apostila de analise de riscos

NILTON STRINGASCI MOREIRA

ANÁLISE E GESTÃO DE RISCOS

São Paulo

2012

Análise e Gestão de Riscos Prof. Msc Nilton Stringasci Moreira

Página 2 de 115


Página 3 de 115

APRESENTAÇÃO Esta apostila foi elaborada com base em diversas pesquisas e na ABNT NBR ISO/ IEC 27005 com a adição de comentários, produtos gerados em cada etapa e fatores críticos de sucesso.


Página 4 de 115

LISTA DE FIGURAS

Figura 1 - Modelo PDCA aplicado aos processos de um SGSI ............................................. 8

Figura 2- Total de incidentes reportados ao CERT.br por ano ......................................... 15

Figura 3 - Sistema de Informação ...................................................................................... 17

Figura 4 - Origens de ameaças à Segurança das informações ........................................... 25

Figura 5 - Dimensões da Segurança da Informação .......................................................... 35

Figura 6 - Processo de gestão de riscos de segurança da informação ............................... 57


Página 5 de 115

LISTA DE QUADROS

Quadro 1 - Objetivos e Processos de um Sistema de Gestão de Segurança da Informação

............................................................................................................................................ 10

Quadro 2 - Padrões e Frameworks utilizados .................................................................... 12

Quadro 3 - Empresas certificadas na norma ISO/IEC 27001 ........................................... 14

Quadro 4 - Seções da Norma ISO/IEC 27002 em camadas ............................................. 34

Quadro 5 - Fontes de vantagem competitiva sustentável e objetivos da segurança da

informação .......................................................................................................................... 46

Quadro 6 - Alinhamento do processo do SGSI e do processo de gestão de riscos de

segurança da informação ................................................................................................... 59


Página 6 de 115

LISTA DE ABREVIATURAS

ABNT Associação Brasileira de Normas Técnicas

ENANPAD Encontro da Associação Nacional de Pós-Graduação e Pesquisa em Administração

TI Tecnologia da Informação

IEC International Electrotechnical Commitee

ISO International Standards Organization

SGSI Sistema de Gestão de Segurança da Informação

RAE Revista de Administração de Empresas da Fundação Getulio Vargas

RAUSP Revista de Administração da Universidade de São Paulo

RBV Resource Based View


Página 7 de 115

SUMÁRIO

1.1 Gestão da segurança da informação .......................................................................................................... 8

1.2 Segurança da informação ........................................................................................................................ 22

1.2.1 Objetivos da segurança da informação .......................................................................................................................... 28

1.2.1.1 Confidencialidade ..................................................................................................................................................... 28

1.2.1.2 Integridade .......................................................................................................................................................... 29

1.2.1.3 Disponibilidade ................................................................................................................................................... 30

1.2.1.4 Legalidade ........................................................................................................................................................... 30

1.2.2 As dimensões da Segurança da Informação .................................................................................................................. 32

1.2.3 Informação como recurso estratégico .............................................................................................................................37

1.2.4 Segurança da Informação e Vantagem Competitiva ..................................................................................................... 40

1.2.5 A confidencialidade dos recursos estratégicos ............................................................................................................... 41

1.3 Riscos em Tecnologia da Informação ...................................................................................................... 47

1.4 Metodologia de Análise de Riscos ............................................................................................................ 51

1.4.1 Termos e definições ......................................................................................................................................................... 51

1.4.2 Contextualização ............................................................................................................................................................ 56

1.4.3 Visão geral do processo de gestão de riscos .................................................................................................................... 57

1.4.4 Escopo e limites .............................................................................................................................................................. 60

1.4.5 Identificação de riscos .................................................................................................................................................... 62

1.4.6 Identificação dos ativos .................................................................................................................................................. 63

1.4.6.1 Tipos de ativos ..................................................................................................................................................... 63

1.4.6.2 Valoração dos ativos ............................................................................................................................................ 69

1.4.7 Identificação das ameaças ...............................................................................................................................................73

1.4.7.1 Agente de ameaça ..................................................................................................................................................... 74

1.4.7.2 Evento da ameaça ................................................................................................................................................ 74

1.4.7.3 Fatores de identificação das ameaças ................................................................................................................. 74

1.4.8 Identificação dos controles existentes ........................................................................................................................... 76

1.4.9 Identificação de vulnerabilidades ................................................................................................................................... 77

1.4.9.1 Como surgem as vulnerabilidades ...................................................................................................................... 78

1.4.9.2 Gestão de vulnerabilidades ................................................................................................................................. 82

1.4.9.3 Relação entre Vulnerabilidade X Medidas de Proteção ..................................................................................... 82

1.4.10 Identificação das consequências .............................................................................................................................. 82

1.5 Análise de riscos ..................................................................................................................................... 85

1.5.1 Metodologias de análise de riscos .................................................................................................................................. 85

1.5.2 Avaliação das consequências .......................................................................................................................................... 86

1.5.3 Avaliação da probabilidade dos incidentes .................................................................................................................... 88

1.5.4 Determinação do nível de risco ...................................................................................................................................... 89

1.6 Avaliação dos riscos ................................................................................................................................ 90

1.7 Tratamento dos riscos ............................................................................................................................. 92

1.8 Comunicação de riscos .......................................................................................................................... 100

1.8.1 Comunicação e consulta do risco de segurança da informação .................................................................................. 100

1.8.2 Comunicação externa ................................................................................................................................................... 102

1.9 Monitoramento dos riscos ..................................................................................................................... 103

1.9.1 Monitoramento e análise crítica dos fatores de riscos .................................................................................................103

1.9.2 Monitoramento, análise crítica e melhoria do processo de gestão de riscos ............................................................... 105

REFERÊNCIAS.................................................................................................................................................... 106


Página 8 de 115

1.1 Gestão da segurança da informação

Muitos trabalhos realizados sobre o tema segurança da informação possuem um

enfoque técnico, mas em uma proporção muito menor, são os trabalhos que abordam o

assunto com um enfoque estratégico, ou seja, na Gestão da Segurança da Informação

(MARTINS; SANTOS, 2005).

A ISO 27001, uma norma publicada pela ISO Internacional, que possui como

objetivo, a elaboração de um Sistema de Gestão de Segurança da Informação que apresenta

uma visão gerencial, define um SGSI (Sistema de Gestão da Segurança da Informação)

como sendo parte de um sistema de gestão global, baseado na abordagem de riscos do

negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e

melhorar a segurança da informação de qualquer empresa, independente do seu porte.

Por ser uma norma ISO, tradicionalmente, adota o modelo de gestão PDCA (Plan-

Do-Check-Act), que é caracterizado por um ciclo de ações, que se repete continuamente

sendo possível a incorporação de mudanças no ambiente.

Todas essas ações estão diagramadas na figura 3, e contemplam a realização de

uma série de atividades que envolvem toda a organização.

Figura 1 - Modelo PDCA aplicado aos processos de um SGSI Fonte: ABNT, 2006, p.VI

Conforme podemos observar na figura 3, a alta direção como um dos integrantes

das partes interessadas, determina as expectativas da empresa e os requisitos de segurança

da informação.


Página 9 de 115

Sem a determinação das expectativas declaradas pela alta direção, a segurança da

informação pode ser estruturada e implantada de forma inferencial, uma vez que não se

sabe se os pressupostos básicos, que são as premissas de negócio, serão atendidos.

O declarado comprometimento da alta direção neste processo deve acontecer de

maneira a apoiar ativamente a segurança da informação dentro da organização, por meio

de um claro direcionamento, demonstrando o seu comprometimento, definindo

atribuições de forma explícita e conhecendo as responsabilidades pela segurança da

informação (ABNT, 2006).

Com base nesta abordagem inicial, a empresa possui o insumo mínimo necessário

para iniciar o seu sistema de gestão. Tem-se, portanto, o insumo mínimo e fundamental

para alimentar todas as etapas do PDCA.

Os autores Solms B. e Solms R.(2004) corroboram com esta posição e, na visão

deles, a alta direção deve dar um direcionamento e suporte contínuo como exemplo de

entendimento e conscientização, pois caso contrário, a segurança da informação não

receberá os cuidados ou não será endereçada de maneira satisfatória.

No quadro 3, tem-se os objetivos propostos pela ISO/IEC 27001, bem como os

processos necessários para o atendimento de cada etapa do PDCA.

Objetivos

Processos

Plan

Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.

Especificação do escopo e política para o SGSI;

Definição da análise de riscos e aceitação dos critérios da análise dos riscos;

Realização da análise de riscos;

Gerenciamento da tomada de decisão relativa ao tratamento dado ao risco de identificação;

Seleção dos controles para o tratamento dos riscos identificados;

Gerenciamento da aprovação do nível de risco residual;

Autorização para a implementação dos


Página 10 de 115

controles selecionados pelo SGSI.

DO

Implementar e operar a política, controles, processos e procedimentos do SGSI.

Criação de um plano para o tratamento dos riscos;

Implementação do plano de tratamento de riscos;

Implementação dos controles de segurança;

Treinar os usuários em segurança da informação e controles utilizados pela organização;

Gerenciar a operação e desenvolvimento do sistema de gerenciamento da segurança da informação.

Check

Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção.

Executar procedimentos operacionais para monitorar e revisar o SGSI;

Realização de mensuração da eficácia na operação do SGSI;

Realização de revisões periódicas para checar se o SGSI está sendo executado corretamente;

Realização de auditorias internas;

Registro de ações e eventos relativos ao SGSI;

Realização de revisões de gerenciamento;

Identificação de qualquer aperfeiçoamento necessário para o SGSI.

Act

Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.

Execução das melhorias identificadas no SGSI;

Realização de ações corretivas e preventivas;

Comunicação a todas as partes interessadas das ações que tenham sido implementadas para a melhoria do SGSI;

Assegurar que todas as ações implementadas para a melhoria do SGSI sejam de fato voltadas para alcançar a sua eficácia.

Quadro 1 - Objetivos e Processos de um Sistema de Gestão de Segurança da Informação Fonte: ABNT, 2006, p.4


Página 11 de 115

Todos os processos descritos no quadro 3 têm a sua execução necessária para que a

etapa seja concluída com êxito.

Independente do uso de determinado padrão ou norma, alguns segmentos de

mercado como o das instituições financeiras brasileiras, tendem a praticar segurança da

informação de forma mais estruturada que o de outros segmentos, uma vez que necessitam

atender a exigências regulatórias de seu setor, como as do Banco Central, por exemplo.

As empresas multinacionais que possuem ações na Bolsa de Valores de Nova Iorque

necessitam atender a Lei Sarbanex-Oxley, que possui exigências quanto à segurança da

informação.

As micro e pequenas empresas, raramente possuem recursos destinados a proteger

à informação, carecem de uma visão mais abrangente e maior esclarecimento a respeito do

assunto (GUPTA, 2005) e do apoio e participação ativa da alta direção da empresa.

Segundo uma pesquisa empírica realizada em 2004, (GUPTA, 2005) em 1.000

pequenas empresas de Lynchburg, Virgínia, nos Estados Unidos, com 138 respondentes,

observou-se no resultado desta pesquisa que 19% dos respondentes foram vítimas de

algum tipo de ataque que explorou a segurança implantada nos últimos 12 meses.

Esse baixo índice de ataques constatados na micro e pequena empresa, se

comparado aos índices de ataques nas grandes empresas, pode estar vinculado ao valor da

informação armazenado nos computadores da pequena empresa (GUPTA, 2005).

Muito embora para a micro e pequena empresa, detentora de informações valiosas

para o negócio em que opera, não é suficientemente valioso e desafiador para os atacantes,

uma vez que a informação tem um valor diferente na visão de diferentes pessoas e

empresas.

Quando se insere as empresas rivais concorrentes nesta análise, tem-se a sensação

de que determinadas informações tem o mesmo valor para ambas as empresas, mas

quando estendemos para o universo de outras empresas e de setores diferentes, o valor

tende a ser diferente, ou seja, o valor de uma informação de negócio da indústria de

borracha, apesar de ser valiosa neste segmento, não tem necessariamente o mesmo valor

para empresas do segmento de cosméticos, por exemplo.


Página 12 de 115

Para a gestão das informações de empresas de qualquer porte ou segmento, existem

diversos padrões e guidelines publicados mundialmente. Na tentativa de saber quais são os

padrões e guidelines mais utilizados no mundo, a Ernst & Young realizou a 12ª Pesquisa

Anual (Global Information Security Survey), uma pesquisa realizada em 61 países

envolvendo 1.865 empresas de diversos portes e segmento de atuação.

O quadro abaixo apresenta o resultado dos principais padrões de segurança da

informação utilizados atualmente pelas empresas pesquisadas.

Information Security Standards & Frameworks Primary Standard

Secondary

usage

ISO/IEC 27002:2005 15% 8%

ISO/IEC 27001:2006 27% 9%

Information Security Forum (ISF) Standard of Good Practice

3% 5%

Cobit 13% 14%

COSO 2% 3%

Information Technology Infrastructure Library (ITIL) 13% 16%

Capability Maturity Model Integration (CMMI) 1% 2%

Generally Accepted Privacy Principles 4% 4%

PCI DSS 4% 7%

Other Industry – Specific standard 2% 2%

Other 5% 3%

Quadro 2 - Padrões e Frameworks utilizados Fonte: Ernst & Young 2010, p.18

Observa-se no quadro acima que a norma ISO/IEC 27001 é a norma sobre gestão

de segurança da informação mais utilizada no universo pesquisado e, muito embora não

exista nenhuma obrigatoriedade, muitas empresas a utilizam. A segunda norma mais

utilizada, de acordo com a pesquisa realizada, é a ISO/IEC 27002 que é um código de

práticas para a gestão da segurança da informação, oriunda da ISO Internacional.

Juntas, as duas normas somam 42% de empresas que utilizam algum padrão de

segurança da informação com base na ISO.


Página 13 de 115

Como o processo de gestão de segurança da informação baseado na ISO/IEC 27001

possibilita a obtenção de uma certificação, concedida por uma entidade devidamente

credenciada e isenta, milhares de empresas no mundo optaram por implantar um sistema

de gestão de segurança da informação e certificá-lo, conforme observa-se no quadro a

seguir.

Japan 3657 Slovenia 17 Gibraltar 3

India 509 Philippines 15 Macau 3

China 495 Pakistan 14 Portugal 3

UK 454 Vietnam 14 Argentina 2

Taiwan 376 Iceland 13 Belgium 2

Germany 144 Netherlands 13 Bosnia Herzegovina

2

Korea 106 Saudi Arabia 13 Cyprus 2

USA 96 Indonesia 11 Isle of Man 2

CzechRepublic 95 Kuwait 11 Kazakhstan 2

Hungary 71 Bulgaria 10 Morocco 2

Italy 60 Norway 10 Ukraine 2

Poland 56 Russian Federation

10 Armenia 1

Spain 55 Sweden 9 Bangladesh 1

Malaysia 47 Colombia 8 Belarus 1

Ireland 37 Bahrain 7 Denmark 1

Thailand 36 Iran 7 Ecuador 1

Austria 35 Switzerland 7 Jersey 1

Hong Kong 33 Canada 6 Kyrgyzstan 1

Greece 30 Croatia 6 Lebanon 1

Romania 30 South Africa 5 Luxembourg 1

Romania 30 South Africa 5 Luxembourg 1

Australia 29 Sri Lanka 5 Macedonia 1

Singapore 29 Lithuania 4 Mauritius 1

Mexico 24 Oman 4 Moldova 1

Brazil 23 Peru 4 New Zealand 1

Slovakia 23 Qatar 4 Sudan 1


Página 14 de 115

Quadro 3 - Empresas certificadas na norma ISO/IEC 27001 Fonte: ISMS International User Group, 2010

Conforme pode-se observar no quadro 5, existem inúmeras empresas certificadas

na norma NBR ISO IEC 27001 no mundo.

Até a data da realização desta consulta, o Japão liderava o ranking com 3.657

empresas com escopos certificados na referida norma. A Índia em segundo lugar com 509

empresas e a China com 495 empresas e no Brasil existem 23 empresas até a data da

realização desta consulta, conforme se pode observar no quadro 5, estas empresas não

serão alvo de nossa pesquisa.

Muitos países como Holanda, Austrália e Nova Zelândia aceitaram esta norma

como um padrão local, mas muitos outros países têm aceitado esta norma de maneira

informal (SOLMS, 1999), ou seja, sem a pretensão de obter a certificação.

De acordo com o padrão ISO, todo sistema de gestão certificado necessita a

realização de uma auditoria periódica, sendo, no mínimo anual, o que de certa forma, força

a empresa detentora do certificado, cumprir com as atividades mínimas necessárias.

Como muitas empresas no mundo possuem sistemas de gestão baseados na ISO

9001 (Gestão da Qualidade) e/ou na ISO 14001 (Gestão Ambiental), a adoção deste padrão

para a gestão da segurança da informação tende a ser mais simples e natural, uma vez que

os instrumentos e as práticas relativas à gestão são as mesmas.

O CERT.br é o Centro de Estudos, Resposta e Tratamento de Incidentes de

Segurança no Brasil. Desde 1997, é responsável por tratar incidentes de Segurança,

envolvendo redes conectadas à Internet no Brasil.

A figura abaixo apresenta o número total de incidentes reportados ao CERT.br por

ano, o que demonstra uma preocupação muito grande por parte das empresas uma vez que

muitas delas não somente usam a Internet para hospedar o site institucional, mas para

acessar sistemas e até praticar o comércio eletrônico.

Turkey 21 Chile 3 Uruguay 1

UAE 20 Dominican Republic

3 Yemen 1

France 19 Egypt 3 Total 6942


Página 15 de 115

Figura 2- Total de incidentes reportados ao CERT.br por ano Fonte: CERT.Br – Centro de estudos, resposta e tratamento de incidentes de

segurança no Brasil, disponível em 31 out 2010.

Podemos observar que em 2005 foram notificados 68.000 incidentes e, em 2006,

ocorreram 197.982 incidentes reportados, perfazendo um total de 198% de aumento de um

ano para o outro.

Em 2007, houve um decréscimo no número de incidentes reportados em relação ao

ano anterior, caindo para 160.080. Mas, o ano de 2008 voltou a apresentar um aumento

significativo de 39% em relação a 2007. Outro crescimento significativo de incidentes de

segurança reportados ao Cert.br ocorreu entre os anos 2008 e 2009, que registro um

aumento de 61% no número de incidentes de segurança da informação.

Observa-se, portanto, um número crescente e significativo de incidentes de

segurança em empresas brasileiras de porte e segmentos diversos.

O gráfico 1 apresenta as ameaças mais presentes nas empresas pesquisadas.


Página 16 de 115

Gráfico 1 - Ameaças do meio empresarial Fonte:Ernst & Young, 2010, p5

Observa-se no gráfico 1 que do universo de empresas pesquisadas, 41% informou

que sofreram ataques de origem externa. Um percentual de 25% empresas sofreram

ataques de origem interna na empresa, sendo cometidos por funcionários e 13% das

empresas pesquisadas informaram que houve um aumento no número de fraudes

cometidas internamente.

Com resultados como esses, observa-se a importância de se implementar um

processo de gestão de segurança da informação que envolva a criação de um sólido

alicerce, constituído de Pessoas, Processos e Tecnologias adequadas e organizadas de

forma a permitirem a elaboração de estratégias de proteção, que se proponham conduzir a

empresa a um patamar de vantagem competitiva e de forma sustentável, com a

informação, como um recurso valioso, protegida adequadamente.

Como uma empresa necessita administrar diversas atividades, muitas delas

simultâneas, para que consiga atuar efetivamente em seu mercado, se faz necessário o

manuseio de diversos recursos de origem e valor para os negócios distintos, mas com

potencial para a transformação de entradas em saídas, com o emprego de pessoas,

processos e tecnologias.

Em consonância a essa visão, tem-se a definição apresentada por (CASSARO, 2001, p.94)

sobre um sistema de qualquer magnitude: ―Um sistema é constituído de um conjunto de

funções logicamente estruturadas, com a finalidade de atender a determinados objetivos‖.


Página 17 de 115

Em consonância com a visão sistêmica apresentada por Cassaro (2001), tem-se a

figura 5 que se utiliza da informação como um recurso necessário em todas as fases de seu

processo.

A figura 5 demonstra uma visão sistêmica do ―sistema‖ chamado empresa, e que se

utiliza da informação como um recurso necessário em todas as fases de seu processo.

Figura 3 - Sistema de Informação Fonte: Laudon e Laudon (1999)

A Gestão da Segurança da Informação permeia todas as fases apresentadas na

figura 5, uma vez que deve-se ter mecanismos de controle para garantir a segurança das

informações em todas as fases previstas.

Inicialmente, nos processos de entrada, encontram-se diversas tecnologias e

processos distintos, variando de empresa para empresa. Alguns autores apresentam visões

distintas, mas não contrárias sobre as etapas de um processo de gestão da informação,

conforme veremos na próxima seção.

Prover proteção para as etapas que envolvem o estágio inicial que é a captura das

informações, independentemente se são públicas, adquiridas ou ainda coletadas no dia-a-

dia é fundamental, pois agora fazem parte da base de conhecimento organizacional e,

portanto, tem valor e necessitam estar protegidas.

O processamento das informações pode envolver tecnologias, processos e pessoas

distintas. Em processos mais complexos, podem-se envolver tecnologias e ambientes

heterogêneos. Prover segurança em ambientes com essas características é de extrema

Retroalimentação

Entrada Saída

PROCESSAMENTO

Objetivos


Página 18 de 115

importância, uma vez que se tem a necessidade de se fazer gestão de acessos autorizados,

além de garantir a alta disponibilidade dos ambientes envolvidos (MOREIRA, 2001).

A etapa de saída requer uma atenção diferenciada, uma vez que o output desta

etapa é a disponibilização de uma informação agregada de conhecimento valioso para a

empresa e, necessariamente precisa ser protegida.

A gestão inadequada da segurança das informações valiosas da empresa pode

contribuir para a perda de vantagem competitiva sustentável, uma vez que as empresas

rivais concorrentes terão acesso às informações como ativos estratégicos utilizados na

elaboração de estratégias da empresa.

Essa condição propicia que as competências internas elaboradas com a experiência,

pesquisa, estudo, investimento e trabalho em equipe sejam conhecidas pelas demais

empresas, colaborando para que a posição alcançada seja ameaçada. Tudo isso é possível,

―mesmo que esses recursos estratégicos não sejam comercializadas

livremente‖(DIERICKX; COOL, 1989, p.1509) no mercado de fator estratégico (BARNEY,

1986).

Se a concepção de estratégias similares entre empresas é possível quando ambas as

empresas estão de posse dos mesmos recursos ou quando um determinado recurso, na

condição de valioso, raro, imperfeitamente imitável, pode ser substituída, logo a condição

sustentável não ocorre ou ocorre por pouco tempo, pois a revelação não autorizada de

informações estratégicas pode contribuir para que as empresas concorrentes tenham

acesso às informações sobre determinado recursos importantes.

Por essa razão, muitas empresas implementam ações para coibir o vazamento de

informações, conforme demonstra o gráfico 2.


Página 19 de 115

Gráfico 2 - Ações adotadas pelas empresas para controlar o vazamento de informações Fonte: Ernst & Young, 2010, p.38

O gráfico 2 demonstra que 61% das empresas pesquisadas definiram uma política

de segurança específica que trata do assunto classificação e manipulação de informações

confidenciais em suas organizações.

As informações organizacionais devem ser protegidas partindo da análise do grau

de importância da informação para a organização e dos riscos a que está exposta. Muitos

desses riscos, oriundos da tecnologia, necessitam de proteção, muitas vezes tecnológicas.

Observa-se no gráfico 2, a existência de um mix de estratégias de proteção nas

empresas, onde algumas medidas visam cobrir o criminoso virtual, que está outside, e o

empregado mal intencionado que está inside ao ambiente organizacional.

O crescimento em IT introduziu uma nova categoria de criminoso, o criminoso

virtual. Enquanto a maior atenção é devotada a alcançar o criminoso externo ―outsider‖, o

mais oneroso e difícil de apanhar é o ―insider‖. A segurança dos computadores tornou-se

um problema global e pesquisas indicam que está aumentando a preocupação com os

riscos da segurança.

O autor Cansian (2001) analisou o perfil desses atacantes por dois padrões:

―aqueles provenientes do meio interno, oriundos da própria organização, empresa ou

instituição, e os atacantes externos, normalmente provenientes da Internet‖. O autor


Página 20 de 115

afirma ainda que o atacante interno utiliza um comportamento mais complexo,

―demonstrando na maioria das vezes a mesma motivação dos crimes regulares, ou seja:

cobiça, obtenção ilegal de dinheiro, lucro, riqueza, ou até mesmo ligados a revanches

pessoais ou vingança‖ (CANSIAN, 2001, p.145).

