gestão de risco em ti.pdf
TRANSCRIPT
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 1 de 140
METODOLOGIA DE GESTÃO DE RISCOS DE SEGURANÇA DA
INFORMAÇÃO
Desenvolvimento de metodologia e ferramenta de software público de arquitetura aberta para gestão de riscos de
segurança da informação na Administração Pública Federal
Relatório RM2
Fundação de Apoio à Capacitação em TI – Facti Termo de Execução Descentralizada MPOG nº 25/2014
Processo MPOG nº 04300.004903/2014-40
Processo Administrativo CTI nº 01241.000189/2014-74
Termo de Dispensa de Licitação CTI nº 98/2014
Termo de Contrato de Prestação de Serviços CTI nº 250/2014
Entidades Participantes
Secretaria de Logística e Tecnologia da Informação – SLTI/MPOG
Centro de Tecnologia da Informação Renato Archer do Ministério da Ciência, Tecnologia e Inovação – CTI/MCTI Fundação de Apoio à Capacitação em Tecnologia da Informação – Facti
Maio de 2015
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 2 de 140
Título do documento Metodologia de gestão de riscos de segurança da informação
Código do Documento RM2 Objetivo Específico OE1 Data da Última Modificação 30/07/2015
Controle de Versão do Documento
Versão Autor Modificações 29/05/2015 CTI/Facti Versão inicial 19/06/2015 CTI/Facti Inseridos diagramas BPMN e Templates 30/07/2015 CTI/Facti Atividades, tarefas e fluxos revisados
Controle de Distribuição
Este documento tem sua distribuição restrita às pessoas diretamente envolvidas nas atividades desenvolvidas no “Desenvolvimento de metodologia e ferramenta de software público de arquitetura aberta para gestão de riscos de segurança da informação na Administração Pública Federal” – de acordo com o Termo de Execução Descentralizada MPOG nº 25/2014, o Processo MPOG nº 04300.004903/2014-40, o Processo Administrativo CTI nº 01241.000189/2014-74 Termo de Dispensa de Licitação CTI nº 98/2014, Termo de Contrato de Prestação de Serviços CTI nº 250/2014 – e que dele precisem saber. Este documento não pode ser redistribuído. Este documento não pode ser reproduzido em todo ou em parte. As informações contidas neste documento somente poderão ser divulgadas a terceiros mediante prévia e expressa autorização da Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão – SLTI/MPOG.
Controle de Distribuição
Data Nome Rubrica
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 3 de 140
Lista de Figuras
Figura 1. Níveis de atuação para a gestão de riscos. ........................................... 21
Figura 2. Níveis de atuação para a gestão de riscos e elementos da
organização .................................................................................................................. 23
Figura 3. Processo da MGR-SISP ............................................................................ 26
Figura 4. Subprocesso Estabelecer Contexto ......................................................... 42
Figura 5. Atividade Definir os Papéis e as Responsabilidades ............................ 43
Figura 6. Template do registro de Papéis, descrições e Responsabilidades .... 45
Figura 7. Template do registro de Profissionais e Papéis ..................................... 45
Figura 8. Atividade Definir os Objetivos, Escopo e as Restrições da GRSI ...... 47
Figura 9. Template para o registro de objetivos, escopo, premissas e restrições
........................................................................................................................................ 49
Figura 10. Atividade Realizar Pré-análise da organização ................................... 52
Figura 11. Modelo de questionário de pré-análise da organização..................... 54
Figura 12. Modelo de apresentação de resultados da pré-análise da
organização .................................................................................................................. 54
Figura 13. Atividade Realizar Pré-análise das unidades da organização .......... 58
Figura 14. Formulário com os resultados da pré-análise de unidades da
organização .................................................................................................................. 60
Figura 15. Exemplo do Formulário ............................................................................ 60
Figura 16. Atividade Definir Critérios ........................................................................ 61
Figura 17. Formulário para a parametrização da avaliação de consequências 67
Figura 18. Formulário para a parametrização da avaliação de probabilidades 68
Figura 19. Formulário para a parametrização de critério de tratamento e de
aceitação de riscos ...................................................................................................... 68
Figura 20. Subprocesso Identificar Riscos .............................................................. 69
Figura 21. Atividade Identificar Ativos ...................................................................... 72
Figura 22. Template do Mapa de Riscos - Ativos ................................................... 75
Figura 23. Exemplo de Mapa de Riscos - Ativos .................................................... 75
Figura 24. Atividade Identificar Ameaças ................................................................ 77
Figura 25. Template do Mapa de Riscos - Ativos, Ameaças ................................ 79
Figura 26. Exemplo de Mapa de Riscos - Ativos, Ameaças ................................. 79
Figura 27. Atividade Identificar Controles ................................................................ 81
Figura 28. Template do Mapa de Riscos - Ativos, Ameaças e Controles .......... 83
Figura 29. Exemplo de Mapa de Riscos - Ativos, Ameaças e Controles ........... 84
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 4 de 140
Figura 30. Atividade Identificar Vulnerabilidades ................................................... 85
Figura 31. Template do Mapa de Riscos – Ativos, Ameaças, Controles e
Vulnerabilidades ........................................................................................................... 88
Figura 32. Exemplo de Mapa de Riscos – Ativos, Ameaças, Controles e
Vulnerabilidades ........................................................................................................... 89
Figura 33. Subprocesso Estimar Riscos .................................................................. 90
Figura 34. Atividade Identificar e Avaliar consequências ...................................... 95
Figura 35. Template do Mapa de Riscos – Ativos, Ameaças e Consequências 97
Figura 36. Exemplo de Mapa de Riscos – Ativos, Ameaças e Consequências 98
Figura 37. Atividade Avaliar Probabilidades .......................................................... 101
Figura 38. Template do Mapa de Riscos – Ativos, Ameaças, Consequências e
Probabilidades ............................................................................................................ 103
Figura 39. Exemplo de Mapa de Riscos – Ativos, Ameaças, Consequências e
Probabilidades ............................................................................................................ 103
Figura 40. Atividade Estimar Nível de Risco ......................................................... 105
Figura 41. Template do Mapa de Riscos – Ativos, Ameaças, Consequências,
Probabilidades e Riscos ........................................................................................... 107
Figura 42. Exemplo de Mapa de Riscos – Ativos, Ameaças, Consequências,
Probabilidades e Riscos ........................................................................................... 107
Figura 43. Subprocesso Avaliar Riscos ................................................................. 108
Figura 44. Atividade Classificar Riscos .................................................................. 110
Figura 45. Template do Mapa de Riscos – Ativos, Ameaças, Consequências e
Riscos Ordenados e Classificados ......................................................................... 113
Figura 46. Exemplo de Mapa de Riscos – Ativos, Ameaças, Consequências e
Riscos Ordenados e Classificados ......................................................................... 113
Figura 47. Subprocesso Tratar Riscos ................................................................... 115
Figura 48. Atividade Estimar Recursos .................................................................. 118
Figura 49. Template do Mapa de Riscos – Ativos, Ameaças, Riscos Ordenados,
Controles e Estimativas para tratamento ............................................................... 121
Figura 50. Exemplo de Mapa de Riscos – Ativos, Ameaças, Riscos Ordenados,
Controles e Estimativas para tratamento ............................................................... 122
Figura 51. Atividade decidir sobre alternativas de resposta aos riscos ............ 123
Figura 52. Template do Mapa de Riscos – Ativos, Ameaças, Riscos, Controles
e Informações de Tratamento .................................................................................. 126
Figura 53. Exemplo de Mapa de Riscos – Ativos, Ameaças, Riscos, Controles e
Informações de Tratamento ..................................................................................... 127
Figura 54. Atividade Implementar Respostas aos Riscos ................................... 128
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 5 de 140
Figura 55. Template do PTR - Plano de Tratamento de Riscos ........................ 132
Figura 56. Exemplo de PTR - Plano de Tratamento de Riscos ......................... 132
Figura 57. Subprocesso Monitorar Riscos ............................................................. 135
Figura 58. Subprocesso Monitorar Riscos ............................................................. 137
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 6 de 140
Sumário
1 Apresentação do documento .............................................................................. 8
2 Introdução ......................................................................................................... 9
3 Termos e definições .......................................................................................... 11
4 Normas e regulamentações relacionadas .......................................................... 14
5 MGR-SISP: Escopo de aplicação e principais características ............................... 17
6 Forma de estruturação e de representação ....................................................... 24
7 Visão geral da metodologia .............................................................................. 25
7.1 Subprocesso Estabelecer Contexto (EC) ................................................................. 27
7.1.1 Atividade definir os papéis e as responsabilidades ........................................... 27
7.1.2 Atividade definir os objetivos, o escopo e as restrições da GRSI ...................... 27
7.1.3 Atividade realizar pré-análise da organização................................................... 28
7.1.4 Atividade realizar pré-análise de unidades da organização ............................. 29
7.1.5 Atividade definir critérios ................................................................................... 30
7.2 Subprocesso Identificar Riscos (IR) ........................................................................ 31
7.2.1 Atividade identificar ativos ................................................................................. 32
7.2.2 Atividade identificar ameaças ............................................................................. 32
7.2.3 Atividade identificar controles ............................................................................ 33
7.2.4 Atividade identificar vulnerabilidades ............................................................... 33
7.3 Subprocesso Estimar Riscos (ER) ........................................................................... 34
7.3.1 Atividade avaliar consequências ......................................................................... 34
7.3.2 Atividade avaliar probabilidades ........................................................................ 35
7.3.3 Atividade estimar nível de risco .......................................................................... 35
7.4 Subprocesso Avaliar Riscos (AR) ............................................................................ 35
7.4.1 Atividade classificar os riscos .............................................................................. 36
7.5 Subprocesso Tratar Riscos (TR) ............................................................................. 36
7.5.1 Atividade estimar custos e prazos ...................................................................... 37
7.5.2 Atividade decidir sobre alternativas de resposta ao risco ................................ 37
7.5.3 Atividade implementar a resposta aos riscos .................................................... 38
7.6 Subprocesso Comunicar Riscos (CR) ...................................................................... 38
7.6.1 Atividade mapear e estabelecer comunicações com as partes interessadas... 38
7.6.2 Atividade compartilhar com os tomadores de decisão informações, resultados
e saídas de todas as atividades ........................................................................................ 38
7.6.3 Atividade Avaliar e validar informações estratégicas. ...................................... 39
7.7 Subprocesso Monitorar Riscos (MR) ...................................................................... 39
7.7.1 Atividade monitorar a implementação do tratamento de risco ....................... 39
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 7 de 140
7.7.2 Atividade monitorar os riscos. ............................................................................ 39
7.7.3 Atividade monitorar alterações que impactam no resultado da análise de risco
40
8 Detalhamento da metodologia ......................................................................... 41
8.1 Subprocesso estabelecer contexto (EC) ................................................................. 41
8.1.1 Atividade 1. Definir os papéis e as responsabilidades ...................................... 42
8.1.2 Atividade 2. Definir os objetivos, o escopo e as restrições da GRSI ................. 45
8.1.3 Atividade 3. Realizar pré-análise da organização .............................................. 50
8.1.4 Atividade 4. Realizar pré-análise de unidades da organização ........................ 54
8.1.5 Atividade 5. Definir critérios ............................................................................... 60
8.2 Subprocesso Identificar Riscos (IR) ........................................................................ 69
8.2.1 Atividade 1. Identificar ativos ............................................................................. 70
8.2.2 Atividade 2. Identificar ameaças ......................................................................... 75
8.2.3 Atividade 3. Identificar controles ........................................................................ 80
8.2.4 Atividade 4. Identificar vulnerabilidades ........................................................... 84
8.3 Subprocesso Estimar Riscos (ER) ........................................................................... 89
8.3.1 Atividade 1. Identificar e avaliar consequências ............................................... 90
8.3.2 Atividade 2. Avaliar probabilidades.................................................................... 98
8.3.3 Atividade 3. Estimar nível de risco ................................................................... 104
8.4 Subprocesso Avaliar Riscos (AR) .......................................................................... 108
8.4.1 Atividade 1. Classificar os riscos ....................................................................... 109
8.5 Subprocesso Tratar Riscos (TR) ........................................................................... 114
8.5.1 Atividade 1. Estimar recursos para o tratamento de riscos ............................ 116
8.5.2 Atividade 2. Decidir sobre alternativas de reposta aos riscos ........................ 122
8.5.3 Atividade 3. Implementar a reposta aos riscos ................................................ 127
8.6 Subprocesso Comunicar Riscos (CR) .................................................................... 133
8.7 Subprocesso Monitorar Riscos (MR) .................................................................... 136
9 Considerações Finais....................................................................................... 138
10 Referências .................................................................................................. 139
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 8 de 140
1 Apresentação do documento Este documento situa-se no contexto do projeto “Desenvolvimento de
metodologia e ferramenta de software público de arquitetura aberta para gestão
de riscos de segurança da informação na Administração Pública Federal
(APF)”. Este projeto é iniciativa da SLTI/MP e encontra-se em execução no CTI
Centro de Tecnologia da Informação Renato Archer/MCTI, por intermédio da
fundação de apoio, Facti. O documento refere-se à Meta Física RM2,
componente do Objetivo Específico OE1: “Elaboração da Metodologia Pública
de Gestão de Riscos de Segurança da Informação”.
O documento apresenta a “Metodologia de Gestão de Riscos de
Segurança da Informação do SISP (MGR-SISP)”. A metodologia visa a
padronizar e sistematizar a gestão de riscos de segurança da informação na
APF. Almeja-se assim atingir níveis satisfatórios de segurança da informação, e
ao mesmo tempo racionalizar os investimentos, pela priorização de ações e por
evitar redundâncias na gestão de riscos.
A MGR-SISP é compatível com iniciativas anteriores voltadas à segurança
da informação na APF, como a Norma Complementar nº 04/IN01/DSIC/GSIPR,
que estabelece diretrizes para o processo de Gestão de Riscos de Segurança
da Informação e Comunicações.
Os órgãos da APF apresentam grande variedade no tocante às
características, aos requisitos, e ao nível maturidade em segurança da
informação. Deste modo, a MGR-SISP estabelece atividades de pré-analise,
visando a direcionar a implantação da metodologia em cada organização
específica. Busca-se também o respaldo de padrões bem aceitos, como
ISO/IEC 27005, IT Grundschutz BSI Standard 100-2 e NIST SP 800-39, que
forneceram elementos para a definição da MGR-SISP, descrita neste
documento.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 9 de 140
2 Introdução
Uma abordagem sistemática para a gestão da segurança da informação é
importante para que as organizações identifiquem possíveis ameaças ao seu
negócio e estabeleçam medidas de proteção eficazes. A missão da
organização e os seus objetivos principais devem ser a base para o
estabelecimento de práticas para a promoção da segurança da informação.
Um elemento importante nos esforços voltados à segurança da informação
é abordar os riscos de maneira efetiva e no tempo certo. A gestão de riscos
deve integrar o sistema de gestão de segurança da informação, e deve ser
alinhada às práticas gerais de gestão de riscos da organização.
A gestão de riscos de segurança da informação deve ser um processo
contínuo, bem estruturado e sistemático. O objetivo deste processo é de
assegurar uma proteção adequada para os elementos de valor da organização,
tais como: pessoas; informações; processos de negócio; e soluções de
tecnologia da informação e comunicação. Esta proteção é necessária para
evitar prejuízos a esses elementos de valor, que podem ocorrer como
consequência de violações de segurança.
Ao longo das atividades do processo de gestão de riscos devem ser
estabelecidos o contexto, o escopo e os objetivos da gestão; devem ser
identificados os riscos existentes, a probabilidade que estes de fato ocorram,
assim como a extensão e gravidade dos efeitos negativos produzidos. Pode-se
deste modo decidir sobre ações preventivas a serem tomadas para reduzir os
riscos para níveis aceitáveis. Este processo é importante também para gerar
informações que permitam a comunicação e a tomada de decisões sobre as
prioridades para a alocação de recursos de segurança da informação: busca-se
racionalizar o uso de recursos, evitando proteções redundantes, e privilegiando
a proteção dos recursos vitais.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 10 de 140
Este documento apresenta a primeira versão da “Metodologia de Gestão
de Riscos de Segurança da Informação do SISP” (MGR-SISP). No contexto
deste documento a Gestão de Riscos de Segurança da Informação é referida
pela sigla GRSI, ou em alguns pontos, apenas como “Gestão de Riscos”. A
aplicação da MGR-SISP em organizações será apoiada por uma ferramenta
computacional (a ser desenvolvida), referida como “ferramenta de apoio à
MGR-SISP”, ou em alguns pontos, simplesmente como “Ferramenta de Apoio”.
O restante deste documento esta organizado do seguinte modo. A Seção 3
apresenta termos e definições fundamentais; a Seção 4 lista as normas e
legislações relacionadas; a Seção 5 trata do escopo de aplicação e das
principais características da metodologia; a Seção 6 descreve a forma de
estruturação e de representação das descrições das seções seguintes. As
Seções 7 e 8 descrevem a metodologia, primeiro apresentando uma visão
geral, e segundo detalhando os subprocessos, as atividades e as informações
tratadas. Por fim, a Seção 9 apresenta as considerações finais e a Seção 10
traz as referências bibliográficas.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 11 de 140
3 Termos e definições
Aceitação do risco: Decisão de aceitar risco residual.
Ameaça: Elemento que tem potencial para comprometer ativos através da
exploração das vulnerabilidades.
Análise do risco: Estimar o risco baseado na probabilidade e seu
respectivo impacto.
Ataque: Evento decorrente da exploração de uma vulnerabilidade por uma
ameaça.
Ativo: Qualquer elemento que tenha valor para a organização.
Confidencialidade: Garantia de que a informação seja legível somente
para pessoas autorizadas.
Controle: Forma de gerenciar o risco, incluindo políticas, procedimentos,
diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza
administrativa, técnica, de gestão ou legal. Controle também pode ser utilizado
como um sinônimo para proteção ou contramedida.
Criptografia: Métodos para prover sigilo da informação.
Disponibilidade: Garantia de que os usuários autorizados obtenham
acesso à informação sempre que necessário.
Estimativa de risco: processo utilizado para atribuir valores à
probabilidade e consequência de um risco.
Identificação do risco: Processo de localizar, listar e caracterizar
elementos de risco.
Impacto: Mudança adversa no nível obtido dos objetivos de negócio.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 12 de 140
Incidentes de segurança da informação: Evento, ou série de eventos
indesejados ou inesperados, que tenham uma grande probabilidade de
comprometer as operações do negócio e ameaçar a segurança da informação.
Integridade: Garantia de que a informação não foi alterada de maneira
não autorizada ou desconhecida.
Mapa de Riscos: Informações relacionadas à cada risco, definidas no
decorrer das atividades de cada subprocesso tais como: ativos, ameaças,
controles, vulnerabilidades, consequências, probabilidades, níveis de risco, etc.
Probabilidade de ocorrência: Fator do risco baseado na análise da
probabilidade de que uma dada ameaça seja capaz de explorar uma dada
vulnerabilidade.
Redução do risco: Ações tomadas para reduzir a probabilidade, as
consequências negativas, ou ambas associadas a um risco.
Retenção do risco: Aceitação do ônus da perda ou do benefício do ganho
associado a um risco.
Risco: combinação da probabilidade de um evento e de suas
consequências.
Risco de Segurança da Informação: potencial de que uma ameaça irá
explorar vulnerabilidades de um ativo, ou conjunto de ativos, e deste modo
causar um dano à organização.
Risco residual: Riscos remanescentes após o tratamento do risco.
Sistema Estruturante: Sistema com suporte de tecnologia da informação
fundamental e imprescindível para planejamento, coordenação, execução,
descentralização, delegação de competência, controle ou auditoria das ações
do Estado, além de outras atividades auxiliares, desde que comum a dois ou
mais órgãos da Administração e que necessitem de coordenação central.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 13 de 140
Transferência do risco: Compartilhamento com outra entidade do ônus
da perda ou do benefício do ganho associado a um risco.
Vulnerabilidade: Falha ou descuido que quando explorada por uma
ameaça, resulta na violação da segurança.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 14 de 140
4 Normas e regulamentações relacionadas
Norma Complementar nº 02/IN01/DSIC/GSIPR, Metodologia de Gestão de
Segurança da Informação e Comunicações. 2008.
Norma Complementar nº 03/IN01/DSIC/GSIPR, Diretrizes para a
Elaboração de Política de Segurança da Informação e Comunicações nos
Órgãos e Entidades da Administração Pública Federal. 2009.
Norma Complementar nº 04/IN01/DSIC/GSIPR, e seu anexo, (Revisão 01).
Diretrizes para o processo de Gestão de Riscos de Segurança da Informação e
Comunicações - GRSIC nos órgãos e entidades da Administração Pública
Federal. 2013.
Norma Complementar nº 05/IN01/DSIC/GSIPR, e seu anexo, Disciplina a
criação de Equipes de Tratamento e Respostas a Incidentes em Redes
Computacionais - ETIR nos órgãos e entidades da Administração Pública
Federal. 2009
Norma Complementar nº 06/IN01/DSIC/GSIPR, Estabelece Diretrizes para
Gestão de Continuidade de Negócios, nos aspectos relacionados à Segurança
da Informação e Comunicações, nos órgãos e entidades da Administração
Pública Federal, direta e indireta – APF. 2009
Norma Complementar nº 07/IN01/DSIC/GSIPR, (Revisão 01) Estabelece
as Diretrizes para Implementação de Controles de Acesso Relativos
à Segurança da Informação e Comunicações, nos órgãos e entidades da
Administração Pública Federal (APF), direta e indireta. 2014.
Norma Complementar nº 08/IN01/DSIC/GSIPR, Estabelece as Diretrizes
para Gerenciamento de Incidentes em Redes Computacionais nos órgãos e
entidades da Administração Pública Federal.
Norma Complementar nº 09/IN01/DSIC/GSIPR, (Revisão 02) Estabelece
orientações específicas para o uso de recursos criptográficos em Segurança da
Informação e Comunicações, nos órgãos ou entidades da Administração
Pública Federal (APF), direta e indireta. 2014.
Norma Complementar nº 10/IN01/DSIC/GSIPR, Estabelece diretrizes para
o processo de Inventário e Mapeamento de Ativos de Informação, para apoiar a
Segurança da Informação e Comunicações (SIC), dos órgãos e entidades da
Administração Pública Federal, direta e indireta – APF. 2012.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 15 de 140
Norma Complementar nº 11/IN01/DSIC/GSIPR, Estabelece diretrizes para
avaliação de conformidade nos aspectos relativos à Segurança da Informação
e Comunicações (SIC) nos órgãos ou entidades da Administração Pública
Federal, direta e indireta – APF. 2012.
Norma Complementar nº 12/IN01/DSIC/GSIPR, Estabelece diretrizes e
orientações básicas para o uso de dispositivos móveis nos aspectos referentes
à Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da
Administração Pública Federal (APF), direta e indireta. 2012.
Norma Complementar nº 13/IN01/DSIC/GSIPR, Estabelece diretrizes para
a Gestão de Mudanças nos aspectos relativos à Segurança da Informação e
Comunicações (SIC) nos órgãos e entidades da Administração Pública Federal,
direta e indireta (APF). 2012.
Norma Complementar nº 14/IN01/DSIC/GSIPR, Estabelece diretrizes para
a utilização de tecnologias de Computação em Nuvem, nos aspectos
relacionados à Segurança da Informação e Comunicações (SIC), nos órgãos e
entidades da Administração Pública Federal (APF), direta e indireta. 2012.
Norma Complementar nº 15/IN01/DSIC/GSIPR, Estabelece diretrizes de
Segurança da Informação e Comunicações para o uso de redes sociais, nos
órgãos e entidades da Administração Pública Federal (APF), direta e indireta.
2012.
Norma Complementar nº 17/IN01/DSCI/GSIPR, Estabelece Diretrizes nos
contextos de atuação e adequações para Profissionais da Área de Segurança
da Informação e Comunicações (SIC) nos Órgãos e Entidades da
Administração Pública Federal (APF). 2013.
Norma Complementar nº 18/IN01/DSIC/GSIPR, Estabelece as Diretrizes
para as Atividades de Ensino em Segurança da Informação e Comunicações
(SIC) nos Órgãos e Entidades da Administração Pública Federal (APF). 2013.
Norma Complementar nº 19/IN01/DSIC/GSIPR, Estabelece Padrões
Mínimos de Segurança da Informação e Comunicações para os Sistemas
Estruturantes da Administração Pública Federal (APF), direta e indireta. 2014.
