103599061 iso iec 27005 gestao de riscos ti

ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011)

AGOSTO:2011

NO TEM VALOR NORMATIVO 1/97

Tecnologia da informao Tcnicas de segurana Gesto de riscos de segurana da informao

APRESENTAO 1) Este Projeto de Reviso foi elaborado pela Comisso de Estudo de Tcnicas de Segurana (CE-21:027.00) do Comit Brasileiro de Computadores de Dados (ABNT/CB-21), nas reunies de:

2) Este 1 Projeto de Reviso previsto para cancelar e substituir a edio anterior ABNT NBR ISO/IEC 27005:2008, quando aprovado, sendo que nesse nterim a referida norma continua em vigor;

3) Previsto para ser identica a ISO/IEC 27005:2011; 4) No tem valor normativo; 5) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta informao em seus comentrios, com documentao comprobatria;

6) Este Projeto de Norma ser diagramado conforme as regras de editorao da ABNT quando de sua publicao como Norma Brasileira.

7) Tomaram parte na elaborao deste Projeto: Participante Representante

BANCO DO NORDESTE Francisco Nunes CQSI Ariosto Farias Junior MDULO Alberto Bastos MDULO Marcelo Gherman TIVIT Lilian Pricola UNB

Edgard Costa

23.02.2011 12.07.2011 __________


AGOSTO:2011


Sumrio Pgina Prefcio Nacional 4 Introduo 5 1 Escopo 5 2 Referncias normativas 5 3 Termos e definies 5 4 Organizao da Norma 10 5 Contextualizao 11 6 Viso geral do processo de gesto de riscos de segurana da informao 12 7 Definio do contexto 16 7.1 Consideraes Gerais 16 7.2 Critrios bsicos 17 7.2.1 Abordagem da gesto de riscos 17 7.2.2 Critrios para a avaliao de riscos 17 7.2.3 Critrios de impacto 18 7.2.4 Critrios para a aceitao do risco 18 7.3 Escopo e limites 19 7.4 Organizao para gesto de riscos de segurana da informao 20 8 Processo de avaliao de riscos de segurana da informao 21 8.1 Descrio geral do processo de avaliao de riscos de segurana da informao 21 8.2 Identificao de riscos 22 8.2.1 Introduo identificao de riscos 22 8.2.2 Identificao dos ativos 22 8.2.3 Identificao das ameaas 23 8.2.4 Identificao dos controles existentes 23 8.2.5 Identificao das vulnerabilidades 24 8.2.6 Identificao das consequncias 25 8.3 Anlise de riscos 26 8.3.1 Metodologias de anlise de riscos 25 8.3.2 Avaliao das consequncias 27 8.3.3 Avaliao da probabilidade dos incidentes 29 8.3.4 Determinao do nvel de risco 30 8.4 Avaliao de riscos 30 9 Tratamento do risco de segurana da informao 31 9.1 Descrio geral do processo de tratamento do risco 31 9.2 Modificao do risco 34


AGOSTO:2011


9.3 Reteno do risco 35 9.4 Ao de evitar o risco 35 9.5 Compartilhamento do risco 35 10 Aceitao do risco de segurana da informao 36 11 Comunicao e consulta do risco de segurana da informao 37 12 Monitoramento e anlise crtica de riscos de segurana da informao 38 12.1 Monitoramento e anlise crtica dos fatores de risco 38 12.2 Monitoramento, anlise crtica e melhoria do processo de gesto de riscos 39 Anexo A (informativo) Definindo o escopo e os limites do processo de gesto de riscos de segurana da informao 41 A.1 A anlise da organizao 41 A.2 Restries que afetam a organizao 42 A.3 Referncias legais e regulamentares aplicveis organizao 45 A.4 Restries que afetam o escopo 45 Anexo B (informativo) Identificao e valorao dos ativos e avaliao do impacto 47 B.1 Exemplos de identificao de ativos 47 B.1.1 Identificao dos ativos primrios 47 B.1.2 Lista e descrio de ativos de suporte 48 B.2 Valorao dos Ativos 54 B.3 Avaliao do Impacto 58 Anexo C (informativo) Exemplos de ameaas comuns 60 Anexo D (informativo) Vulnerabilidades e mtodos de avaliao de vulnerabilidades 63 D.1 Exemplos de vulnerabilidades 63 D.2 Mtodos para a avaliao de vulnerabilidades tcnicas 67 Anexo E (informativo) Abordagens para o processo de avaliao de riscos de segurana da informao 69 E.1 Processo de avaliao de riscos de segurana da informao - Enfoque de alto nvel 69 E.2 Processo detalhado de avaliao de riscos de segurana da informao 71 E.2.1 Exemplo 1 Matriz com valores pr-definidos 72 E.2.2 Exemplo 2 Ordenao de Ameaas em funo do Risco 75 E.2.3 Exemplo 3 Avaliando a probabilidade e as possveis consequncias dos riscos 76 Anexo F (informativo) Restries para a modificao do risco 78 Anexo G (informativo) Diferenas nas definies entre a ABNT NBR ISO/IEC 27005:2008 e a ABNT NBR ISO/IEC 27005:2011 80 Bibliografia 94


AGOSTO:2011


Tecnologia da informao Tcnicas de segurana Gesto de riscos de segurana da informao Information technology Security techniques Information security risk management

Prefcio Nacional

A Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional de Normalizao. As Normas Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais (ABNT/CEE), so elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros). Os documentos Tcnicos ABNT so elaborados conforme as regras da Diretiva ABNT, Parte 2.

A Associao Brasileira de Normas Tcnicas (ABNT) chama ateno para a possibilidade de que alguns dos elementos deste documento podem ser objeto de direito de patente. A ABNT no deve ser considerada responsvel pela identificao de quaisquer direitos de patentes.

A ABNT NBR ISO/IEC 27005 foi elaborada no Comit Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21), pela Comisso de Estudo de Segurana da Informao (CE-21:027.00).

Esta Norma uma adoo idntica, em contedo tcnico, estrutura e redao, ISO/IEC 27005: 2011, que foi elaborada pelo Comit Tcnico Information technology (ISO/IEC JTC 1), conforme ISO/IEC Guide 21-1:2005.

Esta segunda edio cancela e substitui a primeira edio da ABNT NBR ISO/IEC 27005:2008 que foi revisada tecnicamente.

O Escopo desta Norma Brasileira em ingls o seguinte:

Scope This Standard provides guidelines for information security risk management.

This Standard supports the general concepts specified in ABNT NBR ISO/IEC 27001 and is designed to assist the satisfactory implementation of information security based on a risk management approach.

Knowledge of the concepts, models, processes and terminologies described in ABNT NBR ISO/IEC 27001 and ABNT NBR ISO/IEC 27002 is important for a complete understanding of this International Standard.

This International Standard is applicable to all types of organizations (e.g. commercial enterprises, government agencies, non-profit organizations) which intend to manage risks that could compromise the organizations information security.


AGOSTO:2011


Introduo

Esta Norma fornece diretrizes para o processo de Gesto de Riscos de Segurana da Informao de uma organizao, atendendo particularmente aos requisitos de um Sistema de Gesto de Segurana da Informao (SGSI) de acordo com a ABNT NBR ISO/IEC 27001. Entretanto, esta Norma Internacional no inclui um mtodo especfico para a gesto de riscos de segurana da informao. Cabe organizao definir sua abordagem ao processo de gesto de riscos, levando em conta, por exemplo, o escopo do seu SGSI, o contexto da gesto de riscos e o seu setor de atividade econmica. H vrias metodologias que podem ser utilizadas de acordo com a estrutura descrita nesta Norma Internacional para implementar os requisitos de um SGSI.

Esta Norma do interesse de gestores e pessoal envolvidos com a gesto de riscos de segurana da informao em uma organizao e, quando apropriado, em entidades externas que do suporte a essas atividades.

1 Escopo Esta Norma fornece diretrizes para o processo de gesto de riscos de segurana da informao.

Esta Norma est de acordo com os conceitos especificados na ABNT NBR ISO/IEC 27001 e foi elaborada para facilitar uma implementao satisfatria da segurana da informao tendo como base uma abordagem de gesto de riscos.

O conhecimento dos conceitos, modelos, processos e terminologias descritos na ABNT NBR ISO/IEC 27001 e na ABNT NBR ISO/IEC 27002 importante para um entendimento completo desta Norma Internacional.

Esta Norma se aplica a todos os tipos de organizao (por exemplo: empreendimentos comerciais, agncias governamentais, organizaes sem fins lucrativos), que pretendam gerir os riscos que poderiam comprometer a segurana da informao da organizao.

2 Referncias normativas Os documentos relacionados a seguir so indispensveis aplicao deste documento. Para referncias datadas, aplicam-se somente as edies citadas. Para referncias no datadas, aplicam-se as edies mais recentes do referido documento (incluindo emendas). ISO/IEC 27000, Information Technology Security techniques Information security management systems Overview and vocabulary

ABNT NBR ISO/IEC 27001: 2006, Tecnologia da Informao Tcnicas de segurana Sistemas de gesto de segurana da informao Requisitos.

3 Termos e definies Para os efeitos deste documento, aplicam-se termos e definies da ISO/IEC 27000 e os seguintes.

NOTA As diferenas entre as definies da ABNT NBR ISO/IEC 27005:2008 e esta norma so mostrados no Anexo G.


AGOSTO:2011


3.1 consequncia resultado de um evento (3.3) que afeta os objetivos [ABNT ISO GUIA 73:2009] NOTA 1 Um evento pode levar a uma srie de consequncias.

NOTA 2 Uma consequncia pode ser certa ou incerta e, no contexto da segurana da informao, , normalmente, negativa.

NOTA 3 As consequncias podem ser expressas qualitativa ou quantitativamente.

NOTA 4 As consequncias iniciais podem desencadear reaes em cadeia.

3.2 controle medida que est modificando o risco (3.9) [ABNT ISO GUIA 73:2009] NOTA 1 Os controles da segurana da informao incluem qualquer processo, poltica, procedimento, diretriz, prtica ou estrutura organizaconal, que pode ser de natureza administrativa, tcnica, gerencial ou legal que modificam o risco da segurana da informao.

