marcus leal dantas - portal idea...gêmeas do world trade center e ao pentágono, a organização...

Marcus Leal Dantas

1

Marcus Leal Dantas

Auditor fiscal e Oficial da reserva da Polícia Militar de Pernambuco, possui trabalhos publicados e realizados nas áreas de segurança pública, privada, portuária, da informação e de gestão de riscos. É contador, graduado pela UFPE, e pós-graduado em planejamento e gestão organizacional pela FCAPE, e em Direito Tributário pela UFPE. É Auditor Líder em Sistemas de Gestão de Segurança da Informação ISO 27001:2005.

É autor dos livros: Segurança preventiva: conduta inteligente do cidadão; Segurança da informação: uma abordagem focada em gestão de riscos; e Auditoria em Instalações Portuárias.

E-mail: [email protected]

Home: www.marcusdantas.com.br

2

Marcus Leal Dantas

Avaliação de riscos em Instalações Portuárias

Livro Rápido Olinda – PE

2011

3

Copyright © 2011 by Marcus Leal Dantas

Impresso no Brasil Printed in Brazil

Editor

Tarcísio Pereira

Diagramação Laís Mira

Capa

Braullio Andrew

Revisão Professora Margarida Michel

Dados Internacionais de Catalogação na Publicação (CIP) Ficha catalográfica

Dantas, Marcus Leal

D192a Avaliação de riscos em instalações portuárias / Marcus Leal Dantas – Olinda: Livro Rápido, 2010.

134 p. ; il. ,tab.

Bibliografia. p. 127-131 (bibliografia localizada) ISBN 978-85-406-0068-3 1. Instalações portuárias – sistema de segurança. 2. Avaliação

de riscos – sistema portuário. 3. Segurança portuária. 4. Gestão de riscos. 5. Segurança da cadeia logística. 6. Portos. I. Título.

658.5 CDU (1997) Fabiana Belo - CRB-4/1463

Livro Rápido – Elógica Rua Dr. João Tavares de Moura, 57/99 Peixinhos

Olinda – PE CEP: 53230-290 Fone: (81) 2121.5300 Fax: (81) 2121.5333

www.livrorapido.com

4

PREFÁCIO

A globalização tem sido cada vez mais intensa nos últimos tempos. A sua inserção em diferentes áreas cresce numa velocidade que muitas vezes mal conseguimos acompanhar.

Uma das áreas que podemos citar como precursora é a do comércio marítimo internacional, por onde é comercializada a maioria dos produtos de um país. No caso brasileiro é de extrema importância, ao se considerar que em 2010 foram movimentadas mais de 830 milhões de toneladas nos portos e terminais do país, o que representou um aumento de quase 14% em relação ao ano anterior. A se manter este ritmo de crescimento, em curto espaço de tempo atingiremos a significativa marca de 1 bilhão de toneladas.

Este comércio internacional é realizado formando uma extensa e variada cadeia logística, onde os portos e terminais são elos essenciais para a sua eficiência e eficácia em vista das inúmeras ações lá realizadas.

Este aspecto de ponto concentrador da cadeia logística também tem o seu lado negativo, pois é onde as vulnerabilidades podem ser exploradas para a consumação de ações criminosas e terroristas.

Independente das ações que possam ser tomadas é imperativo que sejam adotadas medidas mitigadoras, as quais só serão possíveis de serem identificadas com a realização de uma criteriosa avaliação do risco onde a instalação opera, bem como dos input e output da cadeia logística.

O tema segurança (proteção) nos portos e terminais, até os atentados terroristas nos Estados Unidos da América em 2001, não tinham destaque nas suas ações, porém com o estabelecimento do Código ISPS, que entrou em vigor em julho de 2004, passou a ser ponto de preocupação para os administradores de portos e terminais portuários.

O ponto de partida dos estudos das medidas de proteção é sempre a avaliação de risco, a qual precisa ser feita obedecendo a metodologias consagradas e adequadas, e porque não dizer teorizadas, sob pena de serem sub ou superdimensionadas aumentando a possibilidade de ocorrência de incidentes indesejáveis com sérios prejuízos materiais e perda de vidas ou a gastos excessivos e desnecessários, respectivamente.

5

A abordagem deste trabalho permitirá ao leitor a familiarização com a teoria do risco de uma forma bastante amigável até que entenda a sua aplicação nos portos e terminais, finalizando com o seu emprego no atendimento ao Código ISPS.

O trabalho ainda tem o mérito de se adequar aos padrões de qualidade internacional emitidos pela ISO, ao referenciar a norma ISO 20858.

Estamos diante de um trabalho que vai orientar a elaboração de muitos planos de segurança de portos e terminais.

LUIS FERNANDO RESANO

6

SUMÁRIO INTRODUÇÃO .................................................................................................. 7 1. ASPECTOS PRELIMINARES AO ESTUDO DO RISCO .................................... 10

1.1 Conceito do risco .................................................................................... 10 Equação do risco...................................................................................... 12

1.2 Origem e classificação dos riscos ........................................................... 14 Riscos naturais......................................................................................... 15 Riscos involuntários ou acidentais........................................................... 16 Riscos intencionais...................................................................................16

1.3 O ambiente e as atividades de negócios ................................................18 Noção SWOT............................................................................................ 19 Projeção.................................................................................................. 20 Prospecção ............................................................................................. 20 Atividades de negócios............................................................................ 21

1.4 Prevenção X Reação...............................................................................23 Método quantitativo ...............................................................................25 Método qualitativo .................................................................................. 31

2. GESTÃO DE RISCOS.................................................................................... 38 2.1 Benefícios e fatores críticos de sucesso para a gestão de riscos .......... 39

Fatores críticos de sucesso ..................................................................... 39 Benefícios ............................................................................................... 40