Nos EUA, foi realizada uma pesquisa que descobriu que o roubo de informação, a

fraude financeira, o vírus, o abuso por empregados mal intencionados e a sabotagem

causaram os maiores prejuízos financeiros. Além disso, a pesquisa revelou que não existia

muita diferença nos níveis de abuso por criminosos internos ou externos (WARREN,

2002).

Mas a Internet acabou por aumentar o número de processos relativos à tecnologia e

ainda existe uma forte disputa na grande maioria dos países, sobre a questão dos direitos

de propriedade intelectual (SMITH;RUPP, 2002).

A Gestão da Segurança das Informações Organizacionais é um processo

fundamentalmente essencial para as empresas, uma vez que se propõe a criar um ambiente

propício para que as informações valiosas e estratégicas estejam salvaguardadas contra

qualquer evento ou acontecimento que possa ameaçá-las.

Cada empresa está inserida em um contexto, sendo observada pelos seus rivais

concorrentes a cada movimento, a cada momento. Dependendo do mercado em que a

empresa atua, pode receber mais ou menos pressão de seus concorrentes, ficando,

portanto, evidente a necessidade de impedir que os rivais concorrentes tenham acesso aos

segredos de negócio.

Este processo envolve o gerenciamento da implementação de políticas e práticas de

segurança, alinhadas às necessidades e estratégias do negócio. Essa é a abordagem dos

autores Caruso e Steffen:

Segurança, mais do que estrutura hierárquica, homens e equipamentos envolve uma postura gerencial, o que ultrapassa a tradicional abordagem da maioria das empresas(CARUSO; STEFFEN, 1999, p. 24).

No âmbito do Governo Brasileiro, foi instituída a Agência Brasileira de Inteligência

(ABIN), que tem a missão de estabelecer proteção de conhecimentos sensíveis que tenham

relação com os interesses do Estado e da Sociedade.


Página 21 de 115

Por essa razão, foi instituído o Programa Nacional de Proteção ao Conhecimento,

que tem como objetivo a sensibilização dos diversos segmentos da sociedade brasileira

sobre as ameaças ao desenvolvimento e à segurança nacional, representadas pelas ações de

espionagem em alvos econômicos, industriais e científico-tecnológicos.

No setor privado, a Associação Brasileira de Normas Técnicas – ABNT é uma

entidade sem fins lucrativos, fundada em 1940, sendo a única entidade Nacional de

Normalização representante de diversas entidades internacionais, como:

a) ISO - International Organization for Standardization;

b) IEC – International Elecrotechnical Comission;

c) COPANT – Comissão Panamericana de Normas Técnicas;

d) AMN – Associação Mercosul de Normalização.

Por essa razão, as normas envolvidas com a Gestão da Segurança da Informação da

ISO foram traduzidas pela ABNT e disponíveis para uso de empresas de diversos portes e

diferentes segmentos da sociedade.


Página 22 de 115

1.2 Segurança da informação

O termo segurança teve a sua importância atribuída após o surgimento dos

computadores, e tinha uma conotação tímida, pois não ultrapassava os limites do Centro

de Processamento de Dados. A associação que se fazia ao termo era o de armazenamento

seguro de materiais, equipamentos de tecnologia e dinheiro, ou seja, a segurança física era

importante e a principal preocupação das empresas (LOCH et al., 1992).

Com o ambiente físico tecnológico sendo a preocupação das organizações uma vez

que ele automatiza seus processos e armazena grande parte de suas informações, os

autores Smith (1989), Loch et al., (1992), Wilson; Turban; Zviran (1992), Mcgaughey et al.

(1994),Boran (1996), Alvim (1998), Stair (1998), Caruso e Steffen (1999), Spinellis et al.

(1999), com uma visão técnica, definem o termo segurança como aquela que possui a

missão de proteger o ambiente computacional contra ameaças acidentais ou deliberadas.

Essa abordagem perdurou até o final da década de 90. A partir dessa década,

diversos autores começaram a incorporar outros elementos que a visão técnica

unidimensional não contemplava, qual seja o negócio. Os autores nacionais Moreira

(2001), Sêmola(2003), Nakamura;Geus (2003), Beal(2004) e os internacionais

Humphreys et al.(1998), Peltier (2001), Thomson(2003), Posthumus;Solms (2004), Gupta

(2005), Tsiakis, Stephanides (2005), Alghathbar (2008), Chang; Yeh, (2007), Tsiakis,

(2010), Takemura, (2010) apresentam claramente em suas publicações, a importância de

proteger a informação, independentemente de onde ela esteja, seja nos recursos

tecnológicos, em processos ou de posse das pessoas em forma de conhecimento. Solms

(2001) em seu artigo intitulado ―Information Security – A Multidimensional discipline‖

afirma que a segurança da informação está sendo aceita amplamente pelas empresas e

cada vez mais distanciando-se da visão e imagem técnica.

Essa visão transcende a visão inicial por englobar os elementos principais de

negócio, desconsiderados até então pelos autores da década de 80.

Nessa direção, a ISO com membros em diversos países industrializados, em

desenvolvimento e em transição, presentes em praticamente todas as regiões do mundo,

produzem publicações de normas internacionais de segurança como a ISO (2006) que

apresenta as bases fundamentais para a construção de um sistema de gestão de segurança

da informação.


Página 23 de 115

Muitas outras normas são produzidas por representantes de vários países, assim

como o Brasil que participa por meio de pessoas que fazem parte da ABNT, como o autor

deste trabalho, e que se interessam em contribuir com estudos e conhecimentos

produzidos e adquiridos, compartilhando-os com demais integrantes da ISO Internacional

para a produção de novas normas.

Como a micro e pequena empresa tem uma relevância mundial, uma vez que

movimentam grande parte da economia de diversos países e quebrando o paradigma de

que somente em grandes empresas encontram-se padrões de gestão, qualidade e

segurança, a ISO produziu um documento intitulado ISO/IEC 27001 for Small Business

(ISO, 2010), justamente para possibilitar que empresas desse porte possam também

proteger suas informações valiosas de negócio.

A preocupação de proteger as informações estratégicas da empresa vem sendo

debatida por autores como Gabbay (2003), que ressalta a preocupação de empresas que

necessitam interligar seus sistemas de informação com o de outras empresas, por exemplo.

Por essa razão, se faz necessária a obtenção de evidências de que ambas empresas

garantam um nível adequado de segurança, no mínimo, das informações estratégicas,

como uma certificação ISO/IEC 27001 Sistema de Gestão de Segurança da Informação,

relatório de auditoria por empresa isenta, entre outros.

De acordo com Menezes (2005), toda a cadeia necessita de segurança. De nada

adianta construir barreiras lógicas de segurança nos perímetros da empresa, se ela possui

fornecedores e prestadores de serviços que necessitam de acesso às informações para a

realização do serviço contratado.

Outros autores demonstram que a preocupação de proteger as informações, como

recursos estratégicos, vem aumentando. Laureano e Moraes (2005, p.41) afirmam que ―é

evidente que os negócios estão cada vez mais dependentes das tecnologias e estas precisam

proporcionar confidencialidade, integridade e disponibilidade para as informações‖.

Com a era da informação e do conhecimento tem a informação como base para a

elaboração de estratégias de negócio, como um recurso valioso, pode proporcionar à

empresa que a detém, vantagem competitiva sustentável.

Sob esta ótica, consegue-se observar a importância de prover proteção adequada

para as informações, de acordo com o seu nível de classificação Boran (1996), Wadlow

(2000), Caruso;Steffen (1999), Peltier (2001), ABNT (2005) e Nakamura; Geus (2003),


Página 24 de 115

independentemente de qual seja a fase do processo de gestão da informação Taylor (1980),

Mcgee; Prusak(1994), Davenport; Prusak (1998), Choo (2003), Kundu (2004).

No intuito de apresentar o conceito de segurança da informação, tem-se na visão de

alguns autores, certo consenso sobre o assunto.

O comprometimento da confidencialidade, da integridade e da disponibilidade dos

dados é um objetivo a ser alcançado na visão de Smith (1989) que conceitua a segurança da

informação como sendo ―O objetivo principal da política de segurança é proteger a

integridade, disponibilidade e confidencialidade dos dados eletrônicos mantidos no

sistema‖ (SMITH, 1989, p.174).

Na visão desses autores mencionados anteriormente, os dados eletrônicos

armazenados em sistemas de computador de qualquer empresa, devem ser protegidos, por

serem utilizados como parte das estratégias de segurança da informação, demonstrando,

portanto, uma preocupação com a proteção dos recursos tecnológicos que armazenam,

processam ou transmitam informações das empresas.

Cada empresa possui o seu nível de dependência da tecnologia e vincula essa

dependência ao negócio. Assim, as tecnologias utilizadas na empresa, independente do

porte dela, passam a ser um grande aliado por um lado e por outro, um grande vilão.

Diariamente são publicadas via internet, a existência de vulnerabilidades descobertas

tanto pelos fabricantes dessas tecnologias quanto pelo mundo underground, ou seja, pelos

hackers. As tecnologias sem dúvida alguma são o alvo das atenções de muitas pessoas

quando o assunto é segurança.

Observa-se na figura 2, em pesquisa realizada pela InformationWeek: Analytics em

junho de 2009 com 593 empresas americanas que, as ameaças de origem interna são uma

presença constante e uma preocupação para muitas empresas. No ano de 2008, elas

representaram 57% e em 2009 foram 52% de empresas que atribuiram a responsabilidade

pela causa das brechas de segurança ou questões relacionadas à espionagem interna, aos

seus próprios funcionários.


Página 25 de 115

Figura 4 - Origens de ameaças à Segurança das informações Fonte: InformationWeek Analytics (2009, p.28)

Com uma visão menos técnica e mais voltado para o negócio, alguns autores

começam a envolver outros elementos além da tecnologia, mas que proporcionam

impactos nos resultados e/ou performance da empresa.

Na visão de Alghathbar (2008), o objetivo da segurança é proteger a informação

que está distribuída no Sistema de Informação da empresa contra qualquer tipo e origem

de ameaça. Essa ação movimenta investimentos por parte da empresa e a literatura atual

sobre o assunto impõe a visão de que os custos da Segurança da Informação podem ser

medidos com base na análise de riscos.Mas, essa medição pode estar distorcida uma vez

que não se consegue medir com precisão por se tratar de percepções e valores subjetivos

(ALGHATHBAR, 2008).

0% 20% 40% 60% 80%

Usuários/empregados autorizados

Hackers

Empregados

Programador de códigos maliciosos

Consultores/provedores de serviços…

Usuários externos

Crime organizado

Provedor de serviços de processos de…

Clientes

Concorrentes

Governo estrangeiro

Provedor de serviços de TI

Corretor de informação

Grupo de interesse público

Outros

66%

59%

52%

45%

30%

28%

22%

17%

17%

16%

13%

13%

9%

4%

3%

62%

62%

57%

39%

26%

33%

15%

11%

17%

15%

10%

12%

7%

4%

2%

2008

2009


Página 26 de 115

Segundo Mcgaughey et al. (1994), as empresas protegem os sistemas e os dados

armazenados contra riscos existentes, com potencial de atingir a empresa. Sejam eles de

origem da natureza ou provocados pelo desafio de terceiros como a concorrência, hackers,

entre outros.

A visão ainda míope por parte dos executivos com relação aos benefícios da

segurança da informação para os negócios compreendem o valor e a importância desse

tema, quando algo grave ou um incidente de segurança ocorre em sua organização. Com

esse entendimento, afirmam (SOLMS B.;SOLMS R, 2004):

Infelizmente, em muitos casos, executivos de empresas ainda pensam que a tecnologia é tudo, e então, delegam o problema para o departamento técnico e, convenientemente, esquece o ocorrido.(SOLMS B.; SOLMS R., 2004, p.372)

Na visão desses autores, os benefícios da prática de segurança da informação para a

empresa não são considerados importantes e em geral, somente são valorizados quando

ocorre um incidente de segurança (SOLMS B.;SOLMS R., 2004).

Os autores Nakamura e Geus(2003) relacionam a segurança da informação com o

aumento de lucratividade e afirmam que quando realizada corretamente, pode

proporcionar a realização de mais negócios, uma vez que diminui riscos. Na visão desses

autores, a segurança da informação extrapola o ambiente técnico e vincula o tema com

oportunidades de novos negócios.

Sem a preocupação de olhar para uma necessidade técnica específica, apresenta-se

a visão de Moreira (2001) que define segurança da informação como sendo as práticas

necessárias para se alcançar a confidencialidade, a disponibilidade e a integridade dos

recursos valiosos de negócio.

Uma vez que a informação está presente no ambiente organizacional e em diversas

formas, seja armazenada em banco de dados, em documentos impressos, em correio

eletrônico, em dispositivos de armazenamento como CD/DVD, mídia de backup,

dispositivos móveis e até ser um conhecimento tácito estando, portanto, na mente das

pessoas. Tudo gira em torno do quão valiosa é a informação, de quanto ela é sensível e o

quanto ela representa para o seu negócio.

Ressalta o autor que, prover proteção para os recursos da empresa tem a finalidade

de diminuir o nível de exposição aos riscos existentes, para que a empresa possa estender a


Página 27 de 115

segurança aos seus produtos e serviços, resultando em uma satisfação maior por parte dos

clientes.

Por outro lado, apresenta-se o raciocínio de que a proteção dos sistemas críticos de

negócio pode ser obtida ao se examinar as conseqüências das perdas, a partir de falta de

segurança dos sistemas (GUPTA, 2005).

Essas perdas também podem ser obtidas, segundo quatro pontos de vista. São eles:

a) Perda Financeira;

b) Responsabilidade Legal e Ética;

c) Interrupção de Serviços;

d) Qualidade e Segurança.

Definir segurança da informação é, sem dúvida alguma, um grande desafio, na

visão de (TSIAKIS, STEPHANIDES, 2005). Segundo a opinião desses autores, cabe à

empresa ―definir as expectativas e os objetivos de segurança de como as informações serão

comunicadas e manuseadas.‖ (TSIAKIS, STEPHANIDES, 2005, p.106)

Os objetivos da segurança qual sejam a confidencialidade, a integridade, a

autenticação e o não repúdio devem ser expressos e comunicado a todos, para que a

informação possa ser protegida alinhada com as expectativas e os objetivos da empresa

(TSIAKIS; STEPHANIDES, 2005).

A ISO Internacional com a norma ISO IEC 27002 que apresenta as boas práticas

internacionais de segurança da informação demonstra que a segurança da informação é

obtida a partir da implementação de um conjunto de controles adequados, incluindo

políticas, processos, procedimentos, estruturas organizacionais e funções de software e

hardware.

A autora Beal(2004) compreende a segurança da informação alinhado com os

autores apresentados, porém ela entende que as normas ISO, em especial, a de segurança

da informação serve apenas como uma diretriz. Muitas empresas podem não conseguir ou

querer que seja implementado o que se sugere neste padrão. Enfatiza a autora que o uso de

boas práticas internacionais como esta, por exemplo, deve ser feito quando se adiciona

valor percebido ao negócio.


Página 28 de 115

1.2.1 Objetivos da segurança da informação

A literatura de segurança, de modo consensual, apresenta a tríade ―CID‖ que

expressa a abreviatura para a Confidencialidade, a Integridade e a Disponibilidade. Essa

visão foi apresentada e abordada pelos autores destacados neste trabalho como

Pfleeger(1989), Smith (1993), Humphreys et al.., (1998), Lampson (2000), Thomson

(2003), Wang (2005), Gordon e Loeb (2006),Tsiakis (2010) em suas respectivas

publicações.

Em conformidade com a essa visão, a ISO Internacional, define Segurança da

informação como sendo:

―A segurança da informação é a preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.‖ (ISO, 2006, p.2)

Alguns autores nacionais como Semola (2003), Nakamura;Geus (2003),

Caruso;Steffen (1999), visualizam algo mais abrangente, contemplando outros objetivos

como a Legalidade e o Não repúdio.

Será apresentado a seguir, uma visão geral dos principais objetivos da segurança da

informação de acordo com a visão desses autores.

1.2.1.1 Confidencialidade

A confidencialidade, segundo a norma ABNT (2006), pressupõe um conjunto de

práticas com a intenção de proteger a informação para que não esteja disponível, ou que

não seja, revelada a indivíduos, entidades ou processos não autorizados. Para Tsiakis

(2010), a confidencialidade é um objetivo que vincula o acesso e a revelação de

determinadas informações sensíveis a somente pessoas autorizadas.

Essas informações sensíveis de negócio não podem ser divulgadas livremente para

qualquer pessoa, ficando acessível a somente pessoas autorizadas (POSTHUMUS;SOLMS,

2004).


Página 29 de 115

Humphreys et al. (1998) define que a confidencialidade envolve a proteção de

informações sensíveis de divulgação não autorizadas ou interceptação de mensagens

enviadas por funcionários.A proteção mencionada por Humphreys et al. (1998) anos

depois foi validada por Thomson (2003) que afirma que a confidencialidade das

informações pode ser preservada se a empresa adotar 2 ações: a primeira é restringir o

acesso às informações confidenciais e/ou criptografar essas informações.

A divulgação não autorizada de uma informação relevante para a empresa é uma

ameaça, principalmente para pequenas empresas, afirma Spinellis et al. (1999).

1.2.1.2 Integridade

A integridade é o objetivo de salvaguarda da exatidão e completeza de ativos ABNT

(2006). Ou seja, a empresa deve possuir mecanismos para que a informação esteja integra

assim como do momento de seu armazenamento.

A empresa deve, necessariamente, precaver-se contra os acessos não autorizados e

evitar que dados sejam alterados, manipulados ou corrompidos por pessoas não

autorizadas. Essas ações são fundamentais para que a integridade dos dados das

informações seja preservada (TSIAKIS, 2010).

Outro autor Humphreyset al., (1998) que acredita que a preservação da integridade

dos recursos de informação envolve a adoção de determinadas práticas, como manter a

completeza e a correta informação armazenada.

Por outro lado, salienta Thomson (2003), a falta de controles adequados pode

resultar em alterações indevidas em informações sigilosas e importantes da empresa, de

forma intencional ou não.

Problemas relacionados com a integridade das informações podem afetar qualquer

tipo de empresa, especialmente as micro e pequenas, onde alterações de dados sem

autorização, pode provocar perdas financeiras, alertam Spinellis et al. (1999.

Além do prejuízo financeiro, ―decisões podem ser tomadas de forma equivocadas e

criar uma situação não desejada na empresa, por conta do descrédito no sistema de

informação‖ (POSTHUMUS;SOLMS, 2004, p.640).


Página 30 de 115

1.2.1.3 Disponibilidade

A disponibilidade é um objetivo da segurança da informação extremamente

importante, uma vez que a ausência de informações em um momento crucial pode resultar

em grandes prejuízos para qualquer empresa.

Tsiakis (2010) ao apresentara sua visão, descreve uma situação comercial, onde a

disponibilidade é a garantia de que pessoas ou entidades autorizadas têm acesso contínuo

e ininterrupto dos serviços.

A disponibilidade é, segundo a ISO Internacional, a propriedade de estar acessível e

utilizável sob demanda por uma entidade autorizada (ABNT, 2006).

A alta dependência de tecnologia, de alguma forma, remete a uma profunda

reflexão quanto o objetivo disponibilidade, pois sem os principais recursos ou parte deles,

comprometendo a capacidade de operar, acaba por refletir negativamente em empresas de

qualquer porte. ―Grandes empresas possuem recursos e investem em estratégias de

continuidade de negócios‖ (SPINELLIS et al., 1999, p. 124), porém nas micro e pequenas

empresas faltam recursos e o impacto, portanto, da indisponibilidade de determinados

recursos críticos pode prejudicar e muito empresas que não possuem uma estratégia de

continuidade de suas operações.

Além dos três objetivos Confidencialidade, Integridade e a Disponibilidade da

informação necessitam ser preservadas, o autor Sêmola (2003) recomenda a inclusão de

mais um objetivo: a legalidade.

1.2.1.4 Legalidade

A Legalidade é o objetivo que garante que a informação foi produzida em

conformidade com leis, regulamentações e normas aplicáveis ao negócio de uma empresa.

Existe, portanto, uma preocupação de aderência à Legislação vigente.

Após uma pesquisa realizada nas 109 maiores empresas em Taiwan, abrangendo

não apenas uma ampla gama e atividades, mas também consistindo de grandes empresas,

que normalmente investem mais em Segurança da Informação e Tecnologia da

Informação, constatou-se que a prática de Segurança da Informação não é uma questão


Página 31 de 115

técnica apenas ‗‗disponível para aquisição em uma loja‘‘, mas sim personalizada,

dependente do contexto do problema do cliente (CHANG; YEH, 2007), leis,

regulamentações e normas aplicáveis.

Mediante a essa diversidade de objetivos, cabe à empresa observar o seu ambiente e

identificar as características de negócios que, se comprometidas, ocasionam impactos

significativos para o negócio.


Página 32 de 115

1.2.2 As dimensões da Segurança da Informação

A segurança da informação é uma disciplina multidimensional e todas as

dimensões se preocupam em abranger o universo organizacional para proporcionar um

ambiente seguro e apropriado para os ativos valiosos da empresa.

A diversidade e a quantidade de ambientes não é um fator com que a empresa se

deva preocupar, pois além de ambientes, existem dimensões diferentes, portanto:

o fato de existirem diferentes dimensões e juntos poderem contribuir na direção de alcançar um ambiente mais seguro é o pensamento mais importante(SOLMS, B.; SOLMS, R., 2004, p. 373).

Na visão desses autores, as seguintes dimensões podem ser identificadas sem

dificuldades nas empresas:

a) Dimensão Governança;

b) Dimensão Organizacional;

c) Dimensão Política;

d) Dimensão melhores práticas;

e) Dimensão Ética;

f) Dimensão Certificação;

g) Dimensão Legal;

h) Dimensão Humana;

i) Dimensão Conscientização;

j) Dimensão Técnica;

k) Dimensão Métricas e Indicadores;

l) Dimensão Auditoria.

Os autores Adachi (2004) e Silva Netto (2007) apresentam as dimensões utilizadas

neste trabalho em uma abordagem de camadas para representar os 10 (dez) domínios da

norma ISO 27002, uma norma de boas práticas internacionais de segurança da

informação, que são:


Página 33 de 115

Camada física

a) Sistemas de controle de acesso;

b) Segurança e modelos de segurança;

c) Arquitetura e modelos de segurança;

d) Segurança física.

Camada lógica

a) Criptografia;

b) Desenvolvimento de sistemas e aplicativos.

Camada humana

a) Práticas de gerenciamento de segurança;

b) Segurança de operação;

c) Plano de Continuidade do negócio e plano de recuperação em caso de desastre;

d) Legislação, investigação e ética.

Silva Netto (2007) em seu artigo intitulado ―Gestão da segurança da informação:

fatores que influenciam sua adoção em micro e pequenas empresas‖ realizou um trabalho

de pesquisa e classificou as seções da Norma ISO IEC 27002:2005 nas três camadas de

segurança da informação (física, lógica e humana), resultando na estrutura representada

no quadro 6, a seguir:

Camada Seção Objetivos

Física

Gestão das operações e comunicações

Garantir a operação segura e correta dos recursos de processamento da informação.

Segurança física e do ambiente

Prevenir o acesso físico não-autorizado, danos e interferências com as instalações e informações da organização; impedir perdas, danos, furto ou comprometimento de ativos e interrupção das atividades da organização.

Controle de acesso

Controlar acesso à informação; assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas de


Página 34 de 115

informação; prevenir o acesso não autorizado dos usuários e evitar o comprometimento ou roubo da informação e dos recursos de processamento da informação; prevenir acesso não autorizado aos serviços da rede.

Gestão de incidentes de segurança da informação

Assegurar que um enfoque consistente e efetivo seja aplicado à gestão de incidentes da segurança da informação.

Lógica Aquisição, desenvolvimento e manutenção de Sistemas de Informação

Garantir que segurança é parte integrante de sistemas de informação; prevenir a ocorrência de erros, perdas, modificação não autorizada ou mau uso de informações em aplicações; proteger a confidencialidade, a autenticidade ou a integridade das informações por meios criptográficos;

Garantir a segurança de arquivos de sistema; manter a segurança de sistemas aplicativos e da informação.

Reduzir riscos resultantes da exploração de vulnerabilidades técnicas conhecidas.

Humana

Organizando a segurança da informação

Gerenciar a segurança de informação dentro da organização; manter a segurança dos recursos de processamento da informação e da informação da organização, que são acessados, processados, comunicados ou gerenciados por partes externas.

Gestão de Ativos Alcançar e manter a proteção adequada dos ativos da organização; assegurar que a informação receba um nível adequado de proteção.

Segurança em recursos humanos

Assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com seus papéis e reduzir o risco de roubos, fraudes ou mau uso de recursos.

Gestão da continuidade do negócio

Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil se for o caso.

Conformidade Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.