NOTA 2 Os controles nem sempre conseguem exercer o efeito de modificao pretendido ou presumido.

NOTA 3 Controle tambm usado como um sinnimo de salvaguarda ou contramedida.

3.3 evento ocorrncia ou mudana em um conjunto especfico de circunstncias [ABNT ISO GUIA 73:2009] NOTA 1 Um evento pode consistir em uma ou mais ocorrncias e pode ter vrias causas.

NOTA 2 Um evento pode consistir em alguma coisa no acontecer.

NOTA 3 Um evento pode algumas vezes ser referido como um "incidente" ou um "acidente".

3.4 contexto externo ambiente externo no qual a organizao busca atingir seus objetivos [ABNT ISO GUIA 73:2009] NOTA O contexto externo pode incluir:

o ambiente cultural, social, poltico, legal, regulatrio, financeiro, tecnolgico, econmico, natural e competitivo, seja internacional, nacional, regional ou local;

os fatoreschave e as tendncias que tenham impacto sobre os objetivos da organizao; e


AGOSTO:2011


as relaes com partes interessadas externas e suas percepes e valores.

3.5 contexto interno ambiente interno no qual a organizao busca atingir seus objetivos [ABNT ISO GUIA 73:2009] NOTA O contexto interno pode incluir:

governana, estrutura organizacional, funes e responsabilidades;

polticas, objetivos e estratgias implementadas para atingilos; capacidades compreendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas,

processos, sistemas e tecnologias); sistemas de informao, fluxos de informao e processos de tomada de deciso (tanto formais como

informais); relaes com partes interessadas internas, e suas percepes e valores;

cultura da organizao;

normas, diretrizes e modelos adotados pela organizao; e

forma e extenso das relaes contratuais.

3.6 nvel de risco magnitude de um risco (3.9), expressa em termos da combinao das consequncias (3.1) e de suas probabilidades (likelihood) (3.7)

[ABNT ISO GUIA 73:2009] 3.7 probabilidade (likelihood) chance de algo acontecer

[ABNT ISO GUIA 73:2009] NOTA 1 Na terminologia de gesto de riscos, a palavra probabilidade" utilizada para referir-se chance de algo acontecer, no importando se de forma definida, medida ou determinada ainda que objetiva ou subjetivamente, qualitativa ou quantitativamente, ou se descrita utilizando-se termos gerais ou matemticos (tal como probabilidade ou frequncia durante um determinado perodo de tempo).

NOTA 2 O termo em Ingls "likelihood" no tm um equivalente direto em algumas lnguas; em vez disso, o equivalente do termo "probability" frequentemente utilizado. Entretanto, em Ingls, "probability" muitas vezes interpretado estritamente como uma expresso matemtica. Portanto, na terminologia de gesto de riscos, likelihood" utilizado com a mesma ampla interpretao de que o termo "probability" tem em muitos outros idiomas alm do Ingls.

3.8 risco residual risco (3.9) remanescente aps o tratamento do risco (3.17)


AGOSTO:2011


[ABNT ISO GUIA 73:2009] NOTA 1 O risco residual pode conter riscos no identificados.

NOTA 2 O risco residual tambm pode ser conhecido como "risco retido".

3.9 risco efeito da incerteza nos objetivos [ABNT ISO GUIA 73:2009] NOTA 1 Um efeito um desvio em relao ao esperado positivo e/ou negativo.

NOTA 2 Os objetivos podem ter diferentes aspectos (tais como metas financeiras, de sade e segurana e ambientais) e podem aplicarse em diferentes nveis (tais como estratgico, em toda a organizao, de projeto, de produto e de processo). NOTA 3 O risco muitas vezes caracterizado pela referncia aos eventos (3.3) potenciais e s consequncias (3.1), ou uma combinao destes.

NOTA 4 O risco em segurana da informao muitas vezes expresso em termos de uma combinao de consequncias de um evento (incluindo mudanas nas circunstncias) e a probabilidade (likelihood) (3.7) associada de ocorrncia.

NOTA 5 A incerteza o estado, mesmo que parcial, da deficincia das informaes relacionadas a um evento, sua compreenso, seu conhecimento, sua consequncia ou sua probabilidade.

NOTA 6 O risco de segurana da informao est associado com o potencial de que ameaas possam explorar vulnerabilidades de um ativo de informao ou grupo de ativos de informao e, consequentemente, causar dano a uma organizao.

3.10 anlise de riscos processo de compreender a natureza do risco e determinar o nvel de risco (3.6) [ABNT ISO GUIA 73:2009] NOTA 1 A anlise de riscos fornece a base para a avaliao de riscos e para as decises sobre o tratamento de riscos.

NOTA 2 A anlise de riscos inclui a estimativa de riscos.

3.11 processo de avaliao de riscos processo global de identificao de riscos (3.15), anlise de riscos (3.10) e avaliao de riscos (3.14) [ABNT ISO GUIA 73:2009] NOTA BRASILEIRA: Para os efeitos deste documento o termo risk assessment foi traduzido como processo de avaliao de riscos (3.11) para evitar conflito com o termo risk evaluation que foi traduzido na ABNT NBR ISO 31000 como avaliao de riscos (3.14). Na ABNT NBR ISO/IEC 27001:2006, este termo est traduzido como anlise/avaliao de riscos.


AGOSTO:2011


3.12 comunicao e consulta processos contnuos e iterativos que uma organizao conduz para fornecer, compartilhar ou obter informaes e se envolver no dilogo com as partes interessadas (3.18), com relao a gerenciar riscos (3.9) [ABNT ISO GUIA 73:2009] NOTA 1 As informaes podem referir-se existncia, natureza, forma, probabilidade (likelihood) (3.7), severidade, avaliao, aceitao e tratamento de riscos.

NOTA 2 A consulta um processo bidirecional de comunicao sistematizada entre uma organizao e suas partes interessadas ou outros, antes de tomar uma deciso ou direcionar uma questo especfica. A consulta :

um processo que impacta uma deciso atravs da influncia ao invs do poder; e

uma entrada para o processo de tomada de deciso, e no uma tomada de deciso em conjunto.

3.13 critrios de risco termos de referncia contra os quais a significncia de um risco (3.9) avaliada [ABNT ISO GUIA 73:2009] NOTA 1 Os critrios de risco so baseados nos objetivos organizacionais e no contexto externo e contexto interno.

NOTA 2 Os critrios de risco podem ser derivados de normas, leis, polticas e outros requisitos.

3.14 avaliao de riscos processo de comparar os resultados da anlise de riscos (3.10) com os critrios de risco (3.13) para determinar se o risco e/ou sua magnitude aceitvel ou tolervel

[ABNT ISO GUIA 73:2009] NOTA A avaliao de riscos auxilia na deciso sobre o tratamento de riscos.

3.15 identificao de riscos processo de busca, reconhecimento e descrio de riscos

[ABNT ISO GUIA 73:2009] NOTA 1 A identificao de riscos envolve a identificao das fontes de risco, eventos, suas causas e suas consequncias potenciais.

NOTA 2 A identificao de riscos pode envolver dados histricos, anlises tericas, opinies de pessoas informadas e especialistas, e as necessidades das partes interessadas.

3.16 gesto de riscos


AGOSTO:2011


atividades coordenadas para dirigir e controlar uma organizao no que se refere a riscos

[ABNT ISO GUIA 73:2009] NOTA Esta Norma Internacional usa o termo processo para descrever toda a gesto de riscos. Os elementos contidos no processo de gesto de riscos foram chamados de atividades.

3.17 tratamento de riscos processo para modificar o risco

[ABNT ISO GUIA 73:2009] NOTA 1 O tratamento de risco pode envolver:

a ao de evitar o risco pela deciso de no iniciar ou descontinuar a atividade que d origem ao risco;

assumir ou aumentar o risco, a fim de buscar uma oportunidade;

a remoo da fonte de risco;

a alterao da probabilidade (likelihood);

a alterao das consequncias;

o compartilhamento do risco com outra parte ou partes [incluindo contratos e financiamento do risco]; e

a reteno do risco por uma escolha consciente.

NOTA 2 Os tratamentos de riscos relativos a consequncias negativas so muitas vezes referidos como "mitigao de riscos", "eliminao de riscos", "preveno de riscos" e "reduo de riscos".

NOTA 3 O tratamento de riscos pode criar novos riscos ou modificar riscos existentes.

3.18 parte interessada pessoa ou organizao que pode afetar, ser afetada, ou perceberse afetada por uma deciso ou atividade

[ABNT ISO GUIA 73:2009] NOTA Um tomador de deciso pode ser uma parte interessada.

4 Organizao da Norma Esta Norma Internacional contm a descrio do processo de gesto de riscos de segurana da informao e das suas atividades.

As informaes sobre o contexto histrico so apresentadas na Seo 5.

Uma viso geral do processo de gesto de riscos de segurana da informao apresentada na Seo 6.


AGOSTO:2011


Todas as atividades de gesto de riscos de segurana da informao, apresentadas na Seo 6, so descritas nas seguintes sees:

Definio do contexto na Seo 7,

Processo de avaliao de riscos na Seo 8,

Tratamento do risco na Seo 9,

Aceitao do risco na Seo 10,

Comunicao e consulta do risco na Seo 11,

Monitoramento e anlise crtica de riscos na Seo 12.

Informaes adicionais para as atividades de gesto de riscos de segurana da informao so apresentadas nos anexos. A definio do contexto detalhada no Anexo A (Definindo o escopo e os limites do processo de gesto de riscos de segurana da informao). A identificao e valorao dos ativos e a avaliao do impacto so discutidas no Anexo B (exemplos de ativos), o Anexo C d exemplos de ameaas tpicas e o Anexo D apresenta vulnerabilidades e mtodos para avaliao de vulnerabilidades. Exemplos de abordagens para o processo de avaliao de riscos de segurana da informao so apresentados no Anexo E.

Restries relativas modificao do risco so apresentadas no Anexo F.

As diferenas nas definies entre as normas ABNT NBR ISO/IEC 27005:2008 e a ABNT NBR ISO/IEC 27005:2011 so apresentadas no Anexo G.