2.2 Modelos de gestão de riscos .................................................................41 2.2.1 Modelo segundo a norma ISO Guide 73:2002 ..................................41 2.2.2 Modelo segundo as normas AS/NZS 4360:2004 e ABNT NBR ISO 31000:2009 ............................................................................................. 43 2.2.3 Modelo de gerenciamento de risco de segurança da Microsoft .... 46 2.2.4 Modelo segundo a norma BS 7799-3:2006..................................... 47 2.2.5 Modelo segundo o IT Governance Institute (COBIT® 4.1)............... 50 2.2.6 Modelo segundo a norma ABNT ISO 27005:2008 ........................... 51

2.3 Revisão e monitoramento da gestão de riscos......................................52 2.4 Ferramentas utilizadas para a gestão de riscos.................................... 53

Checklist.................................................................................................. 54 Análise GAP............................................................................................. 54 Ferramentas GGRS1, GGRS2 e GGRS3 ..................................................... 55 Risk Vision............................................................................................... 56 RA2 art of risk ......................................................................................... 57

7

Módulo Risk Manager............................................................................. 58 Microsoft Security Assessment Tool ...................................................... 58

3 O PROCESSO DE AVALIAÇÃO DE RISCOS ................................................... 60 3.1 Identificação de riscos........................................................................... 60

Identificar os ativos .................................................................................61 Identificação das ameaças aos ativos..................................................... 64 Identificação das vulnerabilidades.......................................................... 65

3.2 Análise de riscos ................................................................................... 69 Os controles............................................................................................ 69 Probabilidades X Consequências: RISCO ................................................ 70

3.3 Avaliação de riscos.................................................................................73 3.4 Análise de risco X Avaliação de risco .................................................... 75 3.5 Tratar os riscos ..................................................................................... 78

4 O ISPS CODE E O PROCESSO DE AVALIAÇÃO DE RISCOS.......................... 84 4.1 O processo de avaliação de riscos em conformidade com o ISPS Code84

4.1.1 Etapa 1: Identificação e avaliação de bens móveis e infraestrutura relevantes, os quais é importante proteger ........................................... 90 4.1.2 Etapa: 2 Identificação de possíveis ameaças a bens e infraestrutura e a probabilidade de sua ocorrência, a fim de estabelecer e priorizar medidas de proteção.............................................................................. 96 4.1.3 Etapa 3: Identificação, seleção e priorização de contramedidas e alterações nos procedimentos e seu nível de eficácia quanto à redução de vulnerabilidade ...................................................................................... 110 4.1.4 Etapa 4: Identificação de vulnerabilidade....................................... 111 4.1.5 Atividades do processo de avaliação de riscos...............................113 4.1.6 Critérios e parâmetros do processo de avaliação de riscos............113

4.2 Ferramentas do processo de avaliação de riscos .................................121 4.2.1 Planilha MD1- Identificação de infraestrutura e dos bens móveis...121 4.2.2 Planilha MD2- Identificação de ameaças para a infraestrutura e os bens móveis........................................................................................... 122 4.2.3 Planilha MD3- Avaliação de consequências ................................... 123 4.2.4 Planilha MD4- Identificação e avaliação de vulnerabilidades........ 124 4.2.5 Planilha MD5- Avaliação de riscos ................................................. 125

BIBLIOGRAFIA .............................................................................................. 128

8

INTRODUÇÃO

Após os atentados terroristas de 11 de setembro de 2001 às Torres Gêmeas do World Trade Center e ao Pentágono, a Organização Marítima Internacional (IMO) aprovou o International Ship and Port Facility Security Code (ISPS Code), como parte das novas medidas de prevenção ao terrorismo.

Em linhas gerais, o ISPS Code estabeleceu requisitos e diretrizes para um sistema de proteção em embarcações e instalações portuárias. Esse novo padrão trouxe critérios que só elevam ainda mais a qualidade de um sistema de segurança, imprescindível a qualquer instalação portuária. Dentre os critérios estabelecidos, está a obrigatoriedade de se realizar uma avaliação de riscos preparatória à elaboração de um plano de proteção.

Em decorrência do código, a CONPORTOS publicou resoluções sobre as avaliações de proteção (avaliações de riscos). A Resolução CONPORTOS 003/2003 dispõe sobre as diretrizes a serem observadas quando da avaliação de instalações e da elaboração de planos de segurança portuária. A Resolução CONPORTOS 007/2003, de 11/08/2003, aprova o termo de referência para os Estudos de Avaliação das Instalações Portuárias. A Resolução CONPORTOS 09/2003, de 23/09/2003, dispõe sobre a documentação que deverá acompanhar os estudos de avaliação das instalações portuárias, e a Resolução CONPORTOS 10/2003, de 20/10/2003, aprova os procedimentos a serem observados para a análise dos estudos de avaliação de riscos das instalações portuárias.

Por definição, a avaliação de riscos é um processo geral de análise e avaliação, que ao final, apresenta uma relação com os seus principais riscos e aponta a necessidade de tratamento específico para cada um deles. O seu objetivo principal é: identificar, analisar e avaliar os riscos.

A interpretação equivocada desse processo e a observação de pontos de vulnerabilidade em processos de avaliação de riscos motivaram o início de uma pesquisa direcionada para esse problema: O ESTUDO DO RISCO.

Aceito o desafio, iniciou-se a peregrinação pelas normas internacionais sobre o foco do problema, para se adentrar em um estudo minucioso, com a ambição de se construir uma linha de pensamento voltada para uma metodologia de fácil aplicabilidade e de robustez de todo o processo de avaliação.

Ao se finalizar a pesquisa das normas, partiu-se para a verificação de algumas ferramentas atualmente empregadas para se avaliarem os riscos.

9

Mas a limitação da quantidade de ferramentas disponíveis conduziu a uma constatação: nenhuma delas estava alinhada com os requisitos e diretrizes estabelecidos no código.