Norma Complementar nº 20/IN01/DSIC/GSIPR, (Revisão 1) Estabelece as
Diretrizes de Segurança da Informação e Comunicações para Instituição do
Processo de Tratamento da Informação nos órgãos e entidades da
Administração Pública Federal (APF), direta e indireta.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 16 de 140
Norma Complementar nº 21/IN01/DSIC/GSIPR, Estabelece as Diretrizes
para o Registro de Eventos, Coleta e Preservação de Evidências de Incidentes
de Segurança em Redes nos órgãos e entidades da Administração Pública
Federal, direta e indireta.
Instrução Normativa GSI Nº 1, de 13 de junho de 2008. Disciplina a Gestão
de Segurança da Informação e Comunicações na Administração Pública
Federal, direta e indireta, e dá outras providências.
Instrução Normativa GSI Nº 2, de 5 de fevereiro de 2013. Dispõe sobre o
Credenciamento de segurança para o tratamento de informação classificada,
em qualquer grau de sigilo, no âmbito do Poder Executivo Federal.
Instrução Normativa GSI Nº 3, de 6 de março de 2013. Dispõe sobre os
parâmetros e padrões mínimos dos recursos criptográficos baseados em
algoritmos de Estado para criptografia da informação classificada no âmbito do
Poder Executivo Federal.
Instrução Normativa SLTI/MP Nº 4, de 11 de setembro de 2014. Dispõe
sobre o processo de contratação de Soluções de Tecnologia da Informação
pelos órgãos integrantes do Sistema de Administração dos Recursos de
Tecnologia da Informação – SISP do Poder Executivo Federal.
Decreto Nº 8.135, de 4 de novembro de 2013. Dispõe sobre as
comunicações de dados da administração pública federal direta, autárquica e
fundacional, e sobre a dispensa de licitação nas contratações que possam
comprometer a segurança nacional.
Portaria Interministerial MP/MC/MD Nº 141, de 2 de maio de 2014. Dispõe
que as comunicações de dados da Administração Pública federal direta,
autárquica e fundacional deverão ser realizadas por redes de
telecomunicações e serviços de tecnologia da informação fornecidos por
órgãos ou entidades da Administração Pública Federal, incluindo empresas
públicas e sociedades de economia mista da União e suas subsidiárias,
observando o disposto nesta Portaria.
Guia de referência para a Segurança das Infraestruturas Críticas da
Informação. Versão 01 – Nov./2010.
Portaria Nº 14 – CDN de 11 de maio de 2015. A Estratégia de Segurança
da Informação e Comunicações e de Segurança Cibernética da Administração
Pública Federal.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 17 de 140
5 MGR-SISP: Escopo de aplicação e principais características
Esta seção apresenta uma visão geral da Metodologia de Gestão de
Riscos de Segurança da Informação do SISP (MGR-SISP). É apresentado o
escopo de aplicação da metodologia e é destacada integração desta iniciativa
com outras voltadas à segurança da informação na APF. São descritos
aspectos organizacionais importantes para a implementação da metodologia,
assim como os três níveis de atuação para a gestão de riscos e proteção:
organização; processos de negócio; e ativos tecnológicos.
A MGR-SISP é voltada à gestão de riscos de segurança da informação
com ênfase na fase de operação. Isto é, os alvos são órgãos da APF que
possuem infraestrutura TIC já estabelecida e que estão em funcionamento.
Não é tratada diretamente a gestão de riscos no desenvolvimento de soluções
TIC, embora isto seja possível, por meio de extensões da metodologia.
A MGR-SISP é compatível com a Norma Complementar nº
04/IN01/DSIC/GSIPR, que estabelece diretrizes para o processo de Gestão de
Riscos de Segurança da Informação e Comunicações, porém há um maior
detalhamento de processos, atividades e técnicas a serem utilizados. Além
disto, a existência de uma ferramenta de apoio à aplicação da metodologia
torna explícitos detalhes de “como” realizar as atividades de gestão, algo além
de indicar “o que” deve ser realizado. Isto contribui para tornar efetiva a adoção
e a utilização da metodologia.
A metodologia visa a ser uma plataforma integradora de iniciativas do
governo de aprimorar a segurança da informação na APF. O alvo é contemplar
os aspectos de segurança, conceitos e práticas, tratados em Normas
Complementares (NC) e em Instruções normativas (IN) que sejam relacionadas
à gestão de riscos de segurança da informação. Por exemplo, a metodologia
deve destacar a importância do estabelecimento de: uma Política de
Segurança da Informação e Comunicações (Norma Complementar nº
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 18 de 140
03/IN01/DSIC/GSIPR); direcionar o gestor de riscos a implementar de
Controles de Acesso (Norma Complementar nº 07/IN01/DSIC/GSIPR); e
enfatizar que se respeitem diretrizes para o processo de Inventário e
Mapeamento de Ativos de Informação (Norma Complementar nº
10/IN01/DSIC/GSIPR).
Outro ponto importante é que a MGR-SISP pode sistematizar e padronizar
a gestão de riscos na APF, destacando boas práticas e o reuso de soluções.
As medidas de segurança previstas contra as ameaças identificadas
(chamadas de proteções, ou controles) são baseadas em padrões bem aceitos
(como ISO/IEC 27005, IT Grundschutz BSI Standard 100-2 e NIST SP 800-39)
e permitem que se atinjam níveis satisfatórios de segurança da informação, e
ao mesmo tempo se racionalizem os investimentos, pela priorização de ações
e por evitar redundâncias.
Tendo como finalidade apoiar organizações da APF, cujas naturezas,
características e objetivos apresentam variações, almeja-se que a metodologia
seja adaptável e customizável. Em particular, busca-se oferecer apoio eficaz
para a gestão de riscos, independentemente do nível de maturidade em
segurança da informação em que a organização se encontra (em termos de
cultura e de práticas de segurança adotadas e institucionalizadas), e do nível
de segurança requerido pela organização (associado à criticidade dos ativos de
informação da organização).
Alguns requisitos mínimos, em termos de estrutura organizacional para a
segurança da informação, são esperados para a implementação da gestão de
riscos. Prevê-se a definição de papéis e o envolvimento de profissionais com
os seguintes perfis:
Representantes da Alta Administração da organização, que devem
aprovar pontos importantes relativos à gestão de riscos e para prover os
recursos necessários;
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 19 de 140
Responsáveis pela gestão de segurança da informação, que executarão
as atividades de gestão de riscos e coordenarão esforços para identificar e
estimar riscos, bem como propor melhorias necessárias para mitigar
riscos, além de comunicar os resultados de análises a todos os
interessados;
Responsáveis por avaliar as informações produzidas pela gestão de
riscos, acompanhar a realização das melhorias necessárias, e zelar pela
fiel utilização da metodologia;
Responsáveis pelas áreas da organização nas quais a metodologia de
gestão de riscos será implementada, que tem o papel de coletar as
informações necessárias à identificação e a estimação de riscos, e realizar
melhorias necessárias quando as análises indicarem esta necessidade.
É desejável também que a organização realize análises internas, voltadas
a estabelecer as condições iniciais apropriadas para a implementação da
metodologia de gestão de riscos. Isto envolve, por exemplo:
Definir o propósito dos investimentos em segurança da informação. O
propósito deve estar associado à missão e aos objetivos da organização,
deve ser documentado e aprovado por representantes da Alta
Administração da organização. Tipicamente, este documento é
denominado Política de Segurança da Informação da organização [Norma
Complementar nº 03/IN01/DSIC/GSIPR].
Para a gestão de riscos será necessário identificar os setores da
organização (divisões, departamentos, projetos, etc.) que tratam com
atividades e informações que envolvem requisitos de segurança, isto é,
atividades e informações para as quais é importante que haja
disponibilidade; integridade; e confidencialidade. Para facilitar esta tarefa,
a organização deve ter mapeados os seus processos de negócio e
informações antes de implantar a MGR-SISP.
Identificar profissionais com os perfis adequados aos papéis necessários à
implantação da gestão de riscos (citados acima). Importante destacar que
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 20 de 140
a metodologia/ferramenta apoia os profissionais na identificação de
eventos adversos que podem ocorrer e causar danos a ativos, a pessoas,
ou à organização. Também auxilia na identificação de medidas de
proteção, alternativas para evitar esses eventos, ou reduzir o impacto
destes. Entretanto, a metodologia/ferramenta não substitui a expertise
humana, necessária para decidir sobre alternativas de tratamento e para
adaptar e implementar as medidas de segurança.
A gestão de riscos pode ocorrer em diferentes níveis de detalhamento,
abordando medidas de proteção mais gerais, aplicáveis à organização como
um todo, ou a setores desta. Cada setor por sua vez pode ser decomposto em
processos de negócio e informações, permitindo estabelecer proteções mais
específicas, voltadas a estes processos e informações. Caso necessário, cada
processo de negócio pode ser decomposto nos ativos que o apoiam como:
equipamentos de hardware, redes, locais físicos e software. Neste nível mais
detalhado, as medidas de proteção são específicas para cada elemento (cada
componente de software, hardware, etc).
O conceito acima é ilustrado na Figura 1 que mostra os três níveis para a
gestão de riscos e para a adoção de medidas de proteção: gestão de aspectos
gerais da segurança de informação (1º Nível); gestão de segurança da
informação voltada a processos de negócio e informações específicas (2º
Nível); e gestão de segurança da informação para tratar cada elemento
tecnológico da organização (3º Nível).
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 21 de 140
Figura 1. Níveis de atuação para a gestão de riscos.
O conceito ilustrado na Figura 1 pode ser compreendido mais
concretamente a partir da análise da Tabela 1. Esta tabela exemplifica, para
cada nível de atuação (organização, processos de negócio e ativos de
tecnologia), ameaças, vulnerabilidades associadas às ameaças, e controles
que podem aumentar o nível de proteção dos ativos às ameaças.
Organização
Processos de Negócio
Ativos de tecnologia
1o Nível
2o Nível
3o Nível
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 22 de 140
Níveis Ameaça Vulnerabilidade Controle/Proteção
Nível 1 -
Organização
Furto de equipamento Acesso de não autorizados
nas dependências da
organização
Implementar controle de
acesso nas dependências da
organização
Furto de documentos nas
mesas dos funcionários
Falta de política de mesa
limpa
Instituir uma política de mesa
limpa
Interrupção de
suprimento de energia
Falta de Nobreak Implementar um Nobreak
Nível 2 -
Processo de
negócio
Ataque de negação de
serviço em um sistema
de voto eletrônico no dia
da eleição
Falta de monitoramento do
tráfego de rede
Implementar monitoramento
de rede
Vazamento de
documentos sigilosos nos
meios eletrônicos
Os documentos trafegam em
texto em claro nos meios
eletrônicos
Implementar criptografia nos
documentos sigilosos
Falha no serviço de
HelpDesk
O servidor de Helpdesk tem
problemas de Hardware
Implementar um servidor
Backup redundante
Nível 3 – Ativos
de Tecnologia
Tentativa de exploração
de acesso ao servidor
Linux
Serviço de acesso remoto
vulnerável
Atualização da aplicação de
acesso remoto
Tentativa de um atacante
conectar-se na rede local
(LAN)
Um atacante pode conectar
seu notebook na rede local
Implementar controle de
acesso lógico na rede local
Tentativa de um atacante
invadir um servidor de E-
Serviço de E-mail
desatualizado e sem
aplicações de segurança
Atualizar o serviço de E-mail e
aplicar o Hardening no
servidor
Tabela 1. Ameaças, Vulnerabilidades e Controle, por nível de atuação
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 23 de 140
A Figura 2 ilustra a atuação da gestão de segurança nos diversos níveis.
No nível 1: organização como um todo, ou unidades da organização
isoladamente; no nível 2, no qual processos de negócio e informações são o
alvo da gestão; e no nível 3, que trata individualmente de ativos como:
servidores, computadores pessoais, notebooks, dispositivos de rede, serviços,
etc.
Figura 2. Níveis de atuação para a gestão de riscos e elementos da organização
Organização
Unidade 1 Unidade 2 Unidade N
Processo de Negócio 1
Processo de Negócio 2
Nível 2
Processo de Negócio 1
SERVIDOR UNIX PC 1 SALA 1 LAN EMAIL
Nível 1
Nível 3
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 24 de 140
6 Forma de estruturação e de representação
Esta seção apresenta a forma de estruturação da metodologia, com a
utilização do conceito de processos e a notação BPMN.
A MGR-SISP é associada a um processo, composto por subprocessos,
que por sua vez são decompostos em atividades e, se necessário em tarefas.
Os subprocessos definem conjuntos de atividades, estruturadas para que
sejam atingidos os objetivos parciais específicos relacionados à gestão de
riscos.
Cada atividade é caracterizada pelos seguintes elementos: nome;
descrição; diagrama de fluxo de tarefas; tarefas e respectivos responsáveis;
condição para ser realizada; informações utilizadas; informações produzidas;
condição para ser finalizada; e templates e exemplos.
Os subprocessos, as atividades e as tarefas são ordenados, ou seja, há
relações de precedência, sendo que os resultados produzidos por um
subprocesso ou atividade, são normalmente utilizados para a realização de
subprocessos ou atividades seguintes.
Há também situações que envolvem a repetição de subprocessos ou de
atividades, isto é, subprocessos ou atividades são realizadas mais de uma vez,
até que uma condição alvo seja atingida.
O processo, os subprocessos, e as atividades são modelados usando a
notação BPMN (Business Process Modeling Notation), um modelo gráfico
amplamente utilizado para a modelagem, análise, e simulação de processos.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 25 de 140
7 Visão geral da metodologia
Esta seção apresenta a metodologia MGR-SISP de maneira ampla, com
foco nos subprocessos da metodologia e suas atividades principais. A Seção 8
detalha cada atividade nos moldes descritos na Seção 6.
A MGR-SISP é composta pelos seguintes subprocessos:
Estabelecer Contexto (EC);
Identificar Riscos (IR);
Estimar Riscos (ER);
Avaliar Riscos (AR);
Tratar Riscos (TR);
Comunicar Riscos (CR) e;
Monitorar Riscos (MR).
A Figura 3 ilustra o processo subjacente à MGR-SISP. É mostrado fluxo de
execução dos subprocessos, destacando a execução sequencial de:
Estabelecer Contexto; Identificar Riscos; Estimar Riscos; e Avaliar Riscos.
Em um primeiro ponto de decisão, depois do subprocesso Avaliar
Riscos, é avaliada a necessidade de mais informações, em termos de
abrangência e de nível de detalhe, situação na qual estes subprocessos são
reexecutados. O fluxo segue com o tratamento de riscos e em um segundo
ponto de decisão, caso o tratamento não seja suficiente, ou seja, o risco
residual é superior ao aceitável, ocorre a reexecução dos subprocessos.
Embora não explicitado na Figura 3, é previsto que a execução de cada
subprocesso seja seguida de uma avaliação dos resultados produzidos. Esta
avaliação pode indicar a necessidade de revisar informações ou reexecutar
atividades, aspecto detalhado na Seção 8.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 26 de 140
Figura 3. Processo da MGR-SISP
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 27 de 140
7.1 Subprocesso Estabelecer Contexto (EC)
Este subprocesso trata de pontos a serem definidos nas etapas iniciais da
implementação e utilização da metodologia de gestão de riscos e da
ferramenta em uma organização. O subprocesso compreende as seguintes
atividades.
7.1.1 Atividade definir os papéis e as responsabilidades
Isto envolve estabelecer responsáveis pela realização de atividades
voltadas à GRSI. Por exemplo, são identificados os responsáveis por definir
objetivos da segurança da informação; pelo gerenciamento das atividades de
gestão de riscos (planejar, iniciar e acompanhar atividades); pela realização da
identificação e estimação de riscos; e pelo fornecimento das informações
necessárias a gestão de riscos, por exemplo, sobre os ativos de informação de
cada unidade da organização.
7.1.2 Atividade definir os objetivos, o escopo e as restrições da GRSI
Definir o propósito da GRSI tendo em vista os objetivos estratégicos da
organização. Tipicamente isto envolve a definição de uma política de
segurança da informação [Norma Complementar nº 03/IN01/DSIC/GSIPR]. O
conteúdo da política de segurança da informação deve estar voltado a
aspectos importantes, como a missão e os objetivos da organização. Deve
também focar com atenção a atuação da organização em termos de serviços
prestados à sociedade e aos cidadãos.
Exemplos de objetivos para adoção da GRSI:
Garantir que sistemas estruturantes tenham padrões mínimos de
Segurança da informação e de Comunicações – SIC [Norma Complementar
nº 19/IN01/DSIC/GSPR];
Promover a alta confiabilidade para tratar informação em termos de
confidencialidade, integridade e disponibilidade;
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 28 de 140
Garantir uma boa reputação para o público em geral;
Preservar o valor do investimento em tecnologia, informação, processos e
conhecimento;
Proteger o valor das informações mais importantes;
Proteger a qualidade da informação utilizada para decisões importantes;
Garantir a satisfação de requisitos legais e de regulação;
Reduzir o custo de incidentes de segurança;
Garantir a continuidade do trabalho.
É necessário explicitar as premissas e restrições que podem afetar o
estabelecimento da GRSI, tais como: regulamentações específicas; restrições
financeiras; restrições de prazo; restrições técnicas, etc.
7.1.3 Atividade realizar pré-análise da organização
Esta atividade visa a obter uma avaliação inicial, não detalhada, da
situação atual em segurança da informação na organização. Esta avaliação
permite diagnosticar a maturidade da organização em segurança da
informação e é útil para direcionar os passos seguintes da gestão de riscos. A
atividade consiste na utilização de um questionário que aborda de forma ampla
pontos de segurança da informação, incluindo questões sobre:
Aspectos gerais de segurança (backup, criptografia, proteção contra
malware, treinamentos, etc.);
Infraestrutura (arquivos de dados, salas de servidores, escritórios,
equipamentos móveis, etc.);
Sistemas de TI (servidores, clientes, etc.);
Redes (ambientes de redes, gerenciamento, topologia, VPN, LAN, logs de
eventos, etc.), e;
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 29 de 140
Aplicações (servidores web, bancos de dados, aplicações web, serviços de
e-mail, etc.).
7.1.4 Atividade realizar pré-análise de unidades da organização
É necessário definir o escopo da GRSI, que pode ser aplicada na
organização como um todo, ou em partes (unidades ou setores) específicas.
Tipicamente as organizações podem ser decompostas em: departamentos,
seções, ou projetos.
É preciso decidir quais dessas unidades (departamentos, seções, ou
projetos) devem estar no escopo da gestão de riscos e quais ficam fora do
escopo. Além disso, algumas unidades podem ser mais relevantes tendo em
vista a missão e os objetivos mais importantes da organização. Estas unidades
devem ser priorizadas na realização da análise de riscos e na implementação
de aprimoramentos de segurança.
Esta pré-análise foca cada unidade separadamente e visa a avaliar
processos de negócio, atividades, e informações tratadas na unidade. Por meio
de um questionário, responsáveis pelas unidades são guiados a responder
sobre o nível de criticidade (em temos de requisitos de disponibilidade;
integridade; e confidencialidade) das operações da unidade, tendo em vista os
objetivos principais da organização.
De modo geral o nível de criticidade é maior quando a unidade da
organização possui processos de negócio, atividades e informações
associadas aos seguintes aspectos:
Sistema Estruturante;
Informações pessoais;
Informações classificadas (Lei Federal No 12527, 2011);
Obrigações legais ou regulatórias;
Interesses econômicos e comerciais;
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 30 de 140
Atividades que podem afetar a ordem pública;
Políticas e estratégias de negócios e de operação;
Contratos com clientes e fornecedores;
Esta análise estabelece em nível “macro” (alto nível) os requisitos de
segurança de cada setor da organização.
Como resultado tem-se, para cada unidade, uma relação de processos de
negócio, atividades e informações, associados aos respectivos níveis de
criticidade.
7.1.5 Atividade definir critérios
Trata da definição dos critérios básicos a serem considerados para a
gestão de riscos. Isto inclui a definição de critérios e/ou técnicas a serem
utilizados para análise de riscos a ser realizada, bem como para a tomada de
decisões.
Pontos a serem definidos:
Critério para a avaliação de riscos e de impactos. Envolve estabelecer
como serão avaliados riscos e impactos para os ativos a serem tratados na
etapa de análise de riscos. Essencialmente, questões chave são definidas
para direcionar a avaliação de riscos e de impactos. São também
configuradas tabelas de ponderação (do tipo probabilidade e impacto) a
serem aplicadas para as análises semiquantitativas de risco dos ativos.
Por meio de questões sobre os requisitos de segurança do ativo em
análise, o critério de impacto deve guiar o gestor de riscos na avaliação de
o quão crítico é o ativo, isto é, qual é o impacto para a organização da
perda de segurança do ativo. A avaliação envolve também estabelecer o
quanto o ativo está exposto a riscos, em termos de probabilidades
estimadas de perda de segurança. Esta análise deverá ser feita (na etapa
de análise de riscos) por meio de tabelas de ponderação, que consideram
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 31 de 140
de forma conjunta os fatores descritos (tabelas do tipo probabilidade e
impacto).
Critério para a avaliação e a aceitação de riscos. Consiste em definir regras
sobre o tratamento de riscos a ser realizado, dependendo dos valores de
risco apurados na etapa de estimativa de riscos. A organização deve definir
abaixo de quais níveis os riscos podem ser aceitos sem tratamento (nível
de tolerância a riscos) e para quais níveis os riscos devem ser tratados,
transferidos, ou evitados.
7.2 Subprocesso Identificar Riscos (IR)
Como definido na Seção 3, entende-se um Risco de Segurança da
Informação como “o potencial de que uma ameaça irá explorar vulnerabilidades
de um ativo, ou conjunto de ativos, e deste modo causar um dano à
organização”. O conceito de Risco de Segurança da Informação é referido
apenas como Risco, ou ainda como Cenário de Incidente.
Este subprocesso trata da identificação de riscos na organização, além da
descrição dos riscos e das consequências adversas resultantes. Busca-se
compreender possíveis ameaças e vulnerabilidades existentes, além de avaliar
a extensão e a adequação das proteções utilizadas (controles). Esta etapa é
direcionada pelos resultados da etapa anterior (Estabelecer Contexto), a saber:
propósito, premissas e escopo da GRSI; responsáveis e papéis; resultados das
pré-análises; critérios para a avaliação de riscos e de impactos; e critérios para
a aceitação de riscos.
A identificação de riscos pode tratar todos as unidades da organização
(departamentos, seções, ou projetos) ao mesmo tempo, com a execução das
atividades deste subprocesso sendo realizadas simultaneamente por
responsáveis em cada unidade. De outro modo, pode ser feita uma priorização,
focando os esforços e recursos primeiro em setores mais críticos, e depois, nos
sucessivamente menos críticos. Importante destacar que existem ameaças e
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 32 de 140
vulnerabilidades que impactam a organização como um todo. Tratar essas
ameaças com proteções adequadas também deve ser uma prioridade.
As atividades deste subprocesso e do subprocesso seguinte (Estimar
Riscos) geram informações que são consolidadas no Mapa de Riscos. Este
mapa agrupa as informações sobre riscos geradas de forma incremental em
cada atividade. A identificação de riscos é realizada por meio das seguintes
atividades:
7.2.1 Atividade identificar ativos
Ativo é tudo que tem valor para a organização e que deve estar no escopo
da gestão de riscos. De modo geral, pode-se dizer que ativos primários são:
processos de negócio; atividades; e informações. Os ativos de suporte podem
incluir, por exemplo: Hardware; Software; Redes de Comunicação; Locais
Físicos; Pessoas; e a Organização como um todo.
Sugere-se uma abordagem “top-down” para a análise e cadastro dos
ativos. Inicialmente devem ser cadastrados os processos de negócio; as
atividades; e as informações. Isto deve ser realizado para cada unidade da
organização que faça parte do escopo da GRSI.
Depois de cadastrados esses ativos primários, devem ser cadastrados os
ativos de suporte aos básicos. Este nível maior de granularidade e de
detalhamento deve focar primeiro as unidades e processos de negócio
identificados como mais críticos nas pré-análises realizadas. Cada ativo de
apoio vinculado ao processo de negócio em análise deve então ser cadastrado.
7.2.2 Atividade identificar ameaças
Ameaças tem o potencial de causar prejuízo aos ativos da organização,
podendo ser de origem humana, ou natural, e serem causadas de forma
acidental ou proposital.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 33 de 140
Deve ser realizada a identificação de ameaças para cada ativo identificado
no escopo da gestão de riscos. Em geral um tipo de ativo (hardware, software,
informação, etc.) está sujeito a um subconjunto de ameaças, dentre todas as
ameaças existentes. Além disso, uma mesma ameaça pode impactar vários
ativos de certo tipo.