As atividades de gesto de riscos, como apresentadas da Seo 7 at a Seo 12, esto estruturadas da seguinte forma:

Entrada: Identifica as informaes necessrias para realizar a atividade.

Ao: Descreve a atividade.

Diretrizes para implementao: Fornece diretrizes para a execuo da ao. Algumas destas diretrizes podem no ser adequadas em todos os casos. Assim sendo, outras maneiras de se executar a ao podem ser mais apropriadas.

Sada: Identifica as informaes resultantes da execuo da atividade.

5 Contextualizao Uma abordagem sistemtica de gesto de riscos de segurana da informao necessria para se identificar as necessidades da organizao em relao aos requisitos de segurana da informao e para criar um sistema de gesto de segurana da informao (SGSI) que seja eficaz. Convm que essa abordagem seja adequada ao ambiente da organizao e em particular esteja alinhada com o processo maior de gesto de riscos corporativos. Convm que os esforos de segurana lidem com riscos de maneira efetiva e no tempo apropriado, onde e quando forem necessrios. Convm que a gesto de riscos de segurana da informao seja parte integrante das atividades de gesto da segurana da informao e aplicada tanto implementao quanto operao cotidiana de um SGSI.


AGOSTO:2011


Convm que a gesto de riscos de segurana da informao seja um processo contnuo. Convm que o processo defina o contexto interno e externo, avalie os riscos e trate os riscos usando um plano de tratamento a fim de implementar as recomendaes e decises. Convm que a gesto de riscos analise os possveis acontecimentos e suas consequncias, antes de decidir o que ser feito e quando ser feito, a fim de reduzir os riscos a um nvel aceitvel.

Convm que a gesto de riscos de segurana da informao contribua para:

Identificao de riscos

Processo de avaliao de riscos em funo das consequncias ao negcio e da probabilidade de sua ocorrncia

Comunicao e entendimento da probabilidade e das consequncias destes riscos

Estabelecimento da ordem prioritria para tratamento do risco

Priorizao das aes para reduzir a ocorrncia dos riscos

Envolvimento das partes interessadas quando as decises de gesto de riscos so tomadas e mantidas informadas sobre a situao da gesto de riscos

Eficcia do monitoramento do tratamento do risco

Monitoramento e a anlise crtica peridica dos riscos e do processo de gesto de riscos

Coleta de informaes de forma a melhorar a abordagem da gesto de riscos

Treinamento de gestores e pessoal a respeito dos riscos e das aes para mitig-los

O processo de gesto de riscos de segurana da informao pode ser aplicado organizao como um todo, a uma rea especfica da organizao (por exemplo, um departamento, um local fsico, um servio), a qualquer sistema de informaes, a controles j existentes, planejados ou apenas a aspectos particulares de um controle (por exemplo: o plano de continuidade de negcios).

6 Viso geral do processo de gesto de riscos de segurana da informao Uma viso de alto nvel do processo de gesto de riscos especificado na ABNT NBR ISO 31000:2009 e apresentado na Figura 1.


AGOSTO:2011


Figura 1 O processo de gesto de riscos

A Figura 2 apresenta como esta Norma Internacional se aplica ao processo de gesto de riscos.

O processo de gesto de riscos de segurana da informao consiste na definio do contexto (Seo 7), processo de avaliao de riscos (Seo 8), tratamento do risco (Seo 9), aceitao do risco (Seo 10), comunicao e consulta do risco (Seo 11) e monitoramento e anlise crtica de riscos (Seo 12).


AGOSTO:2011


Figura 2 - Processo de gesto de riscos de segurana da informao

Como mostra a Figura 2, o processo de gesto de riscos de segurana da informao pode ser iterativo para o processo de avaliao de riscos e/ou para as atividades de tratamento do risco. Um enfoque iterativo na execuo do processo de avaliao de riscos torna possvel aprofundar e detalhar a avaliao em cada repetio. O enfoque iterativo permite minimizar o tempo e o esforo despendidos na identificao de controles e, ainda assim, assegura que riscos de alto impacto ou de alta probabilidade possam ser adequadamente avaliados.


AGOSTO:2011


Primeiramente, o contexto estabelecido. Em seguida, executa-se um processo de avaliao de riscos. Se ele fornecer informaes suficientes para que se determine de forma eficaz as aes necessrias para reduzir os riscos a um nvel aceitvel, ento a tarefa est completa e o tratamento do risco pode suceder-se. Por outro lado, se as informaes forem insuficientes, executa-se uma outra iterao do processo de avaliao de riscos, revisando-se o contexto (por exemplo: os critrios de avaliao de riscos, de aceitao do risco ou de impacto), possivelmente em partes limitadas do escopo (ver Figura 2, Ponto de Deciso 1). A eficcia do tratamento do risco depende dos resultados do processo de avaliao de riscos.

Note que o tratamento de riscos envolve um processo cclico para:

avaliar um tratamento do risco; decidir se os nveis de risco residual so aceitveis; gerar um novo tratamento do risco se os nveis de risco no forem aceitveis; e avaliar a eficcia do tratamento.

possvel que o tratamento do risco no resulte em um nvel de risco residual que seja aceitvel. Nessa situao, pode ser necessria uma outra iterao do processo de avaliao de riscos, com mudanas nas variveis do contexto (por exemplo: os critrios para o processo de avaliao de riscos, de aceitao do risco e de impacto), seguida por uma fase adicional de tratamento do risco (ver Figura 2, Ponto de Deciso 2). A atividade de aceitao do risco tem de assegurar que os riscos residuais sejam explicitamente aceitos pelos gestores da organizao. Isso especialmente importante em uma situao em que a implementao de controles omitida ou adiada, por exemplo, devido aos custos.

Durante o processo de gesto de riscos de segurana da informao, importante que os riscos e a forma com que so tratados sejam comunicados ao pessoal das reas operacionais e gestores apropriados. Mesmo antes do tratamento do risco, informaes sobre riscos identificados podem ser muito teis para o gerenciamento de incidentes e ajudar a reduzir possveis prejuzos. A conscientizao dos gestores e pessoal no que diz respeito aos riscos, natureza dos controles aplicados para mitig-los e s reas definidas como de interesse pela organizao, auxiliam a lidar com os incidentes e eventos no previstos da maneira mais efetiva. Convm que os resultados detalhados de cada atividade do processo de gesto de riscos de segurana da informao, assim como as decises sobre o processo de avaliao de riscos e sobre o tratamento do risco (representadas pelos dois pontos de deciso na Figura 2), sejam documentados. A ABNT NBR ISO/IEC 27001:2006 especifica que os controles implementados no escopo, limites e contexto do SGSI devem ser baseados no risco. A aplicao de um processo de gesto de riscos de segurana da informao pode satisfazer esse requisito. H vrios mtodos atravs dos quais o processo pode ser implementado com sucesso em uma organizao. Convm que a organizao use o mtodo que melhor se adeque a suas circunstncias, para cada aplicao especfica do processo.

Em um SGSI, a definio do contexto, o processo de avaliao de riscos, o desenvolvimento do plano de tratamento do risco e a aceitao do risco fazem parte da fase "planejar". Na fase "executar" do SGSI, as aes e controles necessrios para reduzir os riscos para um nvel aceitvel so implementados de acordo com o plano de tratamento do risco. Na fase verificar do SGSI, os gestores determinaro a necessidade de reviso da avaliao e tratamento do risco luz dos incidentes e


AGOSTO:2011


mudanas nas circunstncias. Na fase agir, as aes necessrias so executadas, incluindo a reaplicao do processo de gesto de riscos de segurana da informao.

A Tabela 1 resume as atividades relevantes de gesto de riscos de segurana da informao para as quatro fases do processo do SGSI:

Tabela 1 Alinhamento do processo do SGSI e do processo de gesto de riscos de segurana da informao

Processo do SGSI Processo de gesto de riscos de segurana da informao

Planejar

Definio do contexto

Processo de avaliao de riscos

Definio do plano de tratamento do risco

Aceitao do risco

Executar Implementao do plano de tratamento do risco

Verificar Monitoramento contnuo e anlise crtica de riscos

Agir Manter e melhorar o processo de Gesto de Riscos de Segurana da Informao

7 Definio do contexto 7.1 Consideraes Gerais

Entrada: Todas as informaes sobre a organizao relevantes para a definio do contexto da gesto de riscos de segurana da informao.

Ao: Convm que o contexto externo e interno para gesto de riscos de segurana da informao seja estabelecido, o que envolve a definio dos critrios bsicos necessrios para a gesto de riscos de segurana da informao (7.2), a definio do escopo e dos limites (7.3) e o estabelecimento de uma organizao apropriada para operar a gesto de riscos de segurana da informao (7.4). Diretrizes para implementao:

essencial determinar o propsito da gesto de riscos de segurana da informao, pois ele afeta o processo em geral e a definio do contexto em particular. Esse propsito pode ser:

Suporte a um SGSI

Conformidade legal e evidncia da devida diligncia (due diligence) Preparao de um plano de continuidade de negcios

Preparao de um plano de resposta a incidentes


AGOSTO:2011


Descrio dos requisitos de segurana da informao para um produto, um servio ou um mecanismo

As diretrizes para implementao dos elementos da definio do contexto necessrios para dar suporte a um SGSI so discutidas detalhadamente nas Sees 7.2, 7.3 e 7.4 a seguir.

NOTA A ABNT NBR ISO/IEC 27001:2006 no usa o termo contexto. No entanto, a Seo 7 refere-se aos requisitos definir o escopo e limites do SGSI [4.2.1.a)], definir uma poltica para o SGSI [4.2.1.b)] e definir a abordagem de anlise/avaliao de riscos [4.2.1.c)], especificados na ABNT NBR ISO/IEC 27001:2006.

Sada: A especificao dos critrios bsicos; o escopo e os limites do processo de gesto de riscos de segurana da informao; e a organizao responsvel pelo processo.

7.2 Critrios bsicos

7.2.1 Abordagem da gesto de riscos

Dependendo do escopo e dos objetivos da gesto de riscos, diferentes mtodos podem ser aplicados. O mtodo tambm pode ser diferente para cada iterao do processo.

