore de Falhas (AAF) ou Fault Tree Analysis (FTA). • Análise/Avaliação do Perigo Funcional ou Fault (or Functional) Hazard Analysis (FHA). • Management Oversight and Risk Tree (MORT). • Energy Rrace and Barrier Analysis (ETBA). • Sneak Circuit Analysis (SCA). • Software Hazard Analysis (SWHA). • Common Cause Failure Analysis (CCFA). • Análise de Causa e Efeito ou Cause and Effect Analysis (CEA). • Análise de Árvore de Eventos (AAR) ou Event Tree Analysis (ETA). • Análise por Situação Numérica Aleatória ou Random-Number Simulation Analysis (RNSA). • Listas de verificação (checklists). • Estudo “E se...” ou What if Study. • Análise Preliminar de Perigos (APP). • Análise de Modos de Falhas e Efeitos (AMFE, ou FMEA, em inglês). A ferramenta da matriz de relevância é uma técnica de priorização que, segundo Haddad et al. (2012), os riscos que foram anteriormente identificados são preliminarmente avaliados utilizando um formato de hierarquização e posteriormente ponderados com os números dos ativos de informação expostos, estabelecendo as relevâncias dos ativos de informação em risco. A principal vantagem dessa ferramenta é que ela é extremamente útil quando existem diversos ativos a serem avaliados e devidamente mitigados. Nesse contexto, utiliza-se a matriz de relevância para evitar a aplicação de recursos em riscos menos relevantes, mesmo que aparentemente mais severos. O estudo de causa e efeito, segundo Galante (2015), é uma técnica que objetiva a definição de um nexo causal entre os riscos e suas consequências. Essa técnica considera a aplicação de perguntas como “o que acontecerá se”, e, dessa forma, determina o risco de maior importância. Na elaboração das 72 Unidade II sequências, os riscos são apresentados em uma ordem, e, a partir dos riscos iniciais, todos os riscos são mapeados e contribuem na ordem que vai levar finalmente ao risco principal e aos possíveis danos. Quando a análise probabilística de segurança é utilizada, se pode afirmar que a análise de eventos estuda a sucessão de causas primordiais para a concretização de um incidente e um impacto. Dessa forma, é estruturada a sucessão de todas as causas prováveis, em que é devidamente calculada a probabilidade de cada causa acontecer de forma isolada, e por meio da análise matemática calcula-se a possibilidade de o evento selecionado ocorrer. Essa análise pode ser utilizada em estudos de grande importância, tais como, por exemplo, cálculos de risco de acidentes nucleares. Segundo Galante (2015), a análise preliminar de riscos (APR) busca compreender os perigos potenciais resultantes da instalação de novas unidades, sistemas ou da operação de unidades e sistemas em produção. Essa metodologia se preocupa em examinar possíveis eventos identificados, causas, métodos de detecção disponíveis e seus efeitos sobre o ambiente. Muito além disso, são sugeridas medidas preventivas e/ou redutoras dos perigos com a intenção de eliminar as causas ou mitigar as consequências dos cenários de incidentes identificados. Por meio da APR, são levantadas as causas que ocasionam a ocorrência de cada um dos incidentes e suas respectivas consequências. Isso relacionado à disponibilidade de informações, em que é realizada a avaliação pseudo-quantitativa da frequência da ocorrência do cenário de incidente e de severidade/impacto das consequências associadas ao risco. Para Galante (2015), o estudo de perigos e operabilidade, conhecido como HazOp, tem como objetivo identificar as ameaças e os problemas de operabilidade de uma instalação de processo. Nessa metodologia, que é bem estruturada, utilizam-se procedimentos geradores de questões sistemáticas, valendo-se do uso apropriado de um conjunto de palavras comuns aos riscos. O desenvolvimento dessa técnica é a investigação de forma criteriosa e metódica de cada seguimento de um processo com o intuito de descobrir todos os possíveis desvios das condições normais de operação, identificando as causas responsáveis por esses desvios e as respectivas consequências. A vantagem dessa análise é estar relacionada com a sistematicidade, flexibilidade e abrangência para a identificação de perigos e problemas operacionais. Todavia, deve-se lembrar que essa metodologia demanda muito tempo, dedicação e conhecimentos sólidos