As ameaças que se aplicam ao ativo em análise devem ser identificadas e
documentadas, para consideração em etapa posterior (Estimação de Riscos).
Como já destacado, uma ameaça existente para um ativo, caracteriza a
presença de um risco.
7.2.3 Atividade identificar controles
Ao se identificar as ameaças que podem existir em relação a um ativo ou à
organização, uma questão importante é de como proteger o ativo e a
organização contra as ameaças. Esta proteção é necessária para evitar que
ameaças explorem as vulnerabilidades, causando danos ao ativo e ao seu
contexto.
Para auxiliar na identificação de possíveis controles devem ser utilizados
catálogos de controles existentes, associados às ameaças (como os fornecidos
em IT-Grundschutz, ou ISO/IEC 27002).
O resultado desta análise permite identificar, para cada ameaça e ativo, a
existência (no estado atual da organização) de controles para proteger o ativo e
a efetividade destes. Esta informação é útil para a tomada de decisões em
etapas posteriores.
7.2.4 Atividade identificar vulnerabilidades
As vulnerabilidades podem ser exploradas por ameaças, levando a danos
para os ativos, ou para a organização.
Esta atividade tem o propósito de identificar estas vulnerabilidades, que
podem estar associadas a diferentes áreas como: organização; processos e
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 34 de 140
procedimentos; rotinas de gerenciamento; recursos humanos; ambiente físico;
configuração dos sistemas de informação; hardware; software; equipamentos
de comunicação; ou parceiros externos.
Para auxiliar na identificação de vulnerabilidades devem ser utilizados
catálogos de vulnerabilidades (como os fornecidos em IT-Grundschutz, ou
ISO/IEC 27005).
A definição de vulnerabilidades é uma consequência do mapeamento das
ameaças ao ativo. Quando um ativo apresenta uma ameaça e não há controles
implementados para proteger o ativo desta ameaça, tem-se uma
vulnerabilidade exposta.
7.3 Subprocesso Estimar Riscos (ER)
Este subprocesso trata da estimação dos riscos identificados no
subprocesso anterior (IR).
A estimação de riscos é realizada por meio das seguintes atividades.
7.3.1 Atividade avaliar consequências
Nesta atividade são avaliadas as possíveis consequências de riscos
(ameaças que podem se tornar realidade e provocar danos em ativos). As
consequências podem ter impacto em ativos, na organização e em pessoas.
Esta análise deve ser feita para cada ativo no escopo da GRSI e para cada
ameaça ao ativo. O resultado da análise deve refletir a extensão do dano
causado pela perda de atributos de segurança (confidencialidade, integridade e
disponibilidade), associados ao ativo caso a ameaça se concretize (ocorra uma
violação de segurança).
Devem ser considerados impactos diretos (exemplo: custo de reposição e
atrasos devido a um equipamento roubado) e os indiretos (exemplo: violação
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 35 de 140
de contratos devido aos atrasos, ou divulgação de informações pessoais
presentes no equipamento roubado).
Como resultado a atividade deve gerar descrições de consequências dos
riscos e estimativas quantitativas da gravidade dessas consequências.
7.3.2 Atividade avaliar probabilidades
Nesta atividade são avaliadas as probabilidades de riscos (isto é, a
probabilidade de que as ameaças que se concretizam e provocam danos em
ativos). Assim como a avaliação de consequências (atividade anterior), esta
análise deve ser feita para cada ativo no escopo da GRSI e para cada ameaça
ao ativo.
A avaliação de probabilidade deve refletir o quão frequentemente a
ameaça ocorre e o quão facilmente as vulnerabilidades são exploradas no
ativo.
Como resultado a atividade deve gerar estimativas quantitativas de
probabilidade dos riscos.
7.3.3 Atividade estimar nível de risco
Nesta atividade é estimado o nível de cada risco. Por meio de uma função
matemática é obtida uma estimativa do nível de cada risco em função das
estimativas de consequência e de probabilidade. Deste modo esta atividade
gera estimativas quantitativas do nível de cada risco.
7.4 Subprocesso Avaliar Riscos (AR)
Este subprocesso trata da avaliação dos riscos identificados e estimados
no subprocesso anterior. O Mapa de Riscos é utilizado neste subprocesso para
direcionar decisões sobre o tratamento de riscos.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 36 de 140
Os resultados obtidos nas atividades do subprocesso Estimar Riscos são
confrontados aos critérios estabelecidos no subprocesso Estabelecer Contexto.
O objetivo é identificar os riscos mais expressivos e estabelecer uma estratégia
de resposta a estes. A avaliação de riscos é realizada por meio da seguinte
atividade:
7.4.1 Atividade classificar os riscos
Como já descrito, a última atividade da Estimativa de Riscos gera um Mapa
de Riscos e informações relacionadas. Cada item do mapa define: ativo,
ameaça ao ativo, estimativa de consequência, justificativa para a estimativa de
consequência, estimativa de probabilidade, e nível de risco.
Deve-se então criar uma lista ordenada dos riscos de maior nível para os
riscos de menor nível, o que permite distinguir visualmente os riscos mais
relevantes.
Em seguida, devem ser aplicados os critérios de classificação, resultando
na atribuição de um nível de gravidade qualitativo para cada risco (risco muito
baixo, risco baixo, risco moderado, risco alto, ou risco muito alto).
7.5 Subprocesso Tratar Riscos (TR)
Neste subprocesso todas as análises realizadas e informações obtidas são
utilizadas na tomada de decisão sobre como a organização irá agir em relação
aos riscos. Além disso, outros fatores podem influenciar nesta decisão, tais
como o custo e o tempo estimados para tratar os riscos.
Como explicitado no fluxo do processo de Gestão de Ricos, trata-se de um
ponto de decisão no qual o Gestor de Riscos deve decidir se as informações
são suficientes para a tomada de decisões. Caso sejam necessárias
informações mais abrangentes, mais detalhadas, ou se forem identificadas
inconsistências, pode ser necessário reexecutar alguns subprocessos.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 37 de 140
O tratamento de riscos envolve a tomada de decisão sobre uma ou mais
opções de tratamento para cada risco identificado e estimado: redução de
riscos; retenção (aceitação) de riscos; transferência de riscos; ou evitar riscos.
O tratamento de riscos é realizado por meio das seguintes atividades.
7.5.1 Atividade estimar custos e prazos
Depois de estabelecida a lista ordenada de riscos, assim como definidas
as classes de risco, podem ser consideradas restrições que potencialmente
afetam as decisões sobre o tratamento de riscos, entre elas custos e prazos.
Neste sentido, os riscos precisam passar por uma análise preliminar a fim de
estimar a ordem de grandeza de custos e do prazo para o tratamento dos
riscos.
O resultado desta atividade é a associação de uma Estimativa de Custo,
uma Estimativa de Esforço, uma Estimativa de Prazo e de restrições, para cada
alternativa de tratamento de risco presente no Mapa de Riscos.
Deste modo a saída desta atividade é o Mapa de Riscos atualizado, onde
cada linha apresenta as informações: ativo; ameaça ao ativo; estimativa de
consequência; justificativa para a estimativa de consequência; estimativa de
probabilidade; nível de risco; e para cada alternativa de tratamento de risco:
estimativa de custo para tratamento; estimativa de esforço; estimativa de prazo
para tratamento; restrições.
7.5.2 Atividade decidir sobre alternativas de resposta ao risco
Nesta atividade cada risco relevante do Mapa de Riscos, produzida como
saída do subprocesso anterior (Estimar Riscos), é analisado para determinar a
resposta adequada.
Como já destacado, devem ser tratados prioritariamente os riscos maiores,
e alguns riscos menores podem ser retidos, segundo o estabelecido nos
critérios de avaliação de riscos e de aceitação de riscos.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 38 de 140
Esta atividade trata de avaliar cada risco relevante do Mapa de Riscos e
decidir sobre o tratamento (reduzir, reter, transferir, ou evitar).
7.5.3 Atividade implementar a resposta aos riscos
Nesta atividade o Gestor de Riscos deve criar condições para que os
riscos sejam tratados. Para tanto devem ser criados Planos de Tratamento de
Riscos (PTRs). Nesta atividade é importante considerar prioridades,
implementando antes respostas aos riscos avaliados como mais críticos.
7.6 Subprocesso Comunicar Riscos (CR)
Este subprocesso trata da comunicação dos riscos entre os envolvidos no
processo de GSRI. Tem por objetivo comunicar o desenvolvimento das
atividades e os resultados alcançados em todas as fases da gestão de riscos.
A comunicação do risco é importante uma vez que o tomador de decisão
baseia-se nessas entradas de informações para um bom entendimento dos
riscos e para decidir quais são as ações a serem tomadas.
As seguintes atividades são executadas neste subprocesso:
7.6.1 Atividade mapear e estabelecer comunicações com as partes
interessadas
Nesta atividade o Gestor de Riscos faz o mapeamento de todos os
envolvidos na análise de riscos, estabelece quais as responsabilidades de cada
um, e define pontos relacionados à comunicação.
7.6.2 Atividade compartilhar com os tomadores de decisão
informações, resultados e saídas de todas as atividades
Para cada saída das atividades, o Gestor de Riscos comunica aos
tomadores de decisão e a outros envolvidos sobre os resultados.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 39 de 140
7.6.3 Atividade Avaliar e validar informações estratégicas.
Esta atividade tem como objetivo avaliar e validar informações que
precisam ser realizadas por um Representante da Alta Administração. Caso
necessário, as atividades podem ser reexecutadas para a realização de
correções e de ajustes antes de passar para a próxima atividade.
7.7 Subprocesso Monitorar Riscos (MR)
Este subprocesso tem por objetivo monitorar todas as informações obtidas
sobre os riscos mapeados no processo de gestão de riscos e acompanhar o
progresso das atividades com o propósito de verificar o desenvolvimento
destas.
As seguintes atividades são executas neste subprocesso:
7.7.1 Atividade monitorar a implementação do tratamento de risco
Nesta atividade o gestor de riscos acompanha os Planos de Tratamento de
Risco – PTRs de modo a garantir que eles sejam efetivamente executados.
Caso algum problema ocorra, como por exemplo não respeitar o cronograma
programado de tratamento, cabe ao Gestor de Riscos contatar o responsável
pelo PTR e atuar para solucionar o problema.
7.7.2 Atividade monitorar os riscos.
Devem ser monitorados todos os riscos que compõem o Mapa de Riscos.
Os riscos aceitos (retidos), devem ser avaliados periodicamente para verificar
se há alterações que justifiquem outro tratamento. No caso de riscos reduzidos,
ou transferidos, avaliar periodicamente a efetividade dos controles
implementados pela execução dos planos de tratamento.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 40 de 140
7.7.3 Atividade monitorar alterações que impactam no resultado da
análise de risco
Nesta atividade o Gestor de Riscos monitora qualquer mudança que
impacte na análise de riscos, ou seja, desde a definição de contexto até os
riscos mapeados.
Deste modo, é importante monitorar tudo aquilo que possa impactar na
classificação destes riscos como, por exemplo:
Novos ativos;
Valor dos ativos;
Novas ameaças e vulnerabilidades;
Incidentes de segurança.
Novas leis ou regulamentações.
Cabe também ao Gestor de Riscos, continuamente monitorar, revisar e
aperfeiçoar o GSRI, visando assegurar que este processo permaneça
adequado à organização.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 41 de 140
8 Detalhamento da metodologia
Esta seção detalha a metodologia, fornecendo informações
complementares às da Seção 7. São descritos os subprocessos, suas
atividades, tarefas e as informações envolvidas.
Cada subprocesso é descrito resumidamente e é mostrado o fluxo de
atividades, por meio de diagramas em notação BPMN. Tem-se então a
descrição das atividades constituintes do subprocesso.
Para cada atividade é fornecida uma descrição, são apresentadas as
tarefas que compõem a atividade, os responsáveis pela execução das tarefas,
as informações necessárias e condição de início para a atividade, assim como
as informações produzidas e condição de finalização. As atividades também
são representadas por meio de diagramas em notação BPMN. Templates e
exemplos associados às atividades são apresentados.
8.1 Subprocesso estabelecer contexto (EC)
Descrição do subprocesso: Trata de pontos a serem definidos nas etapas
iniciais da implementação e utilização da metodologia de gestão de riscos e da
ferramenta de apoio em uma organização. As atividades do subprocesso são:
Definir os papéis e as responsabilidades;
Definir os objetivos, o escopo e as restrições da GRSI;
Realizar pré-análise da organização;
Realizar pré-análise de unidades da organização;
Definir critérios.
A Figura 4 mostra o fluxo do subprocesso.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 42 de 140
Figura 4. Subprocesso Estabelecer Contexto
8.1.1 Atividade 1. Definir os papéis e as responsabilidades
Descrição da atividade: envolve estabelecer papéis e responsáveis pela
realização de atividades voltadas à GRSI. Devem ser identificados os papéis
necessários à realização de todas as atividades da gestão de riscos e devem
ser localizados profissionais que apresentam perfil adequado para assumir
esses papéis. São previstos os seguintes papéis:
Representantes da Alta Administração. Responsáveis por prover os
recursos necessários à gestão de riscos; identificar papéis e
responsabilidades; iniciar as atividades de gestão de riscos; aprovar
pontos importantes relativos à gestão de riscos, como: objetivo, restrições,
e aprimoramentos da MGR-SISP.
Gestores de Riscos. Responsáveis por executar as atividades de gestão
de riscos e coordenar esforços para identificar e estimar riscos, bem como
propor melhorias necessárias para mitigar riscos, além de comunicar os
resultados de análises a todos os interessados.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 43 de 140
Auditores. Responsáveis por avaliar as informações produzidas pela
gestão de riscos, acompanhar a realização das melhorias necessárias, e
zelar pela fiel utilização da metodologia;
Responsáveis por Unidades (ou Responsáveis Técnicos). Responsáveis
pelas áreas da organização nas quais a metodologia de gestão de riscos
será implementada, ou que devem prover informações para a gestão de
riscos. Têm o papel de coletar as informações necessárias à identificação
e a estimação de riscos, e realizar melhorias necessárias quando as
análises indicarem esta necessidade;
Proprietários de Ativos. Responsáveis por fornecer informações sobre os
ativos que permitam a análise de riscos e a tomada de decisões sobre
controles a serem implementados.
A Figura 5 mostra o fluxo da atividade.
Figura 5. Atividade Definir os Papéis e as Responsabilidades
Tarefas da atividade:
Tarefa 1.1: Identificar a estrutura atual de segurança da informação na
organização e realizar as adequações necessárias;
Responsável: Representante da Alta Administração.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 44 de 140
Tarefa 1.2: Identificar papéis para a gestão de riscos.
A MGR-SISP define um conjunto de papeis e respectivas responsabilidades,
que vêm pré-cadastrados na Ferramenta de Apoio. O Representante da Alta
Administração deve identificar a adequação dos papéis e realizar ajustes, se
necessários.
Responsável: Representante da Alta Administração.
Tarefa 1.3: Alocar os recursos humanos aos papéis identificados.
Devem ser identificados os profissionais que assumirão os papéis na GRSI, o
que inclui a identificação de Gestores de Riscos, Responsáveis por Unidades
da Organização e Proprietários de Ativos.
Um Gestor de Riscos deve ser designado formalmente para a condução das
próximas atividades da GRSI.
Responsável: Representante da Alta Administração.
Condição para início: Decisão para implementar a MGR-SISP tomada.
Informações necessárias: Informações sobre profissionais da organização;
organograma.
Condição para ser finalizada: Papéis para gestão de riscos definidos e
respectivos profissionais identificados.
Informações produzidas: Papéis para gestão de riscos e respectivos
profissionais.
Templates da atividade:
O template na Figura 6 ilustra o registro de Papeis, Descrições e
Responsabilidades. O template na Figura 7 ilustra a associação de
profissionais específicos para os papeis, e destaca responsabilidades
específicas.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 45 de 140
Papéis e Responsabilidades
Papel Descrição do papel Descrição das responsabilidades do papel
Papel 1 Descrição do papel 1 Responsabilidades do papel 1
Papel 2 Descrição do papel 2 Responsabilidades do papel 2
... ... ...
Responsável pela informação:
Data:
Figura 6. Template do registro de Papéis, descrições e Responsabilidades
Profissionais, Papéis e Responsabilidades
Nome do profissional
Unidade (Divisão)
Telefone e-mail Papel Responsabilidades específicas
Nome 1 Unidade 1 Telefone 1 e-mail 1 Papel 1 Responsabilidades específicas 1
Nome 2 Unidade 2 Telefone 2 e-mail 2 Papel 2 Responsabilidades específicas 2
... ... ... ... ... ...
Responsável pela informação:
Data:
Figura 7. Template do registro de Profissionais e Papéis
8.1.2 Atividade 2. Definir os objetivos, o escopo e as restrições da GRSI
Descrição da atividade: visa principalmente a definir os objetivos e o escopo
da GRSI tendo em vista os objetivos estratégicos da organização. Tipicamente
esta informação é parte de uma política de segurança da informação [Norma
Complementar nº 03/IN01/DSIC/GSIPR].
O objetivo da GRSI deve ser voltado a aspectos importantes, como a missão e
os objetivos da organização, além de focar a atuação da organização em
termos de serviços prestados à sociedade e aos cidadãos.
Os objetivos e restrições devem ser a base para os passos posteriores da
gestão de riscos e para a tomada de decisões.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 46 de 140
Exemplos de objetivos para adoção da GRSI:
Garantir que sistemas estruturantes, padrões mínimos de Segurança da
informação e Comunicações – SIC [Norma Complementar nº
19/IN01/DSIC/GSPR];
Promover alta confiabilidade para tratar informação em termos de
confidencialidade, integridade e disponibilidade;
Garantir uma boa reputação para o público em geral;
Preservar o valor do investimento em tecnologia, informação, processos e
conhecimento;
Proteger o valor das informações mais importantes;
Proteger a qualidade da informação utilizada para decisões importantes;
Garantir a satisfação de requisitos legais e de regulação;
Reduzir o custo de incidentes de segurança;
Garantir a continuidade do trabalho.
O escopo da GRSI deve ser definido explicitando quais unidades da
organização (divisões, setores, departamentos, etc.) devem ser tratados pela
gestão de riscos. Esta análise deve focar na natureza das atividades e das
informações em cada unidade, levando à decisão de se há necessidade de
assegurar a segurança da informação nas unidades.
Importante notar mesmo as unidades que não tratam com informações e
processos críticos têm influência na segurança da informação, por exemplo às
relacionadas a Recursos Humanos, aspectos Jurídicos, etc.
Devem ser registradas quais as unidades estão no escopo da Gestão de
Riscos e quais estão fora do escopo. Justificativas dessas decisões devem ser
documentadas.
Importante salientar que a atividade “Realizar a pré-análise de unidades da
organização” (Atividade 4 deste subprocesso) fornece bases mais sólidas para
a definição do escopo. Caso a organização tenha dificuldade em definir o
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 47 de 140
escopo neste ponto, é aconselhável postergar esta definição para após a
realização da Atividade 4 deste subprocesso.
É necessário também explicitar as premissas e as restrições que podem afetar
o estabelecimento da GRSI, tais como: regulamentações específicas;
restrições financeiras; restrições de prazo; restrições técnicas, etc.
Esta atividade é de responsabilidade da Alta Administração da organização.
Membros técnicos, como um Gestor de Riscos, podem apoiar na realização da
atividade que neste caso deve ser validada pela Alta Administração.
Dependendo dos objetivos e da complexidade da organização, esta atividade
deve considerar também o envolvimento de setores, como: segurança
patrimonial; jurídico; recursos humanos; financeiro; e de planejamento.
A Figura 8 mostra o fluxo da atividade.
Figura 8. Atividade Definir os Objetivos, Escopo e as Restrições da GRSI
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 48 de 140
Tarefas da atividade:
Tarefa 2.1: Definir os objetivos da GRSI.
Devem ser informados os objetivos genéricos (de alto nível, como os listados
na descrição da atividade) e os objetivos específicos da organização (tais como
os relacionados aos seguintes pontos: informações confidenciais; sistemas que
requerem alta disponibilidade; sistemas e informações cruciais para a tomada
de decisões, etc.).
Responsável: Gestor de Riscos.
Tarefa 2.2: Identificar premissas e restrições relativas à GRSI.
Devem ser identificados os tipos de restrições que se apliquem (tais como:
técnicas, jurídicas, financeiras, de prazos, etc.) e devem ser descritos em
detalhes as restrições e premissas, informando se necessário valores, como de
prazo, ou de orçamento.
Responsável: Gestor de Riscos.
Tarefa 2.3: Definir o escopo da GRSI.
Identificar as unidades dentro do escopo e também as que estão fora do
escopo. Devem ser identificados também os responsáveis pelas unidades (um
ou mais responsáveis).
Responsável: Gestor de Riscos.
Tarefa 2.4: Analisar e validar objetivos, as premissas e restrições, e o escopo
da GRSI.
As informações definidas nas tarefas anteriores são estratégicas e devem ser
avaliadas por um Representante da Alta Administração.
Este representante deve avaliar as informações e, caso sejam encontradas
inconsistências, deve apontar a necessidade de reexecutar uma ou mais
tarefas anteriores da atividade.
Quando aprovadas as informações o fato deve ser registrado.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 49 de 140
Responsável: Representante da Alta Administração.
Condição para início: Papéis para gestão de riscos definidos e respectivos
profissionais identificados.
Informações necessárias: Objetivos da organização; regulamentações
específicas; restrições financeiras; restrições de prazo; restrições técnicas;
informações estratégicas de outros setores (exemplos: segurança patrimonial;
jurídico; recursos humanos; financeiro; e de planejamento).
Condição para ser finalizada: Objetivos, premissas e restrições da GRSI
identificadas, documentadas e validadas por representante da Alta
Administração.
Informações produzidas: Objetivos, premissas e restrições, e escopo da
GRSI identificadas e documentadas.
Template da atividade:
A Figura 9 apresenta um template para o registro das informações tratadas na
atividade.
Objetivos, Escopo, Premissas e Restrições da GRSI
Objetivos da GRSI Descrição dos Objetivos
Escopo da GRSI Descrição do Escopo
Premissas da GRSI Descrição das Premissas
Restrições da GRSI Descrição das Restrições
Responsável pela informação:
Responsável pela aprovação:
Data:
Figura 9. Template para o registro de objetivos, escopo, premissas e restrições
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 50 de 140
8.1.3 Atividade 3. Realizar pré-análise da organização
Descrição da atividade: visa a obter uma avaliação inicial e abrangente da
situação atual em segurança da informação na organização.
Esta avaliação é útil para direcionar os passos seguintes na gestão de riscos,
por exemplo, para indicar pontos fracos a serem priorizados no tratamento. A
avaliação pode também ser reaplicada em situações posteriores para se
verificar a evolução na segurança da informação.
A atividade consiste na utilização de um questionário (estilo Checklist) que
aborda de forma ampla pontos de segurança da informação. Propõe-se a
utilização de uma classificação proposta originalmente por (YOO e outros,
2007) e referida em (Canongia e outros, 2010), que aborda abrangentemente
requisitos de segurança da informação.
O questionário deve focar Itens de Controle e admitir para cada questão a
resposta da classificação de grau de implementação do Item de Controle entre
zero e cinco (grau variando de: “controles não adotados”, passando por:
“controles executados e documentados”, até “controles analisados e
aprimorados”).
Os itens de controle base abordam diferentes categorias:
Política de Proteção da Informação;
Gestão do Risco;
Gestão de Configuração;
Manutenção;
Proteção de Mídias;
Cultura;
Gestão de crise;
Proteção Física e Ambiental;
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 51 de 140
Segurança do Pessoal;
Resposta a incidentes;
Auditoria e Rastreamento de Responsabilidades;
Controle de Acesso ao Sistema e Proteção das Comunicações;
Aplicações.
Cada categoria de controle da lista anterior é associada a vários itens de
controle, que focam em pontos específicos da categoria.
Para cada item de controle deve ser classificado o Grau de Implementação
(GI), que pode variar entre 0 e 5. Opções como “Não se Aplica” (“a pergunta
não faz sentido no contexto”), ou “Não Avaliado” (“não sei responder”) também
são opções de resposta. Valores baixos para GI significam um item de controle
não implementado, valores médios significam item de controle em
implementação, valores altos significam item de controle implementado, já
valores muito altos significam item de controle em otimização. Uma tabela
detalhando características de cada nível de GI (de 0 a 5) deve ser fornecida
para facilitar a classificação.