Convm que um mtodo de gesto de riscos apropriado seja selecionado ou desenvolvido e leve em conta critrios bsicos, tais como: critrios de avaliao de riscos, critrios de impacto e critrios de aceitao do risco.

Alm disso, convm que a organizao avalie se os recursos necessrios esto disponveis para:

Executar o processo de avaliao de riscos e estabelecer um plano de tratamento de riscos

Definir e implementar polticas e procedimentos, incluindo implementao dos controles selecionados

Monitorar controles

Monitorar o processo de gesto de riscos de segurana da informao

NOTA Ver tambm a ABNT NBR ISO/IEC 27001:2006 (Seo 5.2.1) com relao proviso de recursos para a implementao e operao de um SGSI.

7.2.2 Critrios para a avaliao de riscos

Convm que os critrios para a avaliao de riscos sejam desenvolvidos para avaliar os riscos de segurana da informao na organizao, considerando os seguintes itens:

O valor estratgico do processo que trata as informaes de negcio

A criticidade dos ativos de informao envolvidos

Requisitos legais e regulatrios, bem como as obrigaes contratuais

Importncia do ponto de vista operacional e dos negcios, da disponibilidade, da confidencialidade e da integridade


AGOSTO:2011


Expectativas e percepes das partes interessadas e consequncias negativas para o valor de mercado (em especial, no que se refere aos fatores intangveis desse valor), a imagem e a reputao

Alm disso, critrios para avaliao de riscos podem ser usados para especificar as prioridades para o tratamento do risco.

7.2.3 Critrios de impacto

Convm que os critrios de impacto sejam desenvolvidos e especificados em funo do montante dos danos ou custos organizao causados por um evento relacionado com a segurana da informao, considerando o seguinte:

Nvel de classificao do ativo de informao afetado

Ocorrncias de violao da segurana da informao (por exemplo, perda da disponibilidade, da confidencialidade e/ou da integridade)

Operaes comprometidas (internas ou de terceiros) Perda de oportunidades de negcio e de valor financeiro

Interrupo de planos e o no cumprimento de prazos

Dano reputao

Violaes de requisitos legais, regulatrios ou contratuais

NOTA Veja tambm a ABNT NBR ISO/IEC 27001:2006 [Seo 4.2.1 d) 4] com relao identificao dos critrios de impacto, considerando a perda da confidencialidade, da integridade e/ou da disponibilidade.

7.2.4 Critrios para a aceitao do risco

Convm que os critrios para a aceitao do risco sejam desenvolvidos e especificados. Os critrios de aceitao do risco dependem frequentemente das polticas, metas e objetivos da organizao, assim como dos interesses das partes interessadas.

Convm que a organizao defina sua prpria escala de nveis de aceitao do risco. Convm que os seguintes tpicos sejam considerados durante o desenvolvimento: Critrios para a aceitao do risco podem incluir mais de um limite, representando um nvel

desejvel de risco, porm precaues podem ser tomadas por gestores seniores para aceitar riscos acima desse nvel desde que sob circunstncias definidas

Critrios para a aceitao do risco podem ser expressos como a razo entre o lucro estimado (ou outro benefcio ao negcio) e o risco estimado

Diferentes critrios para a aceitao do risco podem ser aplicados a diferentes classes de risco, por exemplo: riscos que podem resultar em no conformidade com regulamentaes ou leis podem no ser aceitos, enquanto riscos de alto impacto podero ser aceitos se isto for especificado como um requisito contratual


AGOSTO:2011


Critrios para a aceitao do risco podem incluir requisitos para um tratamento adicional futuro, por exemplo: um risco poder ser aceito se for aprovado e houver o compromisso de que aes para reduzi-lo a um nvel aceitvel sero tomadas dentro de um determinado perodo de tempo

Critrios para a aceitao do risco podem ser diferenciados de acordo com o tempo de existncia previsto do risco, por exemplo: o risco pode estar associado a uma atividade temporria ou de curto prazo. Convm que os critrios para a aceitao do risco sejam estabelecidos, considerando os seguintes itens:

Critrios de negcio

Aspectos legais e regulatrios

Operaes

Tecnologia

Finanas

Fatores sociais e humanitrios

NOTA Os critrios para a aceitao do risco correspondem aos critrios para aceitao do risco e identificao do nvel aceitvel dos mesmos especificados na ABNT NBR ISO/IEC 27001:2006 Seo 4.2.1.c) 2).

Mais informaes podem ser encontradas no Anexo A.

7.3 Escopo e limites

Convm que a organizao defina o escopo e os limites da gesto de riscos de segurana da informao.

O escopo do processo de gesto de riscos de segurana da informao precisa ser definido para assegurar que todos os ativos relevantes sejam considerados no processo de avaliao de riscos. Alm disso, os limites precisam ser identificados [ver tambm a ABNT NBR ISO/IEC 27001:2006 Seo 4.2.1.a)] para permitir o reconhecimento dos riscos que possam transpor esses limites. Convm que as informaes sobre a organizao sejam reunidas para que seja possvel determinar o ambiente em que ela opera e a relevncia desse ambiente para o processo de gesto de riscos de segurana da informao.

Ao definir o escopo e os limites, convm que a organizao considere as seguintes informaes:

Os objetivos estratgicos, polticas e estratgias da organizao Processos de negcio

As funes e estrutura da organizao

Requisitos legais, regulatrios e contratuais aplicveis organizao

A poltica de segurana da informao da organizao


AGOSTO:2011


A abordagem da organizao gesto de riscos

Ativos de informao

Localidades em que a organizao se encontra e suas caractersticas geogrficas

Restries que afetam a organizao

Expectativas das partes interessadas

Ambiente sociocultural

Interfaces (ou seja: a troca de informao com o ambiente) Alm disso, convm que a organizao fornea justificativa para quaisquer excluses do escopo. Exemplos do escopo da gesto de riscos podem ser: uma aplicao de TI, a infraestrutura de TI, um processo de negcios ou uma parte definida da organizao.

NOTA O escopo e os limites da gesto de riscos de segurana da informao esto relacionados ao escopo e aos limites do SGSI, conforme requerido na ABNT NBR ISO/IEC 27001:2006 4.2.1.a).

Informaes adicionais podem ser encontradas no Anexo A.

7.4 Organizao para gesto de riscos de segurana da informao

Convm que a organizao e as responsabilidades para o processo de gesto de riscos de segurana da informao sejam estabelecidas e mantidas. A seguir esto os principais papis e responsabilidades dessa organizao:

Desenvolvimento do processo de gesto de riscos de segurana da informao adequado organizao

Identificao e anlise das partes interessadas

Definio dos papis e responsabilidades de todas as partes, internas e externas organizao

Estabelecimento das relaes necessrias entre a organizao e as partes interessadas, das interfaces com as funes de alto nvel de gesto de riscos da organizao (por exemplo, a gesto de riscos operacionais), assim como das interfaces com outros projetos ou atividades relevantes

Definio de aladas para a tomada de decises

Especificao dos registros a serem mantidos

Convm que essa organizao seja aprovada pelos gestores apropriados. NOTA A ABNT NBR ISO/IEC 27001:2006 requer a identificao e a proviso dos recursos necessrios para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI [5.2.1.a)]. A organizao das operaes de gesto de riscos pode ser considerada como um dos recursos necessrios, segundo a ABNT NBR ISO/IEC 27001:2006.


AGOSTO:2011


8 Processo de avaliao de riscos de segurana da informao 8.1 Descrio geral do processo de avaliao de riscos de segurana da informao

NOTA A atividade do processo de avaliao de riscos referida como processo de anlise/avaliao de riscos na ABNT NBR ISO/IEC 27001:2006.

Entrada: Critrios bsicos, o escopo e os limites, e a organizao do processo de gesto de riscos de segurana da informao que se est definindo.

Ao: Convm que os riscos sejam identificados, quantificados ou descritos qualitativamente, priorizados em funo dos critrios de avaliao de riscos e dos objetivos relevantes da organizao. Diretrizes para implementao:

Um risco a combinao das consequncias advindas da ocorrncia de um evento indesejado e da probabilidade da ocorrncia do mesmo. O processo de avaliao de riscos quantifica ou descreve o risco qualitativamente e capacita os gestores a priorizar os riscos de acordo com a sua gravidade percebida ou com outros critrios estabelecidos.

O processo de avaliao de riscos consiste nas seguintes atividades:

Identificao de riscos (Seo 8.2) Anlise de riscos (Seo 8.3) Avaliao de riscos (Seo 8.4) O processo de avaliao de riscos determina o valor dos ativos de informao, identifica as ameaas e vulnerabilidades aplicveis existentes (ou que poderiam existir), identifica os controles existentes e seus efeitos no risco identificado, determina as consequncias possveis e, finalmente, prioriza os riscos derivados e ordena-os de acordo com os critrios de avaliao de riscos estabelecidos na definio do contexto.

O processo de avaliao de riscos executado frequentemente em duas (ou mais) iteraes. Primeiramente, uma avaliao de alto nvel realizada para identificar os riscos potencialmente altos, os quais merecem uma avaliao mais aprofundada. A segunda iterao pode considerar com mais profundidade esses riscos potencialmente altos revelados na primeira iterao. Se ela no fornecer informaes suficientes para avaliar o risco, ento anlises adicionais detalhadas precisaro ser executadas, provavelmente em partes do escopo total e possivelmente usando um outro mtodo.

Cabe organizao selecionar seu prprio mtodo para o processo de avaliao de riscos baseado nos objetivos e na meta do processo de avaliao de riscos. Uma discusso sobre mtodos utilizados no processo de avaliao de riscos de segurana da informao pode ser encontrada no Anexo E.

Sada: Uma lista de riscos avaliados, ordenados por prioridade de acordo com os critrios de avaliao de riscos.


AGOSTO:2011


8.2 Identificao de riscos

8.2.1 Introduo identificao de riscos

O propsito da identificao de riscos determinar eventos que possam causar uma perda potencial e deixar claro como, onde e por que a perda pode acontecer. As etapas descritas nas prximas subsees de 8.2 servem para coletar dados de entrada para a atividade de anlise de riscos.