Após as atividades laborais, decidimos escrever este livro, cujo objetivo é fornecer orientações para se elaborar uma avaliação de proteção eficaz e em conformidade com o ISPS Code, apresentando aspectos importantes para que esse processo possa ser alinhado com a filosofia internacionalmente aceita de gestão de riscos, além de poder agregar valor às atividades de negócios de uma instalação portuária e de contribuir para a segurança na cadeia logística.

Para alcançar esse objetivo, o livro foi estruturado em 4 capítulos: O primeiro é dedicado aos aspectos preliminares ao estudo do risco, para que se possa conhecer o conceito do risco, sua origem e os métodos de análise, dentre outros pontos importantes. O segundo aborda a gestão de riscos, seus benefícios e fatores críticos de sucesso. Nele são apresentados os modelos de gestão de riscos e algumas ferramentas utilizadas. O terceiro trata do processo de avaliação de riscos e as suas etapas. O quarto capítulo focaliza o ISPS Code e o processo de avaliação de riscos. Nesse capítulo é apresentada uma metodologia para se avaliarem os riscos em conformidade com os requisitos e diretrizes do código.

Aperfeiçoar as técnicas e as metodologias de estudo dos riscos em instalações portuárias dentro de uma filosofia de pesquisa e inovação é uma das propostas ambiciosas deste livro, pois sabemos que as incertezas nos ambientes de negócios transcendem a frágil capacidade do homem de prever eventos na simples observação e deduções vulneráveis de uma certeza factível do insucesso.

E em todo esse complexo macrossistema de inter-relações encontra-se uma gama de ameaças prontas para se concretizarem em riscos de potencial avassalador, que carecem de atenção constante e de um processo sistemático e eficaz de gestão para poder manter-se vivo e atuante em um mercado cada vez mais acirrado e cheio de incertezas.

Por tudo isso, esperamos provocar a reflexão crítica daqueles que atuam no segmento de segurança da cadeia logística com relação ao processo de se avaliarem os riscos em instalações portuárias.

Ao leitor, uma agradável e proveitosa leitura. O autor.

10

1. ASPECTOS PRELIMINARES AO ESTUDO DO RISCO

Em um cenário de incertezas, as ameaças e oportunidades têm o potencial de produzir perdas ou aumentar os ganhos. Os resultados positivos são alcançados com uma boa gestão das incertezas e de seus riscos, gerando valor ao se otimizarem as suas oportunidades e ao se estabelecerem estratégias para os objetivos de crescimento, na busca da maximização de seus resultados. Os resultados negativos são oriundos da ausência e/ou da fragilidade dessa gestão, em que os resultados podem produzir danos e perdas de grandes proporções.

Várias são as ameaças aos negócios corporativos e aos seus ativos. Os dados apontados em pesquisas demonstram o tamanho do problema para as organizações com relação aos riscos, e a magnitude do desafio da eliminação deles e do controle sobre eles.

Nesse cenário, o estudo do risco assume um importante papel nas corporações do mundo moderno ao proporcionar-lhes um processo de gerenciamento baseado nos riscos.

O ponto de partida para se iniciar o estudo do risco é o de se poder entender o que é um risco. Para isso, torna-se necessário apresentar um conceito claro do que seja o risco. 1.1 Conceito do risco

O risco é compreendido como algo que cria oportunidades ou produz perdas. Com relação à segurança, os riscos são compreendidos como condições que criam ou aumentam o potencial de danos e perdas. É medido pela possibilidade de um evento vir a acontecer e produzir perdas.

Vários conceitos e definições podem ser encontrados para a definição do risco; contudo, o conceito adotado, neste livro, para o risco é aquele estabelecido pela norma ISO/IEC Guide 73:2002,1 que define o risco2 como:

1 Essa norma apresenta as terminologias a serem utilizadas no gerenciamento de risco e uma abordagem na descrição dessas atividades. 2 Os termos e definições empregados neste livro estarão alinhados ao padrão das normas internacionais ISO e AS/NZS.

11

“A combinação da probabilidade3 de um evento4 e suas consequências.”5

Abaixo são apresentados outros conceitos de risco: A norma AS/NZS 4360:20046 define o risco como a oportunidade de

acontecimento de alguma coisa que causará impacto nos objetivos. Para essa norma, o risco é geralmente especificado em termos de um evento e/ou circunstâncias e suas consequências, e é medido pela combinação das consequências de um evento e sua probabilidade. Ele pode ter um impacto positivo ou negativo.

O HB 231:20047 refere-se ao risco como sendo a chance de acontecer alguma coisa que deverá produzir um impacto sobre os objetivos, o qual é medido em termos de probabilidade e consequências.

Brasiliano (1999:103) define a ameaça ou risco na segurança empresarial como sendo um evento capaz de produzir perdas reais e mensuráveis por um padrão comum. Para esse autor, o risco pode ser definido como uma ou mais condições de variáveis com um potencial necessário para causar dano ao patrimônio da empresa, seja esse dano tangível, seja intangível.

A Norma ABNT NBR ISO 20858:20118 define o risco como chance de lesão, dano ou perda, postulada ao se considerar a consequência de uma ameaça e a probabilidade de sua ocorrência.

A norma ABNT NBR ISO 31000:20099 define o risco como o “efeito da incerteza nos objetivos”. Segundo ela, o risco é muitas vezes caracterizado

3 A probabilidade associada a um evento é calculada para determinado período de tempo e é definida como um número real na escala de 0 a 1 associado a um evento aleatório, que pode estar relacionado a uma frequência de ocorrência relativa de longo prazo ou a um grau de confiança de que um evento irá ocorrer. Para um alto grau de confiança, a probabilidade está próxima de 1. 4 Por evento deve ser entendida a ocorrência de um conjunto particular de circunstâncias, a qual pode ser uma única ocorrência ou uma série delas. A probabilidade associada a um evento pode ser estimada em um dado período de tempo. 5 Por consequência, deve ser entendido o resultado de um evento. 6 Essa norma fornece um guia genérico para o gerenciamento de risco. 7 Essa norma fornece um guia para o gerenciamento de risco de segurança da informação. 8 Essa norma visa à execução de avaliações de segurança de instalações de portos marítimos, dos planos de segurança das instalações portuárias e das habilidades e conhecimentos do pessoal envolvido. Ela foi projetada para assegurar os requisitos estabelecidos pelo International Ship and Port Facility Security Code- ISPS Code.

