2.9 metodologia de gestão de risco do datasus.pdf

ID: DOC-MGR Metodologia de Gesto de Risco - 2013 Data: 27-05-2013 Verso:4.0

1

METODOLOGIA DE GESTO DE

RISCO DO MS/DATASUS


2

Sumrio

GLOSSRIO ................................................................................................................................................................................................................ 3

APRESENTAO ....................................................................................................................................................................................................... 5

1. INTRODUO ........................................................................................................................................................................................ 6

2.1. ABNT NBR ISO/IEC GUIDE 73 ............................................................................................................................................................... 7

2.2. NC 02 GSI/PR ......................................................................................................................................................................................... 7

2.3. ABNT NBR ISO/IEC 27005:2008 ............................................................................................................................................................ 7

2.4. AS/NZS 4360 OU ISO/IEC 31000:2006 ................................................................................................................................................... 8

3. METODOLOGIA PROPOSTA ................................................................................................................................................................ 9

CICLO DE GESTO DE RISCO ........................................................................................................................................................................................... 9

3.1. INVENTARIAR ............................................................................................................................................................................................. 9

3.2. ANALISAR ................................................................................................................................................................................................. 9

3.3. AVALIAR ................................................................................................................................................................................................. 10

3.4. TRATAR .................................................................................................................................................................................................. 11

CRITRIOS PARA ACEITAO DO RISCO ...................................................................................................................................................... 12

3.5. PROCESSO DE GESTO DE RISCO ............................................................................................................................................................. 13

4. CONSIDERAES FINAIS .................................................................................................................................................................. 18


3

GLOSSRIO

AC Anlise de Conformidade.

Agente - Entidade humana que possui motivao, mtodo, conhecimento e oportunidade para

executar um ataque Organizao (ameaas intencionais); componente do ambiente ou da

natureza que provoca condies indesejveis, perigos ou desastres (ameaas acidentais). So

os sujeitos das Ameaas, definidos no nvel global da organizao. Por serem potencialmente

perigosos, so os elementos com os quais a alta direo se preocupa. Um Agente um dado

informativo que o usurio pode relacionar com as Ameaas consideradas.

Ameaa - Ao de origem humana (intencional ou acidental) ou ambiental, provocada por um

Agente, atravs de um determinado mecanismo, que explora a vulnerabilidade presente no Ativo

e provoca impactos Organizao. Exemplos: erros, omisses, acesso lgico no autorizado.

DATASUS Departamento de Informtica do SUS.

Escopo do Projeto - Uma "parte" da Estrutura Funcional definida no mdulo Organizao. Pode

compreender um Ativo especfico por exemplo, um servidor com seus vrios Componentes -,

um conjunto de Ativos de um mesmo Permetro, um Permetro inteiro, vrios Permetros, ou

mesmo, toda a Organizao. O Escopo pode conter um ou mais Permetros, Ativos e

Componentes.

Impacto - Conseqncia de um incidente de segurana sobre os Ativos e negcios da

Organizao. Pode ser tangvel (exemplo: perdas financeiras) ou intangvel (exemplo: perda de

credibilidade). Corresponde ao produto S (Severidade) x R (Relevncia do Ativo).

MS Ministrio da Sade.

PCN Plano de Continuidade de Negcios.

Probabilidade - Grau de possibilidade de que uma ou mais vulnerabilidades (na falta de

Controles) existentes num Ativo venham a ser exploradas por Ameaas, causando um incidente

de segurana.

PSR Probabilidade x Severidade x Relevncia.

Risco - combinao da probabilidade de que algum incidente ocorra e sua conseqncia

(impacto).


4

Security Officer - Tambm conhecido como Gestor de Segurana, o gestor responsvel pela

definio, implementao e manuteno da poltica de segurana na organizao.

Segurana da Informao - Preservao da confidencialidade, integridade e disponibilidade da

informao.

Servios considera-se servio como sendo toda a infraestrutura de base tecnolgica e os

meios de acesso s informaes de sade.

