banco central do brasil 2009/2010 anÁlise e gerenciamento de riscos - identificação e...
TRANSCRIPT
BANCO CENTRAL DO BRASILBANCO CENTRAL DO BRASIL2009/20102009/2010
ANÁLISE E GERENCIAMENTOANÁLISE E GERENCIAMENTODE RISCOSDE RISCOS
- Identificação e classificação de ativos;- Identificação e classificação de ativos;- Vulnerabilidades;- Vulnerabilidades;- Ameaças;- Ameaças;- Probabilidades;- Probabilidades;- Impactos; e- Impactos; e- Alternativas de mitigação.- Alternativas de mitigação.
Professor: HêlbertProfessor: Hêlbert
Em um mundo onde a competição, a Em um mundo onde a competição, a evolução e a mudança desempenham papel evolução e a mudança desempenham papel importante para a inovação e o desenvolvimento importante para a inovação e o desenvolvimento de organizações, a de organizações, a gestão de segurança da gestão de segurança da informaçãoinformação é elemento fundamental para o é elemento fundamental para o sucesso das instituições e empresas.sucesso das instituições e empresas.
Dentre os diversos assuntos tratados pela Dentre os diversos assuntos tratados pela gestão de segurança da informação, um dos gestão de segurança da informação, um dos principais elementos que direcionam as ações é o principais elementos que direcionam as ações é o gerenciamento de riscogerenciamento de risco, iniciado com a , iniciado com a implementação de um processo de implementação de um processo de análise de análise de risco.risco.
Cada vez mais as organizações, seus Cada vez mais as organizações, seus sistemas de informação sistemas de informação ee redes de computadores redes de computadores são colocados à prova por diversos tipos de são colocados à prova por diversos tipos de ameaçasameaças, incluindo vazamento de informações, , incluindo vazamento de informações, fraudes, roubos e invasões (físicas e lógicas).fraudes, roubos e invasões (físicas e lógicas).
Problemas causados por vírus e hackers são Problemas causados por vírus e hackers são
freqüentes e se proliferam rapidamente.freqüentes e se proliferam rapidamente.
A A Análise de Riscos Análise de Riscos tem por objetivo:tem por objetivo:
- Mapear e tratar adequadamente as - Mapear e tratar adequadamente as ameaçasameaças e e vulnerabilidadesvulnerabilidades do ambiente; do ambiente;
- Identificar - Identificar riscosriscos;;
- Quantificar o impacto das - Quantificar o impacto das ameaçasameaças; e; e
- Conseguir um equilíbrio financeiro entre o - Conseguir um equilíbrio financeiro entre o impactoimpacto do risco e do risco e custocusto da contramedida. da contramedida.
A A identificação dos riscos identificação dos riscos e seu correto e seu correto entendimento irá entendimento irá direcionar os investimentos direcionar os investimentos de de forma consciente, obtendo melhores resultados.forma consciente, obtendo melhores resultados.
Nesse processo é necessário se quantificar o Nesse processo é necessário se quantificar o
impacto dos riscos impacto dos riscos existentes no ambiente sobre os existentes no ambiente sobre os resultados da empresa ou instituição. resultados da empresa ou instituição.
Com a análise de risco é possível verificar Com a análise de risco é possível verificar qual o qual o investimentoinvestimento necessárionecessário à infra-estrutura de à infra-estrutura de segurança de modo que os segurança de modo que os riscos inaceitáveis riscos inaceitáveis sejam sejam gerenciados.gerenciados.
RiscosRiscos
Probabilidade de ocorrência de um acidente Probabilidade de ocorrência de um acidente ou evento adverso;ou evento adverso;
Probabilidade de danos potenciais;Probabilidade de danos potenciais;
Fator, evento ou condição incerta, com efeito Fator, evento ou condição incerta, com efeito positivo ou negativo sobre os objetivos da positivo ou negativo sobre os objetivos da instituição ou empresa;instituição ou empresa;
O O RiscoRisco é a relação existente entre a é a relação existente entre a probabilidade de que uma ameaça de evento probabilidade de que uma ameaça de evento adverso ou acidente determinado se concretize e o adverso ou acidente determinado se concretize e o grau de vulnerabilidade do sistema receptor e seus grau de vulnerabilidade do sistema receptor e seus efeitos.efeitos.
RiscoRisco é a probabilidade de um agente de é a probabilidade de um agente de ameaça efetivar uma ameaça, via exploração de ameaça efetivar uma ameaça, via exploração de uma vulnerabilidade de um ativo, causando uma vulnerabilidade de um ativo, causando impactos que comprometem o cumprimento da impactos que comprometem o cumprimento da missão.missão.
Risco AmbientalRisco Ambiental
Possibilidade de dano, enfermidade ou morte Possibilidade de dano, enfermidade ou morte resultante da exposição de seres humanos, animais resultante da exposição de seres humanos, animais ou vegetais a agentes ou condições ambientais ou vegetais a agentes ou condições ambientais potencialmente perigosas.potencialmente perigosas.
AmeaçasAmeaças
Ação ou evento que potencialmente pode Ação ou evento que potencialmente pode romper a segurança e causar danos.romper a segurança e causar danos.
Agentes ou condições dispostos a explorar Agentes ou condições dispostos a explorar vulnerabilidades para geração de incidentes. vulnerabilidades para geração de incidentes.
Ex.: funcionários insatisfeitos, enchentes, Ex.: funcionários insatisfeitos, enchentes, temperatura, ex-funcionários, concorrentes.temperatura, ex-funcionários, concorrentes.
É necessário identificar as falhas de É necessário identificar as falhas de segurança e as ameaças ativas, reagindo de acordo segurança e as ameaças ativas, reagindo de acordo com o nível de gravidade do risco e as potenciais com o nível de gravidade do risco e as potenciais perdas.perdas.
Identificação da AmeaçaIdentificação da Ameaça
Identificação do agente ou evento adverso, Identificação do agente ou evento adverso, efeitos favoráveis e desfavoráveis, população efeitos favoráveis e desfavoráveis, população vulnerável e condições de exposição.vulnerável e condições de exposição.
Caracterização do RiscoCaracterização do Risco
Descrição dos diferentes efeitos potenciais Descrição dos diferentes efeitos potenciais relacionados com a ameaça.relacionados com a ameaça.
É a etapa final da avaliação de risco, ou seja, É a etapa final da avaliação de risco, ou seja, descrição da natureza, incluindo a sua intensidade descrição da natureza, incluindo a sua intensidade para os seres humanos e o grau de incerteza para os seres humanos e o grau de incerteza concomitante (probabilidade de ocorrência).concomitante (probabilidade de ocorrência).
Descrição dos diferentes efeitos potenciais Descrição dos diferentes efeitos potenciais (danos possíveis) e a quantificação da relação entre (danos possíveis) e a quantificação da relação entre a magnitude do evento e a intensidade do dano a magnitude do evento e a intensidade do dano esperado, mediante metodologia científica.esperado, mediante metodologia científica.
Enumeração dos dados esperados a saúde, ao Enumeração dos dados esperados a saúde, ao patrimônio, instalações, meio ambiente, etc.patrimônio, instalações, meio ambiente, etc.
Quantificação e definição da proporção, por Quantificação e definição da proporção, por meio de estudos epidemiológicos e de modelos meio de estudos epidemiológicos e de modelos matemáticos, entre a magnitude do evento e a matemáticos, entre a magnitude do evento e a intensidade dos danos esperados (causa e efeito). intensidade dos danos esperados (causa e efeito).
Definição da área e da população em risco.Definição da área e da população em risco.
Avaliação da ExposiçãoAvaliação da Exposição
Estudo da evolução do fenômeno, Estudo da evolução do fenômeno, considerando-se a variável tempo. considerando-se a variável tempo.