12

pela referência aos eventos potenciais e às consequências ou combinação desses, e é muitas vezes expresso em termos de uma combinação de consequências de um evento e da probabilidade de ocorrência associada.

Pode-se concluir, portanto, que o risco está relacionado com a probabilidade de um evento e suas consequências.

Dessa forma, toda vez que nos referirmos ao termo risco, deveremos sempre atentar para a probabilidade de concretização de um evento e suas consequências. E essas consequências são as negativas.

Equação do risco

Como anteriormente foi definido, o risco é representado pela combinação de dois elementos: a consequência e a probabilidade. E essas variáveis podem ser representadas por uma equação.

Casada et alii (2003) apresentam uma equação para o risco, representando-o como o produto da frequência (quantidade de eventos em determinado período) pela consequência ou impacto do evento.

R= C x P R = risco; C = consequência; e P= frequência Geralmente, a frequência é estimada em dados históricos ou calculada

com base na possibilidade de combinação de eventos externos, erros humanos e falhas de equipamentos e sistemas que mais contribuem para a ocorrência do risco. Um ponto importante é a utilização de dados históricos nas organizações, pois geralmente não é consistente.

Já o cálculo baseado na combinação de eventos externos utiliza a combinação da ameaça com a vulnerabilidade, podendo vir a ser representado por P= T x V, em que: T= ameaça e V= vulnerabilidade.

A consequência é expressa pela soma dos efeitos possíveis de um ataque (ocorrência de um evento) a um determinado cenário. Pode incluir a soma de várias categorias de cenários. O somatório dessas consequências

9 Essa norma fornece princípios e diretrizes genéricos para a gestão de riscos. Ela recomenda que as organizações desenvolvam, implementem e melhorem continuamente uma estrutura cuja finalidade é integrar o processo para gerenciar riscos na governança, estratégia e planejamento, gestão, processos de reportar dados e resultados, políticas, valores e cultura em toda a organização.

13

deve anexar os efeitos intangíveis, como o capital intelectual e o impacto na sensação de segurança. Essas consequências podem ser delimitadas por valores financeiros e por níveis.

O manual de gerenciamento de risco (HB 436:2004) segue essa mesma linha de raciocínio ao expressar o risco em função da consequência e da probabilidade, e apresenta a seguinte equação:

R= C x L, em que R = risco, C = consequência e L= probabilidade Sêmola (2003) apresenta a seguinte equação para o risco,

diferenciando-se por acrescentar as medidas de segurança que, segundo ele, devem ser consideradas na aferição do risco:

R= (V x A x I)/M, em que: V= vulnerabilidade, A=ameaça, I=impacto e M=medidas de segurança. Vários fatores influenciam na medição do risco, e dentre eles devem

ser considerados os controles ou as medidas de segurança que interferem diretamente na redução ou no aumento do risco.

Um outro elemento para essa aferição é a utilização de um fator de peso, por meio de uma operação exponencial, como está citado em HB 436:2004, a qual apresenta a seguinte equação que emprega um fator de peso:

R= (C x Fator de peso)x x (L)y. O ISPS Code, em seu item 1.17 da parte B, estabelece que a avaliação

de risco deve incluir: a determinação da pressuposta ameaça às instalações e à infraestrutura do porto, a identificação das prováveis vulnerabilidades e o cálculo das consequências de um incidente.

Dessa forma, a avaliação de proteção que deseja alinhar-se com o ISPS Code deve considerar a ameaça (T), a consequência (C) e a vulnerabilidade (V). Pode ser expressa pela equação R= C x T x V.10

O emprego da equação do risco para uma aferição exata não é simples, e a sua grande dificuldade consiste na relação com a aferição de suas variáveis: consequência e probabilidade. Primeiro, porque entendemos ser bastante difícil a sua valoração, principalmente no cálculo do dano à imagem da empresa ou à marca de um produto (intangível). Segundo, pela baixa 10 Essa equação é uma das abordagens utilizadas para o processo de avaliação de risco, e pode ser encontrada no HB 167: 2006 Security risk management. Sydney/Wellington: Standards Australia/Standards New Zealand, 2006.

14

confiabilidade dos dados estatísticos nas organizações, como também pelo fato de a metodologia empregada nas pesquisas poder não representar a realidade da organização a ser avaliada.

Contudo, o que é importante na utilização da equação do risco é poder compreendê-lo de uma maneira mais ampla, dando transparência aos elementos que influenciam na sua identificação, para uma melhor análise.

Outro aspecto que deve ser observado no estudo do risco é a possibilidade de se identificar a sua origem, o que torna possível classificá-lo em categorias.

1.2 Origem e classificação dos riscos

O risco pode ter várias origens: pode ser oriundo de eventos da natureza, pode ser decorrente de problemas técnicos, bem como ser o resultado de uma ação intencional. Entender a sua origem e estabelecer uma classificação é um ponto facilitador para se compreender o risco.

Os riscos podem ser classificados em várias categorias, como, por exemplo: incontroláveis, técnicos, de mercado, de crédito, operacionais, legais, humanos. Classificar os riscos em categorias objetiva segregá-los para que seja possível dar-lhes uma melhor visibilidade, dispensando-lhes um tratamento mais específico.

A opção que apresentamos para a classificação do risco é feita com base na origem das ameaças e vulnerabilidades. Dessa forma, classificamos os riscos em 3 categorias: os naturais, os involuntários ou acidentais e os intencionais.