Política de segurança da informação

Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

Quadro 4 - Seções da Norma ISO/IEC 27002 em camadas Fonte: Silva Netto (2007 p.48)


Página 35 de 115

A Gestão da Segurança da Informação, sob a ótica da ISO 27001, pode ser

observada sob três dimensões, conforme apresenta a figura 5.

Figura 5 - Dimensões da Segurança da Informação Fonte: Autor Nota: Elaborado com base na teoria pesquisada

Na visão de (ADACHI, 2004), a camada física tem o seguinte significado e

abrangência:

A camada física representa o ambiente em que encontram os computadores e seus periféricos; bem como a rede de telecomunicações, com seus modems, cabos, memória física (ADACHI, 2004, p. 5).

A dimensão física é constituída por diversos ativos físicos com características

semelhantes e abrange todo hardware e infraestrutura existentes na empresa. Como

exemplo de hardware, pode-se citar os desktops, notebooks, servidores. Na infraestrutura,

podem existir ativos como links de comunicação, elementos de rede entre outros.

Na visão de Dias (2000), a segurança física possui dois conjuntos: os que estão

envolvidos com a segurança de controle de acesso físico e os que estão envolvidos com a

segurança ambiental, relacionados com a prevenção de danos causados por ações da

natureza.

Dimensão Humana

Dimensão Física

Dimensão Lógica


Página 36 de 115

A Norma ISO 27002 aborda o tema, envolvendo todos os ativos relacionados com a

segurança para prevenir acessos físicos não autorizados, danos e interferências às

informações e instalações físicas da empresa.

A dimensão lógica é constituída por elementos lógicos de difícil controle, uma

vez que se propõe em linhas gerais, a protegerem o conteúdo informacional (CARUSO;

STEFFEN, 1999).Todos os sistemas que necessitam de proteção estão envolvidos nesta

camada. Os sistemas que envolvem e são utilizados pela empresa são gerenciados e

protegidos não apenas pelos dispositivos previstos na dimensão física, mas são necessárias

medidas preventivas e procedimentos elaborados, atualizados e implementados

(LUCIANO; 2004).

Em adição a visão desses autores, Dias (2000) complementa essa visão enfatizando

a necessidade de existir em políticas de segurança que estabeleçam as diretrizes de

segurança para o ambiente.

Nesta dimensão, pretende-se proteger as informações críticas e relevantes da

organização.

Cada empresa adota estratégias diferenciadas para proteger os seus recursos

valiosos por meio de estratégias de segurança contra ataques via códigos maliciosos Lochet

al.(1992), Caruso; Steffen(1999), Gupta (2005); ABNT (2005), Takemura (2010), pelo

estabelecimento de Políticas de controle de acesso às informações ABNT (2005), pelo

estabelecimento de Proteção de registros organizacionais (Proteção de registros

organizacionais Loch et al. (1992), Dias (2000), ABNT (2005).

A proteção das informações para uso em situações adversas é prevista nesta

dimensão com a realização de cópias de segurança das informações Caruso; Steffen (1999),

Dias (2000), Beal (2004), ABNT (2005), Gupta (2005).

Outra estratégia a ser adotada e prevista nesta dimensão é a de controle de

vulnerabilidades técnicas dos recursos, uma vez que podem ser exploradas por pessoas mal

intencionadas e terem acesso às informações críticas e sigilosas (ABNT, 2005).

A dimensão humana é constituída dos recursos humanos existentes na empresa.

Ela trata, portanto de questões de difícil gestão, uma vez que estão envolvidos pessoas e

aspectos comportamentais, conscientização e engenharia social (ADACHI, 2004). Os

autores Caruso; Steffen(1999) concordam que nesta dimensão são tratadas questões que

proporcionam maior risco para as empresas, uma vez que estão envolvidos e influenciam


Página 37 de 115

diretamente os aspectos comportamentais das pessoas as características psicológicas,

sócio-culturais e emocionais.

A separação pelas dimensões Física, Lógica e Humana proposta inicialmente por

Adachi (2004) no universo de Internet Banking, tem agora no contexto da micro e pequena

empresa um universo muito mais amplo.

Das três dimensões abordadas, a camada humana, conforme apresentado e

comentado pelos autores, é a mais complexa de se gerenciar, uma vez que são requeridas

habilidades e competências que caminham em outra direção que não a de documentar

procedimentos, configurar regras em algum software ou instalar determinada tecnologia

na empresa, por exemplo.

Aspectos relativos a treinamento e conscientização começam a fazer sentido no

momento em que se deseja mostrar para os usuários que cada informação tem o seu valor

e que a necessidade de ser, não somente protegida, mas adequadamente protegida e essa

tarefa não é de responsabilidade de alguém de segurança ou tecnologia, mas de todos os

empregados da empresa.

1.2.3 Informação como recurso estratégico

A informação é perfeitamente capaz de proporcionar a empresa, os subsídios

fundamentais e necessários para que decisões sejam tomadas de forma mais assertiva

(ALVIM, 1998).

Estratégias podem ser mais precisas, se formuladas considerando o estoque de

recursos estratégicos acumulados pela empresa (GRANT, 1991). Neste contexto, a

informação como um recurso precioso e estratégico deve ser administrada de forma

condizente com seu valor estratégico.

Independentemente da era em que nos encontramos, seja a era da informação, do

conhecimento ou outra, a informação como um recurso estratégico é a matéria prima e a

fonte para a manutenção de vantagem competitiva sustentável e é vista por vários autores

como um dos ativos mais valiosos de uma organização (STAIR, 1998; CASSARO, 1999).

Existe um consenso entre autores sobre o significado, a importância estratégica e as

fontes de informação, conforme pode-se observar a seguir.


Página 38 de 115

Na visão de Barreto (1996, p.2), a informação tem um valor incomensurável e pode

ser interpretada, conforme a seguir.

A informação relevante, portanto, move pessoas, um grupo de pessoas ou uma sociedade inteira, tamanho o valor e poder que uma informação pode proporcionar a uma empresa de qualquer porte.

Para os autores Mcgee e Prusak, (1994, p.24), a informação possui o seu valor

oriundo dos dados e, a ela, são acrescidos aspectos que as diferenciam, e a caracteriza

conforme descrito a seguir:―informação é um conjunto de dados coletados, organizados,

ordenados aos quais são atribuídos significados e contexto.‖

Com uma visão mais abrangente, Laudon, K. e Laudon, J. (1999), apresentam uma

abordagem mais estratégica, uma vez que quando se referem à informação, associam a um

recurso estratégico e como uma fonte de vantagem competitiva que, como tal, pode ser

usada de forma estratégica.

O autor Beuren (1998, p.52) sintetiza o seu entendimento sobre a informação da

seguinte forma:

a informação pode ser usada no sentido de identificar alternativas para provocar mudanças no poder de barganha da empresa com o ambiente externo, para remover ou criar barreiras à entrada de novos concorrentes,diferenciar uma empresa das demais que atuam no mesmo segmento, para configurar novas cadeias de valor, para penetrar em economias diferenciadas, dentre outros fatores.

Esse autor salienta que, de posse de informações estratégicas, a empresa consegue

aprimorar a etapa de elaboração e execução das estratégias a serem implantadas.

Com forte ênfase na proteção da informação, a ISO(2005) conceitua informação da

seguinte forma:

Informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e, conseqüentemente, necessita ser adequadamente protegido. (ISO, 2005, p. 2)


Página 39 de 115

A proteção ressaltada na definição da norma ISO refere-se principalmente a

questão da perda de vantagem competitiva, uma vez que se as informações dos recursos

valiosos, raros, de difícil imitação e de difícil substituição (BARNEY, 1991) não forem

suficientemente protegidas e, portanto, reveladas para as empresas rivais concorrentes, a

vantagem competitiva alcançada até o momento, pode agora também ser alcançada pelas

empresas concorrentes.

Sem uma gestão efetiva, a informação considerada como um recurso estratégico

que, por um lado pode elevar o patamar de sustentabilidade da vantagem competitiva

alcançada pela empresa detentora de tal recurso valioso, por outro, pode colocar a empresa

em risco (DIAS 2000).

Em suma, esses autores estabelecem um vínculo com a linha de pensamento do

RBV e, principalmente, com a visão de (BARNEY, 1991) no tocante à perspectiva de a

empresa poder ser vista como uma organização distinta de recursos tangíveis e intangíveis

e competências onde, seu uso efetivo possibilitará o alcance dos objetivos.


Página 40 de 115

1.2.4 Segurança da Informação e Vantagem Competitiva

A competitividade entre as empresas de um mesmo setor provoca, por si só, certa

instabilidade e incerteza no ambiente dessas empresas, uma vez que diminui a capacidade

de previsibilidade quanto ao futuro. Com isso, os administradores necessitam conhecer

cada vez mais o ambiente interno e os seus recursos valiosos (BARNEY, 1991).

Estar de posse de informações valiosas de negócio coloca a empresa em uma

posição privilegiada perante as demais, uma vez que é a base para a formulação de

estratégias organizacionais. Sem esse importante recurso, tais estratégias podem ser

formuladas sem uma fundamentação consistente.

Assume-se, portanto, que a informação é um recurso valioso, estratégico e

fundamental para a tomada de decisão e formulação de estratégias que conduzem a

vantagem competitiva, devendo ser controlado de forma condizente para evitar a sua

revelação, impactando na sustentabilidade alcançada.

A explicação da influência da segurança da informação no desempenho de uma

empresa será efetuada por meio das fontes de vantagem competitiva sustentável,

preconizada pela Visão Baseada em Recursos.

Conforme visto na revisão teórica da Visão Baseada em Recursos, para que se possa

atingir níveis de excelência de desempenho, é preciso compreender como as empresas

lidam com os recursos, uma vez que são determinantes para a obtenção ou não da referida

vantagem competitiva (WERNERFELT, 1984; BARNEY, 1991).

Muito embora a empresa esteja de posse de recursos valiosos, não significa que essa

situação lhe conferirá sustentabilidade eterna em termos econômicos. Há de se considerar,

portanto, a existência das fontes de vantagem competitivas sustentáveis indicadas na

literatura sobre RBV, conforme vimos neste trabalho.

Assim, uma vez obtido o alinhamento das condições impostas pelas fontes de

vantagem competitiva sustentável, de acordo com o RBV, se a segurança da informação,

que se propõe a proteger a informação dos recursos valiosos e estratégicos impedindo que

as empresas rivais concorrentes consigam qualquer informação a respeito, não estiverem

implementadas, aumenta-se a probabilidade de haver o vazamento das informações

valiosas e estratégicas, comprometendo as condições impostas pelas fontes de vantagem

competitiva sustentável.


Página 41 de 115

1.2.5 A confidencialidade dos recursos estratégicos

Na visão de alguns autores clássicos mais influentes de RBV, Penrose, Wernerfelt,

Dierickx e Cool, Grant, Conner, Peteraf e de alguns autores nacionais Vasconcelos e

Cyrino, Bandeira De Mello e Cunha, a sustentabilidade da vantagem competitiva pode ser

obtida para atender determinadas características que os recursos da firma devem

rigorosamente cumprir, conforme apresentado no quadro 2.

Observa-se na seção Segurança da Informação que, segundo os autores Smith

(1989), Humphreys et al. (1998), Moreira (2001), Tsiakis; Stephanides (2005), ABNT

(2006), a confidencialidade, a integridade e a disponibilidade são os objetivos da

segurança da informação que devem ser preservadas. Alguns objetivos podem ser mais

sensíveis do que outros, conforme a necessidade e características do negócio.

As fontes de vantagem competitiva sustentável, abordadas neste trabalho, com base

na opinião de diversos autores de RBV, serão confrontadas com os objetivos de segurança

da informação com o intuito de identificar e conhecer o relacionamento entre ambos.

Recursos valiosos

As competências internas construídas pelas pessoas de uma organização ao longo

do tempo são exemplos de recursos valiosos. Muito embora sejam construídas com o uso

de metodologias difundidas amplamente e disponíveis no mercado, o know-how passa a

ser um recurso organizacional valioso, pois não se conquista rapidamente e não podem ser

adquiridos, pois não são livremente comercializáveis (DIERICKX; COOL, 1989).

O know-how que uma determinada empresa possui para desenvolver um

determinado serviço ou produto é um exemplo de uma competência adquirida com muita

pesquisa, investimento, tempo e empenho de toda a empresa. O valor desse know-how

conquistado pela empresa pode, em alguns casos, significar o valor do próprio negócio.

No entanto, ainda que determinados recursos tangíveis possam ser adquiridos no

mercado de fator estratégico, tem-se os recursos intangíveis valiosos como sendo de difícil

aquisição.

Embora existam metodologias que auxiliem as empresas a determinar quais

atividades devem ser realizadas, não manter a confidencialidade sobre como e quais

recursos devem e quais não devem ser utilizados, contribui para que as empresas


Página 42 de 115

concorrentes não tenham acesso aos segredos de negócio e não consigam adquirir ou

construir recursos valiosos.

Assim, na opinião dos autores com publicações na área de segurança da informação

Caruso; Steffen (1999), Beal (2004), Farn et al. (2004), Gupta (2005), ABNT (2005), as

informações devem ser classificadas quanto ao sigilo, para que os empregados conheçam e

passem a ter o comportamento esperado e condizente com o nível de sigilo instituído.

De posse de recursos valiosos, tem-se a necessidade de se prover proteção com

mecanismos adequados e condizentes com a necessidade e valor do recurso em questão.

Por essa razão, tem-se a confidencialidade como o principal objetivo da segurança da

informação que pode afetar os recursos valiosos e causar impactos na vantagem

competitiva.

Quando uma empresa alcança um patamar de vantagem competitiva sustentável,

assume-se que seus rivais concorrentes ainda não estejam de posse dos mesmos recursos

valiosos, estando impedidos, portanto, de implantarem a mesma estratégia com os

mesmos recursos.

As competências internas construídas ao longo do tempo para o desenvolvimento

de determinado produto e o know-how são exemplos de recursos valiosos que não se

conseguem da noite para o dia e ―tampouco podem ser adquiridas no mercado de produtos

privilegiados, pois não são livremente comercializáveis‖ (DIERICKX; COOL, 1989, p.1506).

A elaboração de estratégias que proporcionam vantagem competitiva sustentável e

que melhoram seu desempenho econômico ocorre quando a empresa está de posse de

recursos valiosos e que, segundo Barney (1991, p.106), determinados recursos ―podem ser

a fonte de vantagem competitiva somente se forem valiosos; essa condição independe se

são classificados como capital físico, humano ou organizacional ou ambos‖.

Recursos Inimitáveis / Não Replicáveis / Limitações Ex-Post

A capacidade de imitação e replicação de determinados recursos valiosos, raros ou

insubstituíveis que uma empresa possui é uma competência valiosa e pode ser

desenvolvida e aprimorada ao longo do tempo (GRANT, 1991).


Página 43 de 115

Determinadas empresas podem construir estratégias similares a das empresas que

dominam o mercado e juntamente com recursos perfeitamente imitados, alcançar

resultados semelhantes, em alguns casos.

Logo, tudo isso pode ocorrer, desde que a confidencialidade se faça presente no

ambiente organizacional da empresa que possui o recurso valioso, raro e de difícil

substituição.

Assim, a falta de confidencialidade afeta diretamente a capacidade de imitação

Barney (1991), Dierickx e Cool (1989) e a capacidade de replicação/reproduzir Grant

(1991), Peteraf (1993).Essa ausência facilita o acesso aos recursos valiosos por parte da

concorrência e contribui para que tal recurso seja imitado.

A capacidade de replicação de recursos ou capacidades diminui a possibilidade de

proporcionar sustentabilidade para a vantagem competitiva, ainda que esteja consolidada.

Por outro lado, a confidencialidade dificulta a imitação de um determinado recurso

estratégico por parte da concorrência e isso acaba forçando as empresas a ―buscarem

alternativas que nem sempre são as mais recomendadas.‖ (DIERICKX; COOL, 1989,

p.1507).

Essa dificuldade imposta eleva a confidencialidade como o principal objetivo da

segurança afetado, uma vez que se a empresa não tiver a capacidade de proteger as

informações adequadamente, o mercado concorrente pode beneficiar-se com informações

privilegiadas e construir produtos semelhantes com a mesma capacidade ou superior, com

características equivalentes.

Por essas razões, a confidencialidade se torna um objetivo da segurança da

informação extremamente importante e que pode de alguma forma, afetar os recursos

valiosos e causar impactos.

Recursos Insubstituíveis

A ausência de informações sobre um determinado recurso estratégico de negócio

dificulta não somente a possibilidade de imitação, mas a substituição Dierickx e Cool

(1989), Barney (1991), Peteraf(1993), uma vez que não se pode afirmar ao certo quais são

as características inerentes dos recursos estratégicos que conferem a sustentabilidade.


Página 44 de 115

Essa fonte de vantagem competitiva sustentável está relacionada com a facilidade

ou a dificuldade que as empresas concorrentes se deparam, para substituir os recursos e

obterem iguais ou melhores resultados (VASCONCELOS; CYRINO, 2000). Logo, se as

características técnicas e o detalhamento dos recursos valiosos são divulgados amplamente

ou se encontrem sem proteção adequada contra acessos não autorizados, a possibilidade

de haver o vazamento de informações, por acessos não autorizados aos sistemas sem a

possibilidade de detecção. (ABNT, 2005).

A preservação da confidencialidade da informação de um determinado recurso ou

parte dele, usado para implantar uma estratégia, pode impedir que empresas concorrentes

obtenham o mesmo êxito, pelo mesmo tempo.

Por essa razão, encontramos na confidencialidade, um objetivo que visa preservar

os segredos dos recursos valiosos em uso, como parte da estratégia da empresa detentora

de vantagem competitiva sustentável.

Transparência

A transparência é uma fonte de vantagem competitiva sustentável, na visão de

Grant (1991), uma vez que a falta dela constrói, naturalmente, uma barreira de entrada

para os potenciais entrantes.

As empresas rivais concorrentes visam seguir os mesmos passos das empresas

líderes, para compreender os fatores que levaram essas empresas a alcançarem o patamar

sustentável.

Assim, a falta de transparência dos recursos e estratégias adotadas pela empresa ―é

uma forma de desacelerar a velocidade com que as empresas concorrentes conseguem

imitá-la, além de ser um fator inibidor para as empresas recém-chegadas‖ GRANT (1991,

p. 125).


Página 45 de 115

Mobilidade Imperfeita / Transferibilidade

A facilidade de transferência de um determinado recurso ou capacidade caminha

em direção contrária à mobilidade imperfeita, uma vez que a partir desse momento, pode-

se replicar a estratégia adotada pela descoberta das fontes que conferiram o desempenho

econômico superior da empresa rival (GRANT, 1991). Tal vantagem não será sustentável

uma vez que diferentes competidores podem também adquirir tais recursos. Do contrário,

mobilizar os recursos estratégicos pode proporcionar vantagem competitiva, uma vez que

estão de posse e são mantidos na empresa e não podem ser negociados (PETERAF, 1993).

Nem todos os recursos e capacidades são transferíveis ou facilmente transferíveis

entre empresas. Mesmo que os recursos sejam facilmente transferíveis, quanto mais a

confidencialidade for preservada, mais tempo a vantagem competitiva permanece.

Determinadas empresas podem estar de posse dos mesmos recursos, mas ao

realizar um movimento na tentativa de obter diferenciação, pela apropriação e uso de um

recurso inimitável, as demais empresas concorrentes podem perceber e caminhar na

tentativa de imitá-lo ou replicá-lo (PETERAF, 1993).

Esse movimento afeta o sigilo da informação, com o objetivo confidencialidade

Humphreys et al. (1998), Tsiakis (2010), Posthumus;Solms (2004), Thomson (2003),

ABNT (2005)que, neste caso, indicam a importância de a empresa refletir sobre a

necessidade de se implementar mecanismos para a proteção das informações estratégicas.

O quadro 7 foi elaborado pelo autor com base no referencial teórico, onde pode-se

constatar que cada objetivo de segurança da informação pode, de alguma forma, afetar

uma ou mais fontes de vantagem competitiva sustentável.


Página 46 de 115

Fontes Barney (1991)

Dierickx e Cool (1989)

Grant (1991)

Peteraf

(1993)

Objetivos da segurança da informação

Valioso X X Confidencialidade

Raro X Disponibilidade

Inimitável/ Não Replicabilidade Limitações Ex-Post

X X X X Confidencialidade

Insubstituível/ X X Confidencialidade

Transparência X Confidencialidade

Não Comercializável

X Disponibilidade

Durabilidade X Disponibilidade

Transferibilidade /

Mobilidade Imperfeita

X X Confidencialidade

Limitações Ex-Ante

X Confidencialidade

Quadro 5 - Fontes de vantagem competitiva sustentável e objetivos da segurança da informação Fonte: Autor Nota: Elaborado com base na teoria pesquisada

Como podemos observar no quadro 7, a Confidencialidade é o objetivo da segurança

da informação mais presente e que possui uma frequência maior com as fontes de

vantagem competitiva sustentável apresentadas por alguns dos mais influentes autores de

RBV.


Página 47 de 115

1.3 Riscos em Tecnologia da Informação

A atividade de prestação de serviços em Tecnologia da Informação tem uma

atuação bastante abrangente, além de poder atuar em empresas de qualquer segmento de

mercado, porte de empresa, tecnologia e necessidades diferentes.

Cada segmento de mercado possui características distintas. Alguns são mais outros

são menos agressivos em relação à concorrência, mas independente do perfil do mercado

aonde se encontra o cliente, espera-se que a empresa e todos os envolvidos tenham noção

da relevância da proteção adequada de seus recursos estratégicos.

Cada empresa utiliza uma metodologia de trabalho para a realização da atividade

de prestação de serviços. Algumas metodologias são consagradas, mas ainda existem

empresas que adaptam ou criam novas metodologias de trabalho com o intuito de alcançar

o estágio de fazer mais com menos recursos e em menor tempo.

O processo de consultoria, por exemplo, diverge de autor para autor, em termos de

etapas e abrangência.

Os autores Bruckman e Iman (1980) criaram uma metodologia de trabalho que

possui 6 (seis) etapas descritas a seguir:

a) Contato;

b) Definição do problema;

c) Coleta de dados;

d) Análise;

e) Desenvolvimento do plano de ação;

f) Implementação.

Kurpius et al.(1993) enfatizam em sua abordagem metodológica que o processo de

consultoria ocorre de forma similar e não depende da consultoria a ser realizada, uma vez

que o processo a ser executado deve ser o mesmo. As 6 (seis) etapas necessárias segundo

eles são:

a) Pré-entrada;

b) Entrada, Exploração do problema e contratação;

c) Coleta de Dados;


Página 48 de 115

d) Confirmação do problema;

e) Definição de objetivos;

f) Desenvolvimento da Solução e Seleção da forma de intervenção;

g) Avaliação;

h) Entrega do produto final.

Os autores Cosier e Dalton (1993) construíram um método mais simples e dinâmico

com 3 (três) etapas:

a) Planejamento;

b) Entrada;

c) Performance,

O autor Oliveira (2005) apresenta um mix dos principais processos praticados

pelos autores e citados anteriormente.

As etapas definidas por ele são:

a) Pré entrada;

b) Entrada, exploração do problema e Contratação;

c) Coleta de Dados;

d) Análise e Desenvolvimento da solução;

e) Entrega do produto final e desenvolvimento do plano de ação;

f) Implementação.

Mediante a uma diversidade de autores e trabalhos acadêmicos a respeito dos

modelos e etapas dos trabalhos de consultoria, alguns inclusive divergindo entre sí até

mesmo em relação ao número de etapas existentes, não podemos afirmar a existência de

métodos mais corretos e outros menos corretos.

Trata-se apenas de encontrar a abordagem mais adequada para uma determinada

situação.

Logo, é importante ressaltar que, independentemente da abordagem e do número

de etapas do modelo adotado, tem-se um processo em comum: o recebimento de

informações para entendimento do processo analisado.


Página 49 de 115

Durante um processo de prestação de serviços na área de Tecnologia da

Informação, pressupõe-se o recebimento e acesso a ambientes muitas vezes sigilosos, mas

necessários para que a prestação de serviços ocorra.

A confidencialidade das informações nesse momento emerge como um dos

principais objetivos da segurança da informação e começa a ter uma relevância muito

grande, sendo inerente a natureza desta modalidade de prestação de serviços.

Os autores utilizados como referencial teórico para este trabalho como Humphreys

et al. (1998), Spinellis et al. (1999), Thomson (2003), Posthumus;Solms (2004), Tsiakis

(2010) e a ABNT (2006) para micro e pequenas empresas retratam a confidencialidade

como um objetivo importantíssimo e que deve ser preservado para que a informação

valiosa e estratégica dos clientes e das empresas prestadora de serviços não sejam

divulgadas inadvertidamente.

Cabe a empresa o papel de definir os mecanismos necessários de controle, para que

a fuga de informações estratégicas não ocorra, uma vez que a falta de proteção apropriada

e a altura do nível de importância das informações estratégicas de uma empresa pode

comprometer gravemente a sustentabilidade da vantagem competitiva conquistada.