Severidade - Medida do grau em que um Ativo ser afetado, caso as ameaas explorem a(s)

vulnerabilidade(s) nos aspectos Confidencialidade, Integridade e Disponibilidade.

Sistemas - componentes ou processos de alto nvel de elevada importncia estratgica ou que

possuem algum outro atributo merecedor de tratamento diferenciado dos demais processos do

MS/DATASUS por parte do executivo.

Vulnerabilidade - Fragilidade do Ativo que pode ser explorada por uma Ameaa (uma falha, um

defeito ou a falta de um Controle). Exemplos: Ausncia de atualizao de "patches" no sistema

operacional; proximidade rea com explosivos; falta de uma poltica de senhas.


5

APRESENTAO

Este documento apresenta a metodologia proposta para a Gesto de Riscos dos ativos do

DATASUS.

importante lembrar que antes de desenvolver um Plano de Gesto dos Riscos

Corporativos (processo de identificar e tratar os riscos da organizao de forma sistemtica e

contnua), a organizao deve considerar o processo de gesto de risco contido na Poltica

de Gesto de Risco, alm da metodologia proposta neste documento.


6

1. INTRODUO

funo do Ministrio da Sade dispor de todas as condies para a promoo, proteo e

recuperao da sade, reduzindo as enfermidades, controlando as doenas endmicas e

parasitrias, melhorando a vigilncia sade e dando qualidade de vida ao brasileiro.

E devido a estas atribuies, o Ministrio da Sade impe-se o desafio de garantir o direito

do cidado ao atendimento sade e prover condies para que esse direito esteja ao

alcance da populao, independente da condio social.

Tendo como base que a informao fundamental para a democratizao da Sade e o

aprimoramento de sua gesto, a informatizao das atividades do Sistema nico de Sade

(SUS), dentro das diretrizes tecnolgicas adequadas, essencial para a descentralizao

das atividades de sade, viabilizao e controle social sobre a utilizao dos recursos

disponveis.

Para alcanar tais objetivos, foi atribuda ao Departamento de Informtica do SUS -

DATASUS, criado pelo Decreto 100 de 16.04.1991, a responsabilidade de coletar, processar,

prover e disseminar informaes sobre sade alm de representar papel importante como

centro tecnolgico de suporte tcnico e normativo sobre a Gesto de Segurana da

Informao para a montagem dos sistemas de informtica e informao da Sade.


7

2. METODOLOGIAS

A metodologia proposta para a Gesto de Riscos utiliza como base as seguintes normas:

ISO/IEC GUIDE 73, Norma Complementar - NC 02 do Gabinete de Segurana Institucional

da Presidncia da Republica, a ABNT NBR ISO/IEC 27005:2008 e AS/NZS 4360:2004 ou

ISO/IEC 31000:2006.

2.1. ABNT NBR ISO/IEC GUIDE 73

Norma genrica que fornece um vocabulrio bsico para desenvolver entendimentos

comuns sobre a Gesto de Riscos.

2.2. NC 02 GSI/PR

Norma Complementar do Gabinete de Segurana Institucional da Presidncia da Republica

que define a metodologia de Gesto de Segurana da Informao e Comunicaes a ser

utilizada pelos rgos e entidades da Administrao Pblica Federal, direta e indireta. Essa

norma traz as melhores prticas no gerenciamento de riscos por meio do processo de

melhoria contnua, estabelecido pela norma ABNT NBR ISO/IEC 27001:2006 e denominado

ciclo PDCA (Plan-Do-Check-Act). PLANEJAR FAZER CHECAR AGIR.

2.3. ABNT NBR ISO/IEC 27005:2008

Norma brasileira que fornece diretrizes para o processo de Gesto de Riscos de Segurana

da Informao de uma organizao. Nela esto contempladas apenas diretrizes que devem

ser utilizadas pelas organizaes para definir uma abordagem do processo de gesto de

riscos adequada ao seu negcio.


8

2.4. AS/NZS 4360 ou ISO/IEC 31000:2006

Norma internacional que traz as melhores prticas no gerenciamento de riscos e

proporciona o entendimento para criao do Framework e estabelecimento de contextos

na identificao, anlise, avaliao, tratamento, monitorao e comunicao de riscos.