Definição dos níveis de alerta e alarme. Definição dos níveis de alerta e alarme.
Estimativa de RiscoEstimativa de Risco
Conclusão sobre o grau de risco, obtida após Conclusão sobre o grau de risco, obtida após a comparação entre a caracterização do risco e a a comparação entre a caracterização do risco e a avaliação da exposição. avaliação da exposição.
Definição de Alternativas de GestãoDefinição de Alternativas de Gestão
Processo de desenvolvimento e análise de Processo de desenvolvimento e análise de alternativas, com o objetivo de controlar e alternativas, com o objetivo de controlar e minimizar os riscos e as vulnerabilidades. minimizar os riscos e as vulnerabilidades.
DanosDanos
Os desastres não produzem apenas efeitos Os desastres não produzem apenas efeitos facilmente perceptíveis, pois têm conseqüências facilmente perceptíveis, pois têm conseqüências que se desenvolvem lentamente e se manifestam que se desenvolvem lentamente e se manifestam muito tempo depois de ocorrido o desastre.muito tempo depois de ocorrido o desastre.
Danos IndiretosDanos Indiretos
Referem-se basicamente aos bens e serviços Referem-se basicamente aos bens e serviços que deixam de ser produzidos ou prestados durante que deixam de ser produzidos ou prestados durante um lapso de tempo que se inicia logo depois de um lapso de tempo que se inicia logo depois de ocorrido o desastre e pode se prolongar durante a ocorrido o desastre e pode se prolongar durante a fase de reabilitação e reconstrução.fase de reabilitação e reconstrução.
Danos DiretosDanos Diretos
São aqueles sofridos pelos ativos São aqueles sofridos pelos ativos imobilizados, destruídos ou danificados.imobilizados, destruídos ou danificados.
Trata-se, essencialmente, dos prejuízos que o Trata-se, essencialmente, dos prejuízos que o patrimônio sofreu durante o sinistro.patrimônio sofreu durante o sinistro.
Os desastres podem provocar ainda alguns Os desastres podem provocar ainda alguns efeitos indiretos difíceis de se quantificar. efeitos indiretos difíceis de se quantificar.
São os efeitos “intangíveis”, como os São os efeitos “intangíveis”, como os sofrimento humano, a insegurança, rejeição pela sofrimento humano, a insegurança, rejeição pela forma com que a autoridade enfrentaram as forma com que a autoridade enfrentaram as conseqüências do desastre.conseqüências do desastre.
Na análise de risco é realizado um Na análise de risco é realizado um levantamento das ameaças e vulnerabilidades do levantamento das ameaças e vulnerabilidades do ambiente. ambiente.
As informações resultantes deste As informações resultantes deste levantamento são correlacionadas com os levantamento são correlacionadas com os ativosativos da da empresa ou instituição, onde são analisados os empresa ou instituição, onde são analisados os riscos possíveis a cada ativo e o valor financeiro riscos possíveis a cada ativo e o valor financeiro que este risco representa. que este risco representa.
O resultado na análise de risco fornece O resultado na análise de risco fornece informações estratégicas que possibilitam a informações estratégicas que possibilitam a definição de um limite entre os investimentos em definição de um limite entre os investimentos em segurança e os riscos aceitáveis.segurança e os riscos aceitáveis.
VulnerabilidadesVulnerabilidades
São falhas existentes em tecnologias, São falhas existentes em tecnologias, ambientes, processos ou pessoas. ambientes, processos ou pessoas.
Ex.: falta de treinamento de funcionários, bug Ex.: falta de treinamento de funcionários, bug em software, falta de manutenção de hardware, em software, falta de manutenção de hardware, falta de extintores de incêndio, inexistência ou falta de extintores de incêndio, inexistência ou inadequado controle de acesso a instituição, etc.inadequado controle de acesso a instituição, etc.
Análise de VulnerabilidadesAnálise de Vulnerabilidades
Tem por objetivo verificar a existência de Tem por objetivo verificar a existência de falhas de segurança no ambiente.falhas de segurança no ambiente.
Esta análise é uma ferramenta importante Esta análise é uma ferramenta importante para a implementação de controles de segurança para a implementação de controles de segurança eficientes sobre os ativos da instituição. eficientes sobre os ativos da instituição.
Na análise de vulnerabilidades é realizada Na análise de vulnerabilidades é realizada uma verificação detalhada do ambiente da uma verificação detalhada do ambiente da instituição, verificando se o ambiente atual fornece instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a condições de segurança compatíveis com a importância estratégica dos serviços realizados. importância estratégica dos serviços realizados.
A análise de vulnerabilidade sobre ativos da A análise de vulnerabilidade sobre ativos da informação compreende Tecnologias, Processos, informação compreende Tecnologias, Processos, Pessoas e Ambientes.Pessoas e Ambientes.
TecnologiasTecnologias: :
SoftwareSoftware e e hardwarehardware usados em servidores, usados em servidores, estações de trabalho e outros equipamentos estações de trabalho e outros equipamentos pertinentes, como sistemas de telefonia, rádio e pertinentes, como sistemas de telefonia, rádio e gravadores.gravadores.
Ex.: estações sem anti-vírus, servidores sem Ex.: estações sem anti-vírus, servidores sem detecção de intrusão, sistemas sem identificação ou detecção de intrusão, sistemas sem identificação ou autenticação.autenticação.
A A vulnerabilidade na computação vulnerabilidade na computação significa a significa a existência de brecha em um sistema computacional, existência de brecha em um sistema computacional, também conhecida como também conhecida como ““bugbug””. .
ProcessosProcessos
Análise do fluxo de informação, da geração Análise do fluxo de informação, da geração da informação e de seu consumo. Analisa também da informação e de seu consumo. Analisa também como a informação é compartilhada entre os como a informação é compartilhada entre os setores da organização.setores da organização.
PessoasPessoas
As pessoas são ativos da informação e As pessoas são ativos da informação e executam processos, logo, precisam ser analisadas. executam processos, logo, precisam ser analisadas.
Pessoas podem possuir grandes e importantes Pessoas podem possuir grandes e importantes vulnerabilidades. vulnerabilidades.
Ex.: Desconhecer a importância da segurança, Ex.: Desconhecer a importância da segurança, desconhecer suas obrigações e responsabilidades, desconhecer suas obrigações e responsabilidades, deixando processos com “dois pais” e outros deixando processos com “dois pais” e outros “órfãos”. “órfãos”.
AmbientesAmbientes
É o espaço físico onde acontecem os É o espaço físico onde acontecem os processos, onde as pessoas trabalham e onde estão processos, onde as pessoas trabalham e onde estão instalados os componentes de tecnologia. instalados os componentes de tecnologia.
Este item é responsável pela análise de áreas Este item é responsável pela análise de áreas físicas. físicas.
Ex.: Acesso não autorizado a servidores, Ex.: Acesso não autorizado a servidores, arquivos, agendas, cofres e fichários.arquivos, agendas, cofres e fichários.
ImpactoImpacto
Ainda nesse processo é necessário se Ainda nesse processo é necessário se determinar qual o determinar qual o grau de prejuízo grau de prejuízo da empresa ou da empresa ou instituição se determinado ativo tornar-se instituição se determinado ativo tornar-se indisponível, público ou não confiável (sem indisponível, público ou não confiável (sem integridade).integridade).
Benefícios da Análise e Gerenciamento de Benefícios da Análise e Gerenciamento de RiscosRiscos
- Maior conhecimento do ambiente, seus - Maior conhecimento do ambiente, seus problemas e riscos; problemas e riscos;
- Possibilidade de tratamento das - Possibilidade de tratamento das vulnerabilidades, com base nas informações vulnerabilidades, com base nas informações geradas;geradas;
- Informações estratégicas sobre - Informações estratégicas sobre investimentos; investimentos;
- Maior organização e aderência a padrões de - Maior organização e aderência a padrões de segurança; segurança;
- Maior confiabilidade do ambiente após a - Maior confiabilidade do ambiente após a análise;análise;
- Informações para o desenvolvimento da - Informações para o desenvolvimento da Política de Segurança da instituição.Política de Segurança da instituição.