Os riscos classificados como naturais são aqueles oriundos de fenômenos da natureza; os involuntários ou acidentais resultam de ações não intencionais, relacionados com vulnerabilidades humanas, físicas, de hardware, de software, dos meios de armazenamento e das comunicações; e os intencionais são aqueles derivados de ações deliberadas para causarem danos e têm sua origem no ser humano.

Estabelecidas essas categorias, a etapa seguinte é identificar os principais fatores que possam motivar o risco, pois sabemos que a

15

concretização de um evento pode ser independente da intenção do agente ou do nível de controle existente, como os eventos da natureza, por exemplo.

O que se pretende alcançar é estabelecer um nexo de causalidade entre os eventos e os fatores condicionantes existentes na organização, os quais poderão concorrer para a concretização de um risco.

Um aspecto que merece reflexão é como trabalhar a definição do risco, relacionando a sua origem com possíveis condições que permitam motivá-lo, para que seja possível entender o que é um risco. Muitas vezes, não se consegue desenvolver uma cultura voltada para os cuidados com os riscos, por não se compreender o que eles representam, bem como o poder que têm de produzir resultados negativos.

Verifica-se, em muitas organizações, que o trato com os riscos é bastante limitado em se tratando do envolvimento com os funcionários. Essa falta de clareza é transformada em obstáculo ao sucesso do gerenciamento de risco.

Objetivando superar essa barreira, o caminho que entendemos ser o mais adequado é o de apresentar um conceito internacionalmente aceito para o risco, e então classificá-lo de acordo com a origem das vulnerabilidades e ameaças. Dessa forma, ao serem apresentados os principais riscos ou cenários, e ao serem apontados os possíveis fatores que possam motivá-los, não apenas estaremos trabalhando a percepção das pessoas para uma atenção maior para com os riscos, como também estaremos proporcionando o entendimento do risco e semeando uma cultura da segurança da informação.

Considerando o objetivo didático deste livro, apresentamos, a seguir, alguns fatores motivadores por categorias de risco.

Riscos naturais

Para os riscos naturais, dependendo do potencial do evento, pode parecer difícil haver uma proteção eficaz, mas, sabendo-se que tais eventos são comuns em determinada região, torna-se mais fácil adotar ações planejadas para prevenir os impactos, minimizar os danos quando de sua concretização, e poder retornar à normalidade das atividades.

16

Abaixo apresentamos alguns fatores que devem ser considerados com relação a essa categoria de risco: 1- A área em que a empresa está instalada é sujeita a eventos da natureza,

constantes ou não, de proporções catastróficas ou não; 2- Falta de acompanhamento de boletins meteorológicos; 3- Material de baixa resistência e/ou qualidade empregado na construção; 4- Equipamentos de prevenção a sinistros (de origem na natureza) sem

inspeção periódica e de má qualidade; 5- Ausência de plano de recuperação de desastres e de continuidade dos

negócios; 6- Falta de treinamento em ações contingenciais. Riscos involuntários ou acidentais

Para os riscos involuntários, a identificação da sua origem tem relação direta com as vulnerabilidades humanas, físicas, de hardware, de software, com os meios de armazenamento e as comunicações, e que geralmente ocorrem por falha na condução do sistema de gerenciamento. Contudo, alguns fatores devem ser considerados com relação aos riscos involuntários, tais como: 1- Falha nos equipamentos de prevenção e detecção; 2- Descuido no cumprimento de normas para guarda, transporte e manuseio

de material inflamável; 3- Material de fácil combustão empregado na construção; 4- Equipamentos ligados durante 24 horas; 5- Ausência de treinamento em medidas contingenciais; 6- Inexistência de processos de qualidade; 7- Inexistência de controles internos; 8- Inexistência de programa de capacitação continuada; 9- Cultura organizacional. Riscos intencionais

Já para os riscos intencionais, geralmente os fatores motivadores

estão diretamente relacionados com o tipo de negócio, o tipo de produto, o

17

tipo de mercado, a localização geográfica, com o sistema de controle interno e o nível de segurança existente.

Ele ocorre pela exploração intencional de um agente (interno ou externo) ao perceber alguma falha no sistema de proteção da empresa, ou ao executar ataques diretos ou aleatórios, com o objetivo de detectar alguma vulnerabilidade nesse sistema.

Observemos que, além de identificar a origem do risco, nessa categoria, é preciso, também, identificar o porquê da ação de pessoas, o motivo delas, sejam quais forem os seus interesses, para atentarem contra uma instituição ou pessoas. O foco dessa análise está na identificação dos principais pressupostos do agente causador do dano. Trata-se de identificar quais os pressupostos que podem levar uma pessoa a cometer uma ação deliberada contra a organização.

Essa análise pontual está relacionada com a percepção dos diretores, funcionários, membros da equipe de gerenciamento de riscos, pessoas da organização em geral, colaboradores (consultor em segurança, auditor, etc.), na tentativa de compreender que determinado ativo da organização desperta interesse em terceiros, e que, por meio de uma ação oportuna e intencional, eles podem tentar provocar algum dano.

Por exemplo, é realizar uma análise sobre os motivos que podem levar um funcionário a utilizar indevidamente um sistema. Não é a análise sobre a violação dos requisitos de proteção do sistema, mas sim, saber identificar o que motivou aquele funcionário a cometer determinada ação contra a empresa, um produto, um processo, etc.

Alguns fatores devem ser considerados com relação aos riscos intencionais, tais como: 1- Situação do sistema de controle interno; 2- Atratividade do produto e sua fácil receptação no mercado paralelo; 3- Área em que a empresa está instalada sujeita a eventos da natureza de

proporções catastróficas; 4- Situação da criminalidade na região em que a empresa está instalada; 5- Sensação de impunidade; 6- Pagamento efetuado, em espécie, aos funcionários da empresa; 7- Funcionários insatisfeitos com salários em atraso e sem perspectiva de

continuidade no emprego;

18

8- Mercado altamente competitivo; 9- Informações de alto poder estratégico.