sobre o processo analisado. Em relação à análise de modos e efeitos de falhas (FMEA), a sigla vem do inglês faltare mode and effects analysis. É uma técnica para ser aplicada principalmente a componentes cujo objetivo principal é detalhar cada um dos componentes de um sistema levantado a probabilidade de ocorrer falhas naqueles de sistemas complexos. As probabilidades levantadas por meio dessa técnica serão de grande valia na confecção da técnica da árvore de falhas. Segundo Galante (2015), é importante integrar a análise de risco ao processo de gestão. Uma forma eficiente de realizar o programa de gestão do risco é utilizando ferramentas de análise de risco para identificar os pontos fortes a melhorar na metodologia adotada. Assim, os riscos identificadosserão analisados, a princípio, com o uso de ferramentas mais simples de maneira a reduzi-los. Conforme são avaliados em 73 GESTÃO E ANÁLISE DE RISCOS cada fase do modelo de gestão de ferramentas mais complexas, estas serão aplicadas para complementar os conhecimentos sobre os riscos. Existem diversas formas de estruturar um programa de gestão de risco. Uma muito eficiente é utilizando a técnica de “What if” (ou dos estudos de causa e efeito) na primeira fase e a APR nas fases posteriores (matricial ou simples). Sendo assim, a “What if” se comportará como um filtro para a APR. Na figura a seguir, está descrito o procedimento, em forma de fluxograma, que detalha de maneira lúdica o processo. Lembrete O desenvolvimento da matriz de relevância tem o objetivo de estabelecer prioridade de tratamento dos riscos identificados atacando aqueles que hierarquicamente são mais latentes. Risco aceitável Risco representativo Risco representativo Análise dos riscos por meio da APR simples Desprezar o risco ou aguardar fase de reavaliação Análise dos riscos por meio da série de riscos Análise dos riscos por meio da APR matricial (empregando categorias de frequência e severidade) Redefinir o graude significância dos riscos identificados de forma a elevar o quantitativo de riscos a serem analisados Análise dos riscos por meio da APR simples Elaborar e implementar plano de ação objetivando mitigar os riscos Figura 21 – Fluxograma escalonado para estudo do risco S S N N N S 74 Unidade II Observação É possível consultar de forma ampla a análise de riscos à segurança da informação nos balanços patrimoniais das organizações. Elas declaram anualmente suas políticas de gestão e tratamento dos riscos aos interessados demonstrando a seriedade com que o assunto é tratado. Na figura a seguir, está disposta em forma de fluxograma uma metodologia completa de riscos. Definição do escopo das análises Realização das análises preliminares de risco (APR) Realização das análises dos riscos selecionados usando HazOP Detalha as processos além de gerar os conhecimentos dos diversos riscos para cada combinação de desvio de palavra-chave Gerados os conhecimentos dos diversos riscos, suas causas e consequências prováveis Análise dos riscos cibernéticos Análise da frequência Análise por meio da metodologia de árvore Análise da severidade Determinação das severidades usando modelagens matemáticas do fenômeno Análise dos riscos à segurança da informação Análise da vulnerabilidade Determinação das respostas dos cenários utilizando modelos de Probit Seleção dos riscos mais relevantes, os quais são analisados com ferramentas superiores à APR Figura 22 – Fluxograma: metodologia de avaliação completa de risco Segundo Galante (2015), analisar e gerenciar os riscos em eventos complexos não é tarefa simples ou óbvia, depende diretamente dos aspectos do risco e do cenário em questão. A abordagem preliminar para analisar e avaliar os riscos é estudar a fonte deles. No caso de um ataque de DDoS, essa fonte se caracteriza pelo fato de o servidor web estar exposto na própria internet. 