- Melhoria na identificação de ameaças e - Melhoria na identificação de ameaças e oportunidades;oportunidades;
- Valoração da incerteza e da variabilidade;- Valoração da incerteza e da variabilidade;
- Gerenciamento pró-ativo ao invés de - Gerenciamento pró-ativo ao invés de reativo;reativo;
- Alocação e uso mais efetivo de recursos;- Alocação e uso mais efetivo de recursos;
- Melhoria no gerenciamento de incidentes e - Melhoria no gerenciamento de incidentes e redução nas perdas e no custo do risco;redução nas perdas e no custo do risco;
- Melhoria na confiança do - Melhoria na confiança do stakeholderstakeholder e no e no relacionamento;relacionamento;
- Menos surpresas;- Menos surpresas;
- Exploração de oportunidades;- Exploração de oportunidades;
- Melhoria no planejamento e no - Melhoria no planejamento e no desempenho da instituição;desempenho da instituição;
- Economia e eficiência;- Economia e eficiência;
- Melhoria na reputação;- Melhoria na reputação;
- Proteção da alta administração;- Proteção da alta administração;
- Melhoria pessoal.- Melhoria pessoal.
Produtos Finais:Produtos Finais:
- Reunião de conclusão da análise; Reunião de conclusão da análise;
- Relatório de Análise de Risco; Relatório de Análise de Risco;
- Plano de Ação para curto e médio prazo. - Plano de Ação para curto e médio prazo.
DiagnósticoDiagnóstico
Para que isso ocorra é necessário Para que isso ocorra é necessário diagnosticar a situação da segurança na diagnosticar a situação da segurança na organização e recomendar ações e contramedidas organização e recomendar ações e contramedidas para cada vulnerabilidade mapeada.para cada vulnerabilidade mapeada.
O O DiagnósticoDiagnóstico consiste em um consiste em um processo de processo de identificação dos riscosidentificação dos riscos de segurança a que a de segurança a que a organização está exposta. organização está exposta.
Ele será realizado através de uma avaliação Ele será realizado através de uma avaliação sistemática que visa o mapeamento das ameaças e sistemática que visa o mapeamento das ameaças e vulnerabilidades.vulnerabilidades.
O O RiscoRisco deve ser visto e entendido para que deve ser visto e entendido para que as as oportunidadesoportunidades sejam sejam maximizadasmaximizadas e as e as potenciais potenciais perdasperdas sejam sejam minimizadasminimizadas. .
O O RiscoRisco representa a capacidade de representa a capacidade de enxergar o futuro e suas conseqüências, podendo enxergar o futuro e suas conseqüências, podendo ele ser tanto positivo quanto negativo. ele ser tanto positivo quanto negativo.
De fato, existe o risco de se perder algo, De fato, existe o risco de se perder algo, mas também existe o risco de se ganhar algo.mas também existe o risco de se ganhar algo.
Os Os gerenciamento de riscogerenciamento de risco deve ser deve ser modelado, discutido e seguido pelos projetos e modelado, discutido e seguido pelos projetos e pelas organizações como um instrumento de pelas organizações como um instrumento de tomada de decisõestomada de decisões..
A A Análise de Riscos Análise de Riscos é, portanto, fundamental é, portanto, fundamental para maximizar oportunidades e minimizar para maximizar oportunidades e minimizar potenciais perdas, e deve ser aplicada em todos os potenciais perdas, e deve ser aplicada em todos os contextos.contextos.
““Você deseja uma válvula que não vaze e faz Você deseja uma válvula que não vaze e faz
todo o possível para desenvolvê-la. Mas no mundo todo o possível para desenvolvê-la. Mas no mundo real só existem válvulas que vazam. Você tem de real só existem válvulas que vazam. Você tem de determinar o grau de vazamento que pode determinar o grau de vazamento que pode tolerar.”tolerar.”
Foi com esta frase que o The New York Foi com esta frase que o The New York Times apresentou, em 3 de janeiro de 1996, o Times apresentou, em 3 de janeiro de 1996, o obituário de Arthur Rudolph, o cientista obituário de Arthur Rudolph, o cientista responsável pelo desenvolvimento do foguete responsável pelo desenvolvimento do foguete Saturno 5, que lançou a primeira missão Apolo à Saturno 5, que lançou a primeira missão Apolo à Lua. Lua.
A frase representa, de forma peculiar, a A frase representa, de forma peculiar, a inquietação dos cientistas quanto ao uso seguro da inquietação dos cientistas quanto ao uso seguro da tecnologia. tecnologia.
Num mundo de equipamentos complexos, Num mundo de equipamentos complexos, onde onde panespanes podem ter conseqüências desastrosas, é podem ter conseqüências desastrosas, é necessário se estar sempre alerta para possíveis necessário se estar sempre alerta para possíveis erroserros e e falhasfalhas. .
Este fato tem ganhado cada vez mais Este fato tem ganhado cada vez mais importância, uma vez que o uso de importância, uma vez que o uso de diferentes diferentes tecnologiastecnologias de uma forma interligada aumenta a de uma forma interligada aumenta a complexidade dos sistemascomplexidade dos sistemas, que ainda sofrem , que ainda sofrem influência dos processos das organizações.influência dos processos das organizações.
A A Segurança da Informação Segurança da Informação se insere se insere fortemente ao ambiente de negócios, fortemente ao ambiente de negócios, principalmente porque a principalmente porque a Análise de Riscos Análise de Riscos é uma é uma premissas cada vez mais adotada pelas premissas cada vez mais adotada pelas organizações.organizações.
A A Análise de Riscos Análise de Riscos tem como um dos tem como um dos pilares a pilares a segurança da informaçãosegurança da informação, existindo uma , existindo uma inter-relação entre a gestão da segurança da inter-relação entre a gestão da segurança da informação e o gerenciamento de risco. informação e o gerenciamento de risco.
Uma das visões do risco é que ele está Uma das visões do risco é que ele está relacionado com a relacionado com a capacidade de se enxergar o capacidade de se enxergar o futurofuturo, de modo a se tomar as ações mais indicadas , de modo a se tomar as ações mais indicadas e necessárias para minimizar possíveis danos e e necessárias para minimizar possíveis danos e também para maximizar as oportunidades. também para maximizar as oportunidades.
Gestão de Segurança da Informação e Gerenciamento de Risco
A gestão de segurança da informação A gestão de segurança da informação influencia cada vez mais os processos das influencia cada vez mais os processos das organizações. organizações.
Uma boa gestão de segurança começa com Uma boa gestão de segurança começa com uma análise de risco, que identifica e analisa os uma análise de risco, que identifica e analisa os principais riscos capazes de afetar a organização. principais riscos capazes de afetar a organização.
Com base nas informações de contexto Com base nas informações de contexto obtidas pela análise de risco, as ações mais obtidas pela análise de risco, as ações mais indicadas são definidas.indicadas são definidas.
A A Análise de Risco Análise de Risco é parte do é parte do Gerenciamento Gerenciamento de Riscode Risco, que é uma abordagem importante para , que é uma abordagem importante para que as organizações minimizem os riscos negativos que as organizações minimizem os riscos negativos e maximizem as oportunidades.e maximizem as oportunidades.
É crescente o interesse das organizações É crescente o interesse das organizações brasileiras por saber qual seu grau de exposição brasileiras por saber qual seu grau de exposição frente às ameaças capazes de comprometer a frente às ameaças capazes de comprometer a estabilidade da suas operações. estabilidade da suas operações.