Figura 1 - Processo de Gesto de Riscos.

Foram considerados quatro critrios para a escolha das metodologias, sendo:

a) Simplicidade nos modelos de gesto.

b) Coerncia com as prticas de qualidade adotadas em rgos pblicos brasileiros.

c) Compatibilidade com a cultura de Gesto de Segurana da Informao em uso nas

organizaes pblicas e privadas brasileiras.

d) Flexibilidade. Todas as etapas do ciclo de Gesto de Riscos podem ser aplicadas

aos vrios nveis da organizao: estratgico, ttico e operacional.


9

3. METODOLOGIA PROPOSTA

A Metodologia de Gesto de Risco do DATASUS adota o ciclo composto pelas etapas

apresentadas na Poltica de Gesto de Risco, inventariar, analisar, avaliar e tratar os riscos

por meio de aplicao de controles de segurana.

Ciclo de Gesto de Risco

Figura 1: Ciclo de Gesto de Riscos.

3.1. Inventariar

A etapa corresponde ao conjunto de aes necessrias para levantamento,

detalhamento e estruturao dos componentes de negcio, das ameaas e dos ativos

(processos, tecnologias, ambientes e pessoas) que podem impactar os objetivos,

misso e atividades finalsticas do negcio.

3.2. Analisar

o processo de identificao de ameaas, vulnerabilidades e de avaliao do risco.

operacionalizada no sistema por meio de uma Anlise de Componente designado no

Escopo de um Projeto de Anlise. O nvel de Risco do Componente determinado

conforme as respostas desta investigao.


10

A Anlise de Risco a forma mais adequada para identificar e compreender os riscos

existentes na organizao. Envolve as consideraes sob as fontes de risco, a

probabilidade de ocorrncia de um dano, a severidade do ativo, suas consequncias

positivas e negativas e relevncia do ativo de informao. A Anlise contribui para as

decises estratgicas sobre os riscos e da forma mais adequada e rentvel de

tratamento, aps avaliao.

Sugere-se utilizar a Tabela 1 - Tabela explicativa da Gesto de Risco como fonte de orientao de riscos durante a fase de anlise.

Tabela 1 - Tabela explicativa da Gesto de Risco.

Assim, todos os projetos de anlise de riscos do MS/DATASUS devem ser criados como

projetos, ter escopo definido e possuir um grupo de responsvel (eis) para otimizar o

ciclo de Gesto de Riscos. Por esse mtodo, os processos de avaliao, tratamento e

comunicao tornam-se mais simples, prticos e rpidos.

Caso seja necessrio analisar o mesmo escopo, o autor da anlise de risco deve criar

uma anlise de acompanhamento. Dessa forma, preserva-se o histrico das anlises e

verifica-se a evoluo nos controles dos ativos.

Maiores informaes esto disponibilizadas no Manual de utilizao do software De

Gesto de Risco.

3.3. Avaliar

O objetivo da Avaliao de Risco tomar decises sobre qual risco necessita de

tratamento ou aceitao, bem como sua prioridade, com base nos resultados obtidos na

Anlise de Risco. Essa avaliao compara os riscos previamente identificados e


11

estimados durante o processo de Anlise, com os critrios de riscos estabelecidos e

definidos pela organizao, quando considerado o contexto do ativo em anlise.

As decises estratgicas devem considerar o contexto mais amplo do risco analisado e

incluir o exame da tolerabilidade dos riscos a serem assumidos. Em algumas

circunstncias, a avaliao de risco requer uma anlise mais aprofundada.

Para tanto, com as informaes sobre os processos de negcio da organizao e os

ativos que suportam, importante na avaliao:

Priorizar os riscos os ativos que possurem os maiores nveis de risco PSR, sero

priorizados em termos de recursos e protees.

Ter maior conhecimento sobre os riscos e avaliar as melhores protees disponveis

no mercado para implementao, respeitando o custo-benefcio determinado pelos

gestores.