Convm que a identificao de riscos inclua os riscos cujas fontes estejam ou no sob controle da organizao, mesmo que a fonte ou a causa dos riscos no seja evidente. NOTA Atividades descritas nas sees subsequentes podem ser executadas em uma ordem diferente dependendo da metodologia aplicada.

8.2.2 Identificao dos ativos

Entrada: Escopo e limites para o processo de avaliao de riscos a ser executado; lista de componentes com responsveis, localidade, funo etc..

Ao: Convm que os ativos dentro do escopo estabelecido sejam identificados (refere-se ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1.d) 1)). Diretrizes para implementao:

Um ativo algo que tem valor para a organizao e que, portanto, requer proteo. Para a identificao dos ativos convm que se tenha em mente que um sistema de informao compreende mais do que hardware e software.

Convm que a identificao dos ativos seja executada com um detalhamento adequado que fornea informaes suficientes para o processo de avaliao de riscos. O nvel de detalhe usado na identificao dos ativos influenciar na quantidade geral de informaes reunidas durante o processo de avaliao de riscos. O detalhamento pode ser aprofundado em cada iterao do processo de avaliao de riscos.

Convm que um responsvel seja identificado para cada ativo, a fim de oficializar sua responsabilidade e garantir a possibilidade da respectiva prestao de contas. O responsvel pelo ativo pode no ter direitos de propriedade sobre o mesmo, mas tem responsabilidade sobre sua produo, desenvolvimento, manuteno, utilizao e segurana, conforme apropriado. O responsvel pelo ativo frequentemente a pessoa mais adequada para determinar o valor do mesmo para a organizao (ver 8.3.2 sobre a valorao dos ativos). O limite da anlise crtica o permetro dos ativos da organizao a serem considerados pelo processo de gesto de riscos de segurana da informao.

Mais informaes sobre a identificao e valorao dos ativos, sob a perspectiva da segurana da informao, podem ser encontradas no Anexo B.

Sada: Uma lista de ativos com riscos a serem gerenciados, e uma lista dos processos de negcio relacionados aos ativos e suas relevncias.


AGOSTO:2011


8.2.3 Identificao das ameaas

Entrada: Informaes sobre ameaas obtidas a partir da anlise crtica de incidentes, dos responsveis pelos ativos, de usurios e de outras fontes, incluindo catlogos externos de ameaas.

Ao: Convm que as ameaas e suas fontes sejam identificadas (refere-se ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1 d) 2)). Diretrizes para implementao:

Uma ameaa tem o potencial de comprometer ativos (tais como, informaes, processos e sistemas) e, por isso, tambm as organizaes. Ameaas podem ser de origem natural ou humana e podem ser acidentais ou intencionais. Convm que tanto as fontes das ameaas acidentais, quanto as intencionais, sejam identificadas. Uma ameaa pode surgir de dentro ou de fora da organizao. Convm que as ameaas sejam identificadas genericamente e por classe (por exemplo, aes no autorizadas, danos fsicos, falhas tcnicas) e, quando apropriado, ameaas especficas identificadas dentro das classes genricas. Isso significa que, nenhuma ameaa ignorada, incluindo as no previstas, mas que o volume de trabalho exigido limitado.

Algumas ameaas podem afetar mais de um ativo. Nesses casos, elas podem provocar impactos diferentes, dependendo de quais ativos so afetados.

Dados de entrada para a identificao das ameaas e anlise da probabilidade de ocorrncia (ver 8.3.3) podem ser obtidos dos responsveis pelos ativos ou dos usurios, do pessoal, dos administradores das instalaes e dos especialistas em segurana da informao, de peritos em segurana fsica, do departamento jurdico e de outras organizaes, incluindo organismos legais, autoridades climticas, companhias de seguros e autoridades governamentais nacionais. Aspectos culturais e relacionados ao ambiente precisam ser considerados quando se examina as ameaas.

Convm que experincias internas de incidentes e avaliaes anteriores das ameaas sejam consideradas na avaliao atual. Pode ser til a consulta a outros catlogos de ameaas (talvez mais especfico a uma organizao ou negcio) a fim de completar a lista de ameaas genricas, quando relevante. Catlogos de ameaas e estatsticas so disponibilizados por organismos setoriais, governos nacionais, organismos legais, companhias de seguro etc.

Quando forem usados catlogos de ameaas ou os resultados de uma avaliao anterior das ameaas, convm que se tenha conscincia de que as ameaas relevantes esto sempre mudando, especialmente se o ambiente de negcio ou se os sistemas de informaes mudarem.

Mais informaes sobre tipos de ameaas podem ser encontradas no Anexo C.

Sada: Uma lista de ameaas com a identificao do tipo e da fonte das ameaas.

8.2.4 Identificao dos controles existentes

Entrada: Documentao dos controles, planos de implementao do tratamento do risco.

Ao: Convm que os controles existentes e os planejados sejam identificados. Diretrizes para implementao:


AGOSTO:2011


Convm que a identificao dos controles existentes seja realizada para evitar custos e trabalho desnecessrios, por exemplo, na duplicao de controles. Alm disso, enquanto os controles existentes esto sendo identificados, convm que seja feita uma verificao para assegurar que eles esto funcionando corretamente - uma referncia aos relatrios j existentes de auditoria do SGSI pode reduzir o tempo gasto nesta tarefa. Um controle que no funcione como esperado pode provocar o surgimento de vulnerabilidades. Convm que seja levada em considerao a possibilidade de um controle selecionado (ou estratgia) falhar durante sua operao. Sendo assim, controles complementares so necessrios para tratar efetivamente o risco identificado. Em um SGSI, de acordo com a ABNT NBR ISO/IEC 27001, isso auxiliado pela medio da eficcia dos controles. Uma maneira para estimar o efeito do controle ver o quanto ele reduz, por um lado, a probabilidade da ameaa e a facilidade com que uma vulnerabilidade pode ser explorada ou, por outro lado, o impacto do incidente. A anlise crtica pela direo e relatrios de auditoria tambm fornecem informaes sobre a eficcia dos controles existentes.

Convm que os controles que esto planejados para serem implementados de acordo com os planos de implementao de tratamento do risco tambm sejam considerados, juntamente com aqueles que j esto implementados.

Controles existentes ou planejados podem ser considerados ineficazes, insuficientes ou no-justificados. Convm que um controle insuficiente ou no justificado seja verificado para determinar se convm que o mesmo seja removido, substitudo por outro controle mais adequado ou se convm que o controle permanea em vigor, por exemplo, em funo dos custos.

Para a identificao dos controles existentes ou planejados, as seguintes atividades podem ser teis: Analisar de forma crtica os documentos contendo informaes sobre os controles (por exemplo, os

planos de implementao de tratamento do risco). Se os processos de gesto da segurana da informao esto bem documentados, convm que todos os controles existentes ou planejados e a situao de sua implementao estejam disponveis;

Verificar com as pessoas responsveis pela segurana da informao (por exemplo, o responsvel pela segurana da informao, o responsvel pela segurana do sistema da informao, o gerente das instalaes prediais, o gerente de operaes) e com os usurios quais controles, relacionados ao processo de informao ou ao sistema de informao sob considerao, esto realmente implementados;

Revisar, no local, os controles fsicos, comparando os controles implementados com a lista de quais convm que estejam presentes; e verificar se aqueles implementados esto funcionando efetiva e corretamente, ou

Analisar criticamente os resultados de auditorias.

Sada: Uma lista de todos os controles existentes e planejados, sua implementao e status de utilizao.

8.2.5 Identificao das vulnerabilidades

Entrada: Uma lista de ameaas conhecidas, listas de ativos e controles existentes.


AGOSTO:2011


Ao: Convm que as vulnerabilidades que podem se exploradas por ameaas para comprometer os ativos ou a organizao sejam identificadas (refere-se ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1 d) 3)). Diretrizes para implementao:

Vulnerabilidades podem ser identificadas nas seguintes reas:

Organizao

Processos e procedimentos

Rotinas de gesto

Recursos humanos

Ambiente fsico

Configurao do sistema de informao

Hardware, software ou equipamentos de comunicao

Dependncia de entidades externas

A presena de uma vulnerabilidade no causa prejuzo por si s, pois precisa haver uma ameaa presente para explor-la. Uma vulnerabilidade que no tem uma ameaa correspondente pode no requerer a implementao de um controle no presente momento, mas convm que ela seja reconhecida como tal e monitorada, no caso de haver mudanas. Note-se que um controle implementado, funcionando incorretamente ou sendo usado incorretamente, pode, por si s, representar uma vulnerabilidade. Um controle pode ser eficaz ou no, dependendo do ambiente no qual ele opera. Inversamente, uma ameaa que no tenha uma vulnerabilidade correspondente pode no resultar em um risco.

Vulnerabilidades podem estar ligadas a propriedades do ativo, as quais podem ser usadas de uma forma ou para um propsito diferente daquele para o qual o ativo foi adquirido ou desenvolvido. Vulnerabilidades decorrentes de diferentes fontes precisam ser consideradas, por exemplo, as intrnsecas ao ativo e as extrnsecas.

Exemplos de vulnerabilidades e mtodos para avaliao de vulnerabilidades podem ser encontrados no Anexo D.

Sada: Uma lista de vulnerabilidades associadas aos ativos, ameaas e controles; uma lista de vulnerabilidades que no se refere a nenhuma ameaa identificada para anlise.

8.2.6 Identificao das consequncias

Entrada: Uma lista de ativos, uma lista de processos do negcio e uma lista de ameaas e vulnerabilidades, quando aplicvel, relacionadas aos ativos e sua relevncia.