São São ameaçasameaças como: concorrentes, hackers, como: concorrentes, hackers, funcionários insatisfeitos, que somadas ao grande funcionários insatisfeitos, que somadas ao grande número de vulnerabilidades nos sistemas número de vulnerabilidades nos sistemas tecnológicos, materializam o nível de risco de uma tecnológicos, materializam o nível de risco de uma organização. organização.
ArriscarArriscar faz parte da estratégia, conhecer e faz parte da estratégia, conhecer e gerenciar os riscos é administrar o futuro. gerenciar os riscos é administrar o futuro.
Garantir que as suas estratégias alcançarão o Garantir que as suas estratégias alcançarão o nível desejado significa identificar e entender os nível desejado significa identificar e entender os riscos, para então administrá-los. riscos, para então administrá-los.
Estar vivo, por exemplo, significa “arriscar-Estar vivo, por exemplo, significa “arriscar-se diariamente”. Atravessar a rua, ir ao jogo de se diariamente”. Atravessar a rua, ir ao jogo de futebol ou dirigir são exemplos de situações que futebol ou dirigir são exemplos de situações que envolvem fatores de risco.envolvem fatores de risco.
Porém, como já estamos acostumados a Porém, como já estamos acostumados a enfrentá-los, formamos um instinto natural para o enfrentá-los, formamos um instinto natural para o cálculo de energia utilizada para minimizar e cálculo de energia utilizada para minimizar e controlar os riscos. controlar os riscos.
Podemos utilizar a mesma analogia para o Podemos utilizar a mesma analogia para o mundo corporativo onde o “estilo de vida” é a mundo corporativo onde o “estilo de vida” é a operação da empresa ou instituição, a exposição é o operação da empresa ou instituição, a exposição é o alcance da sua operação, e a energia investida para alcance da sua operação, e a energia investida para minimizar os riscos é o investimento despendido minimizar os riscos é o investimento despendido para conhecer e controlar a situação.para conhecer e controlar a situação.
Como analisar riscos sem estudar Como analisar riscos sem estudar minuciosamente os processos de negócio que minuciosamente os processos de negócio que sustentam sua organização? sustentam sua organização?
Como classificar o risco destes processos sem Como classificar o risco destes processos sem antes avaliar as vulnerabilidades dos componentes antes avaliar as vulnerabilidades dos componentes de tecnologia relacionados a cada processo? de tecnologia relacionados a cada processo?
Quais são os seus processos críticos? Aqueles Quais são os seus processos críticos? Aqueles que sustentam a área comercial, a área financeira que sustentam a área comercial, a área financeira ou a produção? ou a produção?
Você saberia avaliar qual a importância do Você saberia avaliar qual a importância do seu servidor de web? seu servidor de web?
Para cada pergunta, uma mesma resposta:Para cada pergunta, uma mesma resposta:
““CONHECER PARA PROTEGER”. CONHECER PARA PROTEGER”.
A Análise de Risco se divide em cinco partes de igual importância:
Isoladas, estas partes representam muito pouco ou quase nada.
Alinhados e geridos de forma adequada, estes componentes da análise de risco podem apontar caminhos seguros na busca do nível adequado de segurança de uma organização.
Os cinco pontos são:
• • Identificação e Classificação dos Processos Identificação e Classificação dos Processos de Negócio;de Negócio;
• • Identificação e Classificação dos Ativos Identificação e Classificação dos Ativos (tecnológicos, humanos e processuais);(tecnológicos, humanos e processuais);
• • Análise de Ameaças e Danos;Análise de Ameaças e Danos;
• • Análise de Vulnerabilidades;Análise de Vulnerabilidades;
• • Análise de Risco.Análise de Risco.
Padrões e NormasPadrões e Normas
O objetivo das normas é fornecer O objetivo das normas é fornecer recomendações para gestão da segurança da recomendações para gestão da segurança da informação para uso por aqueles que são informação para uso por aqueles que são responsáveis pela introdução, implementação ou responsáveis pela introdução, implementação ou manutenção da segurança em suas empresas. manutenção da segurança em suas empresas.
Elas também se destinam a fornecer uma base Elas também se destinam a fornecer uma base comum para o desenvolvimento de normas e de comum para o desenvolvimento de normas e de práticas efetivas voltadas à segurança práticas efetivas voltadas à segurança organizacional e também, a estabelecer a confiança organizacional e também, a estabelecer a confiança nos relacionamentos entre as organizações.nos relacionamentos entre as organizações.
Utiliza-se como métrica as melhores práticas Utiliza-se como métrica as melhores práticas de segurança da informação do mercado, apontadas de segurança da informação do mercado, apontadas na norma ISO/IEC 17799. na norma ISO/IEC 17799.
A partir destas informações faz-se possível a A partir destas informações faz-se possível a elaboração do perfil de risco, que segue a fórmula:elaboração do perfil de risco, que segue a fórmula:
(Ameaça) x (Vulnerabilidade) x (Valor do (Ameaça) x (Vulnerabilidade) x (Valor do Ativo) = RISCO. Ativo) = RISCO.
Atenção: Atenção: a ISO/IEC 17799 não ensina a a ISO/IEC 17799 não ensina a analisar o risco, serve apenas como referência analisar o risco, serve apenas como referência normativa. normativa.
Por que fazer uma análise de risco?
Durante o planejamento do futuro da empresa Durante o planejamento do futuro da empresa ou instituição, os gestores da organização devem ou instituição, os gestores da organização devem garantir que todos os cuidados foram tomados para garantir que todos os cuidados foram tomados para que seus planos se concretizem. que seus planos se concretizem.
A formalização de uma Análise de Risco A formalização de uma Análise de Risco provê um documento indicador de que este cuidado provê um documento indicador de que este cuidado foi observado. foi observado.
O resultado da Análise de Risco dá à O resultado da Análise de Risco dá à organização o organização o controle sobre seu próprio destinocontrole sobre seu próprio destino..
Através do relatório final, pode-se identificar Através do relatório final, pode-se identificar quais controles devem ser implementados quais controles devem ser implementados em curto, em curto, médio e longo prazo. médio e longo prazo.
Assim, Assim, os ativos serão protegidos os ativos serão protegidos com com investimentos adequados ao seu valor e ao seu investimentos adequados ao seu valor e ao seu risco. risco.
Quando fazer uma análise de riscos?
Uma análise de riscos deve ser realizada — Uma análise de riscos deve ser realizada — sempre — antecedendo um investimento. sempre — antecedendo um investimento.
Quem deve participar da análise de riscos?
O processo de análise de riscos deve envolver O processo de análise de riscos deve envolver especialistas em análise de riscos e especialistas no especialistas em análise de riscos e especialistas no negócio da empresa.negócio da empresa.
Quanto tempo o projeto deve levar?
A execução do projeto deve ser realizada em A execução do projeto deve ser realizada em tempo mínimo. Em ambientes dinâmicos a tempo mínimo. Em ambientes dinâmicos a tecnologia muda muito rapidamente. tecnologia muda muito rapidamente.
Um projeto com mais de um mês, em Um projeto com mais de um mês, em determinados ambientes pode ao final já estar determinados ambientes pode ao final já estar desatualizado e não corresponder ao estado atual da desatualizado e não corresponder ao estado atual da organização. organização.
O conceito de análise de risco está O conceito de análise de risco está intimamente relacionado à figura da intimamente relacionado à figura da Inteligência Inteligência CompetitivaCompetitiva, uma vez que agrega “solidez” à , uma vez que agrega “solidez” à informação corporativa.informação corporativa.
Controlando as ameaças, poderemos chegar Controlando as ameaças, poderemos chegar ao conceito de “administração de cenários”. ao conceito de “administração de cenários”.