75 GESTÃO E ANÁLISE DE RISCOS A análise preliminar objetiva estabelecer os contextos nos quais essa fonte está inserida, bem como entender suas características. Nesse caso, uma técnica de análise de risco do tipo planilha é indicada em detrimento da técnica da APR. Os resultados obtidos pela APR indicam quais as causas e consequências prováveis de um incidente que envolve a fonte dos riscos, incluindo quais são as prováveis causas de ataques desse tipo. Na sequência do processo de gestão dos riscos, os conhecimentos obtidos através da APR podem ser usados como base para análises de riscos com maiores graus de complexidade. Segundo Galante (2015), por a fonte dos riscos (redes botnet, ativistas e exposição) assemelharem-se às instalações de redes de perímetro, o HazOp destaca-se entre todas as ferramentas de análise de riscos disponíveis. Segundo Rausad, Hoyland e Hazop (2011), Galante (2015), Costa e Nóbrega (2014), Preston e Tyler (2000), Kletz (1997) e Dunjó et al. (2010), o HazOp, apesar de apresentar resultados qualitativos, demonstra resultados detalhados das causas e consequências de falhas em cada ativo de informação, configuração dos servidores web, sistemas operacionais de servidor, Firewall e demais ativos do sistema no qual a aplicação está inserida. Assim, o gestor de riscos já dispõe de dados suficientes sobre causas e consequências envolvendo o servidor web para decidir e implementar medidas mitigadoras. Contudo, esses resultados ainda são de natureza qualitativa e focados na análise da fonte do risco. Segundo Galante (2015), esses resultados qualitativos podem ser desdobrados em resultados específicos e quantitativos. Sendo assim, as “causas” e “consequências” (efeitos) são tratadas de forma isolada. As “causas” podem ser estudadas valendo-se das ferramentas do tipo “árvore”. Os resultados obtidos nas APR e no HazOp são utilizados para definir quais hipóteses de incidentes devem ser consideradas, e, para cada hipótese, é desenvolvida uma “árvore”. Caso as análises preliminares e do HazOp forem desenvolvidas corretamente, a hipótese de um ataque foi devidamente considerada. Primeiramente essa “árvore” desenvolve-se estabelecendo a sucessão de causas que conduzem à materialização da hipótese do incidente-alvo do escopo. No caso do servidor web, terminado o desenvolvimento de várias árvores de causas e efeitos, estas podem ser analisadas. Essa análise ajuda a definir quais norteiam as sequências dos eventos de hipóteses dos incidentes principais (entre as quais, o DDoS deve ser incluído). Dessas árvores, será, então, desencadeada a análise de causas qualitativas para quantitativas. Esse processo ocorre determinando, definindo e arbitrando as probabilidades de ocorrência de cada causa-base identificada nas árvores. Quando todas as causas-base estiverem com seus valores e probabilidades definidos, a árvore de causas pode ser calculada e um valor para a probabilidade de ocorrência da hipótese de incidente pode ser determinado. Nesse momento, já é possível apresentar um valor de probabilidade para a ocorrência de cada hipótese do incidente relacionado nas análises de planilha. Para Galante (2015), a probabilidade se relaciona com a variável “frequência” do risco. Falta agora decidir modelar a “severidade” de cada hipótese de incidente. As hipóteses de incidente podem ou não ter a severidade modelada. Dependendo das relevâncias dessas hipóteses de incidentes, os resultados das análises de planilha e árvore podem ser suficientes para permitir ao gestor de riscos implementar as medidas mitigadoras e de controle necessárias. Mas, caso a severidade seja de interesse para a hipótese de incidente (DDoS), a modelagem passa pelo cálculo efetivo do fenômeno. Esse cálculo passa pela solução dos sistemas de equações de Probit. A partir dessa informação, é possível decidir que hipótese usar e como, próximo ao evento real, serão os resultados da simulação. 76 Unidade II Saiba mais O vídeo a seguir demostra de maneira simplificada o cálculo da probabilidade: CÁLCULO de probabilidades. 25 jun. 2016. 1 vídeo (9 min.). Publicado por Equaciona com Paulo Pereira. Disponível em: https://bit.ly/3a6opPp. Acesso em: 14 abr. 2021. 