3.4. Tratar

O tratamento do risco pode ser iniciado quando nas fases de anlise e avaliao forem

fornecidas informaes suficientes para determinar as aes necessrias para reduzir os

riscos a nveis aceitveis. Esta fase envolve a identificao dos controles previamente

avaliados, alm da preparao e implementao das aes em planos de tratamento.

Esses planos visam reduo dos riscos para os nveis aceitveis e podem ter opes

no tratamento de eventos internos e externos.

Na gesto de tratamento dos riscos avaliados importante estabelecer critrios de risco

e considerar a tabela PSR (Probabilidade x Severidade x Relevncia) sugerida para os

eventos em tratamento.

NVEL PSR

Muito Alto De 60 a 125

Alto De 32 a 50

Mdio De 18 a 30

Baixo De 08 a 16

Muito Baixo De 01 a 06

Tabela 2 - Tabela de Riscos de Tratamento.


12

O DATASUS considera para clculo do risco o ndice PSR que representa o grau de

risco associado ausncia de um controle.

Sendo calculado pela equao Risco = Probabilidade x Severidade x Relevncia, onde

os fatores da Probabilidade e Severidade so pontuados durante as anlises tcnicas e

a Relevncia pontuada considerando-se a relevncia do ativo para o negcio.

Aps identificar o nvel de Risco, convm que as opes de tratamento sejam

selecionadas considerando o custo esperado para a implementao e os benefcios

previstos.

Opes de tratamento do risco:

Reduo do risco implementar protees que reduzam o risco do ativo, atravs de

controles.

Reteno do risco (aceitao) no h implementao de controles, caso o nvel do

risco atenda aos critrios de aceitao do risco.

Evitar o risco implementar controles aos riscos considerados elevados, ou no

aceitveis.

Transferncia do risco a deciso de compartilhar os riscos com outras

entidades. A implementao do tratamento pode ser feita por um seguro que cubra

as conseqncias ou pela mudana do ativo para outro Datacenter que cobra

eventuais prejuzos.

Critrios para aceitao do risco

Conforme recomendao da Norma Complementar, NC 02/IN01/DSIC/GSIPR, do

Departamento de Segurana da Informao e Comunicaes, do Gabinete de

Segurana Institucional da Presidncia da Repblica, o DATASUS identifica os nveis de

riscos aceitveis e os critrios para sua aceitao, considerando as decises da direo

e o seu planejamento estratgico.

Como risco aceitvel, o DATASUS considera os nveis que apresentarem PSR Baixo e

Muito Baixo da Tabela 2. Entretanto, devem ser analisados pela Direo os casos

especiais, quando a aceitao do risco justificvel. So casos especiais possveis:

atividades temporrias ou de curto prazo de tempo; implementao de controles que seu

custo supera o valor da consequncia causada pela ocorrncia do evento.


13

3.5. Processo de Gesto de Risco

Gesto de Riscos

Nv

el T

tico

Nv

el O

pe

racio

na

lN

ve

l E

str

at

gic

o

Comunicar reas

e pessoas

envolvidas no

escopo

Definir projeto -

responsveis,

prazos e impactos

Inventariar ativos e

caractersticas

Revisar ameaas,

probabilidades e

criticidade dos

ativos

Criar

questionrios de

anlise e enviar

aos responsveis

Executar

anlises nos

ativos

selecionados

Consolidar

resultados/ verificar

pendncias

Gerar Relatrios

de anlise de

riscos

Avaliar

Riscos / Gerar

Relatrio de

riscos aceitos

e residuais

Gerar Plano

de

Tratamento

de riscos

Aprovar Plano de

Tratamento e

Riscos Residuais

ou aceitos

Formular plano de

metas

Executar a

implantao dos

controles

Documento de

aceitao de

riscos

Declarao de

Aplicabilidade

Contexto

1

2

3 4 5 6 7 8 9 10

11

12

13

Figura 2: Processo Gesto de Riscos.