A A Figura 1Figura 1 apresenta o modelo de apresenta o modelo de gerenciamento de risco adotado pela AS/NZS gerenciamento de risco adotado pela AS/NZS 4360:2004. O modelo apresenta os elementos do 4360:2004. O modelo apresenta os elementos do gerenciamento de risco:gerenciamento de risco:
• • Estabelecimento de contexto;Estabelecimento de contexto;• • Identificação de risco;Identificação de risco;• • Análise de risco;Análise de risco;• • Avaliação de risco;Avaliação de risco;• • Tratamento de risco;Tratamento de risco;• • Monitoramento e revisão;Monitoramento e revisão;• • Comunicação e consulta.Comunicação e consulta.
Figura 1: Modelo AS/NZS 4360:2004.
De acordo com a De acordo com a Figura 1Figura 1, após a análise de , após a análise de risco são necessárias atividades de avaliação de risco são necessárias atividades de avaliação de risco, de tratamento de risco, de monitoramento e risco, de tratamento de risco, de monitoramento e revisão e de comunicação e consulta. revisão e de comunicação e consulta.
A análise de risco é feita após o A análise de risco é feita após o estabelecimento de contexto e a identificação de estabelecimento de contexto e a identificação de risco. risco.
Um dos grandes benefícios da Um dos grandes benefícios da implementação de um processo de análise de risco implementação de um processo de análise de risco é a é a identificação de pontos que representam identificação de pontos que representam ameaça ameaça ao cumprimento da missão estratégica da ao cumprimento da missão estratégica da organização. organização.
Esses pontos significam riscos que podem Esses pontos significam riscos que podem comprometer o bom desenvolvimento da comprometer o bom desenvolvimento da organização, sendo, portanto, necessário o organização, sendo, portanto, necessário o tratamento adequado após a sua avaliação, que tratamento adequado após a sua avaliação, que decide pela decide pela mitigação (intervenção com o intuito de mitigação (intervenção com o intuito de reduzir ou remediar um determinado impacto), reduzir ou remediar um determinado impacto), eliminação, transferência ou aceitação do risco.eliminação, transferência ou aceitação do risco.
Assim, o órgão pode atuar de forma mais Assim, o órgão pode atuar de forma mais eficaz, criando as melhores condições para que a eficaz, criando as melhores condições para que a missão seja cumprida, com diminuição da missão seja cumprida, com diminuição da probabilidade de impactos sociais, políticos ou probabilidade de impactos sociais, políticos ou econômicos.econômicos.
A ausência de um processo bem estruturado A ausência de um processo bem estruturado de segurança da informação implica em potenciais de segurança da informação implica em potenciais perdas para a organização, em termos que vão perdas para a organização, em termos que vão desde a situação financeira até a produtividade, desde a situação financeira até a produtividade, passando pela oportunidade, qualidade, passando pela oportunidade, qualidade, credibilidade e imagem. credibilidade e imagem.
Natureza do Risco
É importante ressaltar que o risco pode ser É importante ressaltar que o risco pode ser interpretado de diferentes formas. interpretado de diferentes formas.
As pessoas vivem em risco constante, e a As pessoas vivem em risco constante, e a cada momento avaliam as possibilidades de futuro cada momento avaliam as possibilidades de futuro para tomar cada ação, mesmo que ela seja do para tomar cada ação, mesmo que ela seja do cotidiano. cotidiano.
O simples fato de O simples fato de atravessar uma ruaatravessar uma rua, por , por exemplo, representa o entendimento das exemplo, representa o entendimento das conseqüências para a decisão pelo melhor conseqüências para a decisão pelo melhor momento de atravessá-la. momento de atravessá-la.
Investimentos em Investimentos em bolsas de valores bolsas de valores também também representam bem o risco, podendo o investidor representam bem o risco, podendo o investidor obter ganhos e também sair com prejuízos.obter ganhos e também sair com prejuízos.
Desta forma, todos gerenciam o risco Desta forma, todos gerenciam o risco continuamente:continuamente:
• • Algumas vezes conscientemente;Algumas vezes conscientemente;
• • Algumas vezes sem que saibamos.Algumas vezes sem que saibamos.
O termo “O termo “riscorisco” vem do italiano “risicare”, ” vem do italiano “risicare”, que por sua vez é derivado do baixolatim “risicu, que por sua vez é derivado do baixolatim “risicu, riscu”, que significa arriscar. riscu”, que significa arriscar.
O termo indica que o risco significa O termo indica que o risco significa ousadiaousadia, , já que permite uma já que permite uma opçãoopção, e não relegar os , e não relegar os acontecimentos para o destino. acontecimentos para o destino.
Significa também a Significa também a colocação do futuro a colocação do futuro a serviço do presenteserviço do presente. Significa desafio e . Significa desafio e oportunidade, sendo também ponto-chave da oportunidade, sendo também ponto-chave da natureza da tomada de decisões.natureza da tomada de decisões.
O risco, assim, é a chance de algum evento O risco, assim, é a chance de algum evento acontecer, resultando em impactos nos objetivos. acontecer, resultando em impactos nos objetivos.
De acordo com a ISO/IEC Guide 73:2002, o De acordo com a ISO/IEC Guide 73:2002, o risco é a risco é a combinação da probabilidade de um combinação da probabilidade de um evento acontecer e a sua conseqüênciaevento acontecer e a sua conseqüência. .
As As conseqüênciasconseqüências e o impacto podem ser e o impacto podem ser tanto tanto negativosnegativos quanto quanto positivospositivos. .
Desta forma, o risco deve ser:Desta forma, o risco deve ser:
• • CompreendidoCompreendido
• • MedidoMedido
• • Avaliado (conseqüências)Avaliado (conseqüências)
As ações tomadas com base na compreensão, As ações tomadas com base na compreensão, na medição e na avaliação do risco fazem com que na medição e na avaliação do risco fazem com que as chances de sucesso aumentemas chances de sucesso aumentem, já que danos são , já que danos são minimizados e oportunidades são maximizadas. minimizados e oportunidades são maximizadas.
No entendimento do risco deve se considerar No entendimento do risco deve se considerar suas suas diferentes naturezasdiferentes naturezas. Apesar de haver um . Apesar de haver um inter-relacionamento entre os diferentes tipos de inter-relacionamento entre os diferentes tipos de risco, eles são normalmente abordados de uma risco, eles são normalmente abordados de uma forma particular para cada área de conhecimento forma particular para cada área de conhecimento ((Figura 2 ).
A Figura 2 apresenta as diferentes naturezas do risco:
O gerenciamento de risco deve tratar de uma O gerenciamento de risco deve tratar de uma forma cada vez mais integrada as diferentes visões forma cada vez mais integrada as diferentes visões do risco. do risco.
Para tanto, o grande desafio está na Para tanto, o grande desafio está na sistematização de um gerenciamento de riscosistematização de um gerenciamento de risco, , capaz de realizar essa integração através de uma capaz de realizar essa integração através de uma comunicação eficaz no qual todos os envolvidos comunicação eficaz no qual todos os envolvidos entendam e estejam comprometidos com os entendam e estejam comprometidos com os objetivos do gerenciamento de risco.objetivos do gerenciamento de risco.
Gerenciamento do Risco
O gerenciamento de risco segue um modelo O gerenciamento de risco segue um modelo clássico que é baseado em normas como a AS/NZS clássico que é baseado em normas como a AS/NZS 4360:2004.4360:2004.
O grande desafio é a sistematização da forma O grande desafio é a sistematização da forma como o gerenciamento deve ser realizado, o que como o gerenciamento deve ser realizado, o que envolve o uso de diferentes metodologias para cada envolve o uso de diferentes metodologias para cada elemento do gerenciamento de risco.elemento do gerenciamento de risco.