O questionário pode ser respondido pelo Gestor de Riscos, ou este pode
identificar outros profissionais mais aptos a responder sobre categorias
específicas controles.
A análise das respostas obtidas permite a quantificação do nível de maturidade
da organização em cada uma das categorias abordadas.
A Figura 10 mostra o fluxo da atividade.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 52 de 140
Figura 10. Atividade Realizar Pré-análise da organização
Tarefas da atividade:
Tarefa 3.1: Identificar os profissionais que irão responder ao questionário.
Devem ser identificados e comunicados os profissionais que irão responder ao
questionário (um ou mais profissionais). O próprio gestor de riscos pode
também responder ao questionário.
Responsável: Gestor de Riscos.
Tarefa 3.2: Responder ao questionário.
Os profissionais designados respondem aos questionários. Caso necessário
estes devem ser orientados sobre as respostas possíveis para cada questão.
Responsável: Profissionais identificados.
Tarefa 3.3: Compilar as respostas e resumir os resultados.
Os resultados são gerados pela Ferramenta de Apoio à MGR-SISP. No caso
de vários questionários respondidos, as respostas devem ser consolidadas.
Os resultados são analisados pelo Gestor de Riscos e são comunicados ao
Representante da Alta Administração.
Responsável: Gestor de Riscos.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 53 de 140
Tarefa 3.4: Apreciar os resultados.
Os resultados consolidados devem ser apreciados pelos envolvidos em
tomadas de decisões na GRSI. A ciência dos resultados deve ser registrada.
Caso conveniente, ações de divulgação podem ser realizadas.
Responsável: Representante da Alta Administração.
Condição para início: Papéis para gestão de riscos definidos e respectivos
profissionais identificados.
Informações necessárias: Políticas da organização; procedimentos da
organização; conhecimento de profissionais da organização.
Condição para ser finalizada: Questionários respondidos, respostas
compiladas e resumidas.
Informações produzidas: Resultados da pré-análise. Quantificação do nível
de maturidade da organização em segurança da informação em cada uma das
categorias abordadas. Identificação de pontos fortes e pontos para melhoria.
Templates da atividade:
A Figura 11 mostra um modelo de questionário de pré-análise da organização,
que aborda categorias de controle, cada uma associada a vários itens de
controle a serem classificados por grau de implementação.
A Figura 12 mostra um formulário de resultados da avaliação com os valores
de nível de maturidade apurados para cada categoria de controle.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 54 de 140
Questionário de pré-analise da organização – nível de maturidade da organização em segurança da informação
Categoria de Controle Itens de Controle Grau de Implementação
(1 a 5, ou NA: não se aplica)
Categoria 1
Categoria 1 – Item 1 Grau de Implementação Categoria 1 – Item 1
Categoria 1 – Item 2 Grau de Implementação Categoria 1 – Item 2
... ...
Média da Categoria Média de valores de Grau de Implementação Categoria 1 (Nível de Maturidade)
Categoria 2
Categoria 2 – Item 1 Grau de Implementação Categoria 2 – Item 1
Categoria 2 – Item 2 Grau de Implementação Categoria 2 – Item 2
... ...
Média da Categoria Média de valores de Grau de Implementação Categoria 2 (Nível de Maturidade)
Responsável pela informação:
Data:
Figura 11. Modelo de questionário de pré-análise da organização
Resultados da pré-análise da organização – nível de maturidade da organização em segurança da informação
Categorias de controle Nível de Maturidade
(Score obtido / Total de Itens – varia entre 1 e 5)
Categoria 1 Nível de Maturidade – Média Categoria 1
Categoria 2 Nível de Maturidade - Média Categoria 2
... ...
Média dos Níveis de Maturidade
Responsável pela informação:
Data:
Figura 12. Modelo de apresentação de resultados da pré-análise da organização
8.1.4 Atividade 4. Realizar pré-análise de unidades da organização
Descrição da atividade: nesta etapa é realizada uma pré-análise das
unidades da organização. Neste contexto unidades representam as partes em
que uma organização pode ser decomposta – divisões, departamentos,
setores, etc. Esta pré-análise foca cada unidade separadamente e visa a
avaliar os processos de negócio, e as informações tratadas na unidade. A
importância para a organização, dos processos de negócio e das informações
tratados nas unidades, determina os requisitos de proteção dessas unidades.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 55 de 140
Algumas questões chave podem auxiliar nesta avaliação, por exemplo:
Existe algum sistema estruturante na organização?
Quais processos de negócio existem e como eles estão associados aos
objetivos da organização?
Quais processos de negócio dependem do funcionamento correto da
infraestrutura de tecnologia da informação?
Que informação é tratada em cada processo de negócio?
Que informação é especialmente importante e que requer proteção em termos
de confidencialidade, integridade e disponibilidade?
Quais condições externas que afetam a segurança da informação, como:
requisitos legais (leis e regulações), fatores geográficos, contexto social e
cultural, requisitos de clientes, parceiros, ou fornecedores, padrões
específicos?
O responsável pela unidade da organização é o incumbido de prover esta
informação, contando com o apoio do Gestor de Riscos e de responsáveis por
ativos na unidade (proprietários de ativos, que não sejam o responsável pela
unidade).
Nesta avaliação o responsável pela unidade deve identificar os ativos primários
da unidade. Ativos primários são:
Processos de negócio e suas atividades;
Informações.
Cada processo de negócio e informação no escopo da unidade deve ser
identificado e documentado por meio de uma breve descrição.
Tem-se então a utilização de um questionário para avaliar o quão crítico para a
organização é cada processo de negócio, ou informação.
Este nível de criticidade está associado à gravidade e à extensão do dano à
organização, a pessoas, ou a outras organizações, consequência de violações
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 56 de 140
de segurança nos ativos primários. A classificação deve ser feita com respeito
a cada atributo separadamente:
Confidencialidade;
Integridade;
Disponibilidade.
Cada atributo pode assumir uma das classificações (e respectivos pesos)
abaixo. As questões base para a análise são do tipo: “O impacto e a extensão
da perda de [Confidencialidade, Integridade, Disponibilidade] do ativo primário
em análise pode ser definido como:”.
Muito pouco crítico. (peso 1). A [Confidencialidade, Integridade,
Disponibilidade] é irrelevante para a organização. Incidentes não causam
impactos;
Pouco crítico. (peso 2). A [Confidencialidade, Integridade, Disponibilidade] é
pouco relevante para a organização. Incidentes podem causar impactos muito
baixos;
Moderadamente crítico. (peso 5). A [Confidencialidade, Integridade,
Disponibilidade] é relevante para a organização. Incidentes podem causar
impactos controláveis, mas não desprezíveis;
Crítico. (peso 8). A [Confidencialidade, Integridade, Disponibilidade] é
altamente relevante para a organização. Incidentes podem causar problemas
de grande impacto e extensão;
Altamente crítico. (peso 10). A [Confidencialidade, Integridade, Disponibilidade]
é fundamental para a organização. Incidentes podem causar problemas cuja
gravidade coloca em risco pessoas e a organização.
Depois de respondidos os questionários para todas as unidades, e abordando
todos os ativos primários, é possível apurar a seguinte informação: para cada
unidade, uma lista de ativos primários e respectivos valores de criticidade para
cada um dos atributos, além de valores totais.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 57 de 140
Esta informação é útil para se consolidar o escopo definido para a gestão de
riscos (atividade “Definir os objetivos o escopo e as restrições da GRSI”). Deve
ser avaliado se os resultados desta pré-análise estão condizentes com o
escopo definido, ou se são necessárias alterações (aumentar ou diminuir o
escopo).
A Tabela 2 ilustra como essas informações podem ser representadas. Podem
ser identificadas informações sobre unidade UA da organização. Para cada ativo
primário ATi, são identificados os níveis de criticidade para Confidencialidade
(CATi), Integridade (IATi) e Disponibilidade (DATi). A criticidade total do ativo (TATi) é
calculada por meio de uma função F1 (por exemplo, o máximo entre os
valores). A criticidade total da unidade (TUUi) é calculada por meio de uma
função F2 (por exemplo, soma das criticidades dos ativos).
Ao se quantificar a criticidade dos ativos primários de cada unidade,
estabelece-se a base para a tomada de decisões estratégicas sobre
prioridades na gestão de riscos de segurança.
Unidade Ativo
Primário
Criticidade Total Ativo Total Unidade
C I D
UA
AT1 CAT1 IAT1 DAT1 TAT1=F1(CAT1, IAT1, DAT1)
TUUA=F2(TAT1, TAT2,
TAT3) AT2 CAT2 IAT2 DAT2 TAT2=F1(CAT2, IAT2,
DAT2)
AT3 CAT3 IAT3 DAT3 TAT3=F1(CAT3, IAT3, DAT3)
Tabela 2. Informações de resultado da pré-análise para a unidade UA da organização
A Figura 13 mostra o fluxo da atividade.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 58 de 140
Figura 13. Atividade Realizar Pré-análise das unidades da organização
Tarefas da atividade:
Tarefa 4.1: Identificar profissionais que irão responder ao questionário.
Os profissionais devem ser selecionados e comunicados.
Responsável: Gestor de Riscos;
Tarefa 4.2: Responder ao questionário.
Os profissionais selecionados devem responder ao questionário e enviar as
respostas ao Gestor de Riscos.
Responsável: Responsáveis pelas unidades e responsáveis por ativos na
unidade; apoio do Gestor de Riscos.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 59 de 140
Tarefa 4.3: Compilar as respostas e resumir os resultados.
Os resultados são gerados pela Ferramenta de Apoio à MGR-SISP. Os
resultados são analisados pelo Gestor de Riscos e são comunicados ao
Representante da Alta Administração
Responsável: Gestor de Riscos.
Tarefa 4.4: Apreciar os resultados.
Os resultados consolidados devem ser apreciados pelos envolvidos em
tomadas de decisões na GRSI. A ciência dos resultados deve ser registrada.
Caso conveniente, ações de divulgação podem ser realizadas.
Responsável: Representante da Alta Administração.
Condição para início: Papéis para gestão de riscos definidos e respectivos
profissionais identificados.
Informações necessárias: Informações sobre os ativos primários de cada
unidade. Conhecimento dos responsáveis pelos setores e responsáveis por
ativos na unidade
Condição para ser finalizada: Questionários respondidos, respostas
compiladas e resumidas.
Informações produzidas: Resultados da pré-análise de unidades da
organização. Quantificação do nível de criticidade dos ativos primários tratados
em cada unidade da organização.
Template e exemplo da atividade:
A Figura 14 ilustra um formulário com os resultados da pré-análise de unidades
da organização que identifica: unidades, ativos primários, valores de
criticidades definidos na análise, totais de criticidade por ativo e por unidade.
A Figura 15 apresenta um exemplo deste mesmo formulário.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 60 de 140
Resultados da pré-análise de unidades da organização – Criticidade dos ativos primários de cada unidade
Unidade
(Unidade da
Organização)
Ativo Primário
Criticidade Total Ativo
(Criticidade total do ativo – média
de C,I,A)
Total Unidade
(soma de criticidades dos
ativos da unidade)
Identificador Descrição C (confidenci
alidade)
I (integridad
e)
D
(disponibilidade)
UA
AT1 Descrição
AT1 C AT1 I AT1 D AT1 TAT1=(CAT1 + IAT1,
+ DAT1)/3
TUUA=(TAT1+ +TAT2+TAT3)
AT2 Descrição
AT2 C AT2 I AT2 D AT2 TAT2=(CAT2 + IAT2,
+ DAT2)/3
AT3 Descrição
AT3 C AT3 I AT3 D AT3 TAT3=(CAT3 + IAT3,
+ DAT3)/3
... ... ... ... ... ... ... ...
Responsável pela informação:
Data:
Figura 14. Formulário com os resultados da pré-análise de unidades da organização
Resultados da pré-análise de unidades da organização – Criticidade dos ativos primários de cada unidade
Unidade (Unidade
da Organizaç
ão)
Ativo Primário
Criticidade
Total Ativo (Criticidade total do ativo – média
de C,I,D)
Total Unidade (soma de
criticidades dos ativos da unidade)
Identificador
Descrição C (confidenci
alidade)
I (integridad
e)
D (disponibili
dade)
Divisão de Planejame
nto
AT1
Documento preliminar de planejamento estratégico
10 8 5 7,6
10,2
AT2
Processo de reserva de
salas / equipamentos
1 2 5 2,6
Divisão de Operações
AT3 Controle de suprimentos
5 10 10 8,3 8,3
Responsável pela informação: Sr. Claudio Data: 10/05/2015
Figura 15. Exemplo do Formulário
8.1.5 Atividade 5. Definir critérios
Descrição da atividade: no processo de gestão de riscos são necessários
critérios para avaliar o nível dos riscos e para decidir sobre qual tratamento
deve ser realizado. Para tanto são utilizados critérios que sistematizam este
processo: critérios para a avaliação de riscos e de impactos, e critérios para a
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 61 de 140
aceitação de riscos. Os critérios definidos nesta atividade são utilizados em
momentos posteriores do processo de gestão de riscos.
A Figura 16 mostra o fluxo da atividade.
Figura 16. Atividade Definir Critérios
A metodologia MGR-SISP propõe o uso de análises semiquantitativas como
critérios, conforme descrito a seguir.
Tarefas da atividade:
Tarefa 5.1: Parametrizar critério de avaliação de consequências.
Nesta tarefa são definidos critérios para avaliar o nível das consequências (ou
impactos) de riscos (ameaças que se concretizam e provocam danos em
ativos). As consequências podem ter impacto em ativos, na organização e em
pessoas, podendo ser impactos diretos, ou indiretos. Cada classe de
consequência deve refletir a extensão do dano causado pela perda de atributos
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 62 de 140
de segurança (confidencialidade, integridade e disponibilidade), associados ao
ativo, caso a ameaça se concretize.
As classes de consequências previstas na MGR-SISP são as seguintes:
o Consequência Muito Baixa (MB);
o Consequência Baixa (B);
o Consequência Moderada (M);
o Consequência Alta (A);
o Consequência Muito Alta (MA).
A avaliação de consequências requer a Parametrização de questões de apoio.
O Gestor de Riscos deve definir questões de apoio para a avaliação de
consequências de cada atributo de segurança (confidencialidade, integridade e
disponibilidade). A Ferramenta de Apoio à MGR-SISP deve apresentar
questões default, que podem ser modificadas se necessário pelo Gestor de
Riscos.
A seguir é fornecido um exemplo de questão e de classificação default para
guiar a avaliação de consequências em relação ao atributo disponibilidade.
Questão: Qual o impacto da ameaça ao ativo em relação à disponibilidade?
Classes:
o Consequência Muito Baixa: nenhum serviço ou atividade é afetado;
o Consequência Baixa: poucos serviços ou atividades de menor
importância são afetados, pode provocar atrasos desprezíveis;
o Consequência Moderada: alguns serviços ou atividades são afetados,
podendo causar atrasos significativos;
o Consequência Alta: serviços essenciais são afetados, provocando
atrasos graves e danos elevados;
o Consequência Muito Alta: serviços essenciais são afetados
severamente, gerando danos muito elevados e atrasos intoleráveis.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 63 de 140
Responsável: Gestor de Riscos.
Tarefa 5.2: Parametrizar critério de avaliação de probabilidades.
Nesta tarefa são definidos critérios para avaliar as probabilidades de riscos, isto
é, o nível de probabilidade de que as ameaças se concretizam e provoquem
danos em ativos, na organização, ou em pessoas. Isto é feito por meio da
definição de classes de probabilidade que caracterizam o quão frequentemente
a espera-se que uma ameaça ocorra, e o quão facilmente as vulnerabilidades
serão exploradas no ativo.
As classes de probabilidades previstas na MGR-SISP são as seguintes:
o Probabilidade Muito Baixa (MB);
o Probabilidade Baixa (B);
o Probabilidade Moderada (M);
o Probabilidade Alta (A);
o Probabilidade Muito Alta (MA).
A avaliação de probabilidades requer a Parametrização de questões de apoio.
O Gestor de Riscos deve definir questões de apoio para a avaliação de
probabilidades. A Ferramenta de Apoio à MGR-SISP deve apresentar questões
default, que podem ser modificadas se necessário pelo Gestor de Riscos.
A seguir é fornecido um exemplo de questão e de classificação default para
guiar a avaliação de probabilidades.
Questão: Qual é a estimativa de probabilidade de que a ameaça ao ativo
ocorra em um prazo aproximado de um ano?
Classes:
o Probabilidade Muito Baixa. Altamente improvável, ocorre menos de uma
vez a cada 10 anos;
o Probabilidade Baixa. Improvável, ocorre menos que uma vez a cada
ano e mais do que uma vez a cada 10 anos;
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 64 de 140
o Probabilidade Moderada. Provável, ocorre entre 1 e 10 vezes por ano;
o Probabilidade Alta. Altamente provável, ocorre entre 10 e 100 vezes ao
ano;
o Probabilidade Muito Alta. Quase certo, Ocorre mais do que 100 vezes
ao ano.
Responsável: Gestor de Riscos.
Tarefa 5.3: Parametrizar critérios de tratamento e de aceitação de riscos.
Como detalhado à frente no subprocesso “Estimar Riscos (ER)”, o nível de
cada risco (uma dada ameaça a um ativo) é calculado a partir das estimativas
feitas para consequências e probabilidades.
A parametrização, critérios de tratamento e de aceitação de riscos devem
considerar dois aspectos:
o Definição de faixas de valores para os níveis de riscos;
o Definição de ações a serem tomadas para o tratamento de riscos em
cada faixa.
Definição de faixas de valores para os níveis de riscos. A Tabela 3 deve ser
gerada pela Ferramenta de Apoio à MGR-SISP.
Esta tabela ilustra um possível critério de classificação para o tratamento e
aceitação de riscos. A linha superior mostra a classificação de probabilidades e
a coluna à esquerda mostra a classificação de consequências. Os valores
interiores representam os níveis de risco estimados em cada situação, e
combinam os efeitos da probabilidade e da consequência do dos riscos. As
letras interiores definem as diferentes classes para o tratamento de riscos (MB:
Muito Baixo; B: Baixo; M: Moderado; A: Alto; MA: Muito Alto). Cada classe de
risco é sinalizada com uma cor diferente.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 65 de 140
Probabilidade Muito baixa Baixa Moderada Alta Muito alta
Co
ns
eq
uên
cia
Muito baixa 1 (MB) 2 (MB) 3 (B) 4 (B) 5 (M)
Baixa 2 (MB) 3 (B) 4 (B) 5 (M) 6 (A)
Moderada 3 (B) 4 (B) 5 (M) 6 (A) 7 (A)
Alta 4 (B) 5 (M) 6 (A) 7 (A) 8 (MA)
Muito alta 5 (M) 6 (A) 7 (A) 8 (MA) 9 (MA)
Tabela 3. Tabela de Classificação dos riscos
Deste modo, as faixas (ou classes) definidas pelos critérios de avaliação de
riscos e de aceitação de riscos neste caso estabelecem:
o Risco Muito Baixo (MB): nível de risco entre 1 e 2;
o Risco Baixo (B): nível de risco entre 3 e 4;
o Risco Moderado (M): nível de risco igual a 5;
o Risco Alto (A): nível de risco entre 6 e 7;
o Risco Muito Alto (MA): nível de risco entre 8 e 9.
Definição de ações a serem tomadas para o tratamento de riscos em cada
faixa. Este aspecto estabelece a estratégia da organização para tratar os
riscos, dependendo dos resultados obtidos na estimativa de riscos. Aspectos
como custo-benefício de tratamentos também devem ser levados em conta.
A seguir um exemplo de possível estratégia de tratamento de riscos (baseada
em Canongia e outros, 2010), que pode ser modificada pelo Gestor de Riscos:
o Risco Muito Baixo (MB): risco tolerável, nenhuma ação é necessária;
o Risco Baixo (B): risco tolerável, nenhuma ação imediata é necessária,
porém o risco deve ser monitorado;
Recomenda-se tratar os riscos nessa classe apenas se restrições
(como custo e esforço de tratamento) não forem significativas.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 66 de 140
o Risco Moderado (M): situação de atenção. Se possível o risco deve ser
tratado em médio prazo. O risco deve monitorado frequentemente;
Restrições (como custo e esforço de tratamento) podem ser
consideradas para priorizar o tratamento de riscos nessa classe.
o Risco Alto (A): risco intolerável, situação de grande preocupação. Ações
devem ser tomadas rapidamente e os resultados precisam ser
monitorados frequentemente para avaliar se a situação mudou com as
ações.
Recomenda-se o tratamento de riscos independentemente de restrições
(como custo e esforço de tratamento).
o Risco Muito Alto (MA): risco intolerável. Requer ações de tratamento
imediatas. As ações devem ser monitoradas continuamente para avaliar
se os efeitos são os esperados.
Os riscos devem ser tratados independentemente de restrições (como
custo e esforço de tratamento).
Responsável: Gestor de Riscos.
Tarefa 5.4: Analisar e validar os critérios definidos.
Os critérios definidos nas tarefas anteriores desta atividade devem ser
avaliados por representantes da Alta Administração. Estes representantes são
responsáveis por assegurar que os critérios definidos reflitam os objetivos de
segurança da organização. Caso sejam encontradas inconsistências ou
oportunidades de aprimoramento, deve-se apontar a necessidade de
reexecutar uma ou mais tarefas anteriores da atividade. Quando aprovadas as
informações o fato deve ser registrado.
Responsável: Representante da Alta Administração;
Condição para início: Papéis para gestão de riscos definidos e respectivos
profissionais identificados; objetivos e premissas e restrições da GRSI
identificadas, documentadas e validadas por representante da Alta
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 67 de 140
Administração; resultados da pré-análise obtidos; resultados da pré-análise de
unidades da organização obtidos.
Informações necessárias: objetivos e premissas e restrições da GRSI;
resultados da pré-análise; resultados da pré-análise de unidades da
organização;
Condição para ser finalizada: Critérios definidos e aprovados por
representante da Alta Administração
Informações produzidas: Critérios definidos - critério de avaliação de
consequências; critério de avaliação de probabilidades; critérios de tratamento
e de aceitação de riscos.
Templates da atividade:
A Figura 17 apresenta um formulário para a parametrização da avaliação de
consequências. Para cada classe de consequência devem ser definidas
questões a serem fornecidas para apoiar a classificação de consequências
para cada atributo de segurança (Confidencialidade, Disponibilidade e
Integridade).
Parametrização de critério de avaliação de consequências
Classe de consequência
Questões de apoio
Confidencialidade (Cn)
Disponibilidade
(Ds)
Integridade
(In)
Muito Baixa (MB) Questão (Cn) (MB) Questão (Ds) (MB) Questão (In) (MB)
Baixa (B) Questão (Cn) (B) Questão (Ds) (B) Questão (In) (B)
Moderada (M) Questão (Cn) (M) Questão (Ds) (M) Questão (In) (M)
Alta (A) Questão (Cn) (A) Questão (Ds) (A) Questão (In) (A)
Muito Alta (MA) Questão (Cn) (MA) Questão (Ds) (MA) Questão (In) (MA)
Responsável pela informação:
Data:
Figura 17. Formulário para a parametrização da avaliação de consequências
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 68 de 140
A Figura 18 apresenta um formulário para a parametrização da avaliação de
probabilidades. Para cada classe de consequência devem ser definidas as
questões a serem fornecidas para apoiar a classificação de probabilidades.
Parametrização de critério de avaliação de probabilidades
Classe de probabilidade Questões de apoio
Muito Baixa (MB) Questão (MB)
Baixa (B) Questão (B)
Moderada (M) Questão (M)
Alta (A) Questão (A)
Muito Alta (MA) Questão (MA)
Responsável pela informação:
Data:
Figura 18. Formulário para a parametrização da avaliação de probabilidades
A Figura 19 apresenta um formulário para a parametrização de critério de
tratamento e de aceitação de riscos. Para cada classe de consequência devem
ser definidos: os valores limites de risco (inferior e superior) para a classe, e as
ações a serem tomadas para tratar os riscos da classe.