AGOSTO:2011


Ao: Convm que as consequncias que a perda de confidencialidade, de integridade e de disponibilidade podem ter sobre os ativos sejam identificadas (ver ABNT NBR ISO/IEC 27001:2006 4.2.1 d)4)). Diretrizes para implementao:

Uma consequncia pode ser, por exemplo, a perda da eficcia, condies adversas de operao, a perda de oportunidades de negcio, reputao afetada, prejuzo etc. Essa atividade identifica o prejuzo ou as consequncias para a organizao que podem decorrer de um cenrio de incidente. Um cenrio de incidente a descrio de uma ameaa explorando uma certa vulnerabilidade ou um conjunto delas em um incidente de segurana da informao (ver ABNT NBR ISO/IEC 27002:2005, Seo 13). O impacto dos cenrios de incidentes determinado considerando-se os critrios de impacto definidos durante a atividade de definio do contexto. Ele pode afetar um ou mais ativos ou apenas parte de um ativo. Assim, aos ativos podem ser atribudos valores correspondendo tanto aos seus custos financeiros, quanto s consequncias ao negcio se forem danificados ou comprometidos. Consequncias podem ser de natureza temporria ou permanente como no caso da destruio de um ativo.

NOTA A ABNT NBR ISO/IEC 27001:2006 descreve a ocorrncia de cenrios de incidentes como falhas de segurana.

Convm que as organizaes identifiquem as consequncias operacionais de cenrios de incidentes em funo de (mas no limitado a): Investigao e tempo de reparo

Tempo (de trabalho) perdido Oportunidade perdida

Sade e Segurana

Custo financeiro das competncias especficas necessrias para reparar o prejuzo Imagem, reputao e valor de mercado

Detalhes sobre a avaliao de vulnerabilidades tcnicas podem ser encontrados em B.3 - Avaliao do Impacto.

Sada: Uma lista de cenrios de incidentes com suas consequncias associadas aos ativos e processos do negcio.

8.3 Anlise de riscos

8.3.1 Metodologias de anlise de riscos

A anlise de riscos pode ser empreendida com diferentes graus de detalhamento, dependendo da criticidade dos ativos, da extenso das vulnerabilidades conhecidas e dos incidentes anteriores envolvendo a organizao. Uma metodologia para a anlise pode ser qualitativa ou quantitativa ou uma combinao de ambos, dependendo das circunstncias. Na prtica, a anlise qualitativa


AGOSTO:2011


frequentemente utilizada em primeiro lugar para obter uma indicao geral do nvel de risco e para revelar os grandes riscos. Depois, poder ser necessrio efetuar uma anlise quantitativa ou mais especfica, nos grandes riscos. Isso ocorre porque normalmente menos complexo e menos oneroso realizar anlises qualitativas do que quantitativas.

Convm que a forma da anlise seja coerente com o critrio de avaliao de riscos desenvolvida como parte da definio do contexto.

Detalhes adicionais a respeito das metodologias para a anlise esto descritos a seguir:

(a) Anlise qualitativa de riscos: A anlise qualitativa utiliza uma escala com atributos qualificadores que descrevem a magnitude das consequncias potenciais (por exemplo, Pequena, Mdia e Grande) e a probabilidade dessas consequncias ocorrerem. Uma vantagem da anlise qualitativa sua facilidade de compreenso por todas as pessoas envolvidas enquanto que uma desvantagem a dependncia escolha subjetiva da escala.

Essas escalas podem ser adaptadas ou ajustadas para se adequarem s circunstncias e descries diferentes podem ser usadas para riscos diferentes. A anlise qualitativa pode ser utilizada:

Como uma verificao inicial a fim de identificar riscos que exigiro uma anlise mais detalhada

Quando esse tipo de anlise suficiente para a tomada de decises

Quando os dados numricos ou recursos so insuficientes para uma anlise quantitativa

Convm que a anlise qualitativa utilize informaes e dados factuais quando disponveis.

(b) Anlise quantitativa de riscos: A anlise quantitativa utiliza uma escala com valores numricos (e no as escalas descritivas usadas na anlise qualitativa) tanto para consequncias quanto para a probabilidade, usando dados de diversas fontes. A qualidade da anlise depende da exatido e da integralidade dos valores numricos e da validade dos modelos utilizados. A anlise quantitativa, na maioria dos casos, utiliza dados histricos dos incidentes, proporcionando a vantagem de poder ser relacionada diretamente aos objetivos da segurana da informao e interesses da organizao. Uma desvantagem a falta de tais dados sobre novos riscos ou sobre fragilidades da segurana da informao. Uma desvantagem da abordagem quantitativa ocorre quando dados factuais e auditveis no esto disponveis. Nesse caso, a exatido do processo de avaliao de riscos e os valores associados tornam-se ilusrios.

A forma na qual as consequncias e a probabilidade so expressas e a forma em que elas so combinadas para fornecer um nvel de risco ir variar de acordo com o tipo de risco e do propsito para o qual os resultados do processo de avaliao de riscos sero usados. Convm que a incerteza e a variabilidade tanto das consequncias, quanto da probabilidade, sejam consideradas na anlise e comunicadas de forma eficaz.

8.3.2 Avaliao das consequncias

Entrada: Uma lista de cenrios de incidentes identificados como relevantes, incluindo a identificao de ameaas, vulnerabilidades, ativos afetados e consequncias para os ativos e processos do negcio.


AGOSTO:2011


Ao: Convm que o impacto sobre o negcio da organizao, que pode ser causado por incidentes (possveis ou reais) relacionados segurana da informao, seja avaliado levando-se em conta as consequncias de uma violao da segurana da informao, como por exemplo: a perda da confidencialidade, da integridade ou da disponibilidade dos ativos (refere-se ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1 e)1)). Diretrizes para implementao:

Depois de identificar todos os ativos relevantes, convm que os valores atribudos a esses ativos sejam levados em considerao durante a avaliao das consequncias.

O valor do impacto ao negcio pode ser expresso de forma qualitativa ou quantitativa, porm um mtodo para designar valores monetrios geralmente pode fornecer mais informaes teis para a tomada de decises e, consequentemente, permitir que o processo de tomada de deciso seja mais eficiente.

A valorao dos ativos comea com a classificao dos mesmos de acordo com sua criticidade, em funo da importncia dos ativos para a realizao dos objetivos de negcios da organizao. A valorao ento determinada de duas maneiras:

o valor de reposio do ativo: o custo da recuperao e da reposio da informao (se for possvel) e

as consequncias ao negcio relacionadas perda ou ao comprometimento do ativo, tais como as possveis consequncias adversas de carter empresarial, legal ou regulatrias causadas pela divulgao indevida, modificao, indisponibilidade e/ou destruio de informaes ou de outros ativos de informao

Essa valorao pode ser determinada a partir de uma anlise de impacto no negcio. O valor, determinado em funo da consequncia para o negcio, normalmente significativamente mais elevado do que o simples custo de reposio, dependendo da importncia do ativo para a organizao na realizao dos objetivos de negcios. A valorao dos ativos representa um dos aspectos mais importantes na avaliao do impacto de um cenrio de incidente, pois o incidente pode afetar mais de um ativo (por exemplo: os ativos dependentes) ou somente parte de um ativo. Diferentes ameaas e vulnerabilidades causaro diferentes impactos sobre os ativos, tais como perda da confidencialidade, da integridade ou da disponibilidade. A avaliao das consequncias est, portanto, relacionada valorao dos ativos baseada na anlise de impacto no negcio.

As consequncias ou o impacto ao negcio podem ser determinados por meio da criao de modelos com os resultados de um evento, um conjunto de eventos ou atravs da extrapolao a partir de estudos experimentais ou dados passados.

As consequncias podem ser expressas em funo dos critrios monetrios, tcnicos ou humanos, de impacto ou de outro critrio relevante para a organizao. Em alguns casos, mais de um valor numrico necessrio para especificar as consequncias tendo em vista os diferentes momentos, lugares, grupos ou situaes.


AGOSTO:2011


Convm que as consequncias expressas em tempo e valor financeiro sejam medidas com a mesma abordagem utilizada para a probabilidade da ameaa e as vulnerabilidades. A consistncia deve ser mantida com respeito abordagem quantitativa ou qualitativa.

Mais informaes sobre valorao dos ativos e sobre a avaliao do impacto podem ser encontradas no Anexo B.

Sada: Uma lista de consequncias avaliadas referentes a um cenrio de incidente, relacionadas aos ativos e critrios de impacto.

8.3.3 Avaliao da probabilidade dos incidentes

Entrada: Uma lista de cenrios de incidentes identificados como relevantes, incluindo a identificao de ameaas, ativos afetados, vulnerabilidades exploradas e consequncias para os ativos e processos do negcio. Alm disso, listas com todos os controles existentes e planejados, sua eficcia, implementao e status de utilizao.

Ao: Convm que a probabilidade dos cenrios de incidentes seja avaliada (refere-se ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1 e) 2)). Diretrizes para implementao:

Depois de identificar os cenrios de incidentes, necessrio avaliar a probabilidade de cada cenrio e do impacto correspondente, usando tcnicas de anlise qualitativas ou quantitativas. Convm levar em conta a frequncia da ocorrncia das ameaas e a facilidade com que as vulnerabilidades podem ser exploradas, considerando o seguinte:

a experincia passada e estatsticas aplicveis referentes probabilidade da ameaa

para fontes de ameaas intencionais: a motivao e as competncias, que mudam ao longo do tempo, os recursos disponveis para possveis atacantes, bem como a percepo da vulnerabilidade e o poder da atrao dos ativos para um possvel atacante

para fontes de ameaas acidentais: fatores geogrficos (como por exemplo, proximidade a fbricas e refinarias de produtos qumicos e petrleo), a possibilidade de eventos climticos extremos e fatores que poderiam acarretar erros humanos e o mau funcionamento de equipamentos

vulnerabilidades, tanto individualmente como em conjunto os controles existentes e a eficcia com que eles reduzem as vulnerabilidades

Por exemplo, um sistema de informao pode ter uma vulnerabilidade relacionada s ameaas de se forjar a identidade de um usurio e de se fazer mau uso de recursos. A vulnerabilidade relacionada ao uso forjado da identidade de um usurio pode ser alta devido, por exemplo, falta de um mecanismo de autenticao de usurio. Por outro lado, a probabilidade de utilizao indevida dos recursos pode ser baixa, apesar da falta de auteticao, pois os meios disponveis para que isso pudesse acontecer so limitados.

Dependendo da necessidade de exatido, ativos podem ser agrupados ou pode ser necessrio dividir um ativo em seus componentes e relacionar estes aos cenrios. Por exemplo: conforme a localidade


AGOSTO:2011


geogrfica, a natureza das ameaas a um mesmo tipo de ativo ou a eficcia dos controles existentes podem variar.