O impacto para a empresa prestadora de serviços quando do vazamento de

informações confidenciais de algum cliente, pode ser tão grandioso que, dependendo da

gravidade do caso, pode refletir em altas multas além de denegrir a imagem da empresa

prestadora de serviços no mercado. Como é possível vislumbrar, essa situação não propicia

uma relação comercial de longo prazo com o cliente, dificultando o alcance da vantagem

competitiva sustentável.

A atividade de prestação de serviços em tecnologia da informação não está isenta de

riscos. Estes, não são inerentes a grandes empresas, mas de empresas de qualquer porte,

inclusive as micro e pequenas empresas.

Como exemplo, o autor cita a alta rotatividade de funcionários que ocorre com

maior frequência na micro e pequena empresa. Essa situação causa enormes perdas para a

empresa, dado o cenário atual, frente as condições deste ambiente.

A ausência definitiva de um determinado recurso humano talentoso causa um alto

impacto para qualquer empresa. Nas micro e pequenas empresas o impacto é multiplicado,

uma vez que em geral, encontra-se escassez de recursos humanos e financeiros e muitos

processos são conduzidos por poucas pessoas.


Página 50 de 115

Assim, o nível de transferibilidade declarado por Grant (1991) de um recurso deve ser

uma preocupação constante das empresas desse porte, uma vez que além de causar

impactos na capacidade de realização da prestação de serviços e do know-how, muito

conhecimento pode ser transferido para as empresas rivais concorrentes. Essa condição

favorece a perda de vantagem competitiva.


Página 51 de 115

1.4 Metodologia de Análise de Riscos

1.4.1 Termos e definições

Apresentamos os seguintes termos e definições úteis para o correto entendimento da

metodologia a ser apresentada a seguir.

consequência -> resultado de um evento que afeta os objetivos [ABNT ISO GUIA

73:2009]

NOTA 1 Um evento pode levar a uma série de consequências.

NOTA 2 Uma consequência pode ser certa ou incerta e, no contexto da segurança da

informação, é, normalmente, negativa.

NOTA 3 As consequências podem ser expressas qualitativa ou quantitativamente.

NOTA 4 As consequências iniciais podem desencadear reações em cadeia.

controle -> medida que está modificando o risco [ABNT ISO GUIA 73:2009]

NOTA 1 Os controles da segurança da informação incluem qualquer processo, política,

procedimento, diretriz, prática ou estrutura organizacional, que podem ser de natureza

administrativa, técnica, gerencial ou legal, que modificam o risco da segurança da

informação.

NOTA 2 Os controles nem sempre conseguem exercer o efeito de modificação pretendido

ou presumido.

NOTA 3 O controle também é usado como um sinônimo de salvaguarda ou contramedida.

evento ->ocorrência ou mudança em um conjunto específico de circunstâncias [ABNT

ISO GUIA 73:2009]

NOTA 1 Um evento pode consistir em uma ou mais ocorrências e pode ter várias causas.

NOTA 2 Um evento pode consistir em alguma coisa não acontecer.

NOTA 3 Um evento pode algumas vezes ser referido como um "incidente" ou um

"acidente".

contexto externo -> ambiente externo no qual a organização busca atingir seus objetivos

[ABNT ISO GUIA 73:2009]

NOTA O contexto externo pode incluir:


Página 52 de 115

— o ambiente cultural, social, político, legal, regulatório, financeiro, tecnológico,

econômico, natural e competitivo, seja internacional, nacional, regional ou local;

— os fatores–chave e as tendências que tenham impacto sobre os objetivos da organização;

e

— as relações com partes interessadas externas e suas percepções e valores.

contexto interno -> ambiente interno no qual a organização busca atingir seus objetivos


NOTA O contexto interno pode incluir:

— governança, estrutura organizacional, funções e responsabilidades; — políticas, objetivos e estratégias implementadas para atingi-los; — capacidades compreendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias); — sistemas de informação, fluxos de informação e processos de tomada de decisão (tanto formais como informais); — relações com partes interessadas internas e suas percepções e valores; — cultura da organização; — normas, diretrizes e modelos adotados pela organização; e — forma e extensão das relações contratuais.

nível de risco -> magnitude de um risco, expressa em termos da combinação das

consequências (3.1) e de suas probabilidades (likelihood) (3.7) [ABNT ISO GUIA 73:2009]

probabilidade (likelihood) -> chance de algo acontecer [ABNT ISO GUIA 73:2009]

NOTA 1 Na terminologia de gestão de riscos, a palavra ―probabilidade‖ é utilizada para

referir-se à chance de algo acontecer, não importando se, de forma definida, medida ou

determinada, objetiva ou subjetivamente, qualitativa ou quantitativamente, ou se descrita

utilizando-se termos gerais ou matemáticos (como probabilidade ou frequência durante

um determinado período de tempo).

NOTA 2 O termo em Inglês "likelihood" não têm um equivalente direto em algumas

línguas; em vez disso, o termo equivalente "probability" é frequentemente utilizado.

Entretanto, em Inglês, "probability" é muitas vezes interpretado estritamente como uma

expressão matemática. Portanto, na terminologia de gestão de riscos, ‖likelihood" é

utilizado com a mesma interpretação ampla que o termo "probability" tem em muitos

outros idiomas além do Inglês.


Página 53 de 115

risco residual -> risco remanescente após o tratamento do risco [ABNT ISO GUIA

73:2009]

NOTA 1 O risco residual pode conter riscos não identificados.

NOTA 2 O risco residual também pode ser conhecido como "risco retido".

risco -> efeito da incerteza nos objetivos [ABNT ISO GUIA 73:2009]

NOTA 1 Um efeito é um desvio em relação ao esperado – positivo e/ou negativo.

NOTA 2 Os objetivos podem ter diferentes aspectos (como metas financeiras, de saúde e

segurança e ambientais) e podem ser aplicadas em diferentes níveis (como estratégico, em

toda a organização, de projeto, de produto e de processo).

NOTA 3 O risco é muitas vezes caracterizado pela referência aos eventos (3.3) potenciais e

às consequências (3.1), ou uma combinação destes.

NOTA 4 O risco em segurança da informação é muitas vezes expresso em termos de uma

combinação de consequências de um evento (incluindo mudanças nas circunstâncias) e a

probabilidade (likelihood) (3.7) associada de ocorrência.

NOTA 5 A incerteza é o estado, mesmo que parcial, de deficiência das informações

relacionadas a um evento, sua compreensão, seu conhecimento, sua consequência ou sua

probabilidade.

NOTA 6 O risco de segurança da informação está associado com o potencial de que

ameaças possam explorar vulnerabilidades de um ativo de informação ou grupo de ativos

de informação e, consequentemente, causar dano a uma organização.

análise de riscos -> processo de compreender a natureza do risco e determinar o nível

de risco [ABNT ISO GUIA 73:2009]

NOTA 1 A análise de riscos fornece a base para a avaliação de riscos e para as decisões

sobre o tratamento de riscos.

NOTA 2 A análise de riscos inclui a estimativa de riscos.

processo de avaliação de riscos -> processo global de identificação de riscos (3.15),

análise de riscos e avaliação de riscos [ABNT ISO GUIA 73:2009]

Para os efeitos deste documento o termo risk assessment foi traduzido como ―processo de

avaliação de riscos‖ para evitar conflito com o termo risk evaluation, que foi traduzido na

ABNT NBR ISO 31000 como ―avaliação de riscos‖ Na ABNT NBR ISO/IEC 27001:2006,

este termo está traduzido como ―análise/avaliação de riscos‖.


Página 54 de 115

Comunicação e consulta -> processos contínuos e iterativos que uma organização

conduz para fornecer, compartilhar ou obter informações, e se envolver no diálogo com as

partes interessadas, com relação a gestão de risco [ABNT ISO GUIA 73:2009]

NOTA 1 As informações podem referir-se à existência, natureza, forma, probabilidade

(likelihood), severidade, avaliação, aceitação e tratamento de riscos.

NOTA 2 A consulta é um processo bidirecional de comunicação sistematizada entre uma

organização e suas partes interessadas ou outros, antes de tomar uma decisão ou

direcionar uma questão específica. A consulta é:

— um processo que impacta uma decisão através da influência em vez do poder; e — uma entrada para o processo de tomada de decisão, e não uma tomada de decisão em conjunto.

critérios de risco -> termos de referência com base nos quais a significância de um risco

é avaliada [ABNT ISO GUIA 73:2009]

NOTA 1 Os critérios de risco são baseados nos objetivos organizacionais e nos contextos

externo e interno.

NOTA 2 Os critérios de risco podem ser derivados de normas, leis, políticas e outros

requisitos.

avaliação de riscos -> processo de comparar os resultados da análise de riscos (3.10)

com os critérios de risco para determinar se o risco e/ou sua magnitude é aceitável ou

tolerável


NOTA A avaliação de riscos auxilia na decisão sobre o tratamento de riscos.

identificação de riscos -> processo de busca, reconhecimento e descrição de riscos


NOTA 1 A identificação de riscos envolve a identificação das fontes de risco, eventos, suas

causas e suas consequências potenciais.

NOTA 2 A identificação de riscos pode envolver dados históricos, análises teóricas,

opiniões de pessoas informadas e especialistas, e as necessidades das partes interessadas.

gestão de riscos -> atividades coordenadas para dirigir e controlar uma organização no

que se refere a riscos [ABNT ISO GUIA 73:2009]

NOTA Esta Norma usa o termo ―processo‖ para descrever toda a gestão de riscos. Os

elementos contidos no processo de gestão de riscos foram chamados de ―atividades‖.


Página 55 de 115

tratamento de riscos -> processo para modificar o risco [ABNT ISO GUIA 73:2009]

NOTA 1 O tratamento de riscos pode envolver:

ou descontinuar a atividade que dá origem ao risco;

es [incluindo contratos e financiamento do risco]; e

NOTA 2 Os tratamentos de riscos relativos a consequências negativas são muitas vezes

referidos como "mitigação de riscos", "eliminação de riscos", "prevenção de riscos" e

"redução de riscos".

NOTA 3 O tratamento de riscos pode criar novos riscos ou modificar riscos existentes.

parte interessada -> pessoa ou organização que pode afetar, ser afetada, ou perceber-se

afetada por uma decisão ou atividade [ABNT ISO GUIA 73:2009]


Página 56 de 115

1.4.2 Contextualização

Uma abordagem sistemática de gestão de riscos de segurança da informação é

necessária para identificar as necessidades da organização em relação aos requisitos de

segurança da informação e para criar um sistema de gestão de segurança da informação

(SGSI) que seja eficaz. Convém que essa abordagem seja adequada ao ambiente da

organização e, em particular, esteja alinhada com o processo maior de gestão de riscos

corporativos. Convém que os esforços de segurança lidem com os riscos de maneira efetiva

e no tempo apropriado, onde e quando forem necessários. Convém que a gestão de riscos

de segurança da informação seja parte integrante das atividades de gestão de segurança da

informação e que seja aplicada tanto à implementação quanto à operação cotidiana de um

SGSI.

Convém que a gestão de riscos de segurança da informação seja um processo

contínuo. Convém que o processo defina os contextos interno e externo, avalie os riscos e

trate os riscos usando um plano de tratamento a fim de implementar as recomendações e

decisões. A gestão de riscos analisa os possíveis acontecimentos e suas consequências,

antes de decidir o que será feito e quando será feito, a fim de reduzir os riscos a um nível

aceitável.

Convém que a gestão de riscos de segurança da informação contribua para:

A identificação de riscos O processo de avaliação de riscos em função das consequências ao negócio e da

probabilidade de sua ocorrência A comunicação e entendimento da probabilidade e das consequências destes riscos O estabelecimento da ordem prioritária para tratamento do risco A priorização das ações para reduzir a ocorrência dos riscos O envolvimento das partes interessadas quando as decisões de gestão de riscos são

tomadas e para que elas sejam mantidas informadas sobre a situação da gestão de riscos A eficácia do monitoramento do tratamento dos riscos O monitoramento e a análise crítica periódica dos riscos e do processo de gestão de

riscos A coleta de informações de forma a melhorar a abordagem da gestão de riscos O treinamento de gestores e pessoal a respeito dos riscos e das ações para mitigá-los

O processo de gestão de riscos de segurança da informação pode ser aplicado à

organização como um todo, a uma área específica da organização (por exemplo, um

departamento, um local físico, um serviço), a qualquer sistema de informações, a controles

já existentes, planejados ou apenas a aspectos particulares de um controle (por exemplo, o

plano de continuidade de negócios).


Página 57 de 115

1.4.3 Visão geral do processo de gestão de riscos

Uma visão de alto nível do processo de gestão de riscos é especificada na ABNT NBR ISO

31000:2009 e apresentada na figura a seguir.

Figura 6 - Processo de gestão de riscos de segurança da informação

Fonte: NBR ISO/IEC 27005

Como mostra a Figura 6, o processo de gestão de riscos de segurança da informação

pode ser iterativo para o processo de avaliação de riscos e/ou para as atividades de

tratamento do risco. Um enfoque iterativo na execução do processo de avaliação de riscos

torna possível aprofundar e detalhar a avaliação em cada repetição. O enfoque iterativo

permite minimizar o tempo e o esforço despendidos na identificação de controles e, ainda

assim, assegura que riscos de alto impacto ou de alta probabilidade possam ser

adequadamente avaliados. Primeiramente, o contexto é estabelecido. Em seguida, executa-

se um processo de avaliação de riscos. Se ele fornecer informações suficientes para que se

determinem de forma eficaz as ações necessárias para reduzir os riscos a um nível

aceitável, então a tarefa está completa e o tratamento do risco pode continuar. Por outro

lado, se as informações forem insuficientes, executa-se outra iteração do processo de

avaliação de riscos, revisando-se o contexto (por exemplo, os critérios de avaliação de

riscos, de aceitação do risco ou de impacto), possivelmente em partes limitadas do escopo

(ver Figura 6, Ponto de Decisão 1).

A eficácia do tratamento do risco depende dos resultados do processo de avaliação

de riscos.

Notar que o tratamento de riscos envolve um processo cíclico para:


Página 58 de 115

É possível que o tratamento do risco não resulte em um nível de risco residual que

seja aceitável. Nessa situação, pode ser necessária uma outra iteração do processo de

avaliação de riscos, com mudanças nas variáveis do contexto (por exemplo, os critérios

para o processo de avaliação de riscos, de aceitação do risco e de impacto), seguida por

uma fase adicional de tratamento do risco (ver Figura 6, Ponto de Decisão 2).

A atividade de aceitação do risco tem de assegurar que os riscos residuais sejam

explicitamente aceitos pelos gestores da organização. Isso é especialmente importante em

uma situação em que a implementação de controles é omitida ou adiada, por exemplo,

devido aos custos.

Durante o processo de gestão de riscos de segurança da informação, é importante

que os riscos e a forma com que são tratados sejam comunicados ao pessoal das áreas

operacionais e gestores apropriados. Mesmo antes do tratamento do risco, informações

sobre riscos identificados podem ser muito úteis para o gerenciamento de incidentes e

pode ajudar a reduzir possíveis prejuízos. A conscientização dos gestores e pessoal no que

diz respeito aos riscos, à natureza dos controles aplicados para mitigá-los e às áreas

definidas como de interesse pela organização, auxilia a lidar com os incidentes e eventos

não previstos da maneira mais efetiva. Convém que os resultados detalhados de cada

atividade do processo de gestão de riscos de segurança da informação, assim como as

decisões sobre o processo de avaliação de riscos e sobre o tratamento do risco

(representadas pelos dois pontos de decisão na Figura 6) sejam documentados.

A ABNT NBR ISO/IEC 27001:2006 especifica que os controles implementados no

escopo, limites e contexto do SGSI devem ser baseados no risco. A aplicação de um

processo de gestão de riscos de segurança da informação pode satisfazer esse requisito. Há

vários métodos através dos quais o processo pode ser implementado com sucesso em uma

organização. Convém que às organização use o método que melhor se adeque a suas

circunstâncias, para cada aplicação específica do processo.

Em um SGSI, a definição do contexto, o processo de avaliação de riscos, o

desenvolvimento do plano de tratamento do risco e a aceitação do risco fazem parte da fase

"planejar". Na fase "executar" do SGSI, as ações e controles necessários para reduzir os

riscos a um nível aceitável são implementados de acordo com o plano de tratamento do

risco. Na fase ―verificar‖ do SGSI, os gestores determinarão a necessidade de revisão da

avaliação e tratamento do risco à luz dos incidentes e mudanças nas circunstâncias. Na fase

―agir‖, as ações necessárias são executadas, incluindo a reaplicação do processo de gestão

de riscos de segurança da informação.

O Quadro 5 resume as atividades relevantes de gestão de riscos de segurança da

informação para as quatro fases do processo do SGSI:


Página 59 de 115

Quadro 6 - Alinhamento do processo do SGSI e do processo de gestão de riscos de segurança da informação Fonte: NBR ISO/IEC 27005


Página 60 de 115

1.4.4 Escopo e limites

Convém que a organização defina o escopo e os limites da gestão de riscos de

segurança da informação.

O escopo do processo de gestão de riscos de segurança da informação precisa ser

definido para assegurar que todos os ativos relevantes sejam considerados no processo de

avaliação de riscos. Além disso, os limites precisam ser identificados para permitir o

reconhecimento dos riscos que possam transpor esses limites.

Convém que as informações sobre a organização sejam reunidas para que seja

possível determinar o ambiente em que ela opera e a relevância desse ambiente para o

processo de gestão de riscos de segurança da informação.

Ao definir o escopo e os limites, convém que a organização considere as seguintes

informações:

Os objetivos estratégicos, políticas e estratégias da organização

Processos de negócio

As funções e estrutura da organização

Requisitos legais, regulatórios e contratuais aplicáveis à organização

A política de segurança da informação da organização

A abordagem da organização à gestão de riscos

Ativos de informação

Localidades em que a organização se encontra e suas características

geográficas

Restrições que afetam a organização

Expectativas das partes interessadas

Ambiente sociocultural

Interfaces (ou seja, a troca de informação com o ambiente)

Além disso, convém que a organização forneça justificativa para quaisquer

exclusões do escopo.

Exemplos do escopo da gestão de riscos pode ser uma aplicação de TI, a

infraestrutura de TI, um processo de negócios ou uma parte definida da organização.

Temos como exemplo de escopo, o seguinte:

Processo de negócio Aplicação de TI Infra-estrutura de TI Sistema de informação Área específica da organização Unidade de negócio Linha de serviço ou produto Outros


Página 61 de 115

Como a empresa realiza diversas análises de riscos, independentemente de qual seja o

escopo, logo, tem-se, portanto, a possibilidade de se gerenciar diversos escopos. Para os

casos onde a empresa possui um SGSI (Sistema de Gestão da Segurança da Informação)

certificado, o escopo da gestão de riscos é o mesmo escopo certificado.

Alguns fatores críticos de sucesso devem ser gerenciados:

Definir um escopo que atinja os objetivos de negócio. Aprovar o escopo definido com as partes interessadas. Abranger todas as áreas, tecnologias, processos e pessoas envolvidas. Comunicar todas as áreas envolvidas neste processo. Documentar o escopo definido.


Página 62 de 115

1.4.5 Identificação de riscos

O propósito da identificação de riscos é determinar eventos que possam causar uma

perda potencial e deixar claro como, onde e por que a perda pode acontecer. Ele

pressupõe compreender onde, quando, por que e como os eventos podem prevenir,

degradar, atrasar ou potencializar o alcance dos objetivos.

Esse processo deve ser sistemático, compreensivo e bem estruturado, pois se algum deles for esquecido nessa fase, provavelmente não será lembrado em fases posteriores. O fato de serem controlados ou não pela organização é irrelevante no processo. O produto desta etapa é uma lista de riscos e eventos que podem produzir impacto no alcance dos objetivos identificados no contexto. Os eventos considerados devem ser capazes de impedir, atrasar ou potencializar o alcance dos objetivos. Identificado o que pode ocorrer, é necessário considerar suas possíveis causas e cenários. A identificação dos riscos tem como objetivo, a identificação da exposição de uma organização ao elemento de incerteza.


Página 63 de 115

1.4.6 Identificação dos ativos

Segundo a ABNT NBR ISO/IEC 27005, um ativo é algo que tem valor para a

organização e que, portanto, requer proteção. Para a identificação dos ativos convém que

se tenha em mente que um sistema de informação compreende mais do que hardware e

software.

Convém que a identificação dos ativos seja executada com um detalhamento

adequado que forneça informações suficientes para o processo de avaliação de riscos. O

nível de detalhe usado na identificação dos ativos influenciará a quantidade geral de

informações reunidas durante o processo de avaliação de riscos. O detalhamento pode ser

aprofundado em cada iteração do processo de avaliação de riscos.

Convém que um responsável seja identificado para cada ativo, a fim de oficializar

sua responsabilidade e garantir a possibilidade da respectiva prestação de contas. O

responsável pelo ativo pode não ter direitos de propriedade sobre ele, mas tem

responsabilidade sobre sua produção, desenvolvimento, manutenção, utilização e

segurança, conforme apropriado. O responsável pelo ativo é frequentemente a pessoa mais

adequada para determinar o seu valor para a organização.

O limite da análise crítica é o perímetro dos ativos da organização a serem

considerados pelo processo de gestão de riscos de segurança da informação.

1.4.6.1 Tipos de ativos

Segundo a NBR ISO/IEC 27005, para estabelecer o valor de seus ativos, uma organização

precisa primeiro identificá-los (em um nível de detalhamento adequado). Dois tipos de

ativos podem ser distinguidos:

Ativos primários:

Processos e atividades do negócio Informação

Ativos de suporte e infraestrutura (sobre os quais os elementos primários do escopo se

apoiam), de todos os tipos:

Hardware Software Rede Recursos humanos Instalações físicas Estrutura da organização


Página 64 de 115

Identificação dos ativos primários Para permitir a descrição do escopo de forma precisa, essa atividade consiste na identificação dos ativos primários (processos e atividades do negócio, informação). A identificação é conduzida por um grupo misto de trabalho que represente o processo (gestores, especialistas nos sistemas de informação e usuários). Os ativos primários normalmente consistem nos principais processos e informações das atividades incluídas no escopo. Outros ativos primários, como os processos da organização, podem também ser considerados, os quais serão úteis para a elaboração da política de segurança da informação ou do plano de continuidade de negócios. Dependendo de seus propósitos, alguns estudos não irão demandar uma análise exaustiva de todos os elementos presentes no escopo. Nesses casos, o estudo pode ser limitado aos elementos-chave incluídos no escopo. Os ativos primários são de dois tipos: 1- Processos (ou subprocessos) e atividades do negócio, por exemplo:

Processos cuja interrupção, mesmo que parcial, torna impossível cumprir a

missão da organização Processos que contêm procedimentos secretos ou processos envolvendo

tecnologia proprietária Processos que, se modificados, podem afetar significativamente o cumprimento

da missão da organização Processos necessários para que a organização fique em conformidade com

requisitos contratuais, legais ou regulatórios 2 – Informação Genericamente, informação primária compreende:

Informação vital para o cumprimento da missão de uma organização ou para o desempenho de seu negócio

Informação de caráter pessoal, da forma em que é definida nas leis nacionais referentes à privacidade

Informação estratégica necessária para o alcance dos objetivos determinados pelo direcionamento estratégico

Informação de alto custo, cuja coleta, armazenamento, processamento e transmissão demandam um longo tempo ou incorrem em um alto custo de aquisição

Processos e informação que não são identificados como sensíveis após essa atividade não receberão uma classificação específica durante o restante do estudo. Isso significa que a organização irá cumprir sua missão com sucesso mesmo no caso desses processos e informação terem sido comprometidos. Entretanto, eles irão frequentemente herdar controles implementados para a proteção de processos e informação identificados como sensíveis.