Parametrização de critério de tratamento e de aceitação de riscos
Classe de Riscos
Valores Limites de Risco Ações a serem tomadas no tratamento de
riscos Limite Inferior (I)
Limite Superior (S)
Muito Baixo (MB) Risco (MB-I) Risco (MB-S) Ações para a classe de ricos MB
Baixo (B) Risco (B-I) Risco (B-S) Ações para a classe de ricos B
Moderado (M) Risco (M-I) Risco (M-S) Ações para a classe de ricos M
Alto (A) Risco (A-I) Risco (A-S) Ações para a classe de ricos A
Muito Alto (MA) Risco (MA-I) Risco (MA-S) Ações para a classe de ricos MA
Responsável pela informação:
Data:
Figura 19. Formulário para a parametrização de critério de tratamento e de aceitação de riscos
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 69 de 140
8.2 Subprocesso Identificar Riscos (IR)
Descrição do subprocesso
Trata da identificação e descrição de riscos na organização e das
consequências adversas resultantes. Busca-se compreender possíveis
ameaças e vulnerabilidades existentes, além de avaliar a extensão e a
adequação das proteções utilizadas (controles).
As atividades do subprocesso são:
Identificar ativos;
Identificar ameaças;
Identificar controles; e
Identificar vulnerabilidades.
A Figura 20 mostra o fluxo do subprocesso.
Figura 20. Subprocesso Identificar Riscos
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 70 de 140
8.2.1 Atividade 1. Identificar ativos
Descrição da atividade: nesta atividade são identificados os ativos que estão
no escopo da gestão de riscos.
Os resultados da pré-análise de unidades da organização (divisões,
departamentos, projetos, etc.) podem servir como base para priorizar a
identificação de ativos de unidades mais críticas. Esses resultados também
indicam o nível de detalhe requerido para a identificação dos ativos. Em
unidades menos críticas pode ser suficiente identificar apenas alguns ativos
primários (informações, ou processos de negócio). Já para unidades que
requerem maior nível de proteção pode ser necessário identificar os ativos que
suportam processos de negócio (hardware, software, salas, etc.).
De modo geral os tipos ativos para a identificação e o registro são:
Ativos primários:
Processos de negócio e suas atividades;
Informações;
Ativos de suporte:
Hardware, por exemplo:
o Equipamentos de processamento fixos (microcomputadores, servidores,
etc);
o Equipamentos de processamento móveis (notebooks, celulares, etc);
o Periféricos;
o Mídias de dados (pen-drive, cd, etc.);
o Outras mídias não eletrônicas (documentos em papel);
Software, por exemplo:
o Sistemas operacionais;
o Software de administração;
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 71 de 140
o Pacotes de software;
o Aplicações de negócio.
Redes, por exemplo:
o Mídias e apoio (equipamentos e protocolos, como Ethernet, protocolos
e equipamento WiFi, Bluetooth, Firewall, etc.);
o Equipamentos intermediários (roteadores, hub, switch);
o Interfaces de comunicação (adaptadores);
Pessoal, por exemplo:
o Tomadores de decisão (proprietários de ativos, responsáveis por
unidades, representantes da Alta Administração, etc.);
o Usuários (pessoal que interage com os ativos, recursos humanos,
gestão financeira, gestor de riscos, etc.);
o Pessoal de operação e manutenção (administrador do sistema,
administrador de banco de dados, help desk, etc.);
o Desenvolvedores (analistas, programadores, etc.);
Locais / recursos, por exemplo:
o Ambiente externo (outras organizações, casas de pessoas, etc.);
o Zonas, locais (prédios, áreas de escritório, salas reservadas, etc.);
o Serviços essenciais (energia elétrica);
o Comunicações (telefone);
o Utilidades (no-breaks, ar-condicionado, etc.);
Organização, por exemplo:
o Autoridades (líderes, representantes da Alta Administração);
o Estrutura da organização (gerenciamento de RH, gerenciamento de TI,
gerenciamento de compras, segurança física, etc.);
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 72 de 140
o Projetos da organização (migração de sistemas, novos
desenvolvimentos, etc.);
o Subcontratados (gerenciamento externo, consultores, etc.);
Deve-se notar que esta lista de tipos de Ativos de Suporte é abrangente.
Espera-se que uma boa parte das organizações que utilizarem a MGR-SISP
terá necessidade de tratar apenas um subconjunto desses tipos de ativos.
A Figura 21 mostra o fluxo da atividade.
Figura 21. Atividade Identificar Ativos
Tarefas da atividade:
Tarefa 1.1: Avaliar resultados de pré-análise de unidades da organização e
decidir a abordagem.
Esta tarefa retoma informações de atividades do subprocesso Estabelecer
Contexto para definir como abordar a gestão de riscos em cada unidade da
organização. Deve ser decidido, para cada unidade, o nível de detalhamento a
ser adotado na identificação de ativos. Isto envolve avaliar se é suficiente
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 73 de 140
identificar apenas ativos primários como alvo da análise de riscos, ou se é
necessário decompor os ativos primários em ativos de suporte.
Esta tarefa tem com resultado a definição da abordagem para a identificação
de ativos em cada unidade da organização.
Responsável: Gestor de Riscos, junto com responsáveis pelas unidades da
organização.
Tarefa 1.2: Selecionar as unidades no escopo da GRSI e acionar os
respectivos responsáveis.
Os responsáveis pelas unidades selecionadas são comunicados da
necessidade de identificar os ativos da unidade e são informados prazos
estimados para a realização da tarefa.
Responsável: Gestor de Riscos, junto com responsáveis pelas unidades da
organização.
Tarefa 1.3: Cadastrar ativos das unidades.
Trata da identificação e cadastro de cada ativo que faz parte do escopo da
gestão de riscos. Informações de ativos primários já cadastrados na atividade
“Realizar pré-análise de unidades da organização” devem ser revisadas.
Outros ativos primários e os ativos de suporte devem ser identificados e
cadastrados.
Informações típicas que caracterizam os ativos são: natureza (primário ou
suporte); tipo (hardware, software, etc.); subtipo (notebook, pen-drive, etc.);
descrição; responsável pelo ativo; responsável pela unidade que abriga o ativo;
data de cadastro; localização física; valor de reposição.
Esta tarefa é realizada em cada unidade da organização, podendo ser
realizada em série (uma unidade após a outra, em ordem priorizada por
criticidade), ou em paralelo (realizada simultaneamente em todos os setores).
O resultado da tarefa é o cadastro de cada ativo que faz parte do escopo da
gestão de riscos em cada unidade da organização.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 74 de 140
Responsável: Responsáveis pelas unidades da organização, proprietários de
ativos. Apoio do Gestor de Riscos.
Tarefa 1.4: Avaliar as informações sobre os ativos.
Depois de ser notificado do final do cadastro de ativos de cada unidade, estas
informações devem ser avaliadas. Caso o Gestor de Riscos identifique
inconsistências, deve indicar o fato ao responsável pela unidade e fornecer
uma descrição do problema. O responsável pela unidade receberá uma
notificação e a descrição do problema para que possa corrigi-lo. O passo
anterior ocorre até que Gestor de Riscos aprove as informações e registre este
fato.
Responsável: Gestor de Riscos.
Condição para início: atividades do subprocesso Estabelecer Contexto
finalizadas.
Informações necessárias: objetivos e premissas e restrições da GRSI;
escopo inicial da GRSI; resultados da pré-análise; resultados da pré-análise de
unidades da organização; critérios de avaliação de riscos e de aceitação de
riscos.
Condição para ser finalizada: ativos identificados.
Informações produzidas: Mapa de Riscos com informações sobre os ativos.
Template e exemplo da atividade:
A Figura 22 mostra o Mapa de Riscos com as informações relativas aos ativos
e ao cadastro realizado na atividade.
A Figura 23 mostra um exemplo.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 75 de 140
Mapa de Riscos
Ativos
Código Natureza (primário
ou suporte)
Tipo - Subtipo
(hardware, software,
etc.)
Unidade da organização
Responsável Pelo
Ativo
Descrição do Ativo
Localização do Ativo
Data de Cadastro
Responsável
Pelo Cadastro
A01 Natureza A01
Tipo A01 Unidade A01 Responsável A01
Descrição A01
Localização A01
Data de Cadastro
A01
Responsável
Cad. A01
A02 Natureza A02
Tipo A02 Unidade A02 Responsável A02
Descrição A02
Localização A02
Data de Cadastro
A02
Responsável
Cad. A02
... ... ... ... ... ... ... ... ...
Figura 22. Template do Mapa de Riscos - Ativos
Mapa de Riscos
Ativos
Código Natureza (primário
ou suporte)
Tipo - Subtipo
(hardware, software,
etc.)
Unidade da organização
Responsável Pelo
Ativo
Descrição do Ativo
Localização do Ativo
Data de Cadastro
Responsável
Pelo Cadastro
A01 Primário Processo Negócio
DMPS João Processo avaliação
RDA
DMPS – Sala 15
09/06/2015 Maria da DMPS
A02 Suporte Sala DSSI Miguel Sala 31 da DSSI
Prédio 3, andar 2
09/06/2015 Gestor de Riscos José
A03 Suporte Hardware, Servidor
DSC Paulo Servidor Dell
Modelo XY
Prédio 3, andar 2,
Datacenter1
09/06/2015 Paulo da DSC
Figura 23. Exemplo de Mapa de Riscos - Ativos
8.2.2 Atividade 2. Identificar ameaças
Descrição da atividade: trata da identificação das ameaças associadas aos
ativos identificados na atividade anterior.
Deve ser realizada a identificação de ameaças para cada ativo identificado no
escopo da gestão de riscos. Em geral um tipo de ativo (hardware, software,
informação, etc.) está sujeito a um subconjunto de ameaças, dentre todas as
ameaças existentes. Além disso, uma mesma ameaça pode impactar vários
ativos de certo tipo, ou ativos de tipos diferentes.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 76 de 140
Para auxiliar na identificação de ameaças devem ser utilizados catálogos de
ameaças típicas (como os fornecidos em IT-Grundschutz, ou ISO/IEC 27005).
Esta informação pode ser disponibilizada pela ferramenta de apoio à MGR-
SISP.
Tipos de ameaça incluem:
Dano físico (fogo, destruição de equipamentos);
Eventos naturais (enchente, terremotos);
Falta de serviços essenciais (perda de energia, perda de telecomunicações);
Comprometimento da informação (roubo de mídias, revelação de sigilos,
falsificação por software, fontes não confiáveis);
Falhas técnicas (falha de equipamentos, falha de software);
Ações não autorizadas (adulteração de dados, uso não autorizado de
equipamentos), e;
Comprometimento de funções (erro em uso, abuso de direitos).
As ameaças que se aplicam ao ativo em análise devem ser identificadas com
auxílio do catálogo de ameaças. Deve ser feita uma descrição de como a
ameaça gera impacto no ativo.
Caso seja identificada uma possível ameaça ao ativo que não esteja no
catálogo, esta nova ameaça deve ser inserida no catálogo. Deve-se também
associar a ameaça ao ativo e descrever o impacto desta.
Esta informação será utilizada no subprocesso Estimar Riscos.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 77 de 140
A Figura 24 mostra o fluxo da atividade.
Figura 24. Atividade Identificar Ameaças
Tarefas da atividade:
Tarefa 2.1: Indicar o início da identificação de ameaças.
Quando uma unidade da organização finalizou a identificação de ativos o
Gestor de Riscos indica o início da identificação e cadastro de ameaças. Os
responsáveis pelas unidades são comunicados da necessidade de identificar
as ameaças aos ativos da unidade e são informados prazos estimados para a
realização da tarefa.
Responsável: Gestor de Riscos
Tarefa 2.2: Identificar as ameaças aos ativos das unidades.
Refere-se à identificação e cadastro das ameaças aos ativos e deve ser
realizada em cada unidade da organização, possivelmente em paralelo. Para
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 78 de 140
cada ativo identificado na atividade anterior devem ser identificadas as
ameaças existentes (a partir de uma lista) e estas devem ser descritas.
O resultado da tarefa é o cadastro de ameaças para cada ativo que faz parte
do escopo da gestão de riscos em cada unidade da organização.
Responsável: Responsáveis pelas unidades da organização, proprietários de
ativos. Apoio do Gestor de Riscos.
Tarefa 2.3: Avaliar as informações sobre as ameaças.
Depois de ser notificado do final do cadastro de ameaças de cada unidade,
estas informações devem ser avaliadas. Caso o Gestor de Riscos identifique
inconsistências, deve indicar o fato ao responsável pela unidade e fornecer
uma descrição do problema. O responsável pela unidade receberá uma
notificação e a descrição do problema para que possa corrigi-lo. O passo
anterior ocorre até que Gestor de Riscos aprove as informações e registre este
fato.
Responsável: Gestor de Riscos.
Condição para início: identificação de ativos realizada. (Mapa de Riscos com
o ativo)
Informações necessárias: informações sobre ativos, lista de ameaças aos
ativos.
Condição para ser finalizada: ameaças identificadas e documentadas.
Informações produzidas: Mapa de Riscos com informações sobre os ativos e
as respectivas ameaças. Cada ativo pode estar sujeito a mais de uma ameaça.
Novas ameaças identificadas inseridas no catálogo de ameaças.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 79 de 140
Template e exemplo da atividade:
A Figura 25 mostra o Mapa de Riscos com as informações relativas aos ativos
e às respectivas ameaças (tipo e descrição de cada ameaça). Cada par [ativo,
ameaça] caracteriza um risco. A Figura 26 apresenta um exemplo.
Mapa de Riscos
Ativos Ameaças
Código Natureza (primário
ou suporte)
Tipo - Subtipo
(hardware, software,
etc.)
Unidade da organização
Responsável
Pelo
Ativo
Descrição do Ativo
Tipo de Ameaça (tipo de ameaça –
selecionado da lista)
Descrição da ameaça
(descrição – informação editada)
A01 Natureza A01
Tipo A01 Unidade A01
Responsável A01
Descrição A01
Tipo Ameaça 1 Descrição Ameaça 1
Tipo Ameaça 2 Descrição Ameaça 2
Tipo Ameaça 3 Descrição Ameaça 3
Tipo Ameaça 4 Descrição Ameaça 4
A02 Natureza A02
Tipo A02 Unidade A02
Responsável A02
Descrição A02
Tipo Ameaça 1 Descrição Ameaça 1
Tipo Ameaça 2 Descrição Ameaça 2
... ... ... ... ... ... ... ...
Figura 25. Template do Mapa de Riscos - Ativos, Ameaças
Mapa de Riscos
Ativos Ameaças
Código Natureza (primário
ou suporte)
Tipo - Subtipo
(hardware, software,
etc.)
Unidade da organização
Responsável
Pelo
Ativo
Descrição do Ativo
Tipo de Ameaça (tipo de ameaça –
selecionado da lista)
Descrição da ameaça
(descrição – informação editada)
A01 Primário Processo de
Negócio
DMPS João Processo avaliação
RDA
Comprometimento da informação
Extravio do documento sigiloso RDA-YZ.doc
Ações não autorizadas
Acesso de não autorizados no ambiente físico RdaR
Falhas técnicas Sistema de apoio RDA-AB pouco confiável
Comprometimento de funções
Abuso de diretos de acesso ao sistema RDA- CD
A02 Suporte Sala DSSI Miguel Sala 31 da DSSI
Comprometimento da informação
Extravio de pen-drive com informações sigilosas
Dano físico Perda de documentos devido a incêndio
Figura 26. Exemplo de Mapa de Riscos - Ativos, Ameaças
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 80 de 140
8.2.3 Atividade 3. Identificar controles
Descrição da atividade: Como já definido, um controle é “uma forma de
gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas,
estruturas organizacionais, que podem ser de natureza administrativa, técnica,
de gestão, ou legal”.
Controles de modo geral tem o efeito de reduzir os riscos por meio de dois
fatores:
Realizam uma redução da exposição de um ativo ao risco, protegendo-o e
diminuindo assim a probabilidade de que incidentes ocorram;
Realiza uma redução da gravidade da consequência em termos abrangência,
de duração, e de impacto na organização;
Esta atividade trata da identificação dos controles, associadas aos ativos e
ameaças, identificados nas atividades anteriores.
Cada ativo pode estar sujeito a uma ou mais ameaças. Um par [ativo, ameaça]
caracteriza um risco para o qual um ou mais controles podem ser aplicados.
Para auxiliar na identificação de possíveis controles devem ser utilizados
catálogos de controles existentes, associados às ameaças (como os fornecidos
em IT-Grundschutz, ou ISO/IEC 27002). Esta informação pode ser
disponibilizada pela ferramenta de apoio à MGR-SISP.
Recomenda-se realizar para cada ativo, e cada ameaça associada, a seguinte
análise, junto ao responsável pelo ativo:
Identificar os controles aplicáveis para proteger o ativo da ameaça (utilizar o
catálogo de controles);
Para cada controle, avaliar por meio de investigações e análises a existência
(ou não) do controle implementado na organização. A situação da
implementação do controle pode ser classificada em uma das seguintes
categorias:
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 81 de 140
o a) Não implementado;
o b) Parcialmente implementado;
o c) Totalmente implementado, ou;
o d) Não se aplica, ou desnecessário.
Justificativas devem ser fornecidas para as classificações.
Adicionalmente, caso o responsável pela análise idealize algum controle não
presente no catálogo consultado e que possa proteger o ativo da ameaça, este
novo controle deve ser inserido no catálogo de controles.
Deve-se também associar o novo controle ao ativo e ameaça.
O resultado desta análise permite identificar, para cada ameaça e ativo, a
existência (no estado atual da organização) de controles para proteger o ativo e
a efetividade destes controles. Esta informação é útil para a tomada de
decisões em etapas posteriores.
A Figura 27 mostra o fluxo da atividade.
Figura 27. Atividade Identificar Controles
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 82 de 140
Tarefas da atividade:
Tarefa 3.1: Indicar o início da identificação de controles.
Quando uma unidade da organização finalizou a identificação de ameaças o
Gestor de Riscos indica o início da identificação e cadastro de controles. Os
responsáveis pelas unidades são comunicados da necessidade de identificar
os controles para as ameaças (aos ativos da unidade) e são informados prazos
estimados para a realização da tarefa.
Responsável: Gestor de Riscos.
Tarefa 3.2: Identificar os controles.
Refere-se à identificação e cadastro de controles para as ameaças (aos ativos)
e deve ser realizada em cada unidade da organização. Para cada ativo e
ameaça devem ser identificados os controles aplicáveis, e deve ser informada
situação de implementação de cada controle, conforme já descrito nesta seção.
O resultado da tarefa é o cadastro de controles para as ameaças e ativos,
assim como a descrição dos respectivas situações de implementação.
Responsável: Responsáveis pelas unidades da organização, proprietários de
ativos. Apoio do Gestor de Riscos.
Tarefa 3.3: Avaliar as informações sobre os controles.
Depois de ser notificado do final do cadastro de controles em cada unidade,
estas informações devem ser avaliadas. Caso o Gestor de Riscos identifique
inconsistências, deve indicar o fato ao responsável pela unidade e fornecer
uma descrição do problema. O responsável pela unidade receberá uma
notificação e a descrição do problema para que possa corrigi-lo. O passo
anterior ocorre até que Gestor de Riscos aprove as informações e registre este
fato.
Responsável: Gestor de Riscos.
Condição para início: Mapa de Riscos com os ativos e ameaças identificados.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 83 de 140
Informações necessárias: informações sobre ativos e sobre ameaças, lista de
controles aplicáveis aos ativos e ameaças.
Condição para ser finalizada: controles identificados.
Informações produzidas: Mapa de Riscos com informações sobre os ativos,
respectivas ameaças, e os status de implementação de controles. Cada ativo
pode estar sujeito a mais de uma ameaça. Para cada par [ativo, ameaça]
podem existir zero ou mais controles implementados. Novos controles
identificados inseridos no catálogo de controles.
Template e exemplo da atividade:
A Figura 28 mostra o Mapa de Riscos com as informações relativas aos ativos,
às respectivas ameaças, e aos controles para cada ameaça (descrição do
controle, situação de implementação e justificativas). Os controles, quando
implementados corretamente, pode reduzir as ameaças aos ativos. A Figura 29
apresenta um exemplo.
Mapa de Riscos
Ativos Ameaças Controles
Código.
Descrição do Ativo
Tipo de Ameaça (tipo de ameaça –
selecionado da lista)
Descrição da ameaça
(descrição – informação editada)
Descrição do controle (lista de controles)
Situação / Justificativa
(Situação: seleção, Justificativa: informação
editada)
A01 Descrição A01
Tipo Ameaça 1 Descrição Ameaça 1 Descrição Controle 1 Situação / Justificativa Controle 1
Descrição Controle 2 Situação / Justificativa Controle 2
... ...
Tipo Ameaça 2 Descrição Ameaça 2 Descrição Controle 1 Situação / Justificativa Controle 1
Descrição Controle 2 Situação / Justificativa Controle 2
... ...
A02 Descrição A02
Tipo Ameaça 1 Descrição Ameaça 1 ... ...
Tipo Ameaça 2 Descrição Ameaça 2 ... ...
... ... ... ... ... ...
Figura 28. Template do Mapa de Riscos - Ativos, Ameaças e Controles
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 84 de 140
Mapa de Riscos
Ativos Ameaças Controles
Código Descrição do Ativo
Tipo de Ameaça (tipo de ameaça –
selecionado da lista)
Descrição da ameaça
(descrição – informação editada)
Descrição do controle (lista de controles)
Situação / Justificativa
(Situação: seleção, Justificativa: informação
editada)
A01 Processo avaliação RDA
Comprometimento da informação
Extravio do documento sigiloso RDA-YZ.doc
Conscientização “mesa limpa”
Não Implementado
Fechadura mecânica Totalmente Implementado
Câmara monitoramento. Parcialmente Implementado – câmera VGA, pouco nítida img.
Ações não autorizadas
Acesso de não autorizados no ambiente físico RdaR
Política e procedimentos de controle acesso
Parcialmente Implementado – procedimentos informais
Fechadura mecânica Totalmente Implementado
Câmara monitoramento. Totalmente Implementado
Falhas técnicas Sistema de apoio RDA-AB pouco confiável
Realizar teste de software Parcialmente Implementado – teste não sistemático.
Comprometimento de funções
Abuso de diretos de acesso ao sistema RDA- CD
Realizar teste de segurança
Totalmente Implementado
Figura 29. Exemplo de Mapa de Riscos - Ativos, Ameaças e Controles
8.2.4 Atividade 4. Identificar vulnerabilidades
Descrição da atividade: Relembrando, uma vulnerabilidade é definida como
“fragilidade de um ativo, ou grupo de ativos, que pode ser explorada por uma
ou mais ameaças”. Quando uma vulnerabilidade de um ativo é explorada por
uma ameaça pode ocorrer uma violação da segurança.
Esta atividade tem o propósito de identificar estas vulnerabilidades, que podem
estar associadas a diferentes áreas como: organização; processos e
procedimentos; rotinas de gerenciamento; recursos humanos; ambiente físico;
configuração dos sistemas de informação; hardware; software; equipamentos
de comunicação; ou parceiros externos.
Para auxiliar na identificação de vulnerabilidades devem ser utilizados
catálogos de vulnerabilidades (como os fornecidos em IT-Grundschutz, ou
ISO/IEC 27005). Esta informação pode ser disponibilizada pela ferramenta de
apoio à MGR-SISP.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 85 de 140
Recomenda-se realizar para cada ativo, e cada ameaça associada, a seguinte
análise, junto ao responsável pelo ativo:
Identificar os controles não implementados, ou parcialmente implementados,
para proteger o ativo da ameaça (resultado da atividade anterior);
Para cada controle, avaliar por meio de investigações e análises a existência
(ou não) de vulnerabilidades associadas ao ativo. A lista de vulnerabilidades
pode ser utilizada nesta tarefa.
Adicionalmente, caso seja identificada alguma vulnerabilidade não presente no
catálogo consultado, esta nova vulnerabilidade deve ser inserida no catálogo
de vulnerabilidades.
As vulnerabilidades identificadas para cada ativo devem ser documentadas
para a análise em etapas posteriores da gestão de riscos.
A Figura 30 mostra o fluxo da atividade.
Figura 30. Atividade Identificar Vulnerabilidades
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 86 de 140
Tarefas da atividade:
Tarefa 4.1: Indicar o início da identificação de vulnerabilidades.
Quando uma unidade da organização finalizou a identificação de controles para
as ameaças o Gestor de Riscos indica o início da identificação e cadastro de
vulnerabilidades. Os responsáveis pelas unidades são comunicados da
necessidade de identificar as vulnerabilidades associadas aos ativos da
unidade e são informados prazos estimados para a realização da tarefa.
Responsável: Gestor de Riscos
Tarefa 4.2: Identificar as vulnerabilidades.
Para cada ativo e ameaça devem ser identificados os controles com ênfase nos
controles não implementados e nos parcialmente implementados. A ferramenta
de apoio à MGR-SISP fornece uma lista de vulnerabilidades específicas
considerando o ativo, a ameaça e o controle. As vulnerabilidades consideradas
como existentes deve ser selecionadas e uma descrição da vulnerabilidade
deve ser fornecida.