ID: DOC-CGSIG-CSIC-002 Projeto: Elaborao da Metodologia de

Gesto de Riscos - utilizando o software Risk Manager.

Data: 29/11/2011 Verso: .1.0

Arquivo: MetodologiaGestoRiscos

Modelo: MetodologiaGestoRisco Pg.: 14/18

Atividade 1. Comunicar reas envolvidas

Descrio O nvel estratgico deve comunicar as reas e pessoas envolvidas no escopo sobre as atividades a serem executadas, incluindo perodo de execuo, resultados esperados e custos (opcional).

Responsvel Comunicar reas envolvidas: gestor de SIC ou representante do nvel decisrio do escopo.

Entrada Relatrio de contexto e escopo (processo de gesto integrada).

Sada Comunicado oficial informando as reas e pessoas envolvidas sobre as aes de segurana a serem executadas sob o escopo.

Atividade 2. Definir projeto: responsveis prazos e impactos

Descrio Para a execuo da gesto de riscos, necessrio que o nvel ttico identifique os responsveis pelas atividades, como inventrio, atualizao do software de gesto de riscos, comunicao entre reas. Tambm deve ser definido um cronograma para acompanhamento das aes e impactos que podem ocorrer nas atividades cotidianas durante a execuo do ciclo de gesto de riscos.

Responsvel Definir caractersticas do projeto: gestor de SIC e nvel ttico das reas envolvidas.

Entrada Relatrio de contexto e escopo, organogramas, resultados de reunies entre as reas abrangidas pelo escopo.

Sada Cronograma de atividades com prazos e responsveis por cada atividade subsequente.

Atividade 3. Inventariar ativos

Descrio Para que a execuo do ciclo de gesto de riscos seja realizada de acordo com os objetivos estratgicos, necessrio que todos os ativos sob o escopo sejam inventariados. Essa atividade pode ser executada por meio de reunies entre as equipes da CSIC e os responsveis pelos ativos. A partir disso, necessrio que os ativos e suas caractersticas (incluindo dependncias e ligaes) sejam cadastrados em sistema especfico de gesto de riscos. Essa lista de ativos deve ser revalidada ao final da atividade, garantindo que o escopo possui todos os ativos necessrios para indicar os ndices de riscos corretos.

Responsvel Identificao e validao dos ativos: equipe de risco - CSIC junto aos responsveis pelos ativos. Listagem das caractersticas dos ativos: responsveis pelos ativos (nvel operacional). Cadastro dos ativos e suas caractersticas: equipe de risco - CSIC.

Entrada Declarao do contexto e escopo; objetivos estratgicos; descrio dos ativos e respectivas caractersticas.

Sada Listagem dos ativos, suas caractersticas, dependncias e responsveis. Cadastro das informaes no sistema de gesto de riscos.



Data: 29/11/2011 Verso: .1.0



Atividade 4. Revisar ameaas probabilidades e criticidade dos ativos

Descrio

Aps definir as caractersticas principais para a execuo do ciclo de gesto de riscos, o nvel ttico da rea deve, com auxlio dos responsveis pelos ativos do escopo, determinar as ameaas, probabilidades e criticidade dos ativos de acordo com os objetivos de negcio ou particularidades das reas, departamentos, sistemas ou processos contextualizados no processo de gesto integrada. Esta atividade pode ser executada com o auxlio de um sistema de gesto de riscos.

Responsvel

Definir ameaas: equipe de risco - CSIC. Definir probabilidades: equipe de risco - CSIC e responsveis pelos ativos do escopo. Definir criticidade dos ativos: responsveis pelos ativos, reas, departamentos, sistemas ou processos.

Entrada Ativos, suas caractersticas, dependncias e responsveis. Cadastro das informaes no sistema de gesto de riscos.

Sada Atualizao do inventrio no sistema de gesto de riscos.