Página 65 de 115

Lista e descrição de ativos de suporte Convém que o escopo consista em ativos que podem ser identificados e descritos. Esses ativos apresentam vulnerabilidades que podem ser exploradas por ameaças cujo objetivo é comprometer os ativos primários do escopo (processos e informação). Eles são de vários tipos: Hardware O tipo hardware compreende os elementos físicos que dão suporte aos processos. Equipamento de processamento de dados (ativo) Equipamento automático de processamento de dados incluindo os itens necessários para sua operação independente. Equipamento móvel Computadores portáteis. Exemplos: laptops, agendas eletrônicas (Personal Digital Assistants - PDAs). Equipamento fixo Computadores utilizados nas instalações da organização. Exemplos: servidores, microcomputadores utilizados como estações de trabalho. Periféricos de processamento Equipamento conectado a um computador através de uma porta de comunicação (serial, paralela etc.) para a entrada, o transporte ou a transmissão de dados. Exemplos: impressoras, unidades de disco removível. Mídia de dados (passiva) Este tipo compreende a mídia para o armazenamento de dados ou funções. Mídia eletrônica Uma mídia com informações que pode ser conectada a um computador ou a uma rede de computadores para o armazenamento de dados. Apesar de seu tamanho reduzido, esse tipo de mídia pode conter um grande volume de dados e pode ser utilizada com equipamentos computadorizados comuns. Exemplos: disco flexível, CD ROM, cartucho de back-up, unidade de disco removível, cartão de memória, fita. Outros tipos de mídia Mídia estática, nãoeletrônica, contendo dados. Exemplos: papel, slides, transparências, documentação, fax. Software O tipo software compreende todos os programas que contribuem para a operação de um sistema de processamento de dados. Sistema operacional Este tipo inclui os programas que fornecem as operações básicas de um computador, a partir das quais os outros programas (serviços e aplicações) são executados. Nele são encontrados um núcleo kernel e as funções ou serviços básicos. Dependendo de sua


Página 66 de 115

arquitetura, um sistema operacional pode ser monolítico ou formado por um micro-kernel e um conjunto de serviços do sistema. Os principais elementos de um sistema operacional são os serviços de gerenciamento do equipamento (CPU, memória, disco e interfaces de rede), os de gerenciamento de tarefas ou processos e os serviços de gerenciamento de direitos de usuário. Software de serviço, manutenção ou administração Software caracterizado pelo fato de servir como complemento dos serviços do sistema operacional e não estar diretamente a serviço dos usuários ou aplicações (apesar de ser, normalmente, essencial e até mesmo indispensável para a operação do sistema de informação como um todo). Software de pacote ou de prateleira Software de pacote ou software-padrão é aquele que é comercializado como um produto completo (e não como um serviço de desenvolvimento específico) com mídia, versão e manutenção. Ele fornece serviços para usuários e aplicações, mas não é personalizado ou específico como, por exemplo, aplicações de negócio são. Exemplos: software para o gerenciamento de bases de dados, software de mensagens eletrônicas, "groupware" (software de gerenciamento de fluxo de trabalho), software de diretório, servidores web etc. Aplicações de negócio Aplicações de negócio padronizadas Este tipo de software comercial é projetado para dar aos usuários acesso direto a serviços e funções que eles demandam de seus sistemas de informação, em função das áreas em que atuam profissionalmente. Existe uma gama enorme, teoricamente ilimitada, de campos de atuação. Exemplos: software de contabilidade, software para o controle de maquinário, software para administração do relacionamento com clientes, software para gestão de competências dos recursos humanos, software administrativo etc. Aplicações de negócio específicas Vários aspectos desse tipo de software (principalmente o suporte, a manutenção e a atualização de versões etc.) são desenvolvidos especificamente para dar aos usuários acesso direto aos serviços e funções que eles demandam de seus sistemas de informação. Existe uma gama enorme, teoricamente ilimitada, de áreas em que esse tipo de software é encontrado. Exemplos: Administração das notas fiscais de clientes para as operadoras de telecomunicação, aplicação para monitoramento em tempo real do lançamento de foguetes. Rede O tipo de rede compreende os dispositivos de telecomunicação utilizados para interconectar computadores ou quaisquer outros elementos remotos de um sistema de informação. O meio físico e a infraestrutura Os equipamentos de comunicação ou de telecomunicação são identificados principalmente pelas suas características físicas e técnicas (ponto a ponto, de broadcast) e pelos protocolos de comunicação utilizados (na camada de enlace de dados ou na camada de rede - níveis 2 e 3 do modelo OSI de 7 camadas).


Página 67 de 115

Exemplos: Rede telefônica pública comutada (Public Switching Telephone Network ou PSTN), Ethernet, GigabitEthernet, Linha digital assimétrica para assinante (Asymmetric Digital Subscriber Line ou ADSL), especificações de protocolo para comunicação sem fio (por exemplo, o WiFi 802.11), Bluetooth", "FireWire. Pontes (relays) passivas ou ativas Este subtipo não compreende os dispositivos que ficam nas extremidades lógicas da conexão (na perspectiva do sistema de informação), mas sim os que são intermediários no processo de comunicação, repassando o tráfego. Pontes são caracterizadas pelos protocolos de comunicação de rede com os quais funcionam. Além da função básica de repasse do tráfego, elas frequentemente são dotadas da capacidade de roteamento e/ou de serviços de filtragem, com o emprego de comutadores de comunicação (switches) e roteadores com filtros. Com frequência, elas podem ser administradas remotamente e são normalmente capazes de gerar arquivos de auditoria (logs). Exemplos: pontes (bridges), roteadores, hubs, comutadores (switches), centrais telefônicas automáticas. Interface de comunicação As interfaces de comunicação conectadas às unidades de processamento são, porém, caracterizadas pela mídia e protocolos com os quais funcionam; pelos serviços de filtragem, de auditoria e de alerta instalados, se houver, e por suas funcionalidades; e pela possibilidade e requisitos de administração remota. Exemplos: Serviço Geral de Pacotes por Rádio (General Packet Radio Service ou GPRS), adaptador Ethernet. Recursos humanos O tipo de recursos humanos compreende todas as classes de pessoas envolvidas com os sistemas de informação. Tomador de decisão Tomadores de decisão são aqueles responsáveis pelos ativos primários (informação e processos) e os gestores da organização ou, se for o caso, de um projeto específico. Exemplos: alta direção, líderes de projeto. Usuários Usuários são recursos humanos que manipulam material sensível no curso de suas atividades e que, portanto, possuem uma responsabilidade especial nesse contexto. Eles podem ter direitos especiais de acesso aos sistemas de informação para desempenhar suas atividades rotineiras. Exemplos: gestores da área de recursos humanos, gerentes financeiros, gestores dos riscos. Pessoal de produção/manutenção Estes são os recursos humanos responsáveis pela operação e manutenção dos sistemas de informação. Eles possuem direitos especiais de acesso aos sistemas de informação para desempenhar suas atividades rotineiras. Exemplos: administradores de sistema; administradores de dados; operadores de back-up, Help Desk e de instalação de aplicativos; especialistas em segurança.


Página 68 de 115

Desenvolvedores Desenvolvedores são responsáveis pelo desenvolvimento dos sistemas aplicativos da organização. Eles possuem acesso com alto privilégio a uma parte dos sistemas de informação, mas não interferem com os dados de produção. Exemplos: Desenvolvedores de aplicações de negócio Instalações físicas O tipo de instalações compreende os lugares onde são encontrados o escopo (ou parte dele) e os meios físicos necessários para as operações nele contidas. Localidade Ambiente externo Compreende as localidades em que as medidas de segurança de uma organização não podem ser aplicadas. Exemplos: os lares das pessoas, as instalações de outra organização, o ambiente externo ao local da organização (áreas urbanas, zonas perigosas). Edificações Esse lugar é limitado pelo perímetro externo da organização, isto é por aquilo que fica em contato direto com o exterior. Isso pode ser uma linha de proteção física formada por barreiras ou por mecanismos de vigilância ao redor dos prédios. Exemplos: estabelecimentos, prédios. Zona Uma zona é limitada por linhas de proteção física que criam partições dentro das instalações da organização. É obtida por meio da criação de barreiras físicas ao redor das áreas com a infraestrutura de processamento de informações da organização. Exemplos: escritórios, áreas de acesso restrito, zonas de segurança. Serviços essenciais Todos os serviços necessários para que os equipamentos da organização possam operar normalmente. Comunicação Serviços de telecomunicação e equipamento fornecido por uma operadora. Exemplos: linha telefônica, PABX, redes internas de telefonia. Serviços de infraestrutura Serviços e os meios (alimentação e fiação) necessários para o fornecimento de energia elétrica aos equipamentos de tecnologia da informação e aos seus periféricos. Exemplos: fonte de alimentação de baixa tensão, inversor, central de circuitos elétricos. Fornecimento de água Saneamento e esgoto Serviços e os meios (equipamento, controle) para refrigeração e purificação do ares. Exemplos: tubulação de água refrigerada, ar condicionados.


Página 69 de 115

Organização O tipo de organização descreve a estrutura da organização, compreendendo as hierarquias de pessoas voltadas para a execução de uma tarefa e os procedimentos que controlam essas hierarquias. Autoridades Essas são as organizações de onde a organização em questão obtém sua autoridade. Elas podem ser legalmente afiliadas ou ter um caráter mais externo. Isso impõe restrições à organização em questão, com relação a regulamentos, decisões e ações. Exemplos: corpo administrativo, sede da organização. A estrutura da organização Compreende os vários ramos da organização, incluindo suas atividades multidisciplinares, sob controle de sua direção. Exemplos: gestão de recursos humanos, gestão de TI, gestão de compras, gerenciamento de unidade de negócio, serviço de segurança predial, serviço de combate a incêndios, gerenciamento da auditoria. Organização de projeto ou serviço Compreende a organização montada para um projeto ou serviço específico. Exemplos: projeto de desenvolvimento de uma nova aplicação, projeto de migração de sistema de informação. Subcontratados / Fornecedores / Fabricantes Essas são organizações que fornecem serviços ou recursos para a organização em questão segundo os termos de um contrato. Exemplos: empresa de gerenciamento de instalações, empresa prestadora de serviços

terceirizados, empresas de consultoria.

1.4.6.2 Valoração dos ativos

O passo seguinte, após a identificação do ativo, é determinar a escala de medida a ser usada e os critérios que permitam posicionar um ativo no seu correto lugar nessa escala, em função de seu valor. Devido à diversidade de ativos encontrados em uma organização, é provável que alguns deles, aqueles que possuem um valor monetário conhecido, possam ser avaliados através da moeda corrente local, enquanto outros ativos, aqueles com um valor expresso em termos qualitativos, talvez precisem ser avaliados através de uma lista de valores a serem selecionados, por exemplo: "muito baixo", "muito alto" etc. A decisão de se usar uma escala quantitativa em vez de uma qualitativa (ou vice-versa) depende da preferência da organização, porém convém que seja pertinente aos ativos em avaliação. Ambos os tipos de avaliação podem ser utilizados para se determinar o valor de um mesmo ativo. Termos comuns usados em avaliações qualitativas do valor de ativos incluem expressões como as seguintes: insignificante, muito pequeno, pequeno, médio, alto, muito alto e crítico. A escolha e o leque de termos adequados a uma organização dependem muito da sua necessidade de segurança, do seu tamanho e de outros aspectos específicos da organização.


Página 70 de 115

Critérios Convém que os critérios utilizados como base para atribuição do valor para cada ativo sejam redigidos de forma objetiva e sem ambiguidades. Esse é um dos aspectos mais difíceis da valoração dos ativos, já que o valor de alguns deles talvez precise ser determinado de forma subjetiva e também porque provavelmente várias pessoas participarão do processo. Entre os possíveis critérios utilizados para determinar o valor de um ativo estão o seu custo original e o custo de sua substituição ou de sua recriação. Por outro lado, seu valor pode ser abstrato, por exemplo, o valor da reputação de uma organização. Um outro enfoque para a valoração dos ativos é considerar os custos decorridos da perda da confidencialidade, integridade e disponibilidade resultante de um incidente. Convém que a garantia de nãorepúdio e de responsabilização, a autenticidade e a confiabilidade, se apropriadas, também sejam consideradas. Tal enfoque acrescenta uma dimensão muito importante à atribuição do valor de um ativo, além do custo de sua substituição, pois considera as consequências adversas ao negócio causadas por incidentes de segurança, tendo como premissa um conjunto determinado de circunstâncias. Convém ressaltar também que as consequências que esse enfoque identifica precisarão ser consideradas durante o processo de avaliação de riscos. Muitos ativos, durante o curso da avaliação, podem acabar recebendo vários valores. Por exemplo, um plano de negócios pode ser avaliado em função do esforço despendido no seu desenvolvimento, pode ter seu valor atribuído em função do trabalho de entrar com os dados e pode ainda ser valorado de acordo com seu valor para um competidor. Provavelmente, os valores atribuídos serão consideravelmente diferentes. O valor atribuído pode ser o maior valor encontrado, a soma de alguns ou mesmo de todos os possíveis valores. Em última análise, convém pensar cuidadosamente qual(is) valor(es) é(são) associado(s) a um ativo, pois o valor final atribuído fará parte do processo de determinação dos recursos a serem investidos na proteção do ativo. Definição de um denominador comum Ao final do processo, a valoração dos ativos precisa ter como base um denominador comum. Isso pode ser feito com a ajuda de critérios como os a seguir. Critérios que podem ser utilizados para estimar as possíveis consequências resultantes da perda de confidencialidade, integridade, disponibilidade, assim como da capacidade de garantir o nãorepúdio, a responsabilização, a autenticidade e a confiabilidade, são os seguintes:

Violação da legislação e/ou das regulamentações Redução do desempenho do negócio Perda de valor de mercado/efeito negativo sobre a imagem e a reputação Violação de segurança relacionada a informações pessoais O perigo ocasionado à segurança física das pessoas Efeitos negativos relacionados à execução da lei Violação de confidencialidade Violação da ordem pública Perda financeira Interrupção de atividades do negócio O perigo ocasionado à segurança ambiental

Um outro método para avaliar as consequências poderia levar em conta o seguinte:


Página 71 de 115

Interrupção dos serviços incapacidade de prestar os serviços Perda da confiança do cliente perda da credibilidade no sistema interno de informação dano à reputação Interrupção de operação interna descontinuidade dentro da própria organização custo interno adicional Interrupção da operação de terceiros descontinuidade das transações entre a organização e terceiros vários tipos de prejuízos ou danos Infração de leis/regulamentações incapacidade de cumprir obrigações legais Violação de cláusulas contratuais incapacidade de cumprir obrigações contratuais Perigo ocasionado à segurança física dos recursos humanos/usuários perigo para os recursos humanos e usuários da organização Ataque à vida privada de usuários Perda financeira Custos financeiros para emergências, reposição e consertos em termos de recursos humanos, em termos de equipamentos, em termos de estudo, relatórios de especialistas Perda de bens/fundos/ativos Perda de clientes, perda de fornecedores Procedimentos e penalidades judiciais Perda de vantagem competitiva Perda da liderança tecnológica/técnica Perda de eficácia/confiança Perda da reputação técnica Enfraquecimento da capacidade de negociação Crise industrial (greves) Crise governamental Rejeição Dano material

Esses critérios exemplificam os temas a serem considerados durante a valoração de ativos. Para a execução desse tipo de avaliação, uma organização precisa selecionar os critérios que sejam relevantes para o seu tipo de negócio e para os seus requisitos de segurança. Isso pode significar que alguns dos critérios listados acima não são aplicáveis e que outros talvez precisem ser adicionados à lista. Escala Após estabelecer os critérios a serem considerados, convém que a organização adote uma escala de medição para ser utilizada em todas as suas áreas. O primeiro passo é definir a quantidade de níveis da escala. Não existem regras a respeito de qual seria o número de níveis mais adequado. Quanto mais níveis, maior é a granularidade da medição, porém uma diferenciação muito tênue torna difícil garantir a consistência das avaliações realizadas nas diversas áreas da organização. Normalmente, qualquer quantidade de níveis entre 3 (por exemplo, baixo, médio e alto) e 10 pode ser utilizada, desde que ela seja


Página 72 de 115

consistente com a abordagem que a organização esteja usando para o processo de avaliação de riscos como um todo. Uma organização pode definir seus próprios limites para os valores de seus ativos, como 'baixo', 'médio' e 'alto'. Convém que esses limites sejam estimados de acordo com o critério selecionado (por exemplo, para possíveis perdas financeiras, convém que eles sejam estabelecidos através de valores monetários; porém, para outros tipos de fatores, como o perigo ocasionado à segurança física das pessoas, uma estimativa monetária pode ser por demais complexa e não apropriada a muitas organizações). Por último, cabe inteiramente à organização a decisão a respeito do que é considerado 'pequena', 'média' ou 'grande' consequência. Uma consequência desastrosa para uma pequena organização pode ser pequena ou mesmo insignificante para uma grande organização. Dependências Quanto mais relevantes e numerosos os processos de negócio apoiados por um ativo, maior é o seu valor. Convém que a dependência de ativos a processos de negócio e a outros ativos também seja identificada, pois ela pode influenciar os valores dos ativos. Por exemplo, convém garantir a confidencialidade dos dados durante todo o seu ciclo de vida, inclusive durante o seu armazenamento e processamento. Em outras palavras, convém que os requisitos de segurança para o armazenamento de dados e para os programas que fazem o processamento correspondam ao valor da confidencialidade dos dados armazenados e processados. Da mesma forma, se um processo de negócios depender da integridade dos dados gerados por um programa, convém que os dados de entrada passados para o programa sejam confiáveis. Mais importante do que isso, a integridade da informação dependerá do hardware e software utilizados para seu armazenamento e processamento. Adicionalmente, o hardware dependerá do suprimento de energia e, possivelmente, do ar-condicionado. Assim, informações sobre dependências serão de grande ajuda na identificação de ameaças e, em particular, de vulnerabilidades. Além disso, ajudarão a assegurar que o real valor dos ativos (considerando as relações de dependência) será atribuído, dessa forma indicando o nível de proteção apropriado. Convém que os valores dos ativos dos quais outros ativos dependem sejam modificados da seguinte maneira:

Se os valores dos ativos dependentes (por exemplo, os dados) forem menores ou iguais ao valor do ativo em questão (por exemplo, o software), o valor deste último permanece o mesmo

Se os valores dos ativos dependentes (por exemplo, os dados) forem maiores do que o valor do ativo em questão (por exemplo, o software), convém que o valor desse último aumente de acordo com:

Uma organização pode possuir alguns ativos que são disponibilizados mais de uma vez, como cópias de programas de software ou o tipo de computador usado na maioria dos escritórios. É importante levar em conta este fato quando estiver sendo executada a valoração dos ativos. Por um lado, esses ativos são facilmente ignorados e, por isso, convém que se tenha um cuidado especial em identificar todos. Por outro lado, eles podem ser usados para minimizar problemas ligados à falta de disponibilidade.


Página 73 de 115

Saída O resultado final dessa etapa é a lista de ativos e respectivos valores relativos à divulgação

indevida de informações (preservação da confidencialidade), a modificações não

autorizadas (garantia de integridade, autenticidade, não repúdio e responsabilização), à

indisponibilidade e destruição do ativo (preservação de sua disponibilidade e

confiabilidade) e ao custo de sua reposição.

1.4.7 Identificação das ameaças

Uma ameaça tem o potencial de comprometer ativos (como informações, processos

e sistemas) e, por isso, também as organizações. Ameaças podem ser de origem natural ou

humana e podem ser acidentais ou intencionais. Convém que tanto as fontes das ameaças

acidentais quanto as das intencionais, sejam identificadas. Uma ameaça pode surgir de

dentro ou de fora da organização. Convém que as ameaças sejam identificadas

genericamente e por classe (por exemplo, ações não autorizadas, danos físicos, falhas

técnicas) e, quando apropriado, que ameaças específicas sejam identificadas dentro das

classes genéricas. Isso significa que nenhuma ameaça é ignorada, incluindo as não

previstas, mas que o volume de trabalho exigido é limitado.

Algumas ameaças podem afetar mais de um ativo. Nesses casos, elas podem

provocar impactos diferentes dependendo de quais ativos são afetados.

Dados de entrada para a identificação das ameaças e análise da probabilidade de

ocorrência podem ser obtidos dos responsáveis pelos ativos ou dos usuários, do pessoal,

dos administradores das instalações e dos especialistas em segurança da informação, de

peritos em segurança física, do departamento jurídico e de outras organizações, incluindo

organismos legais, autoridades climáticas, companhias de seguros e autoridades

governamentais nacionais. Aspectos culturais e relacionados ao ambiente precisam ser

considerados quando se examinam as ameaças.

Convém que experiências internas de incidentes e avaliações anteriores das

ameaças sejam consideradas na avaliação atual. Pode ser útil a consulta a outros catálogos

de ameaças (talvez mais específicos a uma organização ou negócio) a fim de completar a

lista de ameaças genéricas, quando relevante. Catálogos de ameaças e estatísticas são

disponibilizados por organismos setoriais, governos nacionais, organismos legais,

companhias de seguro etc.

Quando forem usados catálogos de ameaças ou os resultados de uma avaliação anterior das ameaças, convém que se tenha consciência de que as ameaças relevantes estão sempre mudando, especialmente se o ambiente de negócio ou se os sistemas de informações mudarem.


Página 74 de 115

1.4.7.1 Agente de ameaça

―Um agente de ameaça é uma entidade que pode agir para causar um evento de ameaça

acontecer pela exploração de uma vulnerabilidade dentro de um sistema.‘ Fonte TRA

Canadá

―É uma entidade que pode iniciar a ocorrência de ameaça.‖ David J. Shang, PhD

―A person, organization, thing or entity that desires to or is able to trigger an event which

can compromise the security of an asset or information. ―

Fonte Guide to Risk Assessment and Safeguard Selection for Information Technology

Systems

1.4.7.2 Evento da ameaça

Eventos de ameaça são ações pelas quais os agentes de ameaça atingem os ativos.

―Um evento para cuja ocorrência causaria dano a um Sistema na forma de revelação,

modificação de dados, destruição, e /ou negação de serviço‖ Fonte: TRA Canadá

An event or occurrence that has the potential to compromise the security of an asset or

information. Fonte: Guide to Risk Assessment and Safeguard Selection for Information

Technology Systems

1.4.7.3 Fatores de identificação das ameaças

Existem alguns fatores que contribuem na identificação das ameaças, mas não são

limitadas a elas:

• Catálogo de ameaças • Resultado de avaliações anteriores • Estatísticas disponibilizadas por organismos setoriais • Governos nacionais • Organismos legais • Companhias de seguro • Incidentes de segurança já ocorridos internamente • Brainstorming


Página 75 de 115

• Estudos que analisem cada processo da atividade e descrevam os fatores internos e externos que possam influenciar os referidos processos

• Análises de cenários • Oficinas de avaliação de riscos (workshops) • Investigação de incidentes • Auditorias e inspeções • Etc.


Página 76 de 115

1.4.8 Identificação dos controles existentes Convém que a identificação dos controles existentes seja realizada para evitar

custos e trabalho desnecessários, por exemplo, na duplicação de controles. Além disso, enquanto os controles existentes estão sendo identificados, convém que seja feita uma verificação para assegurar que eles estão funcionando corretamente – uma referência aos relatórios já existentes de auditoria do SGSI pode reduzir o tempo gasto nesta tarefa. Um controle que não funcione como esperado pode provocar o surgimento de vulnerabilidades. Convém que seja levada em consideração a possibilidade de um controle selecionado (ou estratégia) falhar durante sua operação. Sendo assim, controles complementares são necessários para tratar efetivamente o risco identificado. Em um SGSI, de acordo com a ABNT NBR ISO/IEC 27001, isso é auxiliado pela medição da eficácia dos controles. Uma maneira para estimar o efeito do controle é ver o quanto ele reduz, por um lado, a probabilidade da ameaça e a facilidade com que uma vulnerabilidade pode ser explorada ou, por outro lado, o impacto do incidente. A análise crítica pela direção e relatórios de auditoria também fornecem informações sobre a eficácia dos controles existentes.

Convém que os controles que estão planejados para serem implementados de

acordo com os planos de implementação de tratamento do risco também sejam considerados, juntamente com aqueles que já estão implementados.

Controles existentes ou planejados podem ser considerados ineficazes, insuficientes ou não justificados. Convém que um controle insuficiente ou não justificado seja verificado para determinar se convém que ele seja removido, substituído por outro controle mais adequado ou se convém que o controle permaneça em vigor, por exemplo, em função dos custos.

Para a identificação dos controles existentes ou planejados, as seguintes atividades podem ser úteis:

Analisar de forma crítica os documentos contendo informações sobre os controles (por

exemplo, os planos de implementação de tratamento do risco). Se os processos de gestão da segurança da informação estiverem bem documentados, convém que todos os controles existentes ou planejados e a situação de sua implementação estejam disponíveis;

Verificar com as pessoas responsáveis pela segurança da informação (por exemplo, o responsável pela segurança da informação, o responsável pela segurança do sistema da informação, o gerente das instalações prediais, o gerente de operações) e com os usuários quais controles, relacionados ao processo de informação ou ao sistema de informação sob consideração, estão realmente implementados;

Revisar, no local, os controles físicos, comparando os controles implementados com a lista de quais controles convém que estejam presentes, e verificar se aqueles implementados estão funcionando efetiva e corretamente, ou

Analisar criticamente os resultados de auditorias.


Página 77 de 115

1.4.9 Identificação de vulnerabilidades

A vulnerabilidade é uma condição encontrada muitas vezes pela ausência ou

ineficiência de controles e medidas de proteção, utilizadas com o intuito de salvaguardar os

ativos de uma empresa. (MOREIRA, 2001)

Todos os ambientes são vulneráveis, partindo do pressuposto de que não existem

ambientes totalmente seguros. Muitas vezes, as medidas de segurança implementadas

pelas empresas possuem vulnerabilidades. Neste caso, a ineficiência das medidas de

proteção em função de configurações inadequadas são algumas das causas.