É interessante notar que o design e É interessante notar que o design e implementação de um sistema de gerenciamento de implementação de um sistema de gerenciamento de risco são influenciados por aspectos que incluem:risco são influenciados por aspectos que incluem:
• • Variedade de necessidades da organização;Variedade de necessidades da organização;• • Objetivos particulares;Objetivos particulares;• • Produtos e serviços;Produtos e serviços;• • Processos e práticas específicas.Processos e práticas específicas.
Assim, a forma como o risco deve ser tratado Assim, a forma como o risco deve ser tratado é definido levando-se em consideração os aspectos é definido levando-se em consideração os aspectos do projeto e o modelo de gerenciamento de risco do projeto e o modelo de gerenciamento de risco como o da como o da Figura 3.Figura 3.
Figura 3: Modelo de Gestão de Segurança da Informação para APF.Figura 3: Modelo de Gestão de Segurança da Informação para APF.
Ciclo PDCACiclo PDCA
O Ciclo PDCA nasceu no escopo da O Ciclo PDCA nasceu no escopo da tecnologia TQC (Total Quality Control) como uma tecnologia TQC (Total Quality Control) como uma ferramenta que melhor representava o ciclo de ferramenta que melhor representava o ciclo de gerenciamento de uma atividade. gerenciamento de uma atividade.
O conceito do Ciclo evoluiu ao longo dos O conceito do Ciclo evoluiu ao longo dos anos vinculando-se também com a idéia de que, anos vinculando-se também com a idéia de que, uma organização qualquer, encarregada de atingir uma organização qualquer, encarregada de atingir um determinado objetivo, necessita planejar e um determinado objetivo, necessita planejar e controlar as atividades a ela relacionadas. controlar as atividades a ela relacionadas.
O Ciclo PDCA compõe o conjunto de ações O Ciclo PDCA compõe o conjunto de ações em seqüência dada pela ordem estabelecida pelas em seqüência dada pela ordem estabelecida pelas letras que compõem a sigla: letras que compõem a sigla:
P (plan: planejar);P (plan: planejar);
D (do: fazer, executar);D (do: fazer, executar);
C (check: verificar, controlar); eC (check: verificar, controlar); e
A (act: agir, atuar corretivamente).A (act: agir, atuar corretivamente).
Como pode ser visto na Como pode ser visto na Figura 4Figura 4, vários , vários processos definidos no PMBOK tratam processos definidos no PMBOK tratam especificamente do risco: especificamente do risco:
• • Planejamento do gerenciamento de risco;Planejamento do gerenciamento de risco;• • Identificação de risco;Identificação de risco;• • Análise de risco qualitativa;Análise de risco qualitativa;• • Análise de risco quantitativa;Análise de risco quantitativa;• • Planejamento de resposta ao risco;Planejamento de resposta ao risco;• • Monitoramento e controle de risco.Monitoramento e controle de risco.
Figura 4: Risco no PMBOK.
Figura 7: Risco no PMBOK.
O processo de planejamento do O processo de planejamento do gerenciamento de risco do PMBOK, por exemplo, gerenciamento de risco do PMBOK, por exemplo, é definido da seguinte forma:é definido da seguinte forma:
• • Inputs;Inputs;• • Fatores organizacionais;Fatores organizacionais;• • Atitude e tolerância com relação ao risco;Atitude e tolerância com relação ao risco;• • Processos organizacionais;Processos organizacionais;• • Categorias de risco;Categorias de risco;• • Definição de conceitos e termos;Definição de conceitos e termos;• • Papéis e responsabilidades;Papéis e responsabilidades;• • Níveis de autoridade para tomada de Níveis de autoridade para tomada de decisão;decisão;
• • Escopo do projeto;Escopo do projeto;• • Plano de gerenciamento do projeto;Plano de gerenciamento do projeto;• • Ferramentas e técnicas;Ferramentas e técnicas;• • Reuniões e análises;Reuniões e análises;• • Output;Output;• • Plano de gerenciamento de risco.Plano de gerenciamento de risco.
A estrutura do plano do gerenciamento de A estrutura do plano do gerenciamento de risco segue o seguinte formato:risco segue o seguinte formato:
• • Metodologia;Metodologia;• • Papéis e responsabilidades;Papéis e responsabilidades;• • Investimento;Investimento;• • Cronograma;Cronograma;• • Categorias de risco (RBS);Categorias de risco (RBS);• • Definição da probabilidade e impacto do Definição da probabilidade e impacto do risco;risco;• • Matriz de probabilidade e impacto;Matriz de probabilidade e impacto;• • Tolerância dos Tolerância dos stakeholdersstakeholders;;• • Formato dos relatórios;Formato dos relatórios;• • Auditoria.Auditoria.
O RBS pode ser visto na O RBS pode ser visto na Figura 5Figura 5, e divide , e divide os riscos identificados como sendo de natureza os riscos identificados como sendo de natureza técnica, externa, organizacional e do próprio técnica, externa, organizacional e do próprio gerenciamento de projeto.gerenciamento de projeto.
No exemplo do processo de planejamento de No exemplo do processo de planejamento de resposta ao risco do PMBOK, ele possui a seguinte resposta ao risco do PMBOK, ele possui a seguinte estrutura:estrutura:
• • Inputs;Inputs;• • Plano de gerenciamento de risco;Plano de gerenciamento de risco;• • Registro de risco;Registro de risco;• • Ferramentas e técnicas;Ferramentas e técnicas;
• • Estratégias para riscos negativas ou Estratégias para riscos negativas ou ameaças;ameaças;• • Evitar, transferir, mitigar;Evitar, transferir, mitigar;• • Estratégias para riscos positivos ou Estratégias para riscos positivos ou oportunidades;oportunidades;• • Explorar, compartilhar, maximizar;Explorar, compartilhar, maximizar;• • Estratégia para ameaça e oportunidade;Estratégia para ameaça e oportunidade;• • Estratégia de contingência;Estratégia de contingência;• • Outputs;Outputs;• • Registro de risco atualizado;Registro de risco atualizado;• • Plano de gerenciamento de risco atualizado;Plano de gerenciamento de risco atualizado;• • Contrato de acordo sobre os riscos.Contrato de acordo sobre os riscos.
Figura 5: Risk Breakdown Structure (RBS) do PMBOK.Figura 5: Risk Breakdown Structure (RBS) do PMBOK.
Um ponto importante a ser considerado é Um ponto importante a ser considerado é quanto aos riscos relacionados à segurança da quanto aos riscos relacionados à segurança da informação. informação.
Uma das metodologias de análise de risco que Uma das metodologias de análise de risco que foca na segurança da informação é a OCTAVE, foca na segurança da informação é a OCTAVE, desenvolvida pela Universidade de Carnegie desenvolvida pela Universidade de Carnegie Mellon. Mellon.
As fases da OCTAVE podem ser vistas na As fases da OCTAVE podem ser vistas na Figura 6Figura 6..
Figura 6: OCTAVE e suas Figura 6: OCTAVE e suas fases.fases.
Os elementos do risco tratados, quando Os elementos do risco tratados, quando aspectos de segurança da informação são aspectos de segurança da informação são considerados, podem ser visto na considerados, podem ser visto na Figura 7Figura 7, que , que teve como foco órgãos e instituições da teve como foco órgãos e instituições da Administração Pública Federal. Administração Pública Federal.
É possível verificar que, partindo do conceito É possível verificar que, partindo do conceito definido no ISO Guide 73, de que risco é a definido no ISO Guide 73, de que risco é a combinação da probabilidade de um evento e de combinação da probabilidade de um evento e de suas conseqüências, o conceito mais detalhado suas conseqüências, o conceito mais detalhado seria: seria:
RiscoRisco é a probabilidade de um agente de é a probabilidade de um agente de ameaça efetivar uma ameaça, via exploração de ameaça efetivar uma ameaça, via exploração de uma vulnerabilidade de um ativo, causando uma vulnerabilidade de um ativo, causando impactos que comprometem o cumprimento da impactos que comprometem o cumprimento da missão.missão.