Responsável: Responsáveis pelas unidades da organização, proprietários de
ativos. Apoio do Gestor de Riscos.
Tarefa 4.3: Avaliar as informações sobre as vulnerabilidades.
Depois de ser notificado do final do cadastro de vulnerabilidades em cada
unidade, estas informações devem ser avaliadas. Caso o Gestor de Riscos
identifique inconsistências, deve indicar o fato ao responsável pela unidade e
fornecer uma descrição do problema. O responsável pela unidade receberá
uma notificação e a descrição do problema para que possa corrigi-lo. O passo
anterior ocorre até que Gestor de Riscos aprove as informações e registre este
fato.
Responsável: Gestor de Riscos.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 87 de 140
Condição para início: Mapa de Riscos com os ativos, as ameaças e os
controles identificados. Atividades de identificação de ativos, de identificação
de ameaças e de identificação de controles realizadas.
Informações necessárias: informações sobre ativos, sobre ameaças e sobre
controles, lista de controles aplicáveis aos ativos e ameaças.
Condição para ser finalizada: vulnerabilidades identificadas.
Informações produzidas: Mapa de Riscos atualizado com informações sobre
as vulnerabilidades identificadas. Novas vulnerabilidades inseridas na lista de
vulnerabilidades.
Template e exemplo da atividade:
A Figura 31 mostra o Mapa de Riscos com as informações relativas aos ativos,
às respectivas ameaças, aos controles para cada ameaça e às
vulnerabilidades (descrição da vulnerabilidade, se existente). As
vulnerabilidades são associadas a controles não implementados, ou a controles
implementados inadequadamente. A Figura 32 apresenta um exemplo.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 88 de 140
Mapa de Riscos
Ativos Ameaças Controles Vulnerabilidades
Código. Descrição do Ativo
Tipo de Ameaça (tipo de
ameaça – selecionado
da lista)
Descrição da ameaça
(descrição – informação
editada)
Descrição do controle (lista de
controles)
Situação / Justificativa
(Situação: seleção, Justificativa:
informação editada)
Descrição da Vulnerabilidade
A01 Descrição A01
Tipo Ameaça 1
Descrição Ameaça 1
Descrição Controle 1
Situação / Justificativa Controle 1
Descrição da Vulnerabilidade 1
Descrição Controle 2
Situação / Justificativa Controle 2
Descrição da Vulnerabilidade 2
... ... ...
Tipo Ameaça 2
Descrição Ameaça 2
Descrição Controle 1
Situação / Justificativa Controle 1
Descrição da Vulnerabilidade 1
Descrição Controle 2
Situação / Justificativa Controle 2
Descrição da Vulnerabilidade 2
... ... ...
A02 Descrição A02
Tipo Ameaça 1
Descrição Ameaça 1
... ... ...
Tipo Ameaça 2
Descrição Ameaça 2
... ... ...
... ... ... ... ... ... ...
Figura 31. Template do Mapa de Riscos – Ativos, Ameaças, Controles e Vulnerabilidades
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 89 de 140
Mapa de Riscos
Ativos Ameaças Controles Vulnerabilidades
Código. Descrição do Ativo
Tipo de Ameaça (tipo de
ameaça – selecionado
da lista)
Descrição da ameaça
(descrição – informação
editada)
Descrição do controle (lista de
controles)
Situação / Justificativa
(Situação: seleção, Justificativa:
informação editada)
Descrição da Vulnerabilidade
A01 Processo avaliação RDA
Comprometimento da informação
Extravio do documento sigiloso RDA-YZ.doc
Conscientização “mesa limpa”
Não Implementado Maior probabilidade do extravio de documentos e equipamentos
Fechadura mecânica
Totalmente Implementado
Nenhuma
Câmara monitoramento.
Parcialmente Implementado – câmera VGA, pouco nítida img.
Risco de não ter desempenho adequado
Ações não autorizadas
Acesso de não autorizados no ambiente físico RdaR
Política e procedimentos de controle acesso
Parcialmente Implementado – procedimentos informais
Risco de procedimentos não serem seguidos
Fechadura mecânica
Totalmente Implementado
Nenhuma
Câmara monitoramento.
Não Implementado Impedimento de identificar responsáveis por invasões.
Falhas técnicas
Sistema de apoio RDA-AB pouco confiável
Realizar teste de software
Parcialmente Implementado – teste não sistemático.
Problemas de disponibilidade e integridade de informações sensíveis
Comprometimento de funções
Abuso de diretos de acesso ao sistema RDA- CD
Realizar teste de segurança
Totalmente Implementado
Nenhuma
Figura 32. Exemplo de Mapa de Riscos – Ativos, Ameaças, Controles e Vulnerabilidades
8.3 Subprocesso Estimar Riscos (ER)
Descrição do subprocesso
Este subprocesso trata da estimação dos riscos identificados no subprocesso
anterior (IR). A estimação visa a compreender as consequências caso as
ameaças aos ativos ocorram de fato, definindo quantitativamente o nível das
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 90 de 140
consequências. Trata também de ponderar sobre quais são as chances de que
as ameaças se tornem realidade.
A estimação de riscos é realizada por meio das seguintes atividades:
Identificar e avaliar consequências;
Avaliar probabilidades; e
Estimar nível de risco.
A Figura 33 mostra o fluxo do subprocesso.
Figura 33. Subprocesso Estimar Riscos
8.3.1 Atividade 1. Identificar e avaliar consequências
Descrição da atividade: Nesta atividade são identificadas e avaliadas as
possíveis consequências de riscos (ameaças que se concretizam e provocam
danos em ativos). As consequências podem ter impacto em ativos, na
organização e em pessoas. Esta análise deve ser feita para cada ativo no
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 91 de 140
escopo da GRSI e para cada ameaça ao ativo. O resultado da análise deve
refletir a extensão do dano causado pela perda de atributos de segurança
(confidencialidade, integridade e disponibilidade), associados ao ativo, caso a
ameaça se concretize (ocorra uma violação de segurança).
Devem ser considerados impactos diretos (exemplo: custo de reposição e
atrasos devido a um equipamento roubado) e os indiretos (exemplo: violação
de contratos devido aos atrasos, ou divulgação de informações pessoais
presentes no equipamento roubado).
A avaliação deve considerar diferentes tipos de possíveis consequências como,
por exemplo:
Violação da legislação;
Violação de contratos;
Problemas jurídicos;
Prejuízo no desempenho;
Prejuízo para a reputação e credibilidade;
Violação de informações pessoais;
Violação de informações confidenciais;
Prejuízo à ordem pública;
Perdas financeiras;
Interrupção de serviços;
Custos em termos de equipamentos, pessoal, especialistas;
Danos materiais;
Perigo à saúde e à vida;
Perda de clientes ou fornecedores.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 92 de 140
O responsável pela estimativa de riscos deve considerar as seguintes fontes de
informação em sua análise:
A lista de possíveis tipos de consequências (como a anterior). A ferramenta
de apoio à MGR-SISP deve fornecer uma lista de consequências a serem
selecionadas;
Informações históricas sobre incidentes. O conhecimento sobre o impacto
para a organização em situações anteriores em que incidentes ocorreram
(ameaças que se concretizaram afetando ativos do tipo em questão);
O conhecimento dos responsáveis pelo ativo e informações;
Importante notar que o nível de consequência quando um risco se
concretiza também é afetado pelo estado atual dos controles
implementados na organização. Isto é, o responsável pela estimativa de
consequências deve levar em conta os controles já estabelecidos para
refletir o fato de que as consequências são menores se controles eficazes
existem, e maiores caso contrário.
Nesta análise o responsável pela estimativa deve classificar o nível de
severidade de consequências, para a organização e para pessoas, de
incidentes de segurança associados ao ativo (perda de confidencialidade,
perda de integridade, ou perda de disponibilidade).
Por meio de questões-chave, fornecidas pela ferramenta de apoio à MGR-
SISP, o responsável pela avaliação de consequências fará a classificação de
impacto de violação de segurança (incidente) provocada pela ameaça ao ativo,
em uma das opções abaixo:
Consequência Muito Baixa (MB);
Consequência Baixa (B);
Consequência Moderada (M);
Consequência Alta (A);
Consequência Muito Alta (MA).
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 93 de 140
Cada atributo de segurança (confidencialidade, integridade e disponibilidade) é
contemplado separadamente, portanto o responsável pela atividade realizara
três análises distintas para cada ameaça e ativo.
As três análises para uma ameaça e ativo (uma para cada atributo de
segurança) são consolidadas por meio de uma função C = F(CC, CI, CD),
sendo, C: Consequência, CC: Consequência relativa à Confidencialidade; CI:
Consequência relativa à Integridade; CD: Consequência relativa à
Disponibilidade; F: Função de consolidação de consequências. A MGR-SISP
define que a consequência resultante o maior valor entre CC, CI e CD (C =
Max(CC,CI,CD)).
Importante destacar que os valores CC, CI, CD, além do valor C devem ser
registrados, pois esta informação é útil para se definirem os controles a serem
aplicados para tratar riscos (no subprocesso Tratar Riscos).
A seguir é fornecido um exemplo de questão e de classificação que podem ser
utilizados para guiar a avaliação de consequências em relação ao atributo
disponibilidade.
Questão: Como é avaliado o nível de seriedade de consequências da ameaça
ao ativo em relação à disponibilidade?
Classes:
Consequência Muito Baixa (MB): nenhum serviço ou atividade é afetado;
Consequência Baixa (B): poucos serviços ou atividades de menor
importância são afetados, pode provocar atrasos desprezíveis;
Consequência Moderada (M): alguns serviços ou atividades são afetados,
podendo causar atrasos significativos;
Consequência Alta (A): serviços essenciais são afetados, provocando
atrasos graves e danos elevados;
Consequência Muito Alta (MA): serviços essenciais são afetados
severamente, gerando danos muito elevados e atrasos intoleráveis.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 94 de 140
O resultado desta atividade é a estimativa de consequência (impacto), para
cada risco (uma ameaça a um ativo), alocando-o em uma classe – Muito Baixa
(MB); Baixa (B); Moderada (M); Alta (A); Muito Alta (MA).
Para cada classificação de consequência o responsável pela avaliação de
consequências deve descrever o motivo da classificação, além de detalhar as
consequências do risco para ativos, para a organização, para pessoas, ou para
outras organizações. Isto é especialmente importante para os riscos com
consequências mais severas.
Caso seja possível estimar quantitativamente a consequência, este valor deve
ser documentado. Por exemplo, nos seguintes termos:
Custo financeiro de reposição ou reparo do ativo;
Custo financeiro de operações suspensas;
Tempo para investigação e reparo;
Tempo de trabalho perdido.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 95 de 140
A Figura 34 mostra o fluxo da atividade.
Figura 34. Atividade Identificar e Avaliar consequências
Tarefas da atividade:
Tarefa 1.1: Indicar o início da identificação e avaliação de consequências.
Quando uma unidade da organização finalizou todas as atividades do
subprocesso Identificar Riscos, o Gestor de Riscos indica o início do
subprocesso Estimar Riscos, com a execução da atividade de Identificar e
Avaliar Consequências. Os responsáveis pelas unidades são comunicados da
necessidade de identificar e avaliar consequências de riscos associadas aos
ativos da unidade e são informados prazos estimados para a realização da
tarefa.
Responsável: Gestor de Riscos
Tarefa 1.2: Identificar e avaliar consequências
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 96 de 140
Como já descrito, devem ser identificadas e avaliadas as possíveis
consequências de riscos (ameaças que se concretizam e provocam danos em
ativos). Para cada risco deve ser identificada a classe de consequência – Muito
Baixa (MB); Baixa (B); Moderada (M); Alta (A); Muito Alta (MA) em relação a
cada atributo de segurança (confidencialidade, integridade e disponibilidade).
Deve-se também detalhar as consequências e fornecer justificativas de
classificação.
Responsável: Responsáveis pelas unidades da organização, proprietários de
ativos. Apoio do Gestor de Riscos.
Tarefa 1.3: Avaliar as informações sobre as consequências dos riscos.
Depois de ser notificado do final do cadastro de consequências em cada
unidade, estas informações devem ser avaliadas. Caso o Gestor de Riscos
identifique inconsistências, deve indicar o fato ao responsável pela unidade e
fornecer uma descrição do problema. O responsável pela unidade receberá
uma notificação e a descrição do problema para que possa corrigi-lo. O passo
anterior ocorre até que Gestor de Riscos aprove as informações e registre este
fato.
Responsável: Gestor de Riscos.
Condição para início: Mapa de Riscos atualizado.
Informações necessárias: Mapa de Riscos. Informações sobre incidentes de
segurança, informações sobre os processos de negócio da organização e dos
ativos que os suportam.
Condição para ser finalizada: consequências dos riscos identificadas e
estimadas
Informações produzidas: Mapa de Riscos atualizado com consequências de
cada risco descritas e estimadas.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 97 de 140
Template e exemplo da atividade:
A Figura 35 mostra o Mapa de Riscos com as informações relativas aos ativos,
às respectivas ameaças, e as consequências. Para cada risco (ativo e ameaça)
são apresentados os valores estimados de consequência para cada atributo de
segurança (confidencialidade, integridade e disponibilidade), os valores totais
de consequência, e os detalhamentos (tipos e descrições de consequências).
A Figura 36 apresenta um exemplo.
Mapa de Riscos
Ativos Ameaças Consequências
Código.
Descrição do Ativo
Tipo de Ameaça (tipo de ameaça – selecionado
da lista)
Descrição da ameaça
(descrição – informação
editada)
Confidencialida
de
Integridade
Disponibilidade
Total (m
édia)
Tipo de
Consequência (tipo de
consequência – selecionado da
lista)
Descrição da
Consequência
(descrição – informação
editada)
A01 Descrição A01
Tipo Ameaça 1
Descrição Ameaça 1
Valor C 1
Valor I 1
Valor D 1
Média (C,I,D)
1
Tipo
Consequência 1
Descrição
Consequência 1
Tipo Ameaça 2
Descrição Ameaça 2
Valor C 2
Valor I 2
Valor D 2
Média (C,I,D)
2
Tipo
Consequência 2
Descrição
Consequência 2
... ... ... ... ... ... ... ...
... ... ... ... ... ... ... ... ... ...
Figura 35. Template do Mapa de Riscos – Ativos, Ameaças e Consequências
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 98 de 140
Mapa de Riscos
Ativos Ameaças Consequências
Código.
Descrição do Ativo
Tipo de Ameaça (tipo de ameaça – selecionado
da lista)
Descrição da ameaça
(descrição – informação
editada)
Confidencialida
de
Integridade
Disponibilidade
Total (m
édia)
Tipo de
Consequência (tipo de
consequência – selecionado da
lista)
Descrição da
Consequência
(descrição – informação
editada)
A01 Processo avaliação RDA
Comprometimento da informação
Extravio do documento sigiloso RDA-YZ.doc
10 5 8 7.66
(8)
Violação de informações confidenciais.
Problemas jurídicos.
Informações sigilosas de clientes divulgadas.
Risco de processos.
Atrasos.
Ações não autorizadas
Acesso de não autorizados no ambiente físico RdaR
2 2 2 2 Danos materiais.
Danos aos 2 PCs do ambiente.
Falhas técnicas
Sistema de apoio RDA-AB pouco confiável
2 5 8 5 Prejuízo no desempenho
Interrupção do processo RDA-AB.
Atrasos.
Figura 36. Exemplo de Mapa de Riscos – Ativos, Ameaças e Consequências
8.3.2 Atividade 2. Avaliar probabilidades
Descrição da atividade: Nesta atividade são avaliadas as probabilidades de
que ocorra uma violação de segurança (isto é que as ameaças que se
concretizam e provocam danos em ativos). Assim como a avaliação de
consequências (atividade anterior), esta análise deve ser feita para cada ativo
no escopo da GRSI e para cada ameaça ao ativo.
A avaliação de probabilidade deve refletir o quão frequentemente a ameaça
ocorre e o quão facilmente as vulnerabilidades são exploradas no ativo. Mais
precisamente deseja-se estimar a probabilidade conjunta dos acontecimentos:
A probabilidade de um evento ameaça seja provocado (para ações
causadas propositalmente), ou ocorra (para ações causadas
acidentalmente);
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 99 de 140
A probabilidade de que o evento, uma vez iniciado, irá resultar em impactos
adversos para as operações da organização, seus ativos, pessoas, ou
outras organizações.
Embora sejam dois acontecimentos distintos, a metodologia MGR-SISP trata a
probabilidade como um valor único para facilitar a análise.
Esta avaliação pode ser baseada nos seguintes elementos:
Informações estatísticas gerais sobre a probabilidade de incidentes de
segurança;
Informações da organização sobre histórico de ocorrência de incidentes de
segurança (frequência, ou periodicidade de ocorrência);
Informações da organização sobre a frequência ou a periodicidade de
ocorrência de uma ameaça específica e da exploração das vulnerabilidades
associadas;
Para ações causadas propositalmente: as fontes de ameaça;
características de capacidade da fonte em causar danos; características de
intenção e motivação de fonte em causar danos; percepção exterior da
atratividade e vulnerabilidade do ativo; facilidade para converter a
exploração da vulnerabilidade do ativo em uma recompensa.
Para ações causadas acidentalmente: fatores geográficos propensos a
gerar problemas; fatores que podem favorecer erros humanos, ou falhas de
equipamentos.
Importante notar que o nível de probabilidade de um risco se concretizar
também é afetado pelo estado atual dos controles implementados na
organização. Isto é, o responsável pela estimativa de probabilidades deve
levar em conta os controles já estabelecidos para refletir o fato de que as
probabilidades são menores se controles eficazes existem, e maiores caso
contrário.
O responsável pela avaliação deve fazer a classificação do nível de
probabilidade de violação de segurança provocada pela ameaça ao ativo, em
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 100 de 140
uma das opções: Muito Baixa (MB); Baixa (B); Moderada (M); Alta (A); Muito
Alta (MA).
Abaixo um exemplo de diretriz para classificação, configurável no subprocesso
Estabelecer Contexto.
Probabilidade Muito Baixa (MB). Altamente improvável, ocorre menos de
uma vez a cada 10 anos;
Probabilidade Baixa (B). Improvável, ocorre menos que uma vez a cada
ano e mais do que uma vez a cada 10 anos;
Probabilidade Moderada (M). Provável, ocorre entre 1 e 10 vezes por ano;
Probabilidade Alta (A). Alto. Altamente provável, ocorre entre 10 e 100
vezes ao ano;
Probabilidade Muito Alta (MA). Quase certo, Ocorre mais do que 100 vezes
ao ano.
O resultado da avaliação de probabilidade é a atribuição de uma classe de
probabilidade para cada risco (ameaça a um ativo) analisado.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 101 de 140
A Figura 37 mostra o fluxo da atividade.
Figura 37. Atividade Avaliar Probabilidades
Tarefas da atividade:
Tarefa 2.1: Indicar o início da avaliação de probabilidades.
Depois de uma unidade identificar e avaliar as consequências o Gestor de
Riscos indica para esta unidade o início da segunda atividade do subprocesso
Estimar Riscos, com a execução da atividade de Avaliar Probabilidades. Os
responsáveis pelas unidades são comunicados da necessidade de avaliar as
probabilidades de riscos associadas aos ativos da unidade e são informados
prazos estimados para a realização da tarefa.
Responsável: Gestor de Riscos
Tarefa 2.2: Avaliar probabilidades
Como tratado na descrição da atividade, devem ser avaliadas as
probabilidades dos riscos (probabilidade de que as ameaças se concretizem e
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 102 de 140
provoquem danos em ativos). Para cada risco deve ser identificada a classe de
probabilidade – Muito Baixa (MB); Baixa (B); Moderada (M); Alta (A); Muito Alta
(MA). Deve-se também fornecer justificativas de classificação.
Responsável: Responsáveis pelas unidades da organização, proprietários de
ativos. Apoio do Gestor de Riscos.
Tarefa 2.3: Avaliar as informações sobre as probabilidades dos riscos.
Depois de ser notificado do final do cadastro de probabilidades em cada
unidade, estas informações devem ser avaliadas. Caso o Gestor de Riscos
identifique inconsistências, deve indicar o fato ao responsável pela unidade e
fornecer uma descrição do problema. O responsável pela unidade receberá
uma notificação e a descrição do problema para que possa corrigi-lo. O passo
anterior ocorre até que Gestor de Riscos aprove as informações e registre este
fato.
Responsável: Gestor de Riscos.
Condição para início: Mapa de Riscos atualizado.
Informações necessárias: Mapa de Riscos. Informações estatísticas sobre
incidentes. Informações históricas de incidentes na organização.
Condição para ser finalizada: probabilidades dos riscos identificadas e
estimadas
Informações produzidas: Mapa de Riscos atualizado com as probabilidades
de cada risco descritas e estimadas.
Template e exemplo da atividade:
A Figura 38 mostra o Mapa de Riscos com as informações relativas aos ativos,
às respectivas ameaças, e às consequências, incluindo descrições e o total
estimado (obtido na atividade anterior). Para cada risco (ativo e ameaça) e
mostrada a probabilidade estimada.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 103 de 140
A Figura 39 apresenta um exemplo.
Mapa de Riscos
Ativos Ameaças Consequências Probabilidades
Código.
Descrição do Ativo
Tipo de Ameaça (tipo de ameaça – selecionado
da lista)
Descrição da ameaça
(descrição – informação
editada)
Tipo de Consequência
(tipo de consequência – selecionado da
lista)
Descrição da Consequência (descrição – informação
editada)
Total
Consequência
(Cnq)
Probabilidade
de ocorrência
(Prob)
A01 Descrição A01
Tipo Ameaça 1
Descrição Ameaça 1
Tipo Consequência
1
Descrição Consequência
1
Cnq 1 Prob 1
Tipo Ameaça 2
Descrição Ameaça 2
Tipo Consequência
2
Descrição Consequência
2
Cnq 2 Prob 2
... ... ... ... ... ...
... ... ... ... ... ... ... ...
Figura 38. Template do Mapa de Riscos – Ativos, Ameaças, Consequências e Probabilidades
Mapa de Riscos
Ativos Ameaças Consequências Probabilidades
Código.
Descrição do Ativo
Tipo de Ameaça (tipo de ameaça – selecionado
da lista)
Descrição da ameaça
(descrição – informação
editada)
Tipo de Consequência
(tipo de consequência – selecionado da
lista)
Descrição da Consequência (descrição – informação
editada)
Total
Consequência
(Cnq)
Probabilidade
de ocorrência
(Prob)
A01 Processo avaliação RDA
Comprometimento da informação
Extravio do documento sigiloso RDA-YZ.doc
Violação de informações confidenciais. Problemas jurídicos.
Informações sigilosas de clientes divulgadas. Risco de processos. Atrasos.
8 8
Ações não autorizadas
Acesso de não autorizados no ambiente físico RdaR
Danos materiais.
Danos aos 2 PCs do ambiente.
2 5
Falhas técnicas
Sistema de apoio RDA-AB pouco confiável
Prejuízo no desempenho
Interrupção do processo RDA-AB. Atrasos.
5 8
... ... ... ... ... ... ... ...
Figura 39. Exemplo de Mapa de Riscos – Ativos, Ameaças, Consequências e Probabilidades
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 104 de 140
8.3.3 Atividade 3. Estimar nível de risco
Descrição da atividade: Esta atividade consolida as estimativas de
consequência (Atividade 1) e as estimativas de probabilidade (Atividade 2). O
objetivo é de obter para cada risco, um valor numérico que considere
conjuntamente consequências e probabilidades, indicando a sim o nível de
gravidade dos riscos.
O nível de cada risco é calculado pela ferramenta de apoio à MGR-SISP a
partir das estimativas feitas anteriormente para consequências e
probabilidades.
Para uma dada ameaça a um ativo o nível de risco é calculado pela aplicação
da Tabela 4. Como já explicado anteriormente (subprocesso Estabelecer
Contexto), a linha superior mostra a classificação de probabilidade e a coluna à
esquerda mostra a classificação de consequências (pesos entre parênteses).
Os valores interiores representam os níveis de risco estimados em cada
situação.
Probabilidade Muito baixa Baixa Moderada Alta Muito alta
Co
ns
eq
uên
cia
Muito baixa 1 2 3 4 5
Baixa 2 3 4 5 6
Moderada 3 4 5 6 7
Alta 4 5 6 7 8
Muito alta 5 6 7 8 9
Tabela 4. Tabela classificação de riscos – níveis de risco por classes de consequências e de probabilidades
Portanto o nível de risco pode assumir valores entre 1 (consequência e
probabilidade muito baixas) e 9 (consequência e probabilidade muito altas).