Identificar as vulnerabilidades que podem contribuir para a ocorrência de

incidentes de segurança é um aspecto importante na identificação de medidas adequadas

de segurança.

Os riscos não podem ser determinados sem o conhecimento de até onde um

sistema é vulnerável, contribuindo então para a ação das ameaças.

O nível de vulnerabilidade decai a medida em que são implementados controles e

medidas de proteção adequadas, diminuindo também os riscos para o negócio, conforme

demonstra a figura a seguir. Podemos dizer que os riscos estão ligados ao nível de

vulnerabilidade que o ambiente analisado possui, pois para se determinar os riscos, as

vulnerabilidades precisam ser identificadas.

Figura: Relação Vulnerabilidade X Medidas de proteção Fonte: Segurança Mínima, 2001

Segundo a NBR ISO IEC 27005, as vulnerabilidades que podem se exploradas por ameaças para comprometer os ativos ou a organização devem ser identificadas.

As vulnerabilidades podem ser identificadas nas seguintes áreas:


Página 78 de 115

A presença de uma vulnerabilidade não causa prejuízo por si só, pois precisa haver

uma ameaça presente para explorá-la. Uma vulnerabilidade que não tem uma ameaça correspondente pode não requerer a implementação de um controle no presente momento, mas convém que ela seja reconhecida como tal e monitorada, no caso de haver mudanças.

Convém notar que um controle implementado incorretamente, com mau

funcionamento ou sendo usado de forma errada pode, por si só, representar uma vulnerabilidade. Um controle pode ser eficaz ou não, dependendo do ambiente no qual ele opera. Inversamente, uma ameaça que não tenha uma vulnerabilidade correspondente pode não resultar em um risco.

As vulnerabilidades podem estar ligadas a propriedades do ativo, as quais podem ser usadas de uma forma ou para um propósito diferente daquele para o qual o ativo foi adquirido ou desenvolvido. Vulnerabilidades decorrentes de diferentes fontes precisam ser consideradas, por exemplo, as intrínsecas e as extrínsecas ao ativo.

As vulnerabilidades podem ser: Vulnerabilidade intrínseca São vulnerabilidades existentes nos ativos. Elas estão presentes dada a natureza do

ativo. Ex.: Vulnerabilidades em um Sistema Operacional, vulnerabilidades existentes em

uma aplicação. Vulnerabilidade extrínseca São vulnerabilidades produzidas nos ativos, independentes de quais sejam os

ativos. Ex.: Vulnerabilidade em um processo de pagamento que permite a realização de

fraudes.

1.4.9.1 Como surgem as vulnerabilidades

As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas

mais diversas áreas de uma Organização.

Não existe uma única causa para o surgimento de vulnerabilidades. Elas podem surgir

tanto do ambiente interno quanto do ambiente externo.

Motivação externa

No ambiente externo, podemos considerar algumas motivações para o surgimento

de vulnerabilidades tecnológicas:


Página 79 de 115

Ineditismo

Quando o produto é novo, o foco das atenções, sob o ponto de vista dos benefícios,

passam a ser percebidos pelas pessoas e empresas. Assim, com o foco da atenção para a

tecnologia, começa-se a intensificar a adoção pelas pessoas e empresas e da mesma forma

acontece com o surgimento de vulnerabilidades.

Plataforma tecnológica

A plataforma tecnológica pode facilitar o surgimento de vulnerabilidades. Muitos

hackers, crackers e pessoas mal intencionadas, para terem sucesso, necessitam conhecer a

tecnologia utilizada pelas empresas e explorá-las.

Assim, desconhecer determinadas plataformas tecnológicas pode dificultar a

identificação de vulnerabilidades, uma vez que se estabelece como premissa, que o

conhecimento tanto da plataforma quanto da própria tecnologia

Maturidade do produto

Algumas tecnologias utilizadas atualmente possuem poucas vulnerabilidades

divulgadas. Uma explicação possível pode ser o nível de maturidade do produto. Muitas

correções feitas no passado podem contribuir para diminuir o surgimento de novas

vulnerabilidades. Pode-se citar o banco de dados DB2 da IBM e demais sistemas

descontinuados.

Férias escolares

A época do ano pode influenciar no aumento ou na diminuição do surgimento de

vulnerabilidades. Segundo David C. Chang e Sylvia Moon, as vulnerabilidades aumentam

nos meses de férias escolares. Assume-se, portanto, que grande parte dos hackers são

estudantes e estão em férias.

Os feriados ou as vésperas de feriados importantes podem influenciar no aumento

ou na diminuição do surgimento de vulnerabilidades.

Popularidade do sistema

Sistemas que possuem maior popularidade são mais suscetíveis ao aumento de

vulnerabilidades, uma vez que estão em evidência.

Motivação Interna

No ambiente interno da empresa, as vulnerabilidades podem surgir, a partir de duas


Página 80 de 115

formas:

por desconhecimento

propositalmente

A negligência por parte de alguns profissionais e a falta de conhecimento técnico, são

exemplos típicos, porém esta relação pode ser entendida como sendo de n para n, ou seja,

cada ambiente operacional pode possuir diversas vulnerabilidades e por outro lado, cada

vulnerabilidade pode estar presente em diversos ambientes computacionais, conforme

demonstra a figura a seguir.

Figura: Relação Ambiente Computacional x Vulnerabilidades

Algumas vulnerabilidades estão presentes nos Sistemas Operacionais que

acabamos de instalar. É isso mesmo! Alguns produtos chegam às prateleiras e pouco

tempo depois são encontradas vulnerabilidades e divulgadas para o mundo inteiro pela

Internet.

Normalmente os hackers são os primeiros a explorarem as vulnerabilidades. E isso

é muito preocupante. Pouco tempo depois, esta informação é divulgada na Internet para

que o mundo inteiro fique sabendo. Em muitos casos, as empresas produtoras do software

só ficam sabendo desta situação neste momento.

Obviamente estas empresas disponibilizam as correções destas vulnerabilidades para que

os usuários possam atualizar os seus sistemas.

O SANS Institute (http://www.sans.org) disponibiliza em

http://www.sans.org/topten.htm uma relação das 10 maiores vulnerabilidades do

momento e informa os boletins com a correção.

É de fundamental importância que os administradores de rede apliquem as

correções para que seja removida a vulnerabilidade, uma vez que existem ferramentas

disponíveis capazes de explorá-las.

Uma alternativa para que sejam identificadas vulnerabilidades na rede de sua

empresa é recorrer a empresas especializadas neste tipo de serviço.

http://www.sans.org/

http://www.sans.org/

http://www.sans.org/topten.htm


Página 81 de 115

A seguir, alguns exemplos de vulnerabilidades que normalmente se fazem presentes

em muitas empresas:

Vulnerabilidades Físicas Falta de extintores

Salas de CPD mal projetadas

Falta de detectores de fumaça e de outros recursos para combate a incêndio

Instalações prediais fora do padrão

Instalação elétrica antiga e/ou em conjunto com a dos computadores

Vulnerabilidades Naturais Ausência de estratégias de combate à incêndios, enchentes, raios, tempestades

Vulnerabilidade de Hardware Falha nos recursos tecnológicos como desgaste, obsolescência, mal uso

Vulnerabilidade de Software Falhas e bugs nos Sistemas Operacionais

Falhas em programas que implementam serviços de rede

Vulnerabilidade Humana Falta de treinamento

Falta de comprometimento dos empregados

A seguir, outros exemplos de vulnerabilidades também presentes em muitos ambientes

e que muitas empresas não atentam para determinadas situações:

Senhas fracas Falhas de implementação de segurança Deficiência na política de segurança


Página 82 de 115

1.4.9.2 Gestão de vulnerabilidades

O processo de gestão de vulnerabilidades consiste em estabelecer um processo para

gerenciar a identificação, análise, tratamento, comunicação e a gestão das

vulnerabilidades, independentemente se elas estão presentes no âmbito tecnológico, se

ligada a processos ou a pessoas.

1.4.9.3 Relação entre Vulnerabilidade X Medidas de Proteção

As medidas de proteção também estão sujeitas a terem vulnerabilidades. Enquanto

que para um conjunto de vulnerabilidades, determinadas medidas de proteção são

adequadas, para outras não.

Independentemente das medidas de proteção adotadas pela empresa, certamente

encontraremos medidas adequadas para determinadas situações e inadequadas para

outras. O que é importante salientar é que a empresa precisa buscar a melhor relação

custo/benefício no momento da definição de sua estratégia de segurança.

O nível de vulnerabilidade do ambiente decai na medida em que são

implementados controles e medidas de proteções adequadas, diminuindo também os

riscos para o negócio.

Podemos dizer que a exposição aos riscos está ligada ao nível de vulnerabilidade e

ao grau de eficiência da proteção implementada atualmente na empresa.

1.4.10 Identificação das consequências

Convém que as consequências que a perda de confidencialidade, de integridade e de

disponibilidade podem ter sobre os ativos sejam identificadas (ver ABNT NBR ISO/IEC

27001:2006 4.2.1 d) 4)).

Uma consequência pode ser, por exemplo, a perda da eficácia, condições adversas

de operação, a perda de oportunidades de negócio, reputação afetada, prejuízo etc.

Essa atividade identifica o prejuízo e as consequências para a organização que

podem decorrer de um cenário de incidente. Um cenário de incidente é a descrição de uma

ameaça explorando uma certa vulnerabilidade ou um conjunto vulnerabilidades em um

incidente de segurança da informação (ver ABNT NBR ISO/IEC 27002:2005, Seção 13). O

impacto dos cenários de incidentes é determinado considerando-se os critérios de impacto

definidos durante a atividade de definição do contexto. Ele pode afetar um ou mais ativos

ou apenas parte de um ativo. Assim, aos ativos podem ser atribuídos valores

correspondendo tanto aos seus custos financeiros, quanto às consequências ao negócio se


Página 83 de 115

forem danificados ou comprometidos. Consequências podem ser de natureza temporária

ou permanente como no caso da destruição de um ativo.

Convém que as organizações identifiquem as consequências operacionais de

cenários de incidentes em função de (mas não limitado a):

prejuízo

o e valor de mercado

Convém que o impacto sobre o negócio da organização, que pode ser causado por incidentes (possíveis ou reais) relacionados à segurança da informação, seja avaliado levando-se em conta as consequências de uma violação da segurança da informação, como por exemplo: a perda da confidencialidade, da integridade ou da disponibilidade dos ativos (refere-se à ABNT NBR ISO/IEC 27001:2006, Seção 4.2.1 e) 1)).

Depois de identificar todos os ativos relevantes, convém que os valores atribuídos a esses ativos sejam levados em consideração durante a avaliação das consequências.

O valor do impacto ao negócio pode ser expresso de forma qualitativa ou quantitativa, porém um método para designar valores monetários geralmente pode fornecer mais informações úteis para a tomada de decisões e, consequentemente, permitir que o processo de tomada de decisão seja mais eficiente.

A valoração dos ativos começa com a sua classificação de acordo com a criticidade, em função da importância dos ativos para a realização dos objetivos de negócios da organização. A valoração é então determinada de duas maneiras:

for possível), e

como as possíveis consequências adversas de caráter empresarial, legal ou regulatórias causadas pela divulgação indevida, modificação, indisponibilidade e/ou destruição de informações ou de outros ativos de informação.

Essa valoração pode ser determinada a partir de uma análise de impacto no negócio.

O valor, determinado em função da consequência para o negócio, normalmente é significativamente mais elevado do que o simples custo de reposição, dependendo da importância do ativo para a organização na realização dos objetivos de negócios.

A valoração dos ativos representa um dos aspectos mais importantes na avaliação do impacto de um cenário de incidente, pois o incidente pode afetar mais de um ativo (por


Página 84 de 115

exemplo, os ativos dependentes) ou somente parte de um ativo. Diferentes ameaças e vulnerabilidades causarão diferentes impactos sobre os ativos, como perda da confidencialidade, da integridade ou da disponibilidade. A avaliação das consequências está, portanto, relacionada à valoração dos ativos baseada na análise de impacto no negócio.

As consequências ou o impacto ao negócio podem ser determinados por meio da criação de modelos com os resultados de um evento, um conjunto de eventos ou através da extrapolação a partir de estudos experimentais ou dados passados.

As consequências podem ser expressas em função dos critérios de impacto monetários, técnicos ou humanos, ou de outro critério relevante para a organização. Em alguns casos, mais de um valor numérico é necessário para especificar as consequências para os diferentes momentos, lugares, grupos ou situações.

Convém que as consequências expressas em tempo e valor financeiro sejam medidas com a mesma abordagem utilizada para a probabilidade da ameaça e as vulnerabilidades. A consistência deve ser mantida com respeito à abordagem quantitativa ou qualitativa.

Existe uma diferença entre o valor do ativo e o impacto resultante do incidente. O

impacto tem efeito imediato (operacional) ou consequencia futura (relativa ao negócio

como um todo), a qual inclui aspecto financeiros e de mercado.

A seguir, descreve-se alguns tipos de incidentes:

Impacto direto

Valor financeiro de reposição do ativo perdido Custo de aquisição, configuração e instalação do novo ativo ou do back-up. Consequências resultantes de violações da segurança da informação Custo das operações suspensas(faturamento, mão de obra)

Impacto indireto

Imagem

Violação de obrigações estatutárias ou regulatórias

Etc.

A avaliação de impactos é um elemento importante na avaliação de riscos e a seleção de proteções.


Página 85 de 115

1.5 Análise de riscos

1.5.1 Metodologias de análise de riscos

A análise de riscos pode ser empreendida com diferentes graus de detalhamento,

dependendo da criticidade dos ativos, da extensão das vulnerabilidades conhecidas e dos

incidentes anteriores envolvendo a organização. Uma metodologia para a análise de riscos

pode ser qualitativa ou quantitativa ou uma combinação de ambas, dependendo das

circunstâncias. Na prática, a análise qualitativa é frequentemente utilizada em primeiro

lugar para obter uma indicação geral do nível de risco e para revelar os grandes riscos.

Depois, podem ser necessário efetuar uma análise quantitativa ou mais específica nos

grandes riscos. Isso ocorre porque normalmente é menos complexo e menos oneroso

realizar análises qualitativas do que quantitativas.

Convém que a forma da análise seja coerente com o critério de avaliação de riscos

desenvolvido como parte da definição do contexto.

Detalhes adicionais a respeito das metodologias para a análise estão descritos a seguir:

(a) Análise qualitativa de riscos:

A análise qualitativa de riscos utiliza uma escala com atributos qualificadores que

descrevem a magnitude das consequências potenciais (por exemplo, pequena, média e

grande) e a probabilidade dessas consequências ocorrerem. Uma vantagem da análise

qualitativa é sua facilidade de compreensão por todas as pessoas envolvidas, enquanto que

uma desvantagem é a dependência da escolha subjetiva da escala.

Essas escalas podem ser adaptadas ou ajustadas para se adequarem às circunstâncias, e

descrições diferentes podem ser usadas para riscos diferentes. A análise qualitativa pode

ser utilizada:

detalhada

ndo os dados numéricos ou recursos são insuficientes para uma análise quantitativa

Convém que a análise qualitativa utilize informações e dados factuais quando disponíveis.

(b) Análise quantitativa de riscos:

A análise quantitativa utiliza uma escala com valores numéricos (e não as escalas

descritivas usadas na análise qualitativa) tanto para as consequências quanto para a

probabilidade, usando dados de diversas fontes. A qualidade da análise depende da

exatidão e da integralidade dos valores numéricos e da validade dos modelos utilizados. A

análise quantitativa, na maioria dos casos, utiliza dados históricos dos incidentes,

proporcionando a vantagem de poder ser relacionada diretamente aos objetivos da

segurança da informação e interesses da organização. Uma desvantagem é a falta de tais


Página 86 de 115

dados sobre novos riscos ou sobre fragilidades da segurança da informação. Uma

desvantagem da abordagem quantitativa ocorre quando dados factuais e auditáveis não

estão disponíveis. Nesse caso, a exatidão do processo de avaliação de riscos e os valores

associados tornam-se ilusórios.

A forma na qual as consequências e a probabilidade são expressas e a forma em que elas

são combinadas para fornecer um nível de risco irão variar de acordo com o tipo de risco e

do propósito para o qual os resultados do processo de avaliação de riscos serão usados.

Convém que a incerteza e a variabilidade tanto das consequências, quanto da

probabilidade, sejam consideradas na análise e comunicadas de forma eficaz.

1.5.2 Avaliação das consequências

O impacto sobre o negócio da organização, que pode ser causado por incidentes

(possíveis ou reais) relacionados à segurança da informação, convém que seja avaliado

levando-se em conta as consequências de uma violação da segurança da informação, como

por exemplo: a perda da confidencialidade, da integridade ou da disponibilidade dos

ativos.

Depois de identificar todos os ativos relevantes, convém que os valores atribuídos a

esses ativos sejam levados em consideração durante a avaliação das consequências.

O valor do impacto ao negócio pode ser expresso de forma qualitativa ou

quantitativa, porém um método para designar valores monetários geralmente pode

fornecer mais informações úteis para a tomada de decisões e, consequentemente, permitir

que o processo de tomada de decisão seja mais eficiente.

A valoração dos ativos começa com a sua classificação de acordo com a criticidade,

em função da importância dos ativos para a realização dos objetivos de negócios da

organização. A valoração é então determinada de duas maneiras:

for possível), e

como as possíveis consequências adversas de caráter empresarial, legal ou regulatórias causadas pela divulgação indevida, modificação, indisponibilidade e/ou destruição de informações ou de outros ativos de informação.

Essa valoração pode ser determinada a partir de uma análise de impacto no

negócio. O valor, determinado em função da consequência para o negócio, normalmente é

significativamente mais elevado do que o simples custo de reposição, dependendo da

importância do ativo para a organização na realização dos objetivos de negócios.


Página 87 de 115

A valoração dos ativos representa um dos aspectos mais importantes na avaliação

do impacto de um cenário de incidente, pois o incidente pode afetar mais de um ativo (por

exemplo, os ativos dependentes) ou somente parte de um ativo. Diferentes ameaças e

vulnerabilidades causarão diferentes impactos sobre os ativos, como perda da

confidencialidade, da integridade ou da disponibilidade. A avaliação das consequências

está, portanto, relacionada à valoração dos ativos baseada na análise de impacto no

negócio.

As consequências ou o impacto ao negócio podem ser determinados por meio da

criação de modelos com os resultados de um evento, um conjunto de eventos ou através da

extrapolação a partir de estudos experimentais ou dados passados.

As consequências podem ser expressas em função dos critérios de impacto

monetários, técnicos ou humanos, ou de outro critério relevante para a organização. Em

alguns casos, mais de um valor numérico é necessário para especificar as consequências

para os diferentes momentos, lugares, grupos ou situações.

Convém que as consequências expressas em tempo e valor financeiro sejam

medidas com a mesma abordagem utilizada para a probabilidade da ameaça e as

vulnerabilidades. A consistência deve ser mantida com respeito à abordagem quantitativa

ou qualitativa.


Página 88 de 115

1.5.3 Avaliação da probabilidade dos incidentes

Convém que a probabilidade dos cenários de incidentes seja avaliada (refere-se à ABNT NBR ISO/IEC 27001:2006, Seção 4.2.1 e) 2)).

Depois de identificar os cenários de incidentes, é necessário avaliar a probabilidade de cada cenário e do impacto correspondente, usando técnicas de análise qualitativas ou quantitativas. Convém levar em conta a frequência da ocorrência das ameaças e a facilidade com que as vulnerabilidades podem ser exploradas, considerando o seguinte:

ameaça ao longo do tempo, os recursos disponíveis para possíveis atacantes, bem como a percepção da vulnerabilidade e o poder da atração dos ativos para um possível atacante proximidade a fábricas e refinarias de produtos químicos e petróleo), a possibilidade de eventos climáticos extremos e fatores que poderiam acarretar erros humanos e o mau funcionamento de equipamentos

Por exemplo, um sistema de informação pode ter uma vulnerabilidade relacionada às ameaças de forjar a identidade de um usuário e de fazer mau uso de recursos. A vulnerabilidade relacionada ao uso forjado da identidade de um usuário pode ser alta devido, por exemplo, à falta de um mecanismo de autenticação de usuário. Por outro lado, a probabilidade de utilização indevida dos recursos pode ser baixa, apesar da falta de autenticação, pois os meios disponíveis para que isso pudesse acontecer são limitados.

Dependendo da necessidade de exatidão, ativos podem ser agrupados ou pode ser necessário dividir um ativo em seus componentes e relacionar estes aos cenários. Por exemplo, conforme a localidade geográfica, a natureza das ameaças a um mesmo tipo de ativo ou a eficácia dos controles existentes podem variar.

As ameaças existem independente da estratégia ou investimento de segurança

efetuado por qualquer empresa. Isso não significa que uma empresa estará sujeita ou

exposta a determinados ataques e/ou contaminação por um determinado vírus, por

exemplo. As medidas de segurança existentes atualmente em uma empresa existem para

diminuir a probabilidade do sucesso da ação de uma ameaça. Logo, é de fundamental

importância sabermos qual a probabilidade de ocorrência de uma determinada ameaça em

função do nível de eficiência das medidas de segurança implementada.

Dessa forma, conseguimos visualizar se as medidas atualmente implementadas são suficientemente capazes de impedir ou diminuir a probabilidade da ocorrência de uma determinada ameaça e, por conseguinte um incidente de segurança.


Página 89 de 115

1.5.4 Determinação do nível de risco Convém que o nível de risco seja estimado para todos os cenários de incidentes

considerados relevantes (refere-se à ABNT NBR ISO/IEC 27001:2006, Seção 4.2.1 e) 4)).

A análise de riscos designa valores para a probabilidade e para as consequências de um risco. Esses valores podem ser de natureza quantitativa ou qualitativa. A análise de riscos é baseada nas consequências e na probabilidade estimadas. Além disso, ela pode considerar o custo-benefício, as preocupações das partes interessadas e outras variáveis, conforme apropriado para a avaliação de riscos. O risco estimado é uma combinação da probabilidade de um cenário de incidente e suas consequências. Segundo Florence (2005), a estimativa das falhas pode ser quantitativa ou qualitativa. Na estimativa quantitativa, a freqüência é calculada em função de dados estatísticos. Na estimativa de risco qualitativa, a freqüência é calculada com base em dados subjetivos. Estes dados são extraídos a partir de relatos de profissionais com larga experiência na atividade analisada.

A expectativa de ocorrência do evento e a magnitude de suas conseqüências são estimadas em relação ao contexto considerado. Esses fatores são combinados para produzir um nível de risco. Quando não se dispõe de dados estatísticos confiáveis, pode ser feita uma estimativa subjetiva.

A análise pode ser qualitativa, semi-quantitativa ou quantitativa. Na prática, a análise qualitativa é freqüentemente empregada de início para se obter uma indicação geral do nível de risco, para depois se conduzir à análise quantitativa, caso seja possível. O modo qualitativo emprega palavras para descrever a magnitude da expectativa de ocorrência do evento (probabilidades, freqüências ou descritores) e das conseqüências.

Em alguns casos, esse tipo já é apropriado ao processo de decisão. Em outros, é a única alternativa, em função da baixa representatividade dos dados

disponíveis.

No modo semi-quantitativo, atribuem-se valores a uma escala qualitativa, ou descritiva, tomando-se o cuidado de empregar esses números em fórmulas que reconheçam as limitações do método. Os valores relativos atribuídos nesta escala podem resultar em inconsistências, produzindo resultados não apropriados.

O modo quantitativo utiliza valores numéricos tanto para a expectativa de ocorrência do evento quanto para a conseqüência. A última pode apresentar naturezas diversas e ser expressa em termos monetários por parâmetros técnicos ou pelo impacto produzido nos seres humanos.

O modo de combinar a expectativa de ocorrência e as conseqüências depende do tipo de risco e da forma como são utilizados os resultados.

Como as estimativas são imprecisas, uma análise de sensibilidade pode ser feita para testar o efeito da incerteza ao se assumir determinados dados no estudo. Tal análise também pode ser utilizada para testar a eficácia dos controles e das opções de tratamento de riscos.


Página 90 de 115

1.6 Avaliação dos riscos

Convém que o nível dos riscos seja comparado com os critérios de avaliação de riscos e com os critérios para a aceitação do risco (refere-se à ABNT NBR ISO/IEC 27001:2006, Seção 4.2.1 e) 4)).

A natureza das decisões relativas à avaliação de riscos e os critérios de avaliação de riscos que irão ser usados para tomar essas decisões teriam sido decididos durante a definição do contexto. Convém que essas decisões e o contexto sejam revisados detalhadamente nesse estágio em que se conhece mais sobre os riscos identificados. Para avaliar os riscos, convém que as organizações comparem os riscos estimados (usando os métodos ou abordagens selecionadas como abordado no Anexo E) com os critérios de avaliação de riscos definidos durante a definição do contexto.