4.1 Mapa de riscos: ferramenta de identificação Segundo Galante (2015), os mapas de riscos são instrumentos de identificação de riscos presentes em qualquer tipo de risco a ser analisado. O mapa de riscos é de elaboração obrigatória caso a organização queira ter uma forma de visualização rápida dos riscos mais relevantes. O mapeamento de riscos visa avaliar o tipo de risco e o grau de severidade presente, qualitativamente. Os mapas de riscos podem ser complexos ou simples, abranger grandes estruturas ou até mesmo processos específicos de segurança. Não existe um padrão de mapa de riscos a ser seguido. Dessa forma, serão abordadas mais de uma opção para elaborá-los. Uma das formas para estabelecer os mapas de risco é a classe de risco em que os procedimentos de elaboração dos mapas de riscos encontram-se determinados em documentos regulatórios. Nesse caso, usava-se o código de cores para as cinco categorias de riscos: Muito alto Alto Moderado Baixo Muito baixo Figura 23 – Classes de riscos 77 GESTÃO E ANÁLISE DE RISCOS Quando o mapa é desenvolvido, a identidade visual para cada classe de risco é de extrema importância no cumprimento dos objetivos a fim de facilitar a identificação dos riscos por qualquer pessoa que os observe. Sendo assim, o emprego do código de cores é um recurso de grande valia. Quadro 12 – Grupos de riscos Grupo 1 Muito alto Grupo 2 Alto Grupo 3 Moderado Grupo 4 Baixo Grupo 5 Muito baixo Vírus Interno Ramsomware Atentado à bomba Maremoto Humano Perda de dados Botnet Pichação Tsunami Invasão Indisponibilidade Malwares Enchentes Furacão SQL injection Multas Falta de energia Greves Tornado RAT Falta de conformidade Ausência de backup Terrorismo cracker Terremoto Os graus de risco devem ser gerados e comparados entre si ou usando as ferramentas deanálise de risco ou gerando um valor consensual. O mais preciso seria obter o grau de risco através da matriz de decisão gerada utilizando análises de frequência e severidade, porém essas análises demandam tempo, dedicação e estudos. De forma mais geral, os responsáveis pelo mapeamento de riscos em empresas utilizam-se de valores consensuais e graduados em três níveis: pequeno, médio e grande. 4.2 Matriz de relevância Segundo Galante (2015), a metodologia da matriz de relevância é uma valiosa ferramenta na determinação de priorização entre os vários riscos, perigos e setores dentro de um determinado sistema ou processo. A abordagem da matriz de relevância fundamenta-se no conceito de risco como uma função do seu impacto e da probabilidade de ocorrência. Quando utilizada a matriz de relevância, o fator probabilístico é representado pelo número de ativos de informação expostos ao risco, enquanto o fator impacto é matematicamente representado por uma classificação numérica dos riscos, a ser detalhado posteriormente. A aplicação do método de construção da matriz de relevância inicia-se dividindo a empresa/local/cenário a ser analisado em partes (chamadas de “setores”); segue-se a isso a identificação dos riscos da empresa/local/cenário. Cada setor será representado como uma linha na matriz de relevância seguida pelo número de ativos de informação inventariada no setor. As colunas são ordenadas para os riscos identificados, sendo uma coluna (Ha) para cada risco, variando de 1 até x. Quando encerrada a construção dos contornos da matriz de relevância, inicia-se a etapa de preenchimento da matriz. No preenchimento, é necessário observar o binômio ativo-setor, determinado um “código de risco” (do inglês RAC – Risk Assessment Code). O código de risco deve seguir um critério simples que varia de acordo com o cenário, com a disponibilidade de dados ou mesmo com a precisão requerida. O importante é que os critérios devem ser consistentes em toda a matriz, bem como serem capaz de fornecer uma classificação numérica. Quando se refere a riscos inerentes, os critérios podem ser estabelecidos com base na percepção do risco e nos limites de tolerância estabelecidos previamente pela organização. 78 Unidade II Quadro 13 – Proposta de códigos de risco Código do risco Descrição 0 Risco inexistente 1 Baixa exposição ao risco 2 Exposição moderada ao risco 3 Alta exposição ao risco 4 Exposição muito alta ao risco 5 Exposição intolerável ao risco É importante salientar que os critérios para definição da proposta de códigos de risco podem, dependendo da área de atuação, ter uma imposição legal, mas, no caso da segurança da informação, essa proposta deve partir de uma comissão interdepartamental que vai em conjunto definir um modelo alinhado com a estratégia corporativa estabelecida para os códigos de risco. Segundo Galante (2015), quando o assunto é a matriz de relevância, os riscos são analisados em cada ativo de informação. Cada posição determinada dentro da matriz corresponde ao risco de um determinado ativo de informação, ou seja, o valor escrito na posição (i, j) da matriz representa o código de risco (R) que melhor representa a exposição ao risco “j” enfrentada pelos ativos de informação no setor “1”. Na matriz de relevância, os setores (S) e o número de ativos de informação (W) formam as linhas e os perigos (H), as colunas, conforme pode ser evidenciado no quadro a seguir. Quadro 14 – Exemplo de matriz de relevância Setor Risco identificado Descrição Nome Ativo de informação H1 H2 H3 ...... Hx S1 W1 R1.1 R1.2 R1.3 ........ R1.x S2 W2 R2.1 R2.2 R2.3 ....... R2.x S3 W3 R3.1 R3.2 R3.3 ........ R3.x ...... ...... ....... ......... ....... ......... ....... Sy Wy Ry.1 Ry.2 Ry.3 ......... Ry.x Após a matriz de relevância, a próxima etapa é calcular as frequências de risco, a frequência de exposição e a percentagem de relevância. A frequência de risco representa medidas da intensidade da exposição total para um dado risco, enquanto a frequência de exposição avalia que setor representa um ambiente mais nocivo aos ativos de informação. 4.3 Análise preliminar de riscos (ARP) Segundo Galante (2015), a APR é uma ferramenta de estudo de risco amparada em uma metodologia multicritério fundamentada para identificar, analisar e avaliar (classificar), preliminarmente, os riscos existentes em processos, equipamentos ou sistemas em produção. No contexto da APR, um cenário de 79 GESTÃO E ANÁLISE DE RISCOS incidente é definido como o conjunto formado pelo perigo identificado e suas causas e consequências prováveis. A ferramenta da APR destina-se a avaliações de risco, e consequente priorização desses riscos por meio de análises multicritério. A correta aplicação da APR prevê a decomposição do risco em suas variáveis fundamentais (frequência, severidade/impacto e cenário): Risco = Frequência, Severidade/Impacto, Cenário Figura 24 – Variáveis da aplicação da APR A decomposição do risco infere a possibilidade de analisar cada variável de forma separada e ignorando interferências. Os produtos dessas análises serão utilizados para atribuir ao risco o valor do risco conhecido como RAC — Risk Assessement Code (código de gradação do risco). Esse valor para o risco serve para comparar dois ou mais riscos, auxiliando a tomada de decisão. O estabelecimento do valor do risco passa por análises multicritérios, as quais ponderam de forma isolada a frequência de ocorrência do risco e as consequências, caso se materializem (severidade/impacto). O resultado dessas ponderações é imputado na matriz de risco, que gera como resultado um “valor” para o risco (RAC). No entanto, enquanto as duas primeiras variáveis independentes (frequência e severidade/impacto) têm implicação direta sobre o RAC, o cenário tem um impacto menos imediato. O cenário é ponderado quando da elaboração dos critérios a serem empregados no estudo (matriz de risco, categorias de frequência e de severidade/impacto). As matrizes de risco abrem caminho para relacionar frequência e severidade/impacto ao risco, usando-se de categorias predeterminadas (parametrização) para os componentes do risco (GALANTE, 2015). No quadro 15, encontram-se as categorias de frequência (parametrização da frequência) sugeridas, enquanto o quadro 16 apresenta as categorias de severidade (parametrização das severidades), o que possibilita “converter” uma “causa para o risco” em um parâmetro de frequência e uma “consequência esperada da materialização do risco” em um parâmetro de severidade/impacto. Ressalta-se que os exemplos aqui dispostos representam um modelo reconhecido internacionalmente e sugerido na obra de Galante (2015). Esse modelo deverá ser adaptado à realidade de cada organização, considerando seu porte e ramo de atividade, e sua estrutura de análise de riscos deve ser devidamente alinhada à estratégia de análise e gestão de riscos. Quadro 15 – Categoria de frequência Categoria Denominação Descrição Faixa de frequência A Improvável Extremante improvável, podendo o evento não ocorrer Frequência menor que 10.000 M B Remota Improvável, mas possível de ocorrer na vida útil do ativo/processo Frequência entre 1.000 M e 10.000 M C Ocasional Espera-se que ocorra durante a vida útil do ativo/processo Frequência entre 100 M e 1.000 