Sada: Probabilidade dos cenrios de incidentes (no mtodo quantitativo ou no qualitativo). 8.3.4 Determinao do nvel de risco

Entrada: Uma lista de cenrios de incidentes com suas consequncias associadas aos ativos, processos de negcio e suas probabilidades (no mtodo quantitativo ou no qualitativo). Ao: Convm que o nvel de risco seja estimado para todos os cenrios de incidentes considerados relevantes (refere-se ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1 e) 4)). Diretrizes para implementao:

A anlise de riscos designa valores para a probabilidade e para as consequncias de um risco. Esses valores podem ser de natureza quantitativa ou qualitativa. A anlise de riscos baseada nas consequncias e na probabilidade estimadas. Alm disso, ela pode considerar o custo-benefcio, as preocupaes das partes interessadas e outras variveis, conforme apropriado para a avaliao de riscos. O risco estimado uma combinao da probabilidade de um cenrio de incidente e suas consequncias.

Exemplos de diferentes abordagens ou mtodos para anlise de riscos de segurana da informao podem ser encontrados no Anexo E.

Sada: Uma lista de riscos com nveis de valores designados.

8.4 Avaliao de riscos

Entrada: Uma lista de riscos com nveis de valores designados e critrios para a avaliao de riscos.

Ao: Convm que o nvel dos riscos seja comparado com os critrios de avaliao de riscos e com os critrios para a aceitao do risco (refere-se ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1 e) 4)). Diretrizes para implementao:

A natureza das decises relativas avaliao de riscos e os critrios de avaliao de riscos que iro ser usados para tomar essas decises teriam sido decididos durante a definio do contexto. Convm que essas decises e o contexto sejam revisados detalhadamente nesse estgio em que se conhece mais sobre os riscos identificados. Para avaliar os riscos, convm que as organizaes comparem os riscos estimados (usando os mtodos ou abordagens selecionadas como abordado no Anexo E) com os critrios de avaliao de riscos definidos durante a definio do contexto.

Convm que os critrios de avaliao de riscos utilizados na tomada de decises sejam consistentes com o contexto definido, externo e interno, relativo gesto de riscos de segurana da informao e levem em conta os objetivos da organizao, o ponto de vista das partes interessadas etc. As decises tomadas durante a atividade de avaliao de riscos so baseadas principalmente no nvel de risco aceitvel. No entanto, convm que as consequncias, a probabilidade e o grau de confiana na identificao e anlise de riscos tambm sejam considerados. A agregao de vrios pequenos ou mdios riscos pode resultar em um risco total bem mais significativo e precisa ser tratada adequadamente.


AGOSTO:2011


Convm que os seguintes itens sejam considerados: Propriedades da segurana da informao: se um critrio no for relevante para a organizao (por

exemplo: a perda da confidencialidade), logo, todos os riscos que provocam esse tipo de impacto podem ser considerados irrelevantes

A importncia do processo de negcios ou da atividade suportada por um determinado ativo ou conjunto de ativos: se o processo tiver sido julgado de baixa importncia, convm que os riscos associados a ele sejam menos considerados do que os riscos que causam impactos em processos ou atividades mais importantes

A avaliao de riscos usa o entendimento do risco obtido atravs da anlise de riscos para a tomada de decises sobre aes futuras. Convm que as seguintes questes sejam decididas: Convm que uma atividade seja empreendida As prioridades para o tratamento do risco, levando-se em conta os nveis estimados de risco

Durante a etapa de avaliao de riscos, alm dos riscos estimados, convm que requisitos contratuais, legais e regulatrios tambm sejam considerados. Sada: Uma lista de riscos priorizada, de acordo com os critrios de avaliao de riscos, em relao aos cenrios de incidentes que podem levar a esses riscos.

9 Tratamento do risco de segurana da informao 9.1 Descrio geral do processo de tratamento do risco

Entrada: Uma lista de riscos priorizada, de acordo com os critrios de avaliao de riscos, em relao aos cenrios de incidentes que podem levar a esses riscos.

Ao: Convm que controles para modificar, reter, evitar ou compartilhar os riscos sejam selecionados e o plano de tratamento do risco seja definido. Diretrizes para implementao:

H quatro opes disponveis para o tratamento do risco: modificao do risco (ver 9.2), reteno do risco (ver 9.3), ao de evitar o risco (ver 9.4) e compartilhamento do risco (ver 9.5). NOTA A ABNT NBR ISO/IEC 27001:2006 4.2.1.f) 2) usa o termo aceitao do risco em vez de reteno do risco.

A Figura 3 ilustra a atividade de tratamento do risco dentro do processo de gesto de riscos de segurana da informao como apresentado na Figura 2.


AGOSTO:2011


Figura 3 A atividade de tratamento do risco

Convm que as opes do tratamento do risco sejam selecionadas com base no resultado do processo de avaliao de riscos, no custo esperado para implementao dessas opes e nos benefcios previstos.

Quando uma grande modificao do risco pode ser obtida com uma despesa relativamente pequena, convm que essas opes sejam implementadas. Outras opes para melhorias podem ser muito dispendiosas e uma anlise precisa ser feita para verificar suas justificativas.


AGOSTO:2011


Em geral, convm que as consequncias adversas do risco sejam reduzidas ao mnimo possvel, independentemente de quaisquer critrios absolutos. Convm que os gestores considerem os riscos improvveis porm graves. Nesse caso, controles que no so justificveis do ponto de vista estritamente econmico podem precisar ser implementados (por exemplo, controles de continuidade de negcios concebidos para tratar riscos de alto impacto especficos). As quatro opes para o tratamento do risco no so mutuamente exclusivas. s vezes, a organizao pode beneficiar-se substancialmente de uma combinao de opes, tais como a reduo da probabilidade do risco, a reduo de suas consequncias e o compartilhamento ou reteno dos riscos residuais.

Algumas formas de tratamento do risco podem lidar com mais de um risco de forma efetiva (por exemplo, o treinamento e a conscientizao em segurana da informao). Convm que um plano de tratamento do risco seja definido, identificando claramente a ordem de prioridade em que as formas especficas de tratamento do risco convm ser implementadas, assim como os seus prazos de execuo. Prioridades podem ser estabelecidas usando vrias tcnicas, incluindo a ordenao dos riscos e a anlise de custo-benefcio. de responsabilidade dos gestores da organizao equilibrar os custos da implementao dos controles e o oramento.

A identificao de controles existentes pode nos fazer concluir que os mesmos excedem as necessidades atuais em funo da comparao de custos, incluindo a manuteno. Se a remoo de controles redundantes e desnecessrios tiver que ser considerada (especialmente se os controles tm altos custos de manuteno), convm que a segurana da informao e os fatores de custo sejam levados em conta. Devido influncia que os controles exercem uns sobres os outros, a remoo de controles redundantes pode reduzir a segurana em vigor como um todo. Alm disso, talvez seja menos dispendioso deixar controles redundantes ou desnecessrios em vigor do que remov-los.

Convm que as opes de tratamento do risco sejam consideradas levando-se em conta: Como o risco percebido pelas partes afetadas

As formas mais apropriadas de comunicao com as partes

A definio do contexto (ver 7.2 - Critrios de avaliao de riscos) fornece informaes sobre requisitos legais e regulatrios com os quais a organizao precisa estar em conformidade. Nesse caso, o risco para organizao no estar em conformidade e convm que sejam implementadas opes de tratamento para limitar essa possibilidade. Convm que todas as restries - organizacionais, tcnicas, estruturais etc.- identificadas durante a atividade de definio do contexto, sejam levadas em conta durante o tratamento do risco.

Uma vez que o plano de tratamento do risco tenha sido definido, os riscos residuais precisam ser determinados. Isso envolve uma atualizao ou uma repetio do processo de avaliao de riscos, considerando-se os efeitos previstos do tratamento do risco que foi proposto. Caso o risco residual ainda no satisfaa os critrios para a aceitao do risco da organizao, uma nova iterao do tratamento do risco pode ser necessria antes de se prosseguir aceitao do risco. Mais informaes podem ser encontradas na ABNT NBR ISO/IEC 27002:2005, Seo 0.3.

Sada: O plano de tratamento do risco e os riscos residuais, sujeitos deciso de aceitao por parte dos gestores da organizao.


AGOSTO:2011


9.2 Modificao do risco

Ao: Convm que o nvel de risco seja gerenciado atravs da incluso, excluso ou alterao de controles, para que o risco residual possa ser reavaliado e ento considerado aceitvel.

Diretrizes para implementao:

Convm que controles apropriados e devidamente justificados sejam selecionados para satisfazer os requisitos identificados atravs do processo de avaliao de riscos e do tratamento dos mesmos. Convm que essa escolha leve em conta os critrios para a aceitao do risco assim como requisitos legais, regulatrios e contratuais. Convm que essa seleo tambm leve em conta custos e prazos para a implementao de controles, alm de aspectos tcnicos, culturais e ambientais. Com frequncia, possvel diminuir o custo total de propriedade de um sistema por meio de controles de segurana da informao apropriadamente selecionados.

Em geral, os controles podem fornecer um ou mais dos seguintes tipos de proteo: correo, eliminao, preveno, minimizao do impacto, dissuaso, deteco, recuperao, monitoramento e conscientizao. Durante a seleo de controles, importante pesar o custo da aquisio, implementao, administrao, operao, monitoramento e manuteno dos controles em relao ao valor dos ativos sendo protegidos. Alm disso, convm que o retorno do investimento, na forma da modificao do risco e da possibilidade de se explorar novas oportunidades de negcio em funo da existncia de certos controles, tambm seja considerado. Adicionalmente, convm considerar as competncias especializadas que possam ser necessrias para definir e implementar novos controles ou modificar os existentes.

A ABNT NBR ISO/IEC 27002 fornece informaes detalhadas sobre controles.