Convém que os critérios de avaliação de riscos utilizados na tomada de decisões sejam consistentes com o contexto definido, externo e interno, relativo à gestão de riscos de segurança da informação e levem em conta os objetivos da organização, o ponto de vista das partes interessadas etc. As decisões tomadas durante a atividade de avaliação de riscos são baseadas principalmente no nível de risco aceitável. No entanto, convém que as consequências, a probabilidade e o grau de confiança na identificação e análise de riscos também sejam considerados. A agregação de vários pequenos ou médios riscos pode resultar em um risco total bem mais significativo e precisa ser tratada adequadamente. Convém que os seguintes itens sejam considerados:

organização (por exemplo, a perda da confidencialidade), logo todos os riscos que provocam esse tipo de impacto podem ser considerados irrelevantes

ativo ou conjunto de ativos: se o processo for considerado de baixa importância, convém que os riscos associados a ele sejam menos considerados do que os riscos que causam impactos em processos ou atividades mais importantes

A avaliação de riscos usa o entendimento do risco obtido através da análise de riscos para a tomada de decisões sobre ações futuras. Convém que as decisões incluam:

-se em conta os níveis estimados de risco

Durante a etapa de avaliação de riscos, além dos riscos estimados, convém que requisitos contratuais, legais e regulatórios também sejam considerados.

Em suma, quando o processo de análise de riscos estiver concluído, é necessário comparar os riscos estimados com os critérios de riscos definidos pela organização.

Os critérios de riscos podem englobar os custos e receitas associados, exigências

legais, fatores socio-econômicos e ambientais, preocupações dos intervenientes, etc. Desta


Página 91 de 115

forma, a estimativa de riscos e subsequente comparação apóia na tomada de decisões sobre a importância dos riscos para a organização e sobre a possibilidade de cada risco específico ser aceite ou corrigido.


Página 92 de 115

1.7 Tratamento dos riscos

O elemento principal do processo de tratamento de riscos é o controle e a diminuição dos riscos a patamares aceitáveis. Para tanto, é necessário à realização das seguintes atividades:

Identificação das opções de tratamento

Avaliação das opções

Seleção das opções

Implementação de plano de tratamento dos riscos

Esse processo permite a empresa selecionar e implementar medidas de segurança para modificar um risco.

Segundo a norma FERMA – Federation of European Risk Management Associations, o tratamento de riscos é o processo de selecionar e implementar medidas para modificar um risco.

O elemento principal do tratamento de riscos é o controle/diminuição dos riscos. No mínimo, qualquer sistema de tratamento de riscos deve:

• cumprir com leis e regulamentações • proporcionar um funcionamento eficaz e eficiente da organização • garantir controles internos eficazes

O processo de análise de riscos apóia o funcionamento eficaz e eficiente da organização através da identificação dos riscos aos qual a gestão deve prestar maior atenção.

Assim devem ser definidas prioridades nas ações de controle em termos do seu potencial para benefício da organização. A eficácia do controle interno mede-se pelo grau de eliminação ou redução do risco através das medidas propostas.

A eficácia em termos de custos dos controles internos está relacionada com os custos da sua implementação quando comparados com os benefícios esperados pela redução dos riscos. Para avaliar os mecanismos de controle propostos é necessário medir e comparar:

• potencial efeito econômico se estes não forem implementados • custos da implementação destes mecanismos

Invariavelmente são necessárias informações e pressupostos com maior detalhe do

que aqueles que estão disponíveis no imediato.

Em primeiro lugar, devem ser determinados os custos da implementação com rigor e precisão, uma vez que se tornará a base para a medição da eficácia em termos de custos. As perdas esperadas, caso não sejam tomadas ações, devem ser estimadas, para, através da


Página 93 de 115

comparação dos resultados, a gestão pode decidir se deve ou não implementar as medidas de controle dos riscos.

O cumprimento de leis e regulamentações aplicáveis não são opcionais. Uma organização deve entender as leis aplicáveis e implementar um sistema de controle para estar em conformidade. Só pode haver alguma flexibilidade ocasional quando os custos da redução de um risco forem totalmente desproporcionais aos seus impactos.

Um dos métodos para a proteção financeira contra o impacto dos riscos é o financiamento através da contratação de seguros. Contudo, deve reconhecer-se que algumas perdas ou elementos de perdas podem não ser seguráveis, como por exemplo, certos custos relacionados com a saúde, segurança e incidentes ambientais, que englobem danos morais a empregados e à reputação da organização.

De acordo com a UCAR Internal Auditing, um controle interno pode ser de

natureza preventiva, detectiva ou corretiva, sendo:

Controle Preventivo: é o projetado com a finalidade de evitar a ocorrência de erros,

desperdícios ou irregularidades. Exemplo: o fechamento da porta de seu carro e da sua

casa, controles de aquecimento, ventilação e ar condicionado, Perímetros de segurança

(muros, grades, portas trancadas), guardas, cachorros, ganços, etc.

Controle Detectivo: é o projetado para detectar erros, desperdícios ou

irregularidades, no momento em que eles ocorrem, permitindo a adoção de medidas

tempestivas de correção. Exemplo: o alarme de seu carro ou residência disparando,

Sensores de movimentos , Câmeras, Sensores ambientais (detectar fumaça, calor, fogo),

Reports de violação, Logs, Monitoramento de rede e detecção de intrusão (IDS).

Permite tomar ciência do fato no momento da ocorrência.

Controle Corretivo: O enfoque desta estratégia é propor mecanismos para a

continuidade das operações. Exemplo: Plano de Contingência, estratégia de recuperação

das operações, Plano de Continuidade de Negócios, Plano de Recuperação de Desastres.

Neste momento, o fato em questão já ocorreu e, portanto, o pensamento deve se

concentrar na adoção de medidas corretivas. Eventualmente se faz necessário a

identificação de uma estratégia de ação imediata, reativa, para que após, sejam adotadas

medidas que privilegiam a identificação da causa raiz.


Página 94 de 115

A seguir, tem-se a visão da norma NBR ISO IEC 27005 norma de Gestão de riscos

em segurança da informação, sobre o processo de tratamento de riscos:

Segundo a norma, convém que controles para modificar, reter, evitar ou compartilhar os riscos sejam selecionados e o plano de tratamento do risco seja definido.

Há quatro opções disponíveis para o tratamento do risco: modificação do risco, retenção do risco, ação de evitar o risco e compartilhamento do risco. NOTA A ABNT NBR ISO/IEC 27001:2006 4.2.1 f) 2) usa o termo ―aceitação do risco‖ em vez de ―retenção do risco‖. A Figura 3 ilustra a atividade de tratamento do risco dentro do processo de gestão de riscos de segurança da informação.


Página 95 de 115

Convém que as opções de tratamento do risco sejam selecionadas com base no resultado do processo de avaliação de riscos, no custo esperado para implementação dessas opções e nos benefícios previstos.

Quando uma grande modificação do risco pode ser obtida com uma despesa relativamente pequena, convém que essas opções sejam implementadas. Outras opções para melhorias podem ser muito dispendiosas e uma análise precisa ser feita para verificar suas justificativas.

Em geral, convém que as consequências adversas do risco sejam reduzidas ao

mínimo possível, independentemente de quaisquer critérios absolutos. Convém que os gestores considerem os riscos improváveis porém graves. Nesse caso, controles que não são justificáveis do ponto de vista estritamente econômico podem precisar ser implementados (por exemplo, controles de continuidade de negócios concebidos para tratar riscos de alto impacto específicos).

As quatro opções para o tratamento do risco não são mutuamente exclusivas. Às vezes, a organização pode beneficiar-se substancialmente de uma combinação de opções, como a redução da probabilidade do risco, a redução de suas consequências e o compartilhamento ou retenção dos riscos residuais.

Algumas formas de tratamento do risco podem lidar com mais de um risco de

forma efetiva (por exemplo, o treinamento e a conscientização em segurança da informação). Convém que um plano de tratamento do risco seja definido, identificando claramente a ordem de prioridade em que convém que as formas específicas de tratamento do risco sejam implementadas, assim como os seus prazos de execução. Prioridades podem ser estabelecidas usando várias técnicas, incluindo a ordenação dos riscos e a análise de custo-benefício. É de responsabilidade dos gestores da organização equilibrar os custos da implementação dos controles e o orçamento.

A identificação de controles existentes pode determinar concluir que eles excedem as necessidades atuais em função da comparação de custos, incluindo a manutenção. Se a remoção de controles redundantes e desnecessários tiver que ser considerada (especialmente se os controles têm altos custos de manutenção), convém que a segurança da informação e os fatores de custo sejam levados em conta. Devido à influência que os controles exercem uns sobres os outros, a remoção de controles redundantes pode reduzir a segurança em vigor como um todo. Além disso, talvez seja menos dispendioso deixar controles redundantes ou desnecessários em vigor do que removê-los.

Convém que as opções de tratamento do risco sejam consideradas levando-se em

conta:

A definição do contexto (ver 7.2 - Critérios de avaliação de riscos) fornece

informações sobre requisitos legais e regulatórios com os quais a organização precisa estar em conformidade. Nesse caso, o risco para a organização é não estar em conformidade e convém que sejam implementadas opções de tratamento para limitar essa possibilidade. Convém que todas as restrições — organizacionais, técnicas, estruturais etc. identificadas durante a atividade de definição do contexto sejam levadas em conta durante o tratamento do risco.


Página 96 de 115

Uma vez que o plano de tratamento do risco tenha sido definido, os riscos residuais precisam ser determinados. Isso envolve uma atualização ou uma repetição do processo de avaliação de riscos, considerando-se os efeitos previstos do tratamento do risco que foi proposto. Caso o risco residual ainda não satisfaça os critérios para a aceitação do risco da organização, uma nova iteração do tratamento do risco pode ser necessária antes de se prosseguir à aceitação do risco.


Página 97 de 115

Modificação do risco

Convém que o nível de risco seja gerenciado através da inclusão, exclusão ou alteração de controles, para que o risco residual possa ser reavaliado e então considerado aceitável.

Convém que controles apropriados e devidamente justificados sejam selecionados para satisfazer os requisitos identificados através do processo de avaliação de riscos e do tratamento dos riscos. Convém que essa escolha leve em conta os critérios para a aceitação do risco assim como requisitos legais, regulatórios e contratuais. Convém que essa seleção também leve em conta custos e prazos para a implementação de controles, além de aspectos técnicos, culturais e ambientais. Com frequência, é possível diminuir o custo total de propriedade de um sistema por meio de controles de segurança da informação apropriadamente selecionados.

Em geral, os controles podem fornecer um ou mais dos seguintes tipos de proteção:

correção, eliminação, prevenção, minimização do impacto, dissuasão, detecção, recuperação, monitoramento e conscientização. Durante a seleção de controles, é importante pesar o custo da aquisição, implementação, administração, operação, monitoramento e manutenção dos controles em relação ao valor dos ativos sendo protegidos. Além disso, convém que o retorno do investimento, na forma da modificação do risco e da possibilidade de se explorar em novas oportunidades de negócio em função da existência de certos controles, também seja considerado. Adicionalmente, convém considerar as competências especializadas que possam ser necessárias para definir e implementar novos controles ou modificar os existentes.

A ABNT NBR ISO/IEC 27002 fornece informações detalhadas sobre controles.

Há muitas restrições que podem afetar a seleção de controles. Restrições técnicas, como requisitos de desempenho, capacidade de gerenciamento (requisitos de apoio operacional) e questões de compatibilidade, podem dificultar a utilização de certos controles ou induzir erros humanos, chegando mesmo a anular o controle, a dar uma falsa sensação de segurança ou a tornar o risco ainda maior do que seria se o controle não existisse (por exemplo, exigir senhas complexas sem treinamento adequado leva os usuários a anotar as senhas por escrito). É importante lembrar também que um controle pode vir a afetar o desempenho sobremaneira. Convém que os gestores tentem encontrar uma solução que satisfaça os requisitos de desempenho e que possa, ao mesmo tempo, garantir um nível suficiente de segurança da informação. O resultado dessa etapa é uma lista de controles possíveis, com seu custo, benefício e prioridade de implementação.

Convém que várias restrições sejam levadas em consideração durante a escolha e a implementação de controles. Normalmente, são consideradas as seguintes:


Página 98 de 115

Retenção do risco

Convém que as decisões sobre a retenção do risco, sem outras ações adicionais, sejam tomadas tendo como base a avaliação de riscos. NOTA: Na ABNT NBR ISO/IEC 27001:2006 4.2.1 f 2), o tópico "aceitação do risco, consciente e objetivamente, desde que claramente satisfazendo as políticas da organização e os critérios para aceitação do risco‖ descreve a mesma atividade.

Se o nível de risco atender aos critérios para a aceitação do risco, não há necessidade de se implementarem controles adicionais e pode haver a retenção do risco. Ação de evitar o risco

Convém que a atividade ou condição que dá origem a um determinado risco seja evitada.

Quando os riscos identificados são considerados demasiadamente elevados e quando os custos da implementação de outras opções de tratamento do risco excederem os benefícios, pode-se decidir que o risco seja evitado completamente, seja através da eliminação de uma atividade planejada ou existente (ou de um conjunto de atividades), seja através de mudanças nas condições em que a operação da atividade ocorre. Por exemplo, para riscos causados por fenômenos naturais, pode ser uma alternativa mais rentável mover fisicamente as instalações de processamento de informações para um local onde o risco não existe ou está sob controle.

A decisão de evitar o risco pode significar descontinuar a atividade que deu origem

ao risco ou não iniciar, se for o caso.

Compartilhamento do risco

Convém que um determinado risco seja compartilhado com outra entidade que possa gerenciá-lo de forma mais eficaz, dependendo da avaliação de riscos.


Página 99 de 115

O compartilhamento do risco envolve a decisão de se compartilharem certos riscos

com entidades externas. O compartilhamento do risco pode criar novos riscos ou modificar riscos existentes e identificados. Portanto, um novo tratamento do risco pode ser necessário.

O compartilhamento pode ser feito por um seguro que cubra as consequências ou através da subcontratação de um parceiro cujo papel seria o de monitorar o sistema de informação e tomar medidas imediatas que impeçam um ataque antes que ele possa causar um determinado nível de dano ou prejuízo.

Convém notar que é possível compartilhar a responsabilidade de gerenciar riscos, entretanto não é normalmente possível compartilhar a responsabilidade legal por um impacto. Os clientes provavelmente irão atribuir um impacto adverso como sendo falha da organização.

Aceitação do risco de segurança da informação O plano de tratamento do risco e o processo de avaliação do risco residual sujeito à

decisão dos gestores da organização relativa à aceitação do risco.

Convém que a decisão de aceitar os riscos seja feita e formalmente registrada,

juntamente com a responsabilidade pela decisão (isso se refere a 4.2.1 h) da ABNT NBR

IEC 27001:2006).

Convém que os planos de tratamento do risco descrevam como os riscos avaliados

serão tratados para que os critérios de aceitação do risco sejam atendidos (ver Seção 7.2

Critérios para a aceitação do risco). É importante que gestores responsáveis façam uma

análise crítica e aprovem, se for o caso, os planos propostos de tratamento do risco e os

riscos residuais resultantes e que registrem as condições associadas a essa aprovação.

Os critérios para a aceitação do risco podem ser mais complexos do que somente a

determinar se o risco residual está ou não abaixo ou acima de um limite bem definido.

Em alguns casos, o nível de risco residual pode não satisfazer os critérios de

aceitação do risco, pois os critérios aplicados não estão levando em conta as circunstâncias

predominantes no momento. Por exemplo, pode ser válido argumentar que é preciso que

se aceite o risco, pois os benefícios que o acompanham são muito atraentes ou porque os

custos de sua modificação são demasiadamente elevados. Tais circunstâncias indicam que

os critérios para a aceitação do risco são inadequados e convém que sejam revistos, se

possível. No entanto, nem sempre é possível rever os critérios para a aceitação do risco no

tempo apropriado. Nesses casos, os tomadores de decisão podem ter que aceitar riscos que

não satisfaçam os critérios normais para o aceite. Se isso for necessário, convém que o

tomador de decisão comente explicitamente sobre os riscos e inclua uma justificativa para

a sua decisão de passar por cima dos critérios normais para a aceitação do risco.

A retenção de riscos acima do nível de risco aceitável implica na aceitação das

perdas previstas na análise do impacto.


Página 100 de 115

Os riscos identificados podem ser aceitos por omissão ou ausência da completude

das informações que propicia um entendimento inadequado da real situação do risco.

1.8 Comunicação de riscos

1.8.1 Comunicação e consulta do risco de segurança da informação

Convém que as informações sobre riscos sejam trocadas e/ou compartilhadas entre o tomador de decisão e as outras partes interessadas.

A comunicação do risco é uma atividade que objetiva alcançar um consenso sobre como os riscos devem ser gerenciados, fazendo uso para tal da troca e/ou partilha das informações sobre o risco entre os tomadores de decisão e as outras partes interessadas. A informação inclui, entre outros possíveis fatores, a existência, natureza, forma, probabilidade, severidade, tratamento e aceitabilidade dos riscos.

A comunicação eficaz entre as partes interessadas é importante, uma vez que isso pode ter um impacto significativo sobre as decisões que devem ser tomadas. A comunicação assegurará que os responsáveis pela implementação da gestão de riscos, e aqueles com interesses reais de direito, tenham um bom entendimento do por que as decisões são tomadas e dos motivos que tornam certas ações necessárias. A comunicação é bidirecional.

A percepção do risco pode variar devido a diferenças de suposições, conceitos, necessidades, interesses e preocupações das partes interessadas quando lidam com o risco ou quando tratam das questões em discussão. As partes interessadas provavelmente irão fazer julgamentos sobre a aceitabilidade do risco tendo como base sua própria percepção do risco. Assim, é particularmente importante garantir que a percepção do risco das partes interessadas, bem como a sua percepção dos benefícios, seja identificada e documentada e que as razões subjacentes sejam claramente entendidas e consideradas.

Convém que a comunicação do risco seja realizada a fim de:

tratamento do risco

da informação que aconteçam devido à falta de entendimento mútuo entre os tomadores de decisão e as partes interessadas

incidente

sobre riscos

Gestão de Riscos Prof. Msc Nilton Stringasci Moreira

Convém que a organização desenvolva planos de comunicação dos riscos tanto para as

operações rotineiras também para situações emergenciais. Portanto, convém que a atividade de comunicação do risco seja realizada continuamente.

A coordenação entre os principais tomadores de decisão e as partes interessadas pode ser obtida mediante a formação de uma comissão em que os riscos, a sua priorização, as formas adequadas de tratá-los e a sua aceitação possam ser amplamente discutidos.

É importante cooperar com o escritório de relações públicas ou com o grupo de comunicação apropriado dentro da organização para coordenar as tarefas relacionadas com a comunicação e consulta do risco. Isso é vital no caso de ações de comunicação durante crises, por exemplo, em resposta a incidentes específicos.

Dentro de uma organização os vários níveis necessitam de diferentes tipos de informações que serão obtidos através do processo de gestão de riscos.

O Conselho de Administração deve: • conhecer os riscos mais importantes que a organização enfrenta • conhecer os possíveis efeitos no valor acionista provocados pelos desvios relativamente aos níveis de desempenho esperados • garantir níveis adequados de sensibilização aos riscos em toda a organização • saber de que forma a organização vai gerir uma crise • conhecer o nível de confiança dos intervenientes na organização • saber como gerir as comunicações com os investidores, quando aplicável • ter a certeza de que o processo de gestão de riscos é eficaz • publicar uma política de gestão de riscos clara que abranja a abordagem geral e as responsabilidades da gestão de riscos

As Unidades de Negócio devem: • estar conscientes dos riscos inerentes às respectivas áreas de responsabilidade, dos possíveis impactos que estes podem ter noutras unidades e das consequências que outras unidades lhes podem provocar • dispor de indicadores de desempenho que lhes permitam monitorizar nas atividades chave, quer financeiras quer operacionais,os progressos para o cumprimento dos objetivos. • identificar intervenções necessárias à correção de desvios (por exemplo, previsões e orçamentos) • dispor de sistemas que informem sobre variações orçamentais e de previsões, com uma frequência adequada, que permitam reações apropriadas • comunicar, sistemática e imediatamente, à direção de topo todos os riscos novos ou falhas constatadas nas medidas de controle existentes

Cada indivíduo deve:


Página 102 de 115

• compreender o seu nível de responsabilização relativamente a riscos individuais • compreender de que forma podem contribuir para a melhoria contínua da gestão de riscos • compreender que a gestão de riscos e a sensibilização para a existência de riscos são elementos chave da cultura da organização • comunicar, sistemática e imediatamente, à direção de topo todos os riscos novos ou falhas constatadas nas medidas de controles existentes

1.8.2 Comunicação externa

Regularmente, uma empresa precisa de prestar contas aos intervenientes, definindo as

respectivas políticas de gestão de riscos e a eficácia na obtenção de objetivos.

Cada vez mais, os intervenientes pretendem que as organizações apresentem provas de uma gestão eficaz do desempenho não financeiro, em áreas como assuntos da comunidade, direitos humanos, legislação laboral, saúde e segurança e meio ambiente.

Boa gestão empresarial exige que as empresas adotem uma abordagem metodológica para a gestão de riscos que :

• proteja os interesses dos intervenientes • garanta que o Conselho de Administração cumpre os seus deveres relativamente à direção da estratégia, construa valor e monitoriza o desempenho da organização • garanta que os controles de gestão estão implementados e funcionam corretamente

As disposições relativas à comunicação formal da gestão de riscos devem ser claramente definidas e estar disponíveis para os intervenientes.

A comunicação formal deve tratar de : • métodos de controle – em particular, responsabilidades de gestão relativas à gestão de riscos • processos utilizados para identificar riscos e a forma como estes são tratados pelos sistemas de gestão • principais sistemas de controle implementados para gerir os riscos mais significativos • sistema de monitoração e revisão implementado

Todas as deficiências significativas não abrangidas pelo sistema, ou do próprio sistema, devem ser comunicadas em conjunto com os passos dados para corrigi-las.


Página 103 de 115

1.9 Monitoramento dos riscos

1.9.1 Monitoramento e análise crítica dos fatores de riscos

Convém que os riscos e seus fatores (isto é, valores dos ativos, impactos, ameaças,

vulnerabilidades, probabilidade de ocorrência) sejam monitorados e analisados criticamente, a fim de identificar, o mais rapidamente possível, eventuais mudanças no contexto da organização e de manter uma visão geral dos riscos.

Os riscos não são estáticos. As ameaças, as vulnerabilidades, a probabilidade ou as consequências podem mudar abruptamente, sem qualquer indicação. Portanto, o monitoramento constante é necessário para que se detectem essas mudanças. Serviços de terceiros que forneçam informações sobre novas ameaças ou vulnerabilidades podem prestar um auxílio valioso.

Convém que as organizações assegurem que os seguintes itens sejam monitorados

continuamente:

Novos ativos que tenham sido incluídos no escopo da gestão de riscos

requisitos de negócio

ção e que não tenham sido avaliadas

ameaça as explore

ameaças novas ou ressurgentes

conjunto, em um todo agregado, resultando em um nível inaceitável de risco

Novas ameaças, novas vulnerabilidades e mudanças na probabilidade ou nas consequências podem vir a ampliar os riscos anteriormente avaliados como pequenos. Convém que a análise crítica dos riscos pequenos e aceitos considere cada risco separadamente e também em conjunto, a fim de avaliar seu impacto potencial agregado. Se os riscos não estiverem dentro da categoria "baixo" ou "aceitável", convém que eles sejam tratados utilizando-se uma ou mais de uma das opções consideradas na Seção 9.

Fatores que afetam a probabilidade ou as consequências das ameaças já ocorridas podem mudar, assim como os fatores que afetam a adequação ou o custo das várias opções de tratamento. Convém que qualquer grande mudança que afete a organização seja seguida por uma análise crítica mais específica. Assim sendo, convém que não só as atividades de monitoramento de riscos sejam repetidas regularmente, mas também que as opções selecionadas para o tratamento do risco sejam periodicamente revistas.


Página 104 de 115

O resultado da atividade de monitoramento de riscos pode fornecer os dados de entrada para as atividades de análise crítica. Convém que a organização analise todos os riscos regularmente e também quando grandes mudanças ocorrerem.

Aspectos

A gestão de riscos eficaz necessita de uma estrutura de comunicação e revisão que assegure que os riscos são identificados e avaliados de forma eficaz e que os controles e respostas adequados são implementados.