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 105 de 140
O resultado desta atividade é um Mapa de Riscos, cada risco identificando:
ativo, ameaça ao ativo, estimativa de consequência, justificativa para a
estimativa de consequência, estimativa de probabilidade, e nível de risco.
A Figura 40 mostra o fluxo da atividade.
Figura 40. Atividade Estimar Nível de Risco
Tarefas da atividade:
Tarefa 3.1: Estimar o nível de risco.
Depois de cada unidade da organização finalizar as avaliações de
consequências e de probabilidades o Gestor de Riscos consolida as
estimativas de nível de risco, o que é feito com o uso da Ferramenta de Apoio
à MGR-SISP. as estimativas consolidadas devem ser comunicadas aos
responsáveis pelas unidades e/ou proprietários de ativos.
Responsável: Gestor de Riscos
Tarefa 3.2: Apreciar os resultados de riscos estimados.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 106 de 140
Os responsáveis pelas unidades e os proprietários de ativos devem tomar
ciência dos riscos estimados. Esta ciência deve ser registrada.
Responsável: Responsáveis pelas unidades da organização, proprietários de
ativos. Apoio do Gestor de Riscos.
Condição para início: Mapa de Riscos atualizado.
Informações necessárias: Mapa de Riscos atualizado.
Condição para ser finalizada: Nível dos riscos estimados.
Informações produzidas: Mapa de Riscos atualizado com as estimativas do
nível de cada risco.
Template e exemplo da atividade:
A Figura 41 mostra o Mapa de Riscos com as informações relativas aos ativos,
às respectivas ameaças, e às consequências, incluindo descrições e o total
estimado, assim como as probabilidades de ocorrência (estimadas na atividade
anterior). Para cada risco (ativo e ameaça) e mostrado o nível de risco
estimado a partir das consequências e das probabilidades.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 107 de 140
A Figura 42 apresenta um exemplo.
Mapa de Riscos
Ativos Ameaças Consequências Probabilidades Riscos
Código.
Descrição do Ativo
Tipo de Ameaça (tipo de
ameaça – selecionado da lista)
Descrição da ameaça
(descrição –
informação editada)
Tipo de
Consequência (tipo de
consequência – selecionado da
lista)
Descrição da
Consequência
(descrição – informação
editada)
Total
Consequência
(Cnq)
Probabilidade
de ocorrência (P
rob)
Risco -R
sc
(Cnq X
Prob)
A01 Descrição A01
Tipo Ameaça 1
Descrição Ameaça 1
Tipo
Consequência 1
Descrição
Consequência 1
Cnq 1 Prob 1
Rsc 1
Tipo Ameaça 2
Descrição Ameaça 2
Tipo
Consequência 2
Descrição
Consequência 2
Cnq 2 Prob 2
Rsc 2
... ... ... ... ... ... ...
... ... ... ... ... ... ... ... ...
Figura 41. Template do Mapa de Riscos – Ativos, Ameaças, Consequências, Probabilidades e Riscos
Mapa de Riscos
Ativos Ameaças Consequências Probabilidades Riscos
Código.
Descrição do Ativo
Tipo de Ameaça (tipo de
ameaça – selecionado da lista)
Descrição da ameaça
(descrição –
informação editada)
Tipo de
Consequência (tipo de
consequência – selecionado da
lista)
Descrição da
Consequência
(descrição – informação
editada)
Total
Consequência
(Cnq)
Probabilidade
de ocorrência (P
rob)
Risco -R
sc
(Cnq X
Prob)
A01 Processo avaliação RDA
Comprometimento da informação
Extravio do documento sigiloso RDA-YZ.doc
Violação de informações confidenciais.
Problemas jurídicos.
Informações sigilosas de clientes divulgadas.
Risco de processos.
Atrasos.
8 8
64
Ações não autorizadas
Acesso de não autorizados no ambiente físico RdaR
Danos materiais.
Danos aos 2 PCs do ambiente.
2 5 10
Falhas técnicas
Sistema de apoio RDA-AB pouco confiável
Prejuízo no desempenho
Interrupção do processo RDA-AB.
Atrasos.
5 8 40
Figura 42. Exemplo de Mapa de Riscos – Ativos, Ameaças, Consequências, Probabilidades e Riscos
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 108 de 140
8.4 Subprocesso Avaliar Riscos (AR)
Descrição do subprocesso
Neste ponto do processo de gestão de riscos há uma visão mais clara de quais
ameaças existem para os ativos no escopo da gestão de riscos, e do quanto
estes ativos estão protegidos por meio de controles. Já foi também estimado o
nível dos riscos, resultantes de consequências e probabilidades apuradas.
Este subprocesso trata da avaliação dos riscos identificados e estimados no
subprocesso anterior. O Mapa de Riscos e as respectivas estimativas de nível
são utilizados neste subprocesso para direcionar decisões sobre o tratamento
de riscos. O objetivo é identificar os riscos mais expressivos e estabelecer
estratégias de resposta a estes.
A Figura 43 mostra o fluxo do subprocesso.
Figura 43. Subprocesso Avaliar Riscos
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 109 de 140
A avaliação de riscos é realizada por meio das seguintes atividades:
8.4.1 Atividade 1. Classificar os riscos
Descrição da atividade: Nesta atividade é feita a classificação de riscos e é
criada uma lista ordenada dos riscos, o que permite distinguir visualmente os
riscos mais relevantes.
A classe de cada risco, assim como o nível de cada risco (atividade anterior), é
definido por meio de uma tabela, já descrita anteriormente e reproduzida
abaixo (Tabela 5). Os valores interiores representam os níveis de risco
estimados em cada situação (atividade anterior), enquanto as letras e as cores
internas definem diferentes classes para o tratamento de riscos.
Probabilidade Muito baixa Baixa Moderada Alta Muito alta
Co
ns
eq
uên
cia
Muito baixa 1 (MB) 2 (MB) 3 (B) 4 (B) 5 (M)
Baixa 2 (MB) 3 (B) 4 (B) 5 (M) 6 (A)
Moderada 3 (B) 4 (B) 5 (M) 6 (A) 7 (A)
Alta 4 (B) 5 (M) 6 (A) 7 (A) 8 (MA)
Muito alta 5 (M) 6 (A) 7 (A) 8 (MA) 9 (MA)
Tabela 5. Tabela classificação de riscos – classes de risco por classes de consequências e de probabilidades
As seguintes classes de risco são estabelecidas na tabela:
Risco Muito Baixo (MB): nível de risco entre 1 e 2;
Risco Baixo (B): nível de risco entre 3 e 4;
Risco Moderado (M): nível de risco igual a 5;
Risco Alto (A): nível de risco entre 6 e 7;
Risco Muito Alto (MA): nível de risco entre 8 e 9.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 110 de 140
A ferramenta de apoio à MGR-SISP auxilia na identificação da classe de cada
risco comparando cada risco calculado com o definido na tabela de
classificação de riscos
Como resultado, é definida a classe de cada risco (MB: Muito Baixo; B: Baixo;
M: Moderado; A: Alto; MA: Muito Alto) e é criada uma lista ordenada dos riscos
de maior nível para os riscos de menor nível. A Figura 44 mostra o fluxo da
atividade.
Figura 44. Atividade Classificar Riscos
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 111 de 140
Tarefas da atividade:
Tarefa 1.1: Classificar os Riscos.
Depois de consolidar as estimativas de nível de risco o Gestor de Riscos
realiza a classificação dos riscos, o que é feito com o uso da Ferramenta de
Apoio à MGR-SISP. Os riscos consolidados e classificados devem ser
comunicados aos Responsáveis pelas Unidades e/ou Proprietários de Ativos e
também aos Representantes da Alta Administração.
Responsável: Gestor de Riscos
Tarefa 1.2: Apreciar os resultados de riscos classificados.
Os responsáveis pelas unidades e os proprietários de ativo devem tomar
ciência dos riscos classificados. Esta ciência deve ser registrada.
Responsável: Responsáveis pelas unidades da organização, proprietários de
ativos. Apoio do Gestor de Riscos.
Tarefa 1.3: Avaliar as informações sobre os riscos classificados.
Depois de ser notificado de que os riscos encontram-se consolidados e
classificados o Representante da Alta Administração deve avaliar as
informações.
Importante destacar que o Representante da Alta Administração (com apoio do
Gestor de Riscos e também dos Responsáveis por Unidades) é o responsável
por decidir sobre a necessidade (ou não) de se levantar mais informações
antes de iniciar o tratamento de riscos.
Caso sejam identificadas inconsistências ou informações insuficientes, deve
ser indicada a necessidade de reexecutar atividades anteriores, inclusive
atividades de outros subprocessos (Estabelecer Contexto, Identificar Riscos, ou
Estimar Riscos). Isto pode ser necessário, por exemplo, para refinar
informações sobre riscos em unidades mais críticas, ou para corrigir possíveis
discrepâncias das análises feitas em diferentes unidades da organização.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 112 de 140
Responsável: Representante da Alta Administração. Apoio do Gestor de
Riscos e dos Responsáveis por Unidades.
Condição para início: atividades do subprocesso de estimação de riscos
realizadas. Consequências e probabilidades identificadas, descritas e
estimadas.
Informações necessárias: Mapa de Riscos atualizado onde cada item do
mapa define: ativo, ameaça ao ativo, estimativa de consequência, justificativa
para a estimativa de consequência, estimativa de probabilidade, e nível de
risco.
Condição para ser finalizada: Riscos classificados e ordenados por nível de
risco.
Informações produzidas: estimativas do nível de cada risco associados aos
itens do Mapa de Riscos. Cada item do mapa define: ativo, ameaça ao ativo,
estimativa de consequência, justificativa para a estimativa de consequência,
estimativa de probabilidade, nível de risco, e classe de nível de risco (MB:
Muito Baixo; B: Baixo; M: Moderado; A: Alto; MA: Muito Alto).
Template e exemplo da atividade:
A Figura 45 mostra o Mapa de Riscos com as informações relativas aos ativos,
às respectivas ameaças, e as descrições de consequências. Para cada risco
(ativo e ameaça) e mostrado o nível de risco estimado e a respectiva
classificação de riscos (Muito Baixo, Baixo, Moderado, Alto, ou Muito Alto). O
Mapa de Riscos é ordenado do risco maior para o menor.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 113 de 140
A Figura 46 apresenta um exemplo.
Mapa de Riscos
Ativos Ameaças Consequências Riscos Ordenados e Classificados
Código.
Descrição do Ativo
Tipo de Ameaça (tipo de
ameaça – selecionado da lista)
Descrição da ameaça
(descrição –
informação editada)
Tipo de
Consequência (tipo de consequência –
selecionado da lista)
Descrição da
Consequência
(descrição – informação
editada)
Risco -R
sc
(Cnq X
Prob)
Classe dos
riscos - CLR
sc
(MB
, B, M
, A,
MA
)
A01 Descrição A01
Tipo Ameaça 1
Descrição Ameaça 1
Tipo
Consequência 1
Descrição
Consequência 1
Rsc 1 CL Rsc 1
Tipo Ameaça 2
Descrição Ameaça 2
Tipo
Consequência 2
Descrição
Consequência 2
Rsc 2 CL Rsc 2
... ... ... ... ... ...
... ... ... ... ... ... ... ...
Figura 45. Template do Mapa de Riscos – Ativos, Ameaças, Consequências e Riscos Ordenados e Classificados
Mapa de Riscos
Ativos Ameaças Consequências Riscos Ordenados e Classificados
Código.
Descrição do Ativo
Tipo de Ameaça (tipo de
ameaça – selecionado da lista)
Descrição da ameaça
(descrição –
informação editada)
Tipo de
Consequência (tipo de consequência –
selecionado da lista)
Descrição da
Consequência
(descrição – informação
editada)
Risco -R
sc
(Cnq X
Prob)
Classe dos
riscos - CLR
sc
(MB
, B, M
, A,
MA
)
Código.
A01
Processo avaliação
RDA
Comprometimento da informação
Extravio do documento sigiloso RDA-YZ.doc
Violação de informações confidenciais.
Problemas jurídicos.
Informações sigilosas de clientes divulgadas.
Risco de processos.
Atrasos.
64 Alto
Falhas técnicas
Sistema de apoio RDA-AB pouco confiável
Prejuízo no desempenho
Interrupção do processo RDA-AB.
Atrasos.
40 Moderado
Ações não autorizadas
Acesso de não autorizados no ambiente físico RdaR
Danos materiais. Danos aos 2 PCs do ambiente.
10 Baixo
Figura 46. Exemplo de Mapa de Riscos – Ativos, Ameaças, Consequências e Riscos Ordenados e Classificados
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 114 de 140
8.5 Subprocesso Tratar Riscos (TR)
Descrição do subprocesso
Neste subprocesso todas as análises realizadas e informações obtidas são
utilizadas na tomada de decisão sobre como a organização irá agir em relação
aos riscos.
O tratamento de risco envolve a tomada de decisão sobre uma ou mais opções
de tratamento. Estas opções são descritas a seguir.
Redução de riscos. O nível de risco deve ser reduzido pela seleção e
implementação de controles, de modo que o risco residual possa ser reavaliado
como sendo aceitável. Em geral, controles devem fornecer uma ou mais dos
seguintes tipos de proteção: Correção; Eliminação; Prevenção; Minimização de
impacto; Dissuasão; Detecção; Recuperação; Monitoramento; ou
Conscientização.
Retenção (aceitação) de riscos. Trata-se da decisão de reter o risco sem
maiores ações. Se o nível dos riscos satisfaz o critério de aceitação, não existe
necessidade de implementar controles adicionais e o risco pode ser retido. A
decisão deve ser registrada formalmente e justificada.
Transferência de riscos. Trata-se de transferir o risco para outra parte externa,
que pode ser feita pela contratação de um seguro, que irá apoiar em relação às
consequências do risco, ou por subcontratação de serviços.
Evitar riscos. Quando riscos identificados e são considerados muito altos, ou se
os custos de implementação de outro tratamento de risco excedem os
benefícios, a decisão deve ser feita para evitar risco por completo, pela retirada
de forma planejada de atividades existentes.
Algumas diretrizes para o tratamento de riscos:
Quando uma redução significativa de riscos pode ser obtida com custos
relativamente baixos, esta opção deve ser implementada;
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 115 de 140
As consequências e a probabilidade dos riscos devem ser minimizadas tanto
quanto possível, considerando níveis tratáveis de custo;
Deve-se considerar de forma especial eventos raros, mas que causam
consequências muito graves;
As quatro opções para o tratamento de risco não são mutuamente exclusivas.
Em alguns casos, a organização pode combinar mais de uma opção;
Alguns tratamentos de riscos podem atingir mais que um risco.
A escolha do tratamento de riscos deve levar em conta os resultados da
estimativa de consequências analisando de forma separada cada atributo de
segurança (confidencialidade, integridade, disponibilidade). Deve ser priorizado
a implantação de controles que tratam o atributo definido como mais crítico.
Também é importante levar em consideração o esforço e as restrições que
podem envolver o tratamento do risco. Para tanto, este subprocesso foi dividido
em três atividades, cada qual com suas tarefas.
A Figura 47 mostra o fluxo do subprocesso.
Figura 47. Subprocesso Tratar Riscos
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 116 de 140
8.5.1 Atividade 1. Estimar recursos para o tratamento de riscos
Descrição da atividade: Depois de estabelecido o Mapa de Riscos, assim
como definidas as classes risco (Muito Baixo; Baixo; Moderado; Alto; Muito
Alto), podem ser consideradas restrições que potencialmente afetam as
decisões sobre o tratamento de riscos, por exemplo, custos e prazos.
Neste sentido, os riscos precisam passar por uma análise preliminar a fim de
estimar a ordem de grandeza de custos, esforço, do prazo e se existem
restrições para o tratamento do risco.
Para cada risco do Mapa de Riscos deve ser recuperada a informação
levantada na atividade “identificar controles (proteções) existentes”, do
subprocesso “Identificar Riscos”. Devem ser identificados:
Os controles aplicáveis para o risco;
Para cada controle, a situação da implementação do controle:
o a) Não implementado;
o b) Parcialmente implementado;
o c) Totalmente implementado, ou;
o d) Não se aplica, ou desnecessário.
Deve ser feita uma estimativa do custo, esforço e de prazo para implementar
os controles identificado nas situações a (Não implementado) e b (Parcialmente
implementado). Esses controles, se implementados e/ou complementados,
podem reduzir a exposição do ativo ao risco.
Importante notar que a análise descrita acima (identificar controles ainda não
implementados, ou parcialmente implementados) abrange diferentes
alternativas de tratamento, associadas aos diferentes controles. Tipicamente
controles agem Reduzindo Riscos, ou Transferindo Riscos. É importante
registrar o custo, esforço e prazo estimados para cada alternativa de controle
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 117 de 140
que possa ser utilizada para um risco específico, seja ele para reduzir o risco,
ou para transferir o risco.
O resultado desta atividade é a associação de uma Estimativa de Custo,
Estimativa de Esforço, Estimativa de Prazo e de Restrições para cada risco
presente no Mapa de Riscos e para cada alternativa de controle.
Deste modo a saída desta atividade é o Mapa de Riscos, onde cada linha
apresenta as informações: ativo; ameaça ao ativo; estimativa de consequência;
justificativa para a estimativa de consequência; estimativa de probabilidade;
nível de risco; e para cada alternativa de controle: estimativa de custo para
tratamento; estimativa de esforço; estimativa de prazo para tratamento;
restrições.
Caso sejam estimados recursos para as alternativas: Transferir o Risco, ou
Evitar o Risco, esta informação também e fornecida como saída desta
atividade.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 118 de 140
A Figura 48 mostra o fluxo da atividade.
Figura 48. Atividade Estimar Recursos
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 119 de 140
Tarefas da atividade:
Tarefa 1.1: Indicar o início da estimativa de recursos para o tratamento de
riscos.
Depois de finalizada a atividade classificar riscos, devem ser realizadas as
estimativas para as opções de tratamento de riscos. Os responsáveis pelas
unidades são comunicados da necessidade de realizar estas estimativas e são
informados prazos estimados para a realização da tarefa.
Responsável: Gestor de Riscos
Tarefa 1.2: Estimar custo do tratamento.
Estimar custos de implementação dos controles para tratar o risco.
Responsável: Responsáveis pelas Unidades, Proprietários de Ativos. Apoio do
Gestor de Riscos.
Tarefa 1.3: Estimar esforço do tratamento.
Estimar o quanto de esforço é necessário para implementar cada controle.
Responsável: Responsáveis pelas Unidades, Proprietários de Ativos. Apoio do
Gestor de Riscos.
Tarefa 1.4: Estimar prazo do tratamento.
Estimar o prazo de tratamento para cada risco.
Responsável: Responsáveis pelas Unidades, Proprietários de Ativos. Apoio do
Gestor de Riscos.
Tarefa 1.5: Levantar restrições que podem impactar o tratamento.
Identificar se existe alguma restrição que impacte na escolha do tratamento do
risco.
Responsável: Responsáveis pelas Unidades, Proprietários de Ativos. Apoio do
Gestor de Riscos.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 120 de 140
Tarefa 1.6: Avaliar as estimativas de recursos para o tratamento de riscos.
Depois de ser notificado do final das estimativas para tratamento de riscos em
cada unidade, estas informações devem ser avaliadas. Caso o Gestor de
Riscos identifique inconsistências, deve indicar o fato ao responsável pela
unidade e fornecer uma descrição do problema. O responsável pela unidade
receberá uma notificação e a descrição do problema para que possa corrigi-lo.
O passo anterior ocorre até que Gestor de Riscos aprove as informações e
registre este fato.
Responsável: Gestor de Riscos.
Condição para início: É necessário o Mapa de Riscos atualizado e os
controles que podem ser implementados.
Informações necessárias: Informações históricas sobre custo, esforço e
tempo parta implementação de controles. Avaliações de especialistas ou de
representantes de setores / proprietários de ativos
Condição para ser finalizada: estimativas relacionadas a todos os controles
estabelecidas e restrições identificadas
Informações produzidas: Mapa de Riscos atualizado com as estimativas para
cada controle, restrições identificadas.
Template e exemplo da atividade:
A Figura 49 mostra o Mapa de Riscos com as informações relativas aos ativos,
às respectivas ameaças, e aos riscos ordenados e classificados. Para cada
risco são apresentados os controles aplicáveis. Cada controle é descrito e é
fornecida a sua situação de implementação (não implementado, parcialmente
implementado, totalmente implementado, ou não se aplica). A cada controle
são associadas estimativas para a implementação (custo, classe de esforço,
prazo) e são apresentadas as restrições.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 121 de 140
A Figura 50 apresenta um exemplo.
Mapa de Riscos
Ativos Ameaças Riscos Ordenados e Classificados
Controles Estimativas / Restrições
Código.
Descrição do Ativo
Tipo de Ameaça (tipo de
ameaça – selecionado da lista)
Descrição da ameaça
(descrição –
informação editada)
Risco -R
sc
(Cnq X
Prob)
Classe dos riscos -
CLR
sc
(MB
, B, M
, A, M
A)
Descrição do controle (lista de controles)
Situação / Justificativa
(Situação: seleção,
Justificativa: informação
editada)
Custo (C
st)
Esforço (E
sf) – Baixo
Médio, A
lto,
Prazo (P
rz)
Restrições (R
st)
A01 Descrição A01
Tipo Ameaça 1
Descrição Ameaça 1
Rsc 1 CL Rsc 1
Descrição Controle 1
Situação / Justificativa Controle 1
Cst 1
Esf 1
Prz 1
Rst 1
Descrição Controle 2
Situação / Justificativa Controle 2
Cst 2
Esf 2
Prz 2
Rst 2
... ... ... ... ... ...
Tipo Ameaça 2
Descrição Ameaça 2
Rsc 2 CL Rsc 2
Descrição Controle 1
Situação / Justificativa Controle 1
Cst 1
Esf 1
Prz 1
Rst 1
Descrição Controle 2
Situação / Justificativa Controle 2
Cst 2
Esf 2
Prz 2
Rst 2
... ... ... ... ... ...
... ... ... ... ... ... ...
... ... ... ... ... ... ... ... ...
Figura 49. Template do Mapa de Riscos – Ativos, Ameaças, Riscos Ordenados, Controles e Estimativas para tratamento
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 122 de 140
Mapa de Riscos
Ativos Ameaças Riscos Ordenados e Classificados
Controles Estimativas / Restrições
Código.
Descrição do Ativo
Tipo de Ameaça (tipo de
ameaça – selecionado da lista)
Descrição da ameaça
(descrição –
informação editada)
Risco -R
sc
(Cnq X
Prob)
Classe dos riscos -
CLR
sc
(MB
, B, M
, A, M
A)
Descrição do controle (lista de controles)
Situação / Justificativa
(Situação: seleção,
Justificativa: informação
editada)
Custo (C
st)
Esforço (E
sf) – Baixo
Médio, A
lto,
Prazo (P
rz)
Restrições (R
st)
Código.
A01
Processo avaliação
RDA
Comprometimento da informação
Extravio do documento sigiloso RDA-YZ.doc
64 Alto Conscientização “mesa limpa”
Não Implementado
10.000 R$
Médio
120 Dias
x
Fechadura mecânica
Totalmente Implementado
x x x x
Câmara monitoramento.
Parcialmente Implementado – câmera VGA, pouco nítida img.
1.000 R$
Baixo
20 Dias
x
Falhas técnicas
Sistema de apoio RDA-AB pouco confiável
40 Médio
Realizar teste de software
Parcialmente Implementado – teste não sistemático.
15.000 R$
Alto
150 Dias
Equipe
interna
Realizar teste de segurança
Totalmente Implementado
x x x x
Ações não autorizadas
Acesso de não autorizados no ambiente físico RdaR
10 Baixo Política e procedimentos de controle acesso
Parcialmente Implementado – procedimentos informais
3.000 R$
Médio
45 Dias
x
Fechadura mecânica
Totalmente Implementado
x x x x
Câmara monitoramento.
Totalmente Implementado x x x x
Figura 50. Exemplo de Mapa de Riscos – Ativos, Ameaças, Riscos Ordenados, Controles e Estimativas para tratamento
8.5.2 Atividade 2. Decidir sobre alternativas de reposta aos riscos
Descrição da atividade: Nesta atividade cada risco do Mapa de Riscos é
analisado para determinar a resposta adequada.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 123 de 140
Depois de finalizada a atividade de Estimar Recursos para o Tratamento dos
Riscos, devem ser realizadas decisões sobre como tratá-los. Esta decisão deve
considerar os riscos priorizados por níveis (Muito Baixo; Baixo; Moderado; Alto;
Muito Alto) as opções de tratamento opção de tratamento (Reduzir os Riscos;
Reter os Riscos; Transferir os Riscos; ou Evitar os Riscos) e as estimativas
feitas para a implementação dos controles (custo, esforço, tempo e restrições).