Os elementos da Os elementos da Figura 7 Figura 7 foram utilizados na foram utilizados na metodologia Risco@Gov, voltada para a metodologia Risco@Gov, voltada para a Administração Pública Federal.Administração Pública Federal.
A metodologia Risco@Gov conta com 5 A metodologia Risco@Gov conta com 5 fases:fases:
• • Fase 1 – Contextualização;Fase 1 – Contextualização;• • Fase 2 – Levantamento de informações;Fase 2 – Levantamento de informações;• • Fase 3 – Análises;Fase 3 – Análises;• • Fase 4 – Recomendações;Fase 4 – Recomendações;• • Fase 5 – Apresentação dos resultados.Fase 5 – Apresentação dos resultados.
Figura 7: Relacionamentos entre elementos do risco.Figura 7: Relacionamentos entre elementos do risco.
O início da metodologia prepara todo o O início da metodologia prepara todo o processo de análise de risco a ser conduzido, de processo de análise de risco a ser conduzido, de acordo com o contexto existente. acordo com o contexto existente.
O levantamento de informações é realizado O levantamento de informações é realizado usando diferentes técnicas e, após a análise de usando diferentes técnicas e, após a análise de risco, que envolve ainda análises de risco, que envolve ainda análises de vulnerabilidades e testes de penetração, as vulnerabilidades e testes de penetração, as recomendações são geradas, documentadas e recomendações são geradas, documentadas e apresentadas.apresentadas.
Os processos definidos na metodologia de Os processos definidos na metodologia de análise de risco Risco@Gov geram resultados análise de risco Risco@Gov geram resultados como o da como o da Figura 8Figura 8, que apresenta o nível de risco , que apresenta o nível de risco existente em um ativo, que pode comprometer o existente em um ativo, que pode comprometer o cumprimento da missão da organização. cumprimento da missão da organização.
O exemplo mostra uma base de informações O exemplo mostra uma base de informações consolidadas e que analisa os componentes do risco consolidadas e que analisa os componentes do risco relacionados com a organização.relacionados com a organização.
Figura 8: Um dos resultados do Figura 8: Um dos resultados do [email protected]@Gov.
As informações contidas nesse relatório são: As informações contidas nesse relatório são: os agentes de ameaça, as ameaças, vulnerabilidades os agentes de ameaça, as ameaças, vulnerabilidades e os controles utilizados por cada ativo crítico, com e os controles utilizados por cada ativo crítico, com a determinação do nível de risco, que leva em a determinação do nível de risco, que leva em consideração a probabilidade e o impacto consideração a probabilidade e o impacto relacionados.relacionados.
Nessa etapa é estimado o impacto que um Nessa etapa é estimado o impacto que um determinado risco pode causar ao negócio. determinado risco pode causar ao negócio.
Como é praticamente impossível oferecer Como é praticamente impossível oferecer proteção total contra todas as ameaças existentes, é proteção total contra todas as ameaças existentes, é preciso identificar os ativos e as vulnerabilidades preciso identificar os ativos e as vulnerabilidades mais críticas, possibilitando a priorização dos mais críticas, possibilitando a priorização dos esforços e os gastos com segurança. esforços e os gastos com segurança.
Uma vez que os riscos tenham sido Uma vez que os riscos tenham sido identificados e a organização definiu quais serão identificados e a organização definiu quais serão tratados, as medidas de segurança devem ser de tratados, as medidas de segurança devem ser de fato implementadas. fato implementadas.
O O Gerenciamento de Riscos Gerenciamento de Riscos é um processo é um processo contínuo, que não termina com a implementação de contínuo, que não termina com a implementação de uma medida de segurança. uma medida de segurança.
Através de um monitoramento constante, é Através de um monitoramento constante, é possível identificar quais áreas foram bem possível identificar quais áreas foram bem sucedidas e quais precisam de revisões e ajustes. sucedidas e quais precisam de revisões e ajustes.
Nessa etapa ainda podem ser definidas Nessa etapa ainda podem ser definidas medidas adicionais de segurança, como os medidas adicionais de segurança, como os Planos Planos de Continuidade dos Negóciosde Continuidade dos Negócios – que visam manter – que visam manter em funcionamento os serviços de missão-crítica, em funcionamento os serviços de missão-crítica, essenciais ao negócio da empresa, em situações essenciais ao negócio da empresa, em situações emergenciais – e Response Teams – que emergenciais – e Response Teams – que possibilitam a detecção e avaliação dos riscos em possibilitam a detecção e avaliação dos riscos em tempo real, permitindo que as providências tempo real, permitindo que as providências cabíveis sejam tomadas rapidamente.cabíveis sejam tomadas rapidamente.
O processo do gerenciamento das áreas de processo do gerenciamento das áreas de risco de segurança da informação, normalmente risco de segurança da informação, normalmente desenvolve-se em nove etapas:desenvolve-se em nove etapas:
- Análise e atribuição de valores de ativos. - Análise e atribuição de valores de ativos. - Identificação de riscos de segurança.- Identificação de riscos de segurança.- Análise e priorização dos riscos.- Análise e priorização dos riscos.- Controle, planejamento e agendamento.- Controle, planejamento e agendamento.- Desenvolvimento de correções.- Desenvolvimento de correções.- Teste de correções.- Teste de correções.- Registro de conhecimento.- Registro de conhecimento.- Reavaliação de ativos e riscos.- Reavaliação de ativos e riscos.- Estabilização e Implantação de - Estabilização e Implantação de contramedidas novas e alteradas.contramedidas novas e alteradas.
Deve-se buscar implantar a gestão pró-ativa Deve-se buscar implantar a gestão pró-ativa dos riscos, que envolve um conjunto de etapas dos riscos, que envolve um conjunto de etapas predefinidas que devem ser seguidas para impedir predefinidas que devem ser seguidas para impedir ataques antes que eles ocorram. ataques antes que eles ocorram.
Essas etapas incluem verificar como um Essas etapas incluem verificar como um ataque poderia afetar ou danificar o sistema de ataque poderia afetar ou danificar o sistema de computador e quais as suas vulnerabilidades. computador e quais as suas vulnerabilidades.
O conhecimento obtido nessas avaliações O conhecimento obtido nessas avaliações pode ajudar a implementar diretivas de segurança pode ajudar a implementar diretivas de segurança que vão controlar ou minimizar os ataques. que vão controlar ou minimizar os ataques.
Quatro são as etapas da estratégia pró-ativa:Quatro são as etapas da estratégia pró-ativa:
- Determinar os danos que o ataque causará;- Determinar os danos que o ataque causará;
- Vulnerabilidades e os pontos fracos que - Vulnerabilidades e os pontos fracos que poderão ser explorados;poderão ser explorados;
- Minimizar as vulnerabilidades e os pontos - Minimizar as vulnerabilidades e os pontos fracos; efracos; e
- Determinar o nível apropriado de - Determinar o nível apropriado de contramedidas a serem implementadas.contramedidas a serem implementadas.
Como pode ser notado, este passo está Como pode ser notado, este passo está totalmente associado ao passo anterior e, portanto, totalmente associado ao passo anterior e, portanto, deve-se ter sempre em mente a necessidade de deve-se ter sempre em mente a necessidade de equilibrar o custo da perda de dados e o custo da equilibrar o custo da perda de dados e o custo da implementação dos controles de segurança.implementação dos controles de segurança.
Identificação dos ativos a serem protegidos (Inventário de Ativos)
DadosDados - Quanto à confidencialidade, - Quanto à confidencialidade, integridade e disponibilidade; integridade e disponibilidade;
RecursosRecursos - Quanto à má utilização, - Quanto à má utilização, indisponibilidade, outros; eindisponibilidade, outros; e
ReputaçãoReputação - Imagem, credibilidade, outros. - Imagem, credibilidade, outros.