M 80 Unidade II Categoria Denominação Descrição Faixa de frequência D Provável Ocorrerá várias vezes durante a vida útil de um ativo/processo Frequência entre 10 M e 100 M E Frequente Provável de ocorrer diversas vezes durante a vida útil de um ativo/processo Frequência superior a 10 M Adaptado de: Galante (2015, p. 127). Quadro 16 – Categoria de severidade Categoria Denominação Descrição Faixa de Frequência 1 Catastrófica Pode provocar a interrupção total e irreversível da atividade Superior a 1 milhão de R$ 2 Crítica Pode a interrupção total mais reversível da atividade Entre 200 mil e 1 milhão de R$ 3 Marginal Pode provocar a interrupção parcial da atividadeEntre 10 mil e 200 mil R$ 4 Desprezível Pode provocar a interrupção momentânea da atividade Entre 2 mil e 10 mil R$ Adaptado de: Galante (2015, p. 127). Assim que definidos os parâmetros de frequência e severidade/impacto, estes podem ser integrados usando-se a matriz de risco disposta na figura 25, na legenda do quadro 17, na qual é possível obter um valor para o risco. O valor desse risco aplica-se ao comparar e contrastar dois ou mais riscos entre si, estabelecendo relevâncias. Frequência A B C D E Se ve rid ad e/ im pa ct o 1 12 8 4 2 1 2 15 10 6 5 3 3 17 14 11 9 7 4 20 19 18 16 13 Figura 25 – Variáveis da aplicação do APR 81 GESTÃO E ANÁLISE DE RISCOS Quadro 17 – Legenda da matriz de severidade/impacto Prioridade (risco) Categoria de risco Indicação na matriz de risco 1-5 Muito alto 6-9 Alto 10-17 Moderado 18-20 Baixo Para Galante (2015), cabe ressaltar que a definição das categorias de frequência, severidade/impacto e a própria matriz de risco devem ser modificadas para se adequarem ao cenário de aplicação, complementando a compreensão de risco como função de frequência, severidade/impacto no cenário analisado. Quando apresentado o conceito da matriz de risco, cabe esclarecer os entendimentos que existem na base de sua elaboração. As metodologias de análise de risco utilizam multicritério para estabelecer o valor do risco (categoria de risco). Esse valor para o risco serve para comparar dois ou mais riscos entre si, possibilitando tomada de decisão. Essas matrizes de risco possibilitam relacionar frequência e severidade associadas ao risco, usando-se categorias predeterminadas (parametrização) para esses componentes do risco. Na figura 26, estão sugeridas as categorias de frequência (parametrização da frequência) adaptadas, e o quadro 18 apresenta as categorias de severidade (parametrização das severidades), o que possibilita “converter” uma “causa para o risco” em um parâmetro de frequência e uma “consequência esperada da materialização do risco” em um parâmetro de severidade A matriz de risco da figura 24 pode ser reescrita para uma versão mais didática no quadro 17 sem perder a qualidade dos resultados. Essa versão é demostrada na imagem da figura 25. Frequência A B C D E Se ve rid ad e/ im pa ct o 1 2 3 4 5 5 2 1 2 3 4 5 3 1 1 2 3 4 4 1 1 1 2 3 Figura 26 – Matriz de risco 82 Unidade II Quadro 18 – Legenda da matriz de riscos Severidade/impacto Frequência Risco 1 2 2 4 Catastrófica, crítica Marginal e desprezível A B C D E Improvável Remota Ocasional Provável Frequente 1 2 3 4 Baixo Moderado Alto Muito alto Observando a matriz de riscos da figura anterior, podemos perceber que o “risco” é uma variável dependente de duas variáveis independentes (“frequência” e “severidade/impacto”), sendo assim, o risco deve ser evidenciado de forma tridimensional. É recomendado que seja devidamente estudado e comparado os dados da APR e dessas análises poderão ser identificadas as categorias de frequência e severidade/impacto compatíveis, todavia, a matriz de risco apresenta 20 níveis de risco agrupados em 4. Sendo assim, a diferença não vai incompatibilizar as aplicações, tendo em vista que os níveis de risco se aplicam à confecção de planos de ação. Ressalta-se que as matrizes de risco devem ser selecionadas e elaboradas observando o cenário em estudo. As matrizes das figuras 25 e 26 apresentam certo grau de complexidade na seleção das frequências e severidades/impacto, dados os vários níveis. Uma opção mais simples de matriz é a da figura 27: Se ve rid ad e/ im pa ct o 3 3+1=4 3+2=5 3+3=6 2 2+1=3 2+2=4 2+3=5 1 1+1=2 1+2=3 1+3=4 1 2 3 Figura 27 – Matriz de risco 3x3 Segundo Galante (2015), a aplicação da metodologia de frequência pode ser utilizada para sistemas em início de desenvolvimento ou na fase inicial do projeto, quando apenas os requisitos básicos do sistema e os insumos estão em definição. Também pode ser útil como parte da revisão geral de segurança de sistemas e suas informações já em operação. O uso do APR auxilia na seleção das áreas envolvidas e em qualquer outra área técnica que requeira maior detalhe na análise dos riscos ou de confiabilidade que devam ser encorpadas a qualquer momento. A APR pode ser considerada a precursora de outras análises. 