Observemos a importância dessa percepção, uma vez que ela é uma peça importante dentro do contexto de uma abordagem mais ampla no estudo dos riscos. Além de estar relacionada com a origem do risco, essa percepção, também, o que para a empresa poderá motivar a sua ocorrência.

A concretização de um risco pode estar associada a mais de um evento, como a concorrência de mais de uma categoria. Por exemplo, citemos a ocorrência de um incêndio decorrente da queda de um raio (evento natural), quando o para-raios e os sensores de incêndio não funcionaram, o pessoal de combate ao fogo não acionou a unidade dos bombeiros, nem agiu de acordo com o estabelecido no plano de contingências, tendo a empresa perdido todo o seu banco de dados, sem oportunidade de recuperá-lo por não possuir um procedimento para backup.

No exemplo acima, encontramos a concorrência concomitante de mais de uma vulnerabilidade para a concretização do risco (queda de um raio): a humana (não cumprimento dos planos e procedimentos), a técnica (falha dos sensores e do para-raios) e a organizacional (sem plano de contingência). Nesse exemplo, o risco é classificado na categoria dos riscos naturais, por ter sido um evento da natureza a origem causadora dos danos.

Note-se que tal classificação facilita a compreensão do risco, uma vez que fica mais clara a sua identificação, tornando mais direta a compreensão do risco e o estabelecimento de ações para o seu tratamento.

É justamente essa capacidade de percepção e de entender os negócios, missão e ativos corporativos, que tornará o processo de gerenciamento de riscos mais eficiente e eficaz. 1.3 O ambiente e as atividades de negócios

A compreensão do ambiente e das atividades de negócios é outro ponto fundamental no estudo do risco, uma vez que a profundidade da análise estará diretamente relacionada com essas duas variáveis.

As informações básicas para se compreender o ambiente de negócios estão no planejamento estratégico da organização, que é o documento no

19

qual deverá constar uma análise do cenário da organização. Caso a empresa não possua essas informações disponibilizadas no seu planejamento estratégico, ou o cenário não esteja claro, deverão ser considerados os seguintes aspectos para se compreender o ambiente de negócios: a noção SWOT, a projeção e a prospecção.

Noção SWOT

A noção de SWOT é uma técnica de construção de cenário que foi

introduzida pela Escola de estratégia do Design, ao propor um modelo de formulação de estratégia que busca atingir uma adequação entre as capacidades internas e as possibilidades externas (Mintzberg, Ahlstrand e Lampel, 2000). Essa técnica proporciona a avaliação dos pontos fortes (Strenghts) e dos pontos fracos (Weaknesses) da organização à luz das oportunidades (Opportunities) e das ameaças (Threats) em seu ambiente.

As forças são situações positivas que existem instaladas no ambiente interno da organização, as quais favorecem o desenvolvimento das atividades empresariais, gerenciais e operacionais. As fraquezas são situações negativas que existem instaladas no ambiente interno da organização, as quais atrapalham e dificultam o desenvolvimento das atividades empresariais, gerenciais e operacionais.

As oportunidades são situações de potencialidades que existem no ambiente externo da organização, as quais podem e devem ser aproveitadas para viabilizar o alcance dos objetivos e das metas da organização. As ameaças são situações de vulnerabilidade que existem no ambiente externo da organização, as quais podem comprometer e inviabilizar o alcance dos objetivos e das metas da organização.

Essas quatro variáveis formam um cenário bastante utilizado para se compreender o ambiente organizacional, tanto interno quanto externo. Contudo, a compreensão do cenário não deve ser limitada ao emprego da noção SWOT, pois ao final dessa análise tem-se uma fotografia da situação, que é estática, e, como sabemos, o ambiente é mutável e oscila de acordo com variáveis que surgem a cada dia.

Um problema encontrado com o emprego da noção SWOT é que não são feitas as inter-relações das variáveis encontradas, constituindo-se numa

20

abordagem textual e desassociada das outras variáveis, resumindo-se a identificar apenas pontos isolados. Esse problema é típico do emprego da noção SWOT.

Para que tal problema seja corrigido, é necessário realizar uma associação das variáveis, para que haja uma correlação entre elas, ou seja, dos fatores externos com os internos. Dessa forma, poderão ser identificados quais os fatores externos que atuam ou influenciam os negócios e provocam oportunidades e ameaças, quais as oportunidades e ameaças que estão presentes, e ainda aquelas que não estão, mas que podem ser vislumbradas como uma possível ameaça, e como a organização se apresenta para enfrentar cada oportunidade e ameaça. Projeção

A projeção é realizada com base em acontecimentos passados e é bastante utilizada com o apoio da avaliação das estratégias de períodos anteriores. Geralmente são projetados três cenários: um menos otimista, um normal e um mais otimista. Ela é feita após a análise das informações, por ocasião do emprego da noção SWOT. Prospecção

A prospecção é uma técnica de elaboração de cenários que tem como objetivo estudar as diversas possibilidades de futuros plausíveis existentes e preparar as organizações para enfrentarem qualquer uma delas, ou até mesmo criar condições para modificarem suas possibilidades de ocorrência ou minimizarem seus efeitos. É um estudo do futuro.

Essa técnica vem sendo utilizada com o objetivo de minimizar os riscos e permitir a manutenção do posicionamento competitivo da organização no mercado. Tem como fundamento básico que o futuro é múltiplo e incerto. A técnica estuda os fatos portadores de futuro e tem como base os pontos fortes e fracos, as oportunidades e as ameaças, a técnica do Brainstorming aplicado às diversas áreas da empresa e a opinião dos especialistas durante a leitura dos fatos passados e dos presentes. Não é uma técnica de fácil emprego, mas aumenta as chances de a organização fazer uma leitura focada

21

em futuros possíveis e plausíveis, o que lhe possibilitará condições de antecipação para conduzir uma mudança de rumo, caso ocorra um movimento de ruptura de tendência.