Nessa fase é necessário se determinar quais Nessa fase é necessário se determinar quais são as informações relevantes ao funcionamento da são as informações relevantes ao funcionamento da organização, definir responsáveis para estas organização, definir responsáveis para estas informações e classificar o grau necessário de informações e classificar o grau necessário de segurança destas informações para asegurança destas informações para aorganização.organização.
Dessa forma investiga-se através de Dessa forma investiga-se através de entrevistas, análises de tecnologia eentrevistas, análises de tecnologia echecklists os ativos mais relevantes para a checklists os ativos mais relevantes para a organização. Os ativos listados podem ser organização. Os ativos listados podem ser informações propriamente ditas, além de hardware, informações propriamente ditas, além de hardware, softwares, pessoas ou intangíveis que dão suporte softwares, pessoas ou intangíveis que dão suporte às informações.às informações.
A correta definição do inventário de ativos é A correta definição do inventário de ativos é importante, pois esta serve de base para o importante, pois esta serve de base para o desenvolvimento dos controles de segurança, ou desenvolvimento dos controles de segurança, ou seja, os controles são implementados sobre os seja, os controles são implementados sobre os ativos. ativos.
Benefícios:Benefícios:
-Maior conhecimento as informações da Maior conhecimento as informações da organização;organização;
-Definição de responsabilidades;Definição de responsabilidades;
-Clareza para os colaboradores sobre as suas Clareza para os colaboradores sobre as suas responsabilidades;responsabilidades;
- Conhecimento sobre a segurança necessária - Conhecimento sobre a segurança necessária para cada informação da organização.para cada informação da organização.
Classificação de AtivosClassificação de Ativos
Em contabilidade o ativo são os bens e Em contabilidade o ativo são os bens e direitos que a empresa tem num determinado direitos que a empresa tem num determinado momento, resultante de suas transações ou eventos momento, resultante de suas transações ou eventos passados da qual futuros benefícios econômicos passados da qual futuros benefícios econômicos podem ser obtidos. Exemplos de ativos incluem podem ser obtidos. Exemplos de ativos incluem caixa, estoques, equipamentos e prédios.caixa, estoques, equipamentos e prédios.
Para fins de organização em um Ativo do Para fins de organização em um Ativo do Balanço Patrimonial, os bens podem ser Balanço Patrimonial, os bens podem ser classificados da seguinte forma:classificados da seguinte forma:
Bens tangíveisBens tangíveis
São os bens que tem um corpo físico, tais São os bens que tem um corpo físico, tais como terrenos, obras civis, máquinas e utensílios, como terrenos, obras civis, máquinas e utensílios, móveis, veículos, benfeitorias em propriedades móveis, veículos, benfeitorias em propriedades arrendadas, direitos sobre recursos naturais etc.arrendadas, direitos sobre recursos naturais etc.
Bens intangíveisBens intangíveis
Os ativos intangíveis não possuem Os ativos intangíveis não possuem característica física e são de difícil avaliação. característica física e são de difícil avaliação. São bens não-físicos. Dentro deste grupo São bens não-físicos. Dentro deste grupo estão as patentes, franquias, direitos autorais, estão as patentes, franquias, direitos autorais, marcas, etc.marcas, etc.
No Ativo do Balanço Patrimonial as contas No Ativo do Balanço Patrimonial as contas devem estar dispostas em ordem decrescente de devem estar dispostas em ordem decrescente de grau de liquidez dos elementos nela registrados, grau de liquidez dos elementos nela registrados, conforme grupos a seguir:conforme grupos a seguir:
Ativo CirculanteAtivo Circulante
Em contabilidade, é uma referência aos bens Em contabilidade, é uma referência aos bens e direitos que podem ser convertidos em dinheiro e direitos que podem ser convertidos em dinheiro em curto prazo. Os ativos que podem ser em curto prazo. Os ativos que podem ser considerados como circulantes incluem: dinheiro considerados como circulantes incluem: dinheiro em caixa, conta movimento em banco, aplicações em caixa, conta movimento em banco, aplicações financeiras, contas a receber, estoques, despesas financeiras, contas a receber, estoques, despesas antecipadas, numerário em caixa, depósito antecipadas, numerário em caixa, depósito bancário, mercadorias, matérias-primas e títulos.bancário, mercadorias, matérias-primas e títulos.
Dinheiro em caixa ou em bancos, bens, Dinheiro em caixa ou em bancos, bens, direitos e valores a receber no prazo máximo direitos e valores a receber no prazo máximo realizável até o término do exercício seguinte, realizável até o término do exercício seguinte, (duplicatas, estoques de mercadorias produzidas, (duplicatas, estoques de mercadorias produzidas, etc.).etc.).
Ativo Não CirculanteAtivo Não Circulante
Os recursos aplicados no Ativo Fixo ou Os recursos aplicados no Ativo Fixo ou Imobilizado, são todas as aplicações de recursos Imobilizado, são todas as aplicações de recursos feitas pela empresa de forma permanente (fixa) que feitas pela empresa de forma permanente (fixa) que a empresa utiliza para a realização de suas a empresa utiliza para a realização de suas atividades, e podem ser classificados em bens atividades, e podem ser classificados em bens tangíveis ou intangíveis.tangíveis ou intangíveis.
Tipo de ativo que a empresa ou a pessoa não Tipo de ativo que a empresa ou a pessoa não tem intenção de vender em curto prazo e que não tem intenção de vender em curto prazo e que não apresenta grande liquidez ou facilidade em ser apresenta grande liquidez ou facilidade em ser convertido imediatamente em dinheiro, diante de convertido imediatamente em dinheiro, diante de uma necessidade financeira.uma necessidade financeira.
O ativo fixo de uma empresa é o conjunto de O ativo fixo de uma empresa é o conjunto de tudo o que é essencial para o funcionamento desta tudo o que é essencial para o funcionamento desta empresa - como imóveis, patentes, ferramentas, empresa - como imóveis, patentes, ferramentas, máquinas etc. Também conhecido por ativo máquinas etc. Também conhecido por ativo permanente.permanente.
Considerações Finais
O gerenciamento de risco é um elemento O gerenciamento de risco é um elemento chave para o sucesso das organizações, de chave para o sucesso das organizações, de tecnologias ou de projetos. tecnologias ou de projetos.
Os benefícios do gerenciamento de risco são Os benefícios do gerenciamento de risco são grandes e resultam em ganhos e na melhor grandes e resultam em ganhos e na melhor utilização de recursos.utilização de recursos.
O gerenciamento de risco faz parte da vida O gerenciamento de risco faz parte da vida das pessoas e também das empresas. das pessoas e também das empresas.
Um processo formal de gerenciamento de Um processo formal de gerenciamento de risco é um elemento importante para as tomadas de risco é um elemento importante para as tomadas de decisão, que são cada vez mais críticas devido à decisão, que são cada vez mais críticas devido à rápida evolução tecnológica, à concorrência, aos rápida evolução tecnológica, à concorrência, aos recursos existentes e à necessidade de retorno recursos existentes e à necessidade de retorno financeiro e de imagem.financeiro e de imagem.
Recomenda-se que os projetos adotem uma Recomenda-se que os projetos adotem uma abordagem de gerenciamento de risco para as abordagem de gerenciamento de risco para as decisões técnicas, operacionais e estratégicas, a fim decisões técnicas, operacionais e estratégicas, a fim de possibilitar que o sucesso do projeto chegue até de possibilitar que o sucesso do projeto chegue até o seu principal destino, que é a sociedade o seu principal destino, que é a sociedade brasileira. brasileira.