Devem ser executadas auditorias regulares ao cumprimento de políticas e normas e o desempenho, de acordo com as mesmas, deve ser revisto para identificar oportunidades de melhoria. É preciso não esquecer que as organizações são dinâmicas e funcionam em ambientes dinâmicos. As alterações à organização e ao ambiente no qual aquela funciona devem ser identificadas, para que sejam efetuadas as modificações adequadas aos sistemas.

O processo de monitoração deve garantir que estão implementados os controles adequados para as atividades da organização e que os procedimentos são compreendidos e seguidos.

As alterações à organização e ao ambiente no qual se insere devem ser identificadas, para que sejam efetuadas as mudanças adequadas aos sistemas.

Qualquer processo de monitoração e revisão deve determinar se: • as medidas adotadas alcançaram os resultados pretendidos • os procedimentos adotados e as informações recolhidas para a realização da avaliação foram os adequados • um melhor nível de conhecimento teria ajudado a tomar melhores decisões e a identificar a possibilidade de tirar ilações para futuras avaliações.


Página 105 de 115

1.9.2 Monitoramento, análise crítica e melhoria do processo de gestão de riscos

Convém que o processo de gestão de riscos de segurança da informação seja continuamente monitorado, analisado criticamente e melhorado, quando necessário e apropriado.

O monitoramento cotidiano e a análise crítica são necessários para assegurar que o contexto, o resultado do processo de avaliação de riscos e do tratamento do risco, assim como os planos de gestão, permaneçam relevantes e adequados às circunstâncias.

Convém que a organização se certifique de que o processo de gestão de riscos de segurança da informação e as atividades relacionadas permaneçam apropriados nas circunstâncias presentes e que sejam acompanhados. Convém que quaisquer melhorias do processo ou quaisquer ações necessárias para melhorar a conformidade com o processo sejam comunicadas aos gestores apropriados, para que se possa ter certeza que nenhum risco ou elemento do risco será ignorado ou subestimado, que as ações necessárias estão sendo executadas e que as decisões corretas estão sendo tomadas a fim de garantir uma compreensão realista do risco e a capacidade de reação.

Além disso, convém que a organização verifique regularmente se os critérios utilizados para medir o risco e os seus elementos ainda são válidos e consistentes com os objetivos de negócios, estratégias e políticas e se as mudanças no contexto do negócio são adequadamente consideradas durante o processo de gestão de riscos de segurança da informação. Convém que essa atividade de monitoramento e análise crítica lide com (mas não seja limitada a):

Convém que a organização assegure que os recursos necessários para o processo de

avaliação de riscos e o tratamento dos riscos estejam sempre disponíveis para rever os riscos, lidar com ameaças ou vulnerabilidades novas ou alteradas e aconselhar a direção da melhor forma possível.

O monitoramento da gestão de riscos pode resultar em modificação ou acréscimo da abordagem, metodologia ou ferramentas utilizadas, dependendo:

continuidade de negócios, a resiliência diante dos incidentes, a conformidade)

exemplo, a organização, a unidade de negócios, o sistema de informação, a sua implementação técnica, a aplicação, a conexão à Internet)


Página 106 de 115

REFERÊNCIAS

ABIN – AGÊNCIA BRASILEIRA DE INTELIGÊNCIA. Programa Nacional de Proteção ao conhecimento. Disponível em www.abin.gov.br. Acesso em: 15 out. 2010

ABNT NBR ISO/IEC 27005. Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação. NBR ISO/IEC 27005:2011. Rio

de Janeiro: ABNT, 2011.

ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Tecnologia da Informação – Código de prática para gestão de segurança da informação. NBR ISO/IEC 27002: 2005. Rio de Janeiro: ABNT, 2005.

_________ ISO/IEC 27001:2006, Information Technology - Security Techniques - Information Security Management Systems - Requirements, Rio de Janeiro: ABNT, 2006.

ADACHI, Tomi. Gestão de Segurança em Internet Banking. 2004. 121 f. Dissertação (Mestrado em Administração). Fundação Getúlio Vargas, São Paulo, 2004.

ALGHATHBAR, Khaled. An approach to establish a Center of excellence in information security. InternationalJournal of Computer Science and Network Security, USA, v.8 n.3, p. 1-12, Mar. 2008.

ALVIM, P. C. R. C. O papel da informação no processo de capacitação tecnológica das micro e pequenas empresas. Revista Ciência da Informação, Brasília, v. 27, n. 1, p. 28-35, jan./abr. 1998. AMIT, R. ; SHOEMAKER, P.J. Strategic assets and organizational rent. Strategic Management Journal, USA, v.14, n.1, p.33-46, Jan. 1993.

ARANHA, F. ; ZAMBALDI, F. Análise fatorial em administração. São Paulo: Cengage Learning, 2008.

BANDEIRA-DE-MELLO, R.; CUNHA, C. A natureza e a dinâmica das capacidades organizacionais no contexto brasileiro: uma agenda para pesquisas sobre a vantagem competitiva das empresas brasileiras. In: ENCONTRO ANUAL DA ASSOCIAÇÃO NACIONAL DOS PROGRAMAS DE PÓS-GRADUAÇÃO EM ADMINISTRAÇÃO, 25. 2001, Campinas, Anais... São Paulo, 2001, 1 CD-ROM


Página 107 de 115

BARNEY, Jay B. Strategic factor Markets: expectations, luck and business strategy. Management Science, USA, v.32, n.10, p.1231-1241, Oct. 1986.

_________. Firm resources and sustained competitive advantage. Journal of

Management, USA, v.17 n.1, p.99-120, Mar.1991.

_________. Gaining and sustaining competitive advantage. New York: Addison- Wesley Publishing Company, 1997.

BARRETO, Aldo de Albuquerque. A eficiência técnica e econômica e a viabilidade de produtos e serviços de informação. Ciência da Informação, Brasília, v. 25, n. 3, p. 405-414, 1996.

BEAL, Adriana. Gestão estratégica da informação; 1ª ed.; São Paulo: Atlas. 2004

BERALDI, L. C. ; FILHO E. E.. Impacto da tecnologia de informação na gestão de pequenas empresas. CI. Inf, Brasilia, v.29, n.1, p. 46-50, jan – abr. 2000.

BEUREN, Ilse M. Gerenciamento da Informação: um recurso estratégico no processo de gestão empresarial. São Paulo: Atlas, 1998.

BNDES. Circulares nº 10/2010 e 11/2010, Março/2010. Disponível em

<http://www.bndes.gov.br/SiteBNDES/bndes/bndes_pt/Navegacao_Suplementar/Perfil/port

e.html>, Acesso em: 10 ago. 2010.

BORAN, Sean. IT Security Cookbook. USA, v1. dec.1996. Disponível em <http://boran.com/security/>. Acesso em: 15 nov. 2010.

BRASIL. Decreto Nº 5.028, de 31 de março de 2004. Publicada no DOU de 1º de abril de 2004. Altera os valores dos limites fixados nos incisos I e II do art. 2º da Lei nº 9.841 de 5 de outubro de 1999, que instituiu o Estatuto da Microempresa e da Empresa de Pequeno Porte. Disponível em: <http://www.trt02.gov.br/geral/Tribunal2/LEGIS/Decreto/5028_04.html>. Acesso em: 14 jun.2010.

BRUCKMAN, John Charles ; IMAN, Steve. Consulting with Small Business: a process model. Journal of Small Business Management, Milwaukee, v. 18, n.2, p.41-47, Apr. 1980.

CAMERON, K. Effectiveness as paradox: consensus and conflict in conceptions of organizational effectiveness. Management Science, USA, v.32, n.5, p.539-553, May 1986.

http://www.bndes.gov.br/SiteBNDES/bndes/bndes_pt/Navegacao_Suplementar/


Página 108 de 115

CANSIAN, Adriano M. Conceitos para perícia forense computacional. Anais VI Escola Regional de Informática da SBC, Instituto de Ciências Matemáticas e Computação de São Carlos, USP (ICMC/USP), São Carlos, SP, p.141-156, 2001.

CARNEIRO, Jorge Manoel Teixeira et al.Building a better measure of business performance.

RAC-Eletrônica, Rio de Janeiro, v.1, n. 2, art.8, p. 114-135, maio/ago. 2007. Disponível em:

<http://www.anpad.org.br/periodicos/arq_pdf/a_639.pdf>. Acesso em: 15 mai. 2010.

CARUSO, Carlos A. A.; STEFFEN, Flávio Deny. Segurança em informática e de informações. São Paulo: Senac, 1999.

CASSARO, A.C. Sistemas de informações para tomada de decisões. 3a. ed. São Paulo:Pioneira

Thomson Learning, 2001.

CERT.Br – Centro de estudos, resposta e tratamento de incidentes de segurança no Brasil,

Disponível em <http://www.cert.br/stats/incidentes>/ acesso em 31/10/2010

CHANG, Arthur Jung-Ting; YEH, Quey-Jen.Threats and countermeasures for information system security: A cross-industry study. Information & Management,USA, v.44, n.5, p.480–491, Jun. 2007.

CHOO, C. W. A organização do conhecimento. São Paulo, Senac, 2003.

COCURULLO, Antonio – Gestão de Riscos Corporativos – Riscos alinhados com algumas

ferramentas de gestão – Um estudo de caso. 2. Ed. São Paulo. Ed. Scortecci, 2003

CONNER, Kathleen R. A historical comparison of resource-based theory and five schools of thought within industrial organisation economics: Do we have a new theory of the firm?. Journalof Management, USA, v.17 n.1, p.121-154, Mar.1991.

CORRAR, L.J.; PAULO, E.; DIAS FILHO, J.M. Análise multivariada para os cursos de administração, ciências contábeis e economia. São Paulo:Atlas. 2007.

COSIER, Richard; DALTON, Dan. Management Consulting: planning, entry and performance. Journal of counseling and development, Alexandria; v.72, n2, p.191-198, nov/dec 1993.


Página 109 de 115

DAVENPORT, Thomas H., PRUSAK, Laurence. Ecologia da informação: por que só a tecnologia não basta para o sucesso na era da informação. São Paulo: Futura, 1998.

DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel Books, 2000.

DIERICKX, Ingemar ; COOL, Karel. Asset stock accumulation and sustainability of competitive advantage. Management Science, USA, v.35 n.12, p.1504-1511, dec. 1989.

ERNST & YOUNG, 12ª PesquisaAnual Ernst & Young – Global Information Security Survey.USA, Ernst & Young , 2010.

FARN, Jean-Kwo; LIN, Shu-Kuo; FUNG, Andrew Ren-Wei. A study on information security Management System evaluation – assets, threat and vulnerability. Computer Standards & Interfaces, USA, v.26 n.1, p.501-513, Apr. 2004.

FLORENCE, G.; CALIL, S. J. Uma nova perspectiva no controle dos riscos da utilização de tecnologia médico-hospitalar. Tecnologia para Saúde, 2005.

GABBAY, Max Simon. Fatores influenciadores da implementação de ações de gestão de segurança da Informação: um estudo com executivos e gerentes de tecnologia da informação em empresas do Rio Grande do Norte. 2003. 170f. Dissertação (Mestrado em Engenharia de Produção) - Universidade Federal do Rio Grande do Norte, Rio Grande do Norte, 2003.

GIL, Antônio Carlos. Como elaborar projetos de pesquisa. 3. ed. São Paulo: Atlas, 1991. _________. Métodos e técnicas de pesquisa social. São Paulo: Atlas, 2006. GONÇALVES, José Ernesto Lima. Os impactos das novas tecnologias nas empresas prestadoras de serviços. Revista de Administração de Empresas, São Paulo, v. 34, n.1, p.63-81, jan-fev. 1994.

GORDON L.A., LOEB M.P. The Economics of Information Security Investment. USA, Transactions on Information and System Security, USA, v.5,n.4, p.438–457, nov.2002.

GRANT, Robert M.. The resource-based theory of competitive advantage: implications for strategy formulation. California Management Review, USA, v.33, n.3, p.114-135, spring 1991.


Página 110 de 115

GUPTA, Atul. Information systems security issues and decisions for small businesses - an empirical examination. Information Management & Computer Security, USA, v.13, n.4, p. 297-310, 2005.

HAIR, JR Joseph F.; BABIN, Barry; MONEY Arthur H.; SAMOUEL, Phillip. Fundamentos de Métodos de Pesquisa em Administração. Porto Alegre: Bookman, 2005.

HUMPHREYS E.J. Guide to BS7799 Risk Assessment and Management. London,British Standards Institution, 1998.

ISMS, International User Group. International register of ISMS certificates.Disponívelem: <http://www.iso27001certificates.com>acessoem 31 out 2010.

ISO, ISO ISO/IEC 27001 For Small Business – Practical advice, International Organization for Standardization. Geneva, 2010

ISO Guide 73 – Risk Management – Vocabulary – Guidelines for use in standards

KIM, J.; MUELLER, C. W. Introduction to factor analisys: what it is and how to do it. Beverly Hill, CA: Sage Publications, 1978. 79p.

KOTLER, Phillip et al.Marketing de serviços profissionais. 2. ed. São Paulo: Manole, 2002.

KURPIUS, DeWayne J.; FUQUA, Dale R. Fundamental issues in defining consulation; Journal of Counseling and Development, Alexandria, v.71, n.6, p.598-600, Jul/Aug. 1993.

LAMPSON, Butler W. Computer Security in Real World, New Orleans, Louisiana, 16 th Annual Computer Security Application Conference, 2000. Disponível em: <http://www.acsac.org/invited-essay/essays/2000-lampson.pdf>. Acesso em 03 Jan 2011.

LAUDON, Keneth C; LAUDON, Jane Price. Sistemas de informação com Internet, 4.ed. Rio de Janeiro: LTC, 1999.

LAUREANO Marcos Aurelio Pchek; MORAES, Paulo Eduardo Sobreira. Segurança como estratégia de gestão da informação. Revista Economia & Tecnologia. v.8, n.3, p.38-44, 2005

LEONE, N.M.C.P.G. As especificidades das pequenas e médias empresas. Revista de Administração, São Paulo, v. 34, n. 2, p.91-94, Abr/Jun. 1999.


Página 111 de 115

LOCH, Karen D. ; CARR, Houston H.; WARKENTIN, Merril E., Threats to Information Systems: today´s reality, yesterday´s understanding, Computer Security, p 173-186, MIS Quarterly, Jun, 1992,

LUCIANO, Edimara M.; ABDALA, Elisabeth, LUCAS, Igor S. A.. Segurança de informações e governança em pequenas empresas. In: CONGRESSO ANUAL DE TECNOLOGIA DA INFORMAÇÃO/CATI, 2004, São Paulo. Anais... São Paulo: FGV-EAESP,2004.

LUNARDI, Guilherme Lerch; DOLCI, Pietro Cunha; MAÇADA A.C.G.. Adoção de tecnologia de informação e seu impacto no desempenho organizacional: um estudo realizado com micro e pequenas empresas. Revista de Administração, São Paulo, v.45, n1, p5-17, jan-mar. 2010. MALHOTRA, Naresh K. Pesquisa de marketing: uma orientação aplicada – 4.ed. – Porto Alegre: Bookman, 2006.

MARCONI, M.A., LAKATOS, E.M. Técnicas de pesquisa: planejamento e execução de pesquisas, amostragens e técnicas de pesquisa, elaboração, análise e interpretação de dados. 6. ed. São Paulo: Atlas, 2007.

MARTINS, Alaíde Barbosa; SANTOS, Celso Alberto Saibel. Uma Metodologia para implantação de um sistema de gestão de segurança da informação. Revista de Gestão da Tecnologia e Sistemas de Informação, São Paulo, v.2, n.2, p.121-136. 2005.

MAZZALI L.; SOUZA, M.C. A. F. Conceito e espaço da pequena empresa na estrutura industrial: heterogeneidade e formas de inserção. Gestão & Produção, São Carlos, v. 15, n. 3, p. 591-603, set.-dez. 2008

MCGAUGHEY, J.R.E. et al. Implementing information technology for competitive advantage: risk management issues. Information & Management, USA, v.26, n5, p. 273-280, may 1994.

MCGEE, J. V.; PRUSAK, L. Gerenciamento estratégico da informação. Rio de Janeiro: Campus,

1994.

MCKENNA, Christopher. The origens of modern management Consulting. Business andeconomichistory,Williamsburg, v.24, n.1, p.51-59, Fall 1995.

MCT, MINISTÉRIO DA CIÊNCIA E TECNOLOGIA. Associativismo é saída para o desenvolvimento. 16 ago. 2004. Disponível em: <200.130.9.6/index.php?action =/content/view&cod_objeto=19754>. Acesso em: 19 nov. 2010.


Página 112 de 115

MDIC. MINISTÉRIO DO DESENVOLVIMENTO, INDÚSTRIA E COMÉRCIO EXTERIOR. A micro e pequena empresa no Brasil. Dados. Brasília. Disponível em: <http:/www.mdic.gov.br/progacoes-Mpme/Dados/hm>. Acesso em:10 set. 2010.

MEMÓRIA, Carlos Augusto Silva. A influência do ERP nos ativos intangíveis de organizações de TI de pequeno e médio porte: um estudo de caso no Distrito Federal. 2010. 96f. Dissertação (Mestrado profissional executivo em gestão empresarial). Fundação Getúlio Vargas, Rio de Janeiro, 2010.

MENEZES, Josué das Chagas. Gestão da Segurança da Informação: análise em três organizações brasileiras. 2005. 104 f. Dissertação (Mestrado em Administração). Universidade Federal da Bahia, Bahia, 2005.

MORAES, Giseli Diniz de Almeida; FILHO, Edmundo Escrivão. A gestão da informação diante das especificidades das pequenas empresas, CI. Inf, Brasilia, v.35, n.3, p. 124-132, set/dez 2006.

MOREIRA, Nilton Stringasci. Segurança Mínima. Rio de Janeiro:Axcel Books, 2001. 276 p.

NAKAMURA, Emilio Tissato; GEUS, Paulo Lício de. Segurança de Redes em Ambientes Cooperativos. São Paulo: Futura 2003. 472 p.

OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation

OECD, Organização de Cooperação e de Desenvolvimento Econômico. Sites da Internet de

micro e pequenas empresas no mundo. Disponível em: <http://www.oecd.org > acesso

em 01 Jul. 2010

OLIVEIRA, Eduardo Sampaio de. Critérios de decisão relevantes na escolha e contratação de serviços de consultoria de gestão: A perspectiva dos clientes. 2005. 213 f. Dissertação (Mestrado em Administração). Universidade de São Paulo, São Paulo, 2005.

OLIVEIRA, M.A.L. Qualidade: o desafio da pequena e média empresa. Rio de Janeiro: Qualitymark, 1994.

PELTIER, Thomas R. Information security policies, procedures, and standards: guidelines for effective information security management. USA, Auerbach Publications, 2001.

PENROSE, Edith T. The theory of growth of the firm, London: Basil Blackwell,1959.


Página 113 de 115

PETERAF, Margaret A., The cornerstones of competitive advantage: a resource-based view, Strategic Management Journal, USA, v.14, n3, p.179-191, Mar. 1993.

PFLEEGER, Charles P. Security in Computing. London , 1 ed., Prentice-Hall International, 1989.

POSTHUMUS, Shaun; SOLMS, Rossouw Von. A framework for the governance of information security. Information Management & Computer Security, v.23, n.8, p.638-646, dec. 2004.

RATTNER, H. Inovação tecnológica e pequenas empresas: uma questão de sobrevivência. Revista de Administração de Empresas (RAE), Rio de Janeiro, v.24, n.3, p.70-73, jul./ago./ set. 1984.

RICCI, Gysele L. Desempenho e controle em pequenas e médias empresas: estudo do setor hoteleiro da regial central do Estado de São Paulo. 2010. 223f. Dissertação (Mestrado em Engenharia de Produção). Escola de Engenharia de São Carlos da Universidade de São Paulo, São Paulo, 2010.

RUMELT, R. P. Toward a strategic theory of the firm. In R. B. LAMB. Competitive strategic management. EnglewoodCliffs, NJ: Prentice-Hall, p.557-570, 1984.

SEBRAE – SERVIÇO BRASILEIRO DE APOIO ÀS MICRO E PEQUENAS EMPRESAS. Fatores condicionantes e taxas de sobrevivência e mortalidade das micro e pequenas empresas no Brasil 2003–2005. Relatório de Pesquisa. Brasilia: SEBRAE, 2007.

_________. Fatores condicionantes e taxa de mortalidade de empresas no Brasil. Brasília: SEBRAE/NA, Ago. 2004.

_________.Classificação Empresarial. Disponível em http://www.sebrae.com.br/uf/goias/indicadores-das-mpe/classificacao-empresarial/integra_bia?ident_unico=97. Acesso em: 15 mai 2010.

SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. Rio de Janeiro. Campus, 2003.

SILVA NETTO, Abner da. Gestão da Segurança da Informação: fatores que influenciam sua adoção em pequenas e médias empresas. 2007. 107f. Dissertação (Mestrado em Administração). Universidade Municipal de São Caetano do Sul-IMES, São Paulo, 2007.


Página 114 de 115

SMITH, A.D.; RUPP, W.T. Issues in cybersecurity; understanding the potential risksassociated with hackers/crackers. Information Management & Computer Security, USA, v.10, n.4, p.178-83, 2002.

SMITH, M. Computer security – threats, vulnerabilities and countermeasures. Information Age(IK), v.11, n4, p.205-210, Oct. 1989.

_________.Commonsense Computer Security - Your Practical Guide to Information Protection. London, McGraw-Hill, 1 ed., 1993.

SOLMS, Basie Von, SOLMS Rossouw Von, The 10 deadly sins of information security management.Computers and Security, USA, v.23, n.5, p. 371–376, May 2004.

SOLMS, Rossouw Von. Information security management: why standards are important. Information Management & Computer Security, USA, v.7 n.1, p.50-57, Aug. 1999.

_________. Information Security - A Multidimensional Discipline. Computers & Security, v.20, n.6, p. 504-508, 2001.

SOLOMON, S. A grande importância da pequena empresa: a pequena empresa nos

Estados Unidos no Brasil e no mundo. Rio de Janeiro: Editorial Nórdica, 1986.

SPINELLIS, D., Kokolakis, S. and Gritzalis, S., Security requirements, risks and recommendations for small enterprise and home-office environments, Information Management & Computer Security, USA, v.7, n. 3, p. 121-128. 1999.

STAIR, R. M. Princípios de sistemas de informação: uma abordagem gerencial. 2. ed. Rio de

Janeiro: LTC Livros Técnicos e Científicos,1998.

TAKEMURA, Toshihiko. A quantitative study on Japanese worker´s awareness to information security using the data collected by web-based survey. American Journal of Economics and Business Administration, v.2 n.1, p. 20-26, 2010.

TEIXEIRA, Rivanda Meira e BARBOSA, Jenny Dantas. Gestão de pequenas e médias indústrias: o foco em marketing. In: EGEPE – Encontro de estudos sobre empreendedorismo e gestão de pequenas empresas. 2003, Brasília. Anais... Brasília: UEM/UEL/UnB, 2003, p. 994-1022.


Página 115 de 115

THOMSON K. L. Integrating information security into corporate culture. 2003.151f. Masters dissertation(Information Technology) Port Elizabeth Technikon, 2003.

THONG, J. Y. L. Resource constraints and information systems implementation in Singaporean small businesses. The International Journal of Management Science,USA, n.29, p.143-156, Jul. 2001.

TORRES, O.; JULIEN, P. A. Specificity and denaturing of small business. International Small Business Journal, v. 23, n. 4, p. 355-377, dez 2005.

TSIAKIS, Theodosios. Information security expenditures: a techno-economic analysis. International Journal of Computer Science and Network Security, v.10, n.4, p.7-11, Apr. 2010.

TSIAKIS, Theodosios; STEPHANIDES, George. The economic approach of information security.Computers& Security, USA, v.24, p.105-108, Feb. 2005.

VASCONCELLOS, F.C.; CYRINO, A.B. Vantagem competitiva: os modelos teóricos atuais e a convergência entre estratégia e teoria organizacional. Revista de Administração de Empresas, São Paulo, v. 40, n. 4, p. 20-37, out/dez. 2000.

WADLOW, T. Segurança de Redes - Projeto e gerenciamento de redes seguras. Rio de Janeiro: Editora Campus, 2000.

WAKEFIELD, R. IT security issues. The CPA Journal, v.72, n.11, p.55-60, 2002.

WANG, Andy Ju An. Information Security Models and Metrics. USA, 43rd ACM Southeast Conference, Kennesaw , 2005.

WARREN, M. J.. Security practice: survey evidence from three countries. Logistics Information Management, v.15, n.5, p.347-351, 2002.

WERNERFELT, Birger. A resource-based view of the firm, Strategic Management Journal, USA, v.5, n2, p.171-180, Apr-Jun.1984.

WILSON, Jonh L. ; TURBAN, Efrain ; ZVIRAN, Moshe. Information systems security: a managerial perspective. International Journal Information Management. v.12, n2, p.105-119, jun. 1992.

apostila de analise de riscos

Documents