Para a comunidade da segurança, de uma maneira geral, saber tratar com possibilidades futuras é um grande desafio e um diferencial no sucesso com as incertezas dos eventos imprevisíveis, pois sabemos que, ao trabalharmos com planos de continuidade, estaremos tratando de possibilidades de: se tal evento acontecer, o que deveremos fazer. Em outras palavras, são possibilidades baseadas em estudos de situações passadas, em dados estatísticos de ocorrências passadas e em possíveis fatos portadores de futuro, e tudo isso alinhado com o planejamento estratégico da organização.

É justamente para atender a essa filosofia de visão que a comunidade de segurança deve cada vez mais estar alinhada com os propósitos organizacionais e entender o contexto geral do ambiente de negócios das corporações, para poder oferecer serviços cada vez mais especializados e necessários. Atividades de negócios

Outra questão importante é compreender as atividades desenvolvidas pela organização, pois, dependendo da atividade, o risco pode ser constante, o que demanda uma avaliação mais detalhada da identificação dos tipos de ameaças, bem como as possibilidades de quebra de controles pela investigação de vulnerabilidades em sistemas e equipamentos, inclusive com a utilização de alta tecnologia. Tudo isso se deve ao fato da importância e da criticidade da informação e dos ativos em questão.

Para demonstrar a relevância desse assunto, tomaremos como exemplo uma experiência realizada para identificar vulnerabilidades em sistemas de controle de acesso. Esse estudo foi apresentado na Universidade de Yokohama e versa sobre os sistemas de controle de acesso baseados na identificação biométrica de digitais, o qual demonstrou que tais sistemas podem ser fraudados com a utilização de uma digital artificial construída com material gelatinoso (Matsumoto, 2004).

Nesse estudo, foi demonstrado que várias ações podem ser realizadas para fraudar sistemas de identificação por digitais, inclusive quando se utiliza

22

um molde em gelatina, que é facilmente elaborado e sem grandes recursos tecnológicos.

Outro exemplo decorre das experiências realizadas para a captura de dados com a utilização de equipamentos à distância, o que demonstra vulnerabilidades em equipamentos que utilizam LEDs (Light Emitting Diode), como modems, roteadores e monitores. Numa delas, Loughry e Umphress (2002), pesquisadores da Universidade de Auburn, provaram que a utilização de um telescópio poderia capturar os dados a uma distância considerável pela simples visualização desses sinais luminosos. Em outra experiência, Kuhn (2002), da University of Cambridge, demonstrou que dados poderiam ser capturados com o emprego de fotossensores para ler os sinais do display à distância. Neste último, foi utilizado um equipamento para ler os sinais do CRT (Cathode-ray tube) pela intensidade da luz emitida. Em ambos os casos, ficou demonstrada a vulnerabilidade dos equipamentos que utilizam esses dispositivos.

Em recente estudo, pesquisadores da Princeton University (New Jersey, USA) desenvolveram uma pesquisa11 que aplicou um método para capturar dados criptografados armazenados no disco rígido de um computador, com a simples técnica de usar o jato de ar frio de um spray removedor de poeira. Com isso, eles mostraram que os dados criptografados podem ser vulneráveis a essa técnica, devido a uma fragilidade pouco conhecida dos chips de memória dinâmica de acesso aleatório. Essa técnica de roubo de informações pode ser utilizada para a captura de dados criptografados em computadores portáteis, que são alvos de constantes roubos.

Os exemplos acima demonstram que até tecnologias tidas como avançadas são susceptíveis às vulnerabilidades, como também que os mais rigorosos controles de acesso podem ser violados, à distância, em tecnologias reconhecidas como seguras.

Ao se trazerem essas experiências para a realidade, pode-se ter a certeza de que a utilização desses dispositivos para a quebra de controles seria motivada pela importância das informações processadas e do tipo de

11 Lest We Remember: Cold Boot Attacks on Encryption Keys. disponível em:<http://citp.princeton.edu.nyud.net/pub/coldboot.pdf>

23

negócio realizado, dentro de um contexto altamente competitivo. É nesse sentido que a comunidade de segurança deve alinhar o estudo sobre os riscos, considerando como aspectos fundamentais a compreensão do ambiente e as atividades de negócios, para que a sua gestão dos riscos não seja vulnerável e comprometa o sucesso dos negócios.

1.4 Prevenção X Reação

Quando se trata de segurança, dois aspectos devem ser levados em consideração no estudo do risco: a prevenção e a reação.

É mister saber que, até o momento do evento, as ações de gerenciamento dos controles dos riscos constituem todo um conjunto de ações a serem empregadas no dia a dia e que, se de alguma forma forem insuficientes para evitar um ataque, terão como complementos ações outras que objetivam fazer com que a organização retorne ao status quo anterior ao momento da concretização do risco.

Justamente por olhar sob esse prisma é que entendemos que o estudo do risco deve ser direcionado para esses dois tipos de situação: prevenção e reação. A prevenção engloba o conjunto de ações que objetiva evitar e detectar a possibilidade de eventos danosos aos negócios corporativos. A reação é caracterizada pelas ações de resposta e diz respeito à adoção de medidas a partir da ocorrência de um evento. Objetiva não só o retorno à normalidade das atividades como também a minimização dos impactos causados.

A sua grande diferença está no aspecto temporal: a prevenção, na antecipação, detecção, tratamento e aceitação de riscos; e a reação, no momento da resposta a ações posteriores. Em outras palavras, essas duas abordagens devem alcançar três fases: antes, durante e após um evento, ou seja, antes, a prevenção, e, durante e após, a reação.

Ambas as abordagens, mesmo que possuam ações com focos temporais diferentes, têm como características comuns: serem estruturadas

24

em um mesmo estudo do risco e convergirem para um mesmo objetivo, que é o de manter a normalidade das atividades de negócios.12

Atenção específica deve ser dispensada a esses instrumentos que fazem parte de um conceito maior de prevenção, que é o de se antecipar o imprevisível, ao se estabelecer uma gestão voltada para a continuidade dos negócios, em que as ações de prevenção, resposta e recuperação da concretização dos riscos são criteriosamente planejadas, o que cria um ambiente mais competitivo.