Atividade 5. Criar questionrios de anlise e enviar aos responsveis

Descrio O mtodo sugerido para a execuo das anlises de riscos composto pela criao de questionrios ou checklists que contenham as melhores prticas de mercado para cada um dos ativos do escopo e suas particularidades. Os questionrios devem conter a severidade dos impactos associados aos controles sugeridos, assim como sua probabilidade de ocorrncia e as recomendaes de fabricantes ou padres reconhecidos no mercado. Aps o desenvolvimento dos questionrios, estes devem ser encaminhados para cada responsvel respectivo.

Responsvel Criao e envio dos questionrios: equipe de risco CSIC.

Entrada Questionrio criado para cadastramento em sistema de gesto de riscos.

Sada Questionrios desenvolvidos para cada caracterstica dos ativos do escopo e envio dos questionrios.

Atividade 6. Executar as anlises nos ativos selecionados

Descrio As anlises de riscos devem ser realizadas por meio da avaliao dos controles sugeridos nos questionrios comparados s evidncias encontradas nos ativos. Essa atividade deve ser desenvolvida pela equipe de risco da CSIC com apoio dos responsveis pelos ativos do escopo. Cada questionrio deve ser cadastrado no sistema especfico de gesto de riscos, onde os ndices de risco sero calculados para o ativo, sistema ou processo definido no escopo. Os ndices de risco devem seguir a orientao desta metodologia definida e aprovada pelo nvel decisrio.

Responsvel Realizar as anlises de riscos: equipe de risco - CSIC. Acompanhar as anlises: responsveis pelos ativos.



Data: 29/11/2011 Verso: .1.0



Entrada Questionrios respondidos com as caractersticas dos ativos do escopo, cronograma de execuo, escopo de atuao, inventrio dos ativos.

Sada Listagem de ativos e ndices de riscos para cada ativo, sistema ou processo.

Atividade 7. Consolidar resultados e verificar pendncias

Descrio Aps a anlise de riscos nos ativos do escopo, necessrio que os resultados sejam consolidados de forma a auxiliar o entendimento sobre as ameaas as quais os objetivos estratgicos tm maior ou menor probabilidade de ocorrncia. Essa consolidao deve considerar as ligaes ou dependncias entre ativos, sistemas e processos, de acordo: com o escopo ou contexto definido. Tambm necessrio que as possveis pendncias sejam avaliadas e registradas como entrada para o prximo ciclo de anlise crtica e melhoria do processo de gesto integrada.

Responsvel Consolidar os resultados: Equipe CSIC. Verificar e registrar pendncias: Gestor de Segurana da Informao e Comunicaes.

Entrada Listagem de ativos e ndices de riscos para cada ativo, sistema ou processo.

Sada Resultados consolidados de acordo com os objetivos definidos no escopo de atuao.

Atividade 8. Gerar relatrios de anlise de riscos

Descrio Ao consolidar os resultados, torna-se necessrio que sejam gerados relatrios contendo histrico de execuo, resultados obtidos, ameaas mais significativas, ndices de riscos por ativo, priorizao de controles e sugestes de correo. Essa atividade pode ser realizada com o auxlio de um sistema de gesto de riscos.

Responsvel Gerar relatrios de anlise de riscos: equipe de risco - CSIC.

Entrada Resultados consolidados de acordo com os objetivos definidos no escopo de atuao.

Sada Relatrio de anlise de riscos e relatrio operacional de riscos.

Atividade 9. Avaliar riscos / Gerar relatrios de riscos aceitos ou residuais

Descrio Aps listados os riscos e respectivos controles para minimizao, necessrio que sejam avaliados os riscos de acordo com o mtodo autorizado pelos nveis decisrios. importante que todos os riscos identificados devam ser avaliados juntamente com os controles sugeridos para o tratamento destes riscos. Essa viso auxiliar o nvel estratgico na tomada de decises, uma vez que os nveis inferiores identificam os custos e impactos no tratamento dos riscos.

Responsvel Avaliar os riscos: equipe de risco - CSIC em conjunto com as equipes tticas



Data: 29/11/2011 Verso: .1.0



responsveis pelos ativos do escopo. Gerar relatrios de riscos aceitos ou residuais: equipe de risco - CSIC, aps avaliao dos riscos.