A Figura 51 mostra o fluxo da atividade.
Figura 51. Atividade decidir sobre alternativas de resposta aos riscos
Tarefas da atividade:
Tarefa 2.1: Decidir sobre ações de tratamento e monitoramento dos riscos.
Cada risco deve ser selecionado para análise, um por vez. Com o auxílio da
Ferramenta de Apoio à MGR-SISP deve ser identificado o nível do risco e o
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 124 de 140
tratamento recomendado para este nível, cadastrado no subprocesso
Estabelecer Contexto.
Uma opção de tratamento (Reduzir os Riscos; Reter os Riscos; Transferir os
Riscos; ou Evitar os Riscos) deve ser selecionada e uma justificativa deve ser
fornecida. A opção por Reduzir os Riscos é vista como a solução mais comum
a ser adotada na maior parte das situações.
Deve também ser registrada a necessidade (ou não) de monitorar o risco e,
caso positivo, a periodicidade para o monitoramento.
Quando feita a opção por Reduzir os Riscos os controles referentes a cada
risco devem ser visualizados. Cada controle possui um estado de
implementação (Não implementado; Parcialmente implementado; Totalmente
implementado; Não se aplica; ou Desnecessário) e são mostradas as
estimativas feitas na atividade anterior para a implementação do controle
(custo, esforço, tempo e restrições).
O Gestor de Riscos deve então selecionar para cada risco um ou mais
controles a serem implementados.
Depois de realizados estes passos o Gestor de Riscos deve comunicar todas
as informações e decisões aos Responsáveis por Unidades.
Responsável: Gestor de Riscos.
Tarefa 2.2: Avaliar informações e decisões sobre o tratamento dos riscos.
Os responsáveis por unidades devem avaliar as informações e decisões sobre
tratamento de cada risco no escopo da unidade. Caso sejam identificadas
inconsistências ou inadequações, os responsáveis por unidades devem
apontar a necessidade de revisar as informações e fornecer uma descrição das
questões identificadas.
Responsável: Responsáveis por Unidades, Proprietários de Ativos.
Tarefa 2.3: Compartilhar informações e decisões sobre o tratamento dos
riscos.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 125 de 140
O Gestor de Riscos deve receber retornos dos responsáveis por unidades e
realizar as correções e ajustes necessários nas informações e decisões sobre
o tratamento dos riscos. Em seguida as informações devem ser compartilhadas
com os tomadores de decisão para a avaliação e aprovação da atividade
realizada.
Responsável: Gestor de Riscos.
Tarefa 2.4: Avaliar estrategicamente informações e decisões sobre o
tratamento dos riscos.
Depois de ser notificado de que informações e decisões sobre o tratamento de
riscos estão estabelecidas o Representante da Alta Administração deve avaliar
estas informações e decisões.
O Representante da Alta Administração (com respaldo da análise técnica feita
pelo Gestor de Riscos e pelos Responsáveis por Unidades) é o responsável
por decidir sobre a adequação das opções definidas para tratar os riscos.
Caso alguma opção de tratamento não esteja de acordo com a visão
estratégica da Alta Administração pode ser necessário revisar ou refinar
decisões anteriores.
Nestes casos o Gestor de Riscos deve ser informado da necessidade de
revisar decisões e devem ser fornecidas descrições das questões identificadas
pela Alta Administração.
Responsável: Representante da Alta Administração.
Informações necessárias: Quais são as prioridades, custo e o tempo para a
implementação de cada alternativa do tratamento de risco. Objetivos da GRSI
na organização
Condição para ser finalizada: Para que esta tarefa seja finalizada, é
importante que todos os riscos tenham sua opção de tratamento selecionada,
bem como elaborada a justificativa da escolha.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 126 de 140
Informações produzidas: Mapa de Riscos atualizado com o tratamento
selecionado e a justificativa da escolha e o responsável pelo tratamento.
Também é gerada uma lista com os riscos aceitos e suas justificativas.
Template e exemplo da atividade:
A Figura 52 mostra o Mapa de Riscos com as informações relativas aos ativos,
às respectivas ameaças, e aos riscos ordenados e classificados. Para cada
risco são apresentados os controles aplicáveis. Cada controle é descrito e é
fornecida a sua situação de implementação. Para cada risco (ativo e ameaça) é
indicada a prioridade de opções para o tratamento (1: prioridade maior).
Justificativas descrevem as escolhas. Para os tratamentos a serem realizadas
são associados Planos de Tratamento de Riscos (PTRs).
A Figura 53 apresenta um exemplo.
Mapa de Riscos
Ativos Ameaças Riscos Ordenados e Classificados
Controles Tratamento de Riscos
Código.
Descrição do Ativo
Tipo de Ameaça (tipo de
ameaça – selecionado da lista)
Descrição da ameaça (descrição
– informação
editada)
Risco -R
sc
(Cnq X
Prob)
Classe dos riscos
- CLR
sc (M
B, B
, M, A
, MA
)
Descrição do controle (lista de controles)
Situação / Justificativa (Situação: seleção,
Justificativa: informação
editada)
Opção de
tratamento – O
p (ordem
1, 2, 3, ...)
Plano de
Tratam
ento de
Risco (P
TR
)
A01 Descrição A01
Tipo Ameaça 1
Descrição Ameaça 1
Rsc 1 CL Rsc 1
Descrição Controle 1
Situação / Justificativa Controle 1
Op 1 PTR 1
Descrição Controle 2
Situação / Justificativa Controle 2
Op 2 PTR 2
... ... ... ... Tipo
Ameaça 2 Descrição Ameaça 2
Rsc 2 CL Rsc 2
Descrição Controle 1
Situação / Justificativa Controle 1
Op 1 PTR 3
Descrição Controle 2
Situação / Justificativa Controle 2
Op 2 PTR 4
... ... ... ...
... ... ... ... ... ... ...
... ... ... ... ... ... ... ... ...
Figura 52. Template do Mapa de Riscos – Ativos, Ameaças, Riscos, Controles e Informações de Tratamento
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 127 de 140
Mapa de Riscos
Ativos Ameaças Riscos Ordenados e Classificados
Controles Tratamento de Riscos
Código.
Descrição do Ativo
Tipo de Ameaça (tipo de
ameaça – selecionado da lista)
Descrição da ameaça
(descrição –
informação editada)
Risco -R
sc
(Cnq X
Prob)
Classe dos riscos -
CLR
sc
(MB
, B, M
, A, M
A)
Descrição do controle (lista de controles)
Situação / Justificativa
(Situação: seleção,
Justificativa: informação
editada)
Opção de
tratamento – O
p
(ordem 1, 2, 3, ...)
Plano de
Tratam
ento de R
isco (PT
R)
A01 Processo avaliação
RDA
Comprometimento da informação
Extravio do documento sigiloso RDA-YZ.doc
64 Alto Conscientização “mesa limpa”
Não Implementado
1 - Obs: mais eficaz
PTR-RDA-1
Fechadura mecânica
Totalmente Implementado
x x
Câmara monitoramento.
Parcialmente Implementado – câmera VGA, pouco nítida img.
2 – Obs: pouco efetiva
x
Falhas técnicas
Sistema de apoio RDA-AB pouco confiável
40 Médio
Realizar teste de software
Parcialmente Implementado – teste não sistemático.
1 PTR-RDA-1
Realizar teste de segurança
Totalmente Implementado
x x
Ações não autorizadas
Acesso de não autorizados no ambiente físico RdaR
10 Baixo Política e procedimentos de controle acesso
Parcialmente Implementado – procedimentos informais
1 PTR-RDA-1
Fechadura mecânica
Totalmente Implementado
x x
Câmara monitoramento.
Totalmente Implementado
x x
Figura 53. Exemplo de Mapa de Riscos – Ativos, Ameaças, Riscos, Controles e Informações de Tratamento
8.5.3 Atividade 3. Implementar a reposta aos riscos
Descrição da atividade: Nesta atividade o Gestor de Riscos deve criar
condições para que os riscos sejam tratados, sendo assim devem ser criados
os Planos de Tratamento de Riscos (PTRs).
Cada PTR deve agrupar ações voltadas ao tratamento de riscos comuns. Por
exemplo, um PTR pode agrupar um conjunto de ações de melhoria de
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 128 de 140
segurança a serem implementadas em uma unidade específica da
organização.
Para cada PTR deve ser definido: escopo; unidade da organização; controles a
serem implementados; descrição de ações necessárias; responsável pela
execução; data de início; e data prevista para término.
O Gestor de Riscos deve alocar a execução dos PTRs aos responsáveis e
acompanhar a execução (parte do subprocesso Monitorar Riscos). A Figura 54
mostra o fluxo da atividade.
Figura 54. Atividade Implementar Respostas aos Riscos
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 129 de 140
Tarefas da atividade:
Tarefa 3.1: Iniciar e monitorar o tratamento de riscos.
Depois de decididas e aprovadas as respostas aos riscos é necessário realizar
ações para efetivar estas respostas.
Cada risco deve ser selecionado para análise, um por vez. Para cada risco a
ser tratado o Gestor de Riscos deve associar um Plano de Tratamento de
Riscos (PTR) que aborde o risco. Um PTR pode abordar mais de um risco.
Deve ser definido e comunicado um responsável pela elaboração de cada
PTR. Tipicamente o responsável pelo PTR deve ser um Responsável por
Unidade ou um Proprietário de Ativo.
O Gestor de Riscos deve monitorar o estado da execução de cada PTR junto
aos responsáveis designados.
Ao ser comunicado do final da implementação de um PTR o Gestor de Riscos
deve avaliar as evidências fornecidas pelo responsável pelo PTR e atualizar no
o estado de implementação dos controles tratados no PTR usando a
Ferramenta de Apoio à MGR-SISP.
Responsável: Gestor de Riscos.
Tarefa 3.2: Elaborar e executar os Planos de Tratamento de Riscos (PTRs).
O responsável designado para um PTR deve levantar informações sobre o
risco a ser tratado (ativos, ameaças, opções de tratamento, controles a serem
implementados, estimativas e restrições). Este responsável deve elaborar o
PTR com o detalhamento das ações a serem tomadas e com estimativas, que
podem ser refinadas caso necessário. O próprio designado para um PTR pode
executar o tratamento, ou pode alocar esta responsabilidade a outros.
O responsável pelo PTR deve avaliar periodicamente a execução tratamento e
informar o progresso da implementação (em percentual realizado).
Ao final da implementação do PTR, o responsável deve avaliar a correção dos
controles estabelecidos por meio de verificações e testes e deve fornecer uma
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 130 de 140
descrição sobre as ações realizadas. Além disso, o responsável deve anexar
uma evidência da correta implementação dos controles previstos no PTR.
Responsável: Responsável por um Plano de Tratamento de Riscos (PTRs).
Tipicamente será um Responsável por Unidade ou um Proprietário de Ativo.
Tarefa 3.3: Avaliar evidências do sucesso dos tratamentos e atualizar o estado
dos controles.
Ao ser comunicado do final da implementação de um PTR o Gestor de Riscos
deve avaliar as evidências fornecidas pelo responsável pelo PTR. Caso o
Gestor de Riscos não aprove o Tratamento do Risco e as evidências
fornecidas, deve ser indicada ao responsável pelo PTR a necessidade de
realizar ações adicionais. Isto ocorre até que o tratamento e as evidências
sejam satisfatórias.
O Gestor de Riscos deve atualizar o estado de implementação dos controles
tratados no PTR usando a Ferramenta de Apoio à MGR-SISP.
O Gestor de Riscos deve comunicar ao Representante da Alta Administração
dos resultados do Tratamento de Riscos.
Responsável: Gestor de Riscos.
Tarefa 3.4: Avaliar estrategicamente informações e decisões sobre o
tratamento dos riscos.
O Representante da Alta Administração deve acompanhar o progresso do
tratamento de riscos por meio da Ferramenta de Apoio à MGR-SISP. Caso
necessário o Gestor de Riscos pode prover informações mais específicas
sobre cada PTR.
O Representante da Alta Administração (com respaldo da análise técnica feita
pelo Gestor de Riscos e pelos Responsáveis por Unidades) é o responsável
por decidir sobre se o tratamento de riscos realizado é suficiente, ou se outras
ações são necessárias.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 131 de 140
Neste ponto de decisão atividades de subprocessos anteriores podem ser
reexecutadas, se o julgamento indicar a necessidade de realizar outras ações
para tratar os riscos.
Nestes casos, o Gestor de Riscos deve ser informado da necessidade de
revisar decisões e devem ser fornecidas descrições das questões identificadas
pela Alta Administração.
Responsável: Representante da Alta Administração.
Condição para início: Mapa de Riscos atualizado da atividade anterior.
Informações necessárias: Escopo; Descrição de ações necessárias e
controles a serem implementados; conhecimento técnico específico sobre a
implementação de controles; Responsável pela execução; Estimativas para o
tratamento de riscos.
Condição para ser finalizada: É necessário que o Gestor de Risco valide o
tratamento de risco.
Informações produzidas: Mapa de Riscos atualizado com os Planos de
Tratamento de Riscos que serão entregues aos responsáveis, contendo as
justificativas e o tempo para que o tratamento de risco seja concretizado. Os
subprocessos Comunicar Riscos e Monitorar Riscos também recebem
informações inerentes a esta atividade.
Template e exemplo da atividade:
A Figura 55 mostra um modelo de PTR – Plano de Tratamento de Riscos.
Cada PTR possui um identificador e refere-se a um setor da organização. São
identificados os responsáveis pela execução e pela elaboração do PTR. São
listados os riscos a serem tratados no escopo do PTR, identificando Ativos,
Ameaças, Descrição o Tratamento, Estimativas, e detalhamento de Ações. São
fornecidas datas para acompanhamento do PTR.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 132 de 140
A Figura 56 apresenta um exemplo.
PTR – Plano de Tratamento de Riscos
Identificador: Unidade:
Responsáveis
Responsável pela execução do PTR Responsável pela definição do PTR
Nome: Telefone: e-mail: Nome: Telefone: e-mail:
Riscos a serem tratados
Ativo Ameaça Descrição do tratamento
a ser realizado
Estimativas/Restrições Ações para o tratamento Custo
(Cst) Esforço
(Esf) Prazo (Prz)
Restrições (Rst)
Datas
Data de Início: Data Prevista para a Finalização: Data de Finalização:
Figura 55. Template do PTR - Plano de Tratamento de Riscos
PTR – Plano de Tratamento de Riscos
Identificador: PTR RDA-1 Unidade: DMPS
Responsáveis
Responsável pela execução do PTR Responsável pela definição do PTR
Nome:
Carlos
Telefone:
6623
e-mail:
Nome:
Marcos
Telefone:
6123
e-mail:
Riscos a serem tratados
Ativo Ameaça Descrição do
tratamento a ser realizado
Estimativas/Restrições Ações para o
tratamento Custo (Cst)
Esforço (Esf)
Prazo (Prz)
Restrições (Rst)
Processo avaliação RDA
Extravio do documento sigiloso RDA-YZ.doc
Conscientização “mesa limpa”
10.000 R$
Médio 120 Dias
X Definir procedimento
Treinamento
Monitoramento
Processo avaliação RDA
Sistema de apoio RDA-AB pouco confiável
Realizar teste sistemático de software
15.000 R$
Alto 150 Dias
Equipe interna
Treinamento
Alocar recursos
Planejar teste
Executar teste
Processo avaliação RDA
Acesso de não autorizados no ambiente físico RdaR
Implementar Política e procedimentos de controle acesso
3.000 R$
Médio 45 Dias
x Definir procedimento
Treinamento
Monitoramento
Datas
Data de Início: 05/06/2015 Data Prevista para a Finalização: 19 /06/2015 Data de Finalização: 19 /06/2015
Figura 56. Exemplo de PTR - Plano de Tratamento de Riscos
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 133 de 140
8.6 Subprocesso Comunicar Riscos (CR)
Este subprocesso define como será realizada a comunicação entre os atores
que fazem parte do processo de GSRI. As atividades relacionadas a este
subprocesso visam tornar a comunicação um procedimento eficaz. Este
subprocesso se desenvolve simultaneamente com os demais subprocessos e
as atividades são executadas durante todo o processo de gestão de riscos. A
comunicação de riscos deve atender aos seguintes requisitos:
Fornecer garantia do resultado da gestão de risco da organização;
Coletar informações sobre o risco;
Compartilhar os resultados da análise e avaliação de riscos e apresentar os
planos de tratamento de riscos;
Dar suporte ao processo decisório;
Dar aos tomadores de decisão e as partes interessadas um senso de
responsabilidade sobre os riscos.
Para isso, as seguintes atividades são executadas no decorrer de um processo
de Gestão de Risco:
Atividade 1 - Mapear e estabelecer comunicação com as partes interessadas.
Atividade realizada uma única vez no inicio do subprocesso estabelecer
contexto. O Gestor de riscos estabelece os procedimentos de comunicação
com as partes interessadas.
Atividade 2 - Compartilhar com os tomadores de decisão informações,
resultados e saídas de todas as atividades que envolvam a GRSI.
Esta atividade é realizada pelo Gestor de Riscos em grande parte dos
subprocessos. Ela tem por objetivo coletar informações de todas as atividades
dentro de um subprocesso e reporta-las às partes interessadas.
Atividade 3 - Avaliar e validar informações estratégicas.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 134 de 140
Algumas atividades requerem que o Representante da Alta Administração
avalie e valide as informações que foram produzidas de forma que, caso seja
necessário, a atividade seja reexecutada. As atividades em que ocorre este
tipo de comunicação são as seguintes:
Atividade definir os objetivos, o escopo e as restrições;
Atividade realizar pré-análise da organização;
Atividade realizar pré-análise das unidades da organização;
Atividade definir critérios;
Atividade classificar riscos;
Atividade definir sobre alternativas de resposta aos riscos;
Atividade implementar respostas aos riscos.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 135 de 140
A Figura 57 mostra o fluxo do subprocesso.
Figura 57. Subprocesso Monitorar Riscos
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 136 de 140
8.7 Subprocesso Monitorar Riscos (MR)
O subprocesso Monitorar Riscos tem por objetivo monitorar os resultados após
a análise de riscos. Novas ameaças, novas vulnerabilidades e novos ativos,
podem alterar ou ampliar os riscos anteriormente avaliados, tornando
necessário o monitoramento.
Também faz parte desse subprocesso o acompanhamento do tratamento dos
riscos, para assegurar que as medidas de resposta aos riscos planejadas
sejam adequadamente implementadas.
Como no subprocesso anterior, este subprocesso se desenvolve
simultaneamente com os demais subprocessos e as atividades são executadas
durante todo o processo de gestão de riscos, sendo assim, as seguintes
atividades fazem parte deste subprocesso:
Atividade 1 – Monitorar a implementação do Tratamento de Riscos.
Monitorar os riscos que estão em processo de tratamento, ou seja, se o PTR
está sendo seguido. Isto inclui:
o Se o PTR está dentro do prazo estabelecido para a implementação;
o Se o PTR foi finalizado, verificar se foram realizados testes para aferir a
efetividade do controle.
Essas informações precisam ser coletadas pelo Gestor de Riscos.
Atividade 2 – Monitorar riscos.
Monitorar os riscos de modo geral, ou seja, todos os riscos que compõem o
Mapa de riscos precisam ser monitorados. Isto inclui:
o No caso de riscos aceitos (retidos), avaliar periodicamente se há
alterações que justifiquem outro tratamento.
o No caso de riscos reduzidos, ou transferidos, avaliar periodicamente a
efetividade dos controles implementados pela execução dos PTRs.
Essas informações precisam ser coletadas pelo Gestor de Riscos.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 137 de 140
Atividade 3 – Monitorar alterações que impactam no resultado da análise de
riscos.
Monitorar procedimentos e novas informações que possam impactar ou alterar
os resultados da Análise Risco de modo geral. A atividade abrange todas as
informações que possam alterar o contexto geral da avaliação dos riscos. Isto
inclui:
o Novos ativos, substituídos ou descartados;
o Restrições ou escopo que foram modificados;
o Alterações na valoração dos ativos;
o Novas ameaças e vulnerabilidades;
o Incidentes de segurança que podem ocorrer após a análise de risco.
Essas informações precisam ser repassadas para o Gestor de Riscos.
A Figura 61 mostra o fluxo do subprocesso.
Figura 58. Subprocesso Monitorar Riscos
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 138 de 140
9 Considerações Finais
Este documento apresentou a proposta de metodologia denominada
“Metodologia de Gestão de Riscos de Segurança da Informação do SISP”, ou
MGR-SISP. Esta metodologia visa a sistematizar e padronizar a gestão de
riscos na Administração Pública Federal – APF. Almeja-se contribuir para a
implantação de boas práticas de Segurança da Informação e para a
racionalização de investimentos nesta área.
A MGR-SISP é composta pelos subprocessos: Estabelecer Contexto;
Identificar Riscos; Estimar Riscos; Avaliar Riscos; Tratar Riscos; Comunicar
Riscos e; Monitorar Riscos. Cada subprocesso é formado por atividades e
tarefas que visam atingir objetivos parciais específicos no processo de gestão
de riscos. A metodologia incorpora práticas eficazes e bem sucedidas,
apresentando características de modelos como ISO/IEC 27005, ISO/IEC
27002, ISO 31000, IT-Grundschutz Methodology - BSI Standard 100-2, NIST
800-39, e NIST 800-30.
A MGR-SISP é compatível com a Norma Complementar nº
04/IN01/DSIC/GSIPR, que estabelece diretrizes para o processo de Gestão de
Riscos de Segurança da Informação e Comunicações e busca contemplar os
aspectos de segurança, conceitos e práticas, tratados em Normas
Complementares, Instruções Normativas, decretos e portarias do Governo
Brasileiro.
Em qualquer iniciativa de desenvolvimento de metodologias, é fundamental
a realização de ajustes. Espera-se que a MGR-SISP descrita neste documento,
evolua no sentido de se tornar efetivamente adequada às necessidades da
APF. Para tanto são previstas ações, tais como: A avaliação com especialistas
nas áreas envolvidas e a realização de projetos-piloto. Importante destacar
também que a especificação e o desenvolvimento da ferramenta de apoio à
MGR-SISP permitirá o detalhamento de alguns pontos práticos da aplicação da
metodologia.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 139 de 140
10 Referências
ABNT ISO GUIA 73: 2009, “Gestão de riscos – Vocabulário”.
(Canongia e outros, 2010): Claudia Canogia, Admilson Gonçalves Júnior,
Raphael Mandarino Junior (organizadoress) "Guia de referência para a
Segurança das Infraestruturas Críticas da Informação. Versão 01 – Nov./2010."
Presidência da República. Disponível em: http://dsic.planalto.gov.br.
Consultado em Maio, 2015.
ISO/IEC 27005, “Information technology – Security techniques – Information
security risk management”, ISO/IEC 2011.
ISO/IEC 27002, “Information technology – Security techniques – Code of
pratice for information security management”, ISO/IEC 2013.
ISO 31000, “Risk management – Principles and guidelines”, ISO 2009.
ISO 31010, “Risk management – Risk assessment guidelines”, ISO 2009.
“IT-Grundschutz Methodology, BSI Standard 100-2”, Version 2.0, Maio 2008,
www.bsi.bund.de
National Institute of Standards and Technology – NIST (EUA). NIST 800-39 –
“Managing Information Security Risk.” Disponível em:
<http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf>.
Consultado em Maio, 2015.
(NIST 800-30, 2011). National Institute of Standards and Technology – NIST
(EUA). “NIST 800-30 – Guide for Conducting Risk Assessment”, Setembro,
2011. Disponível em: <http://csrc.nist.gov/publications/nistpubs/800-39/SP800-
30-final.pdf>. Consultado em Maio, 2015.
RESERVADO
SLTI – OE1:RM2
RESERVADO Página 140 de 140
(Yoo e outros, 2007) Dong-Young Yoo, Jong-Whoi Shin, Gang Shin Lee, and
Jae-I Lee. “Improve of Evaluation Method for Information Security Levels of
CIIP (Critical Information Infrastructure Protection)”, International Scholarly and
Scientific Research & Innovation 1(12), 2007, World Academy of Science,
Engineering and Technology.