83 GESTÃO E ANÁLISE DE RISCOS A análise preliminar dos perigos é a metodologia estruturada para identificar, preliminarmente, os riscos decorrentes do ambiente físico e de novas unidades/sistemas ou da operação de unidades/sistemas existentes. Esta ferramenta pode ser aplicada nas etapas iniciais de um projeto, quando, por exemplo, pode ser muito útil para a seleção da localização de uma planta ou de um estudo de processo. A APR objetiva analisar cenários onde existem perigos ainda desconhecidos, já que na etapa preliminar normalmente existe pouca informação disponível sobre os procedimentos de operação. Algumas vezes, a APR é considerada como uma revisão dos pontos de perigo, pois abrange os eventos perigosos cujas causas tenham origem na instalação analisada, englobando tanto as falhas de componentes ou sistemas como eventuais erros operacionais ou de manutenção (falhas humanas). Para concluir, a APR é um método de avaliação de riscos por estabelecimento de prioridades. As prioridades são determinadas usando-se modelos matriciais multicritérios, os quais consistem em decompor o risco em seus componentes fundamentais e analisá-las separadamente. As componentes do risco são a extensão dos danos (severidades/impactos) e as frequências de ocorrências. Ressalta-se que a aplicação correta dessa ferramenta permite, ainda, orientar (ordenar) as ações mitigadoras a serem implementadas. Isso é feito por meio da priorização dos riscos, seguido do relacionamento das causas e consequências que foram usadas para “gerar” o risco em questão. Segundo Galante (2015), referente à metodologia empregada, quando os riscos são identificados, suas causas potenciais, os efeitos, a gravidade dos incidentes, as severidades/impactos e perdas, as possíveis ações corretivas e/ou preventivas serão listadas. O trabalho se completa utilizando a experiência passada obtida do maior número possível de fontes de informação, incluindo experiências de operações com sistemas similares. O estudo do risco usando a metodologia da APR desenvolve-se através de etapas: Definição dos objetivos e do escopo da análise Elaboração das estatísticas dos cenários identificados por categoria de risco (frequência e severidade) Análise dos resultados e preparação do relatório Definição das fronteiras do processo/instalação analisada Realização da APR Preenchimento da planilha Coleta de informações sobre a região, a instalação e os perigos envolvidos Subdivisão do processo/ instalação em módulos de análise Figura 28 – Etapas da metodologia APR Os resultados da análise incluirão as recomendações para reduzir, eliminar ou controlar os riscos nas etapas seguintes do projeto. 84 Unidade II Segundo Galante (2015), a metodologia APR se desenvolve, a princípio, reunindo todas as informações disponíveis sobre os sistemas e sobre as experiências vivenciadas em análises de risco em sistemas similares. Entre as informações, devem constar os conceitos básicos e as definições do processo. Assim sendo, ameaças comuns devem ser conhecidas, assim como todo o tipo de especificações de tecnologias de segurança, especialmente aquelas mais robustas. O conhecimento de qualquer incidente ocorrido no passado é de extrema importância para a realização da APR. O processo de execução da APR consiste em identificar os riscos, os eventos e outros eventos que possam ter como consequência um resultado não desejado. Os objetos de análise devem também identificar os critérios de projeto ou as alternativas que possam eliminar, reduzir ou controlar esses riscos dentro de um nível aceitável de custo para investimento. Evidentemente, é necessário experiência