H muitas restries que podem afetar a seleo de controles. Restries tcnicas, tais como requisitos de desempenho, capacidade de gerenciamento (requisitos de apoio operacional) e questes de compatibilidade, podem dificultar a utilizao de certos controles ou induzir erros humanos, chegando mesmo a anular o controle, a dar uma falsa sensao de segurana ou a tornar o risco ainda maior do que seria se o controle no existisse (por exemplo, exigir senhas complexas sem treinamento adequado leva os usurios a anotar as senhas por escrito). importante lembrar tambm que um controle pode vir a afetar o desempenho sobremaneira. Convm que os gestores tentem encontrar uma soluo que satisfaa os requisitos de desempenho e que possa, ao mesmo tempo, garantir um nvel suficiente de segurana da informao. O resultado dessa etapa uma lista de controles possveis, com seu custo, benefcio e prioridade de implementao.

Convm que vrias restries sejam levadas em considerao durante a escolha e a implementao de controles. Normalmente, so consideradas as seguintes:

Restries temporais

Restries financeiras

Restries tcnicas

Restries operacionais

Restries culturais


AGOSTO:2011


Restries ticas

Restries ambientais

Restries legais

Facilidade de uso

Restries de recursos humanos

Restries ligadas integrao dos controles novos aos j existentes. Mais informaes sobre as restries que dizem respeito modificao do risco podem ser encontradas no Anexo F.

9.3 Reteno do risco

Ao: Convm que as decises sobre a reteno do risco, sem outras aes adicionais, sejam tomadas tendo como base a avaliao de riscos.

NOTA O tpico ABNT NBR ISO/IEC 27001:2006 4.2.1 f 2) "aceitao do risco, consciente e objetiva, desde que claramente satisfazendo as polticas da organizao e os critrios para aceitao do risco descreve a mesma atividade.


Se o nvel de risco atende aos critrios para a aceitao do risco, no h necessidade de se implementar controles adicionais e pode haver a reteno do risco.

9.4 Ao de evitar o risco

Ao: Convm que a atividade ou condio que d origem a um determinado risco seja evitada. Diretrizes para implementao:

Quando os riscos identificados so considerados demasiadamente elevados e quando os custos da implementao de outras opes de tratamento do risco excederem os benefcios, pode-se decidir que o risco seja evitado completamente, seja atravs da eliminao de uma atividade planejada ou existente (ou de um conjunto de atividades), seja atravs de mudanas nas condies em que a operao da atividade ocorre. Por exemplo, para riscos causados por fenmenos naturais, pode ser uma alternativa mais rentvel mover fisicamente as instalaes de processamento de informaes para um local onde o risco no existe ou est sob controle.

9.5 Compartilhamento do risco

Ao: Convm que um determinado risco seja compartilhado com outra entidade que possa gerenci-lo de forma mais eficaz, dependendo da avaliao de riscos.



AGOSTO:2011


O compartilhamento do risco envolve a deciso de se compartilhar certos riscos com entidades externas. O compartilhamento do risco pode criar novos riscos ou modificar riscos existentes e identificados. Portanto, um novo tratamento do risco pode ser necessrio.

O compartilhamento pode ser feito por um seguro que cubra as consequncias ou atravs da subcontratao de um parceiro cujo papel seria o de monitorar o sistema de informao e tomar medidas imediatas que impeam um ataque antes que ele possa causar um determinado nvel de dano ou prejuzo. Convm notar que possvel compartilhar a responsabilidade de gerenciar riscos, entretanto no normalmente possvel compartilhar a responsabilidade legal por um impacto. Os clientes provavelmente iro atribuir um impacto adverso como sendo falha da organizao.

10 Aceitao do risco de segurana da informao Entrada: O plano de tratamento do risco e o processo de avaliao do risco residual sujeito deciso dos gestores da organizao relativa aceitao do mesmo.

Ao: Convm que a deciso de aceitar os riscos seja feita e formalmente registrada, juntamente com a responsabilidade pela deciso (isso se refere ao pargrafo 4.2.1 h) da ABNT NBR ISO/IEC 27001:2006). Diretrizes para implementao:

Convm que os planos de tratamento do risco descrevam como os riscos avaliados sero tratados para que os critrios de aceitao do risco sejam atendidos (ver Seo 7.2 Critrios para a aceitao do risco). importante que gestores responsveis faam uma anlise crtica e aprovem, se for o caso, os planos propostos de tratamento do risco, os riscos residuais resultantes e que registrem as condies associadas a essa aprovao.

Os critrios para a aceitao do risco podem ser mais complexos do que somente a determinao se o risco residual est, ou no, abaixo ou acima de um limite bem definido.

Em alguns casos, o nvel de risco residual pode no satisfazer os critrios de aceitao do risco, pois os critrios aplicados no esto levando em conta as circunstncias predominantes no momento. Por exemplo, pode ser vlido argumentar que preciso que se aceite o risco, pois os benefcios que o acompanham so muito atraentes ou porque os custos de sua modificao so demasiadamente elevados. Tais circunstncias indicam que os critrios para a aceitao do risco so inadequados e convm que sejam revistos, se possvel. No entanto, nem sempre possvel rever os critrios para a aceitao do risco no tempo apropriado. Nesses casos, os tomadores de deciso podem ter que aceitar riscos que no satisfaam os critrios normais para o aceite. Se isso for necessrio, convm que o tomador de deciso comente explicitamente sobre os riscos e inclua uma justificativa para a sua deciso de passar por cima dos critrios normais para a aceitao do risco.

Sada: Uma lista de riscos aceitos, incluindo uma justificativa para aqueles que no satisfaam os critrios normais para aceitao do risco.


AGOSTO:2011


11 Comunicao e consulta do risco de segurana da informao Entrada: Todas as informaes sobre os riscos obtidas atravs das atividades de gesto de riscos (ver Figura 2). Ao: Convm que as informaes sobre riscos sejam trocadas e/ou compartilhadas entre o tomador de deciso e as outras partes interessadas.


A comunicao do risco uma atividade que objetiva alcanar um consenso sobre como os riscos devem ser gerenciados, fazendo uso para tal da troca e/ou partilha das informaes sobre o risco entre os tomadores de deciso e as outras partes interessadas. A informao inclui, entre outros possveis fatores, a existncia, natureza, forma, probabilidade, severidade, tratamento e aceitabilidade dos riscos.

A comunicao eficaz entre as partes interessadas importante, uma vez que isso pode ter um impacto significativo sobre as decises que devem ser tomadas. A comunicao assegurar que os responsveis pela implementao da gesto de riscos, e aqueles com interesses reais de direito, tenham um bom entendimento do por que as decises so tomadas e dos motivos que tornam certas aes necessrias. A comunicao bidirecional.

A percepo do risco pode variar devido a diferenas de suposies, conceitos, necessidades, interesses e preocupaes das partes interessadas quando lidam com o risco ou quando tratam das questes sendo aqui discutidas. As partes interessadas iro, provavelmente, fazer julgamentos sobre a aceitabilidade do risco tendo como base sua prpria percepo do risco. Assim, particularmente importante garantir que a percepo do risco das partes interessadas, bem como a sua percepo dos benefcios, sejam identificadas e documentadas e que as razes subjacentes sejam claramente entendidas e consideradas.

Convm que a comunicao do risco seja realizada a fim de: Fornecer garantia do resultado da gesto de riscos da organizao

Coletar informaes sobre os riscos

Compartilhar os resultados do processo de avaliao de riscos e apresentar o plano de tratamento do risco

Evitar ou reduzir tanto a ocorrncia quanto as consequncias das violaes da segurana da informao que aconteam devido falta de entendimento mtuo entre os tomadores de deciso e as partes interessadas

Dar suporte ao processo decisrio

Obter novo conhecimento sobre a segurana da informao

Coordenar com outras partes e planejar respostas para reduzir as consequncias de um incidente Dar aos tomadores de deciso e as partes interessadas um senso de responsabilidade sobre

riscos


AGOSTO:2011


Melhorar a conscientizao

Convm que a organizao desenvolva planos de comunicao dos riscos tanto para as operaes rotineiras como tambm para situaes emergenciais. Portanto, convm que a atividade de comunicao do risco seja realizada continuamente. A coordenao entre os principais tomadores de deciso e as partes interessadas pode ser obtida mediante a formao de uma comisso em que os riscos, a sua priorizao, as formas adequadas de trat-los e a sua aceitao possam ser amplamente discutidos.

importante cooperar com o escritrio de relaes pblicas ou com o grupo de comunicao apropriado dentro da organizao para coordenar as tarefas relacionadas com a comunicao e consulta do risco. Isso vital no caso de aes de comunicao durante crises, por exemplo: em resposta a incidentes especficos.

Sada: Entendimento contnuo do processo de gesto de riscos de segurana da informao da organizao e dos resultados obtidos.

12 Monitoramento e anlise crtica de riscos de segurana da informao 12.1 Monitoramento e anlise crtica dos fatores de risco

Entrada: Todas as informaes sobre os riscos obtidas atravs das atividades de gesto de riscos (ver Figura 2). Ao: Convm que os riscos e seus fatores (isto , valores dos ativos, impactos, ameaas, vulnerabilidades, probabilidade de ocorrncia) sejam monitorados e analisados criticamente, a fim de se identificar, o mais rapidamente possvel, eventuais mudanas no contexto da organizao e de se manter uma viso geral dos riscos.


Os riscos no so estticos. As ameaas, as vulnerabilidades, a probabilidade ou as consequncias podem mudar abruptamente, sem qualquer indicao. Portanto, o monitoramento constante necessrio para que se detectem essas mudanas. Servios de terceiros que forneam informaes sobre novas ameaas ou vulnerabilidades podem prestar um auxlio valioso.

Convm que as organizaes assegurem que os seguintes itens sejam monitorados continuamente: Novos ativos que tenham sido includos no escopo da gesto de riscos

Modificaes necessrias dos valores dos ativos, por exemplo, devido mudana nos requisitos de negcio

Novas ameaas que podem estar ativas tanto fora quanto dentro da organizao e que no tenham sido avaliadas

A possibilidade de que vulnerabilidades novas ou ampliadas venham a permitir que alguma ameaa as explore


AGOSTO:2011


As vulnerabilid

103599061 iso iec 27005 gestao de riscos ti

Documents