Além de otimizar o tempo para as atividades mais importantes da organização, esse processo (gerenciamento da continuidade dos negócios) evita o desperdício de recursos e o seu aporte indevido a uma reação a um evento danoso.

Mesmo quando se considera que as ações de resposta e recuperação fazem parte do conceito de reação, tudo isso é alcançado pela amplitude da filosofia da prevenção, ao se estabelecer um planejamento para esses momentos de crise. Com isso chamamos a atenção especificamente daquelas organizações nas quais as ações de prevenção e reação são limitadas ao emprego de ferramentas, ações e processos fragilizados, não sendo sustentadas por um estudo do risco.

Dessa forma, ratifica-se que o estudo do risco deve estar voltado para duas situações: uma é a antecipação de eventos que podem vir a comprometer os negócios corporativos, e outra durante e após a ocorrência desses eventos. 1.5 Métodos de análise e parâmetros de avaliação

Como já foi visto, o risco é medido pela probabilidade e suas consequências, e o seu estudo deve estar voltado tanto para a prevenção como para a reação. Nesse estudo, dois aspectos merecem especial destaque

12 Geralmente essas ações são consolidadas em planos de continuidade de negócios (Business Continuity Plan - BCP) e de recuperação de desastres (Disaster Recovery Plan- DRP). Uma variedade de termos pode ser encontrada quando nos referimos à continuidade de negócios e à recuperação de desastres, tais como: gerenciamento de emergências, gerenciamento de crise, gerenciamento de incidente, plano de contingência. Tem-se utilizado esses termos de forma indiscriminada, servindo tanto para a prevenção, quanto para a reação

25

quando analisamos e avaliamos o risco. Um tem relação com o método escolhido para estimar a probabilidade e aferir a consequência de um risco, e o outro diz respeito aos critérios de escolha para a parametrização da criticidade do risco.

A escolha do método deve ser realizada sob 2 prismas: o qualitativo e o quantitativo. A análise qualitativa é geralmente utilizada quando não existe a disponibilidade de dados, ou quando eles são precários, e a sua análise é realizada com base em valores referenciais. A análise quantitativa é utilizada quando os dados são confiáveis e estão disponíveis, e a sua análise é realizada com base em valores absolutos.

Existem ocasiões em que o método qualitativo é mais apropriado, como no caso de reuniões para a conscientização da importância de se atentar para determinado tipo de risco, ou quando não for necessário um detalhamento maior da análise. Já o método quantitativo se apresenta mais apropriado quando é utilizado para mensurar o custo monetário do risco e relacioná-lo com as medidas de proteção a serem adotadas, e quando forem analisados riscos de grandes impactos.

Método quantitativo

O método quantitativo de análise de risco é utilizado quando a probabilidade de um evento pode ser medida em valores numéricos e a sua consequência pode ser calculada em perdas financeiras. É o método que apresenta o custo monetário do risco.

Utiliza-se esse método quando a organização possui registros de eventos ocorridos, mas ele não pode ser utilizado sem a disponibilidade de dados, e que eles sejam confiáveis.

Partindo do pressuposto de que os dados são confiáveis, o risco pode ser calculado com base na frequência, na média, no seu desvio padrão e no coeficiente de variação, para se poder confrontá-lo com a consequência, estabelecendo o impacto e a severidade do risco para cada cenário.

26

Cálculo da probabilidade A possibilidade ou probabilidade de um evento P(E) é um valor

hipotético, fixo, decorrente de uma tendência à estabilização de uma frequência relativa, à medida que cresce o número de repetições do experimento.

P Enn

Ef

lim

P(E) = probabilidade de ocorrência do evento E fE = frequência absoluta do evento E n = tamanho da amostra ou número de repetições do experimento

A sua precisão está relacionada com a quantidade de dados disponíveis sobre determinado risco, pois se trabalha com o número total de eventos e o número de vezes que o evento ocorreu. É lógico que a concretização de um risco envolve vários fatores, que devem ser estudados em conjunto com a frequência de tais eventos.

Outro emprego desse método se dá com a média aritmética ( x ). Essa medida de posição dará a frequência dos diversos valores existentes da variável.

Sendo ),....,2,1( nix i o conjunto de dados, definimos sua média

aritmética por:

n

xx

n

ii

1

A média precisa ser complementada pelas medidas de dispersão, que caracterizam o nível de variação do conjunto de eventos. As medidas a serem utilizadas são o desvio padrão e o coeficiente de variação.

O desvio padrão (s) é calculado pela raiz quadrada positiva da variância, que é a média dos quadrados das diferenças dos valores em relação à sua média.

27

n

xxs

n

ii

x

1

2

O coeficiente de variação (cv) é definido pelo quociente entre o desvio padrão e a média. Ele indica a probabilidade de o resultado se manter ou não, e é frequentemente medido em percentagem. A sua vantagem é caracterizar a dispersão dos dados em termos relativos ao seu valor médio.

Nos estudos de riscos por esse método, recomenda-se que seja sempre considerado o seu coeficiente de variação, a fim de que enganos de interpretação desse tipo sejam evitados, de modo a proprcionar uma avaliação mais precisa.

xxsxcv

Exemplificando: Um terminal portuário registrou no último quadrimestre vários

ataques de sabotagem ao sistema de alimentação de energia, os quais deixaram as operações de carga e descarga interrompidas, gerando um prejuízo de U$ 100.000, em cada ataque.

Os registros estavam assim distribuídos: 4 ataques em janeiro, 5 em fevereiro, 3 em março e 2 em abril.

A média de ataques por mês foi de 3,5 ataques, ou seja, o total de eventos (4+5+3+2=14