Entrada Relatrios de anlise de riscos e Relatrios Operacionais de Riscos.

Sada Relatrio de riscos aceitos ou residuais (dependendo do tipo da anlise realizada identificao ou validao dos controles implementados).

Atividade 10. Gerar plano de tratamento de riscos

Descrio Juntamente com o relatrio de riscos residuais ou aceitos, deve ser criado um plano de tratamento com as sugestes de controles para a minimizao dos riscos provenientes dos controles identificados como no implementados nas anlises. O plano de tratamento deve incluir estimativas de custos, impactos nas atividades cotidianas, procedimentos necessrios e prazos.

Responsvel Gerar plano de tratamento de riscos: equipe de risco - CSIC.

Entrada Relatrio Operacional de Riscos e Relatrio de riscos aceitos ou residuais.

Sada Plano de tratamento de riscos.

Atividade 11. Aprovar plano de tratamento e riscos residuais ou aceitos

Descrio O plano de tratamento deve ser aprovado pela alta gesto e gestor dos ativos que definir ou ajustar as atividades de acordo com restries que porventura existam como oramento disponvel ou priorizao de atividades externas gesto de riscos. Com isso, ser atualizado o plano com as devidas justificativas para a no implantao dos controles sugeridos, assim como atualizar tambm os relatrios de riscos residuais ou aceitos na mesma proporo. Essa atividade visa garantir a comunicao e cincia de todos os envolvidos dos riscos existentes e dos riscos a serem tratados.

Responsvel Aprovar plano de tratamento e riscos residuais ou aceitos: Alta Gesto e nvel ttico considerando o escopo ou contexto de execuo.

Entrada Plano de tratamento de riscos e riscos residuais propostos pelo nvel ttico.

Sada Plano de tratamento ajustado e aprovado. Relatrio de riscos aceitos ou residuais.

Atividade 12. Formular plano de metas

Descrio De acordo com o plano de tratamento aprovado, deve ser desenvolvido um plano de metas para o nvel ttico, incluindo os indicadores que balizaro a avaliao das aes a serem desenvolvidas pelo nvel operacional na implementao dos controles sugeridos e aprovados. As metas devem considerar os objetivos estratgicos que delimitaram o escopo inicialmente no processo de gesto integrada.

Responsvel Formular plano de metas: equipe de risco - CISC



Data: 29/11/2011 Verso: .1.0



Entrada Plano de tratamento aprovado. Relatrio de contexto e escopo.

Sada Plano de metas de tratamento para as reas e responsveis pelos ativos do escopo.

Atividade 13. Executar implantao dos controles selecionados

Descrio Essa atividade variante devido grande gama de reas que podero estar sob o escopo. Cada tipo de ativo recebe um tratamento diferenciado de acordo com suas particularidades ou caractersticas. Os riscos identificados podem estar associados basicamente a 4(quatro) tipos de ativos tecnolgicos, ambientais, humanos ou processuais. O plano de tratamento identificar os controles aplicveis a cada um destes ativos como, por exemplo: campanhas de conscientizao, normas tcnicas, procedimentos, implantao de circuitos fechados de TV, alterao de configuraes de um sistema operacional ou ainda a classificao de informaes. Todos estes so considerados controles de acordo com esse processo sugerido. A CSIC deve atuar indicando os controles e avaliando, periodicamente a implantao deste controles.

Responsvel Executar a implantao dos controles selecionados: rea ou responsveis pelos ativos sob escopo (tecnologia, ambiente, processos ou pessoas).

Entrada Plano de tratamento de riscos / Plano de metas.

Sada Controles de reduo dos riscos implantados e indicadores gerados durante a implementao.

4. CONSIDERAES FINAIS

A Metodologia de Gesto de Riscos apresentada neste documento deve complementar

os processos de Gesto de Segurana da Informao e Comunicaes, previstos na IN

01 GSI, de 13 de junho de 2008, a ser implementada pelos rgos e entidades da

Administrao Pblica Federal, direta e indireta.

2.9 metodologia de gestão de risco do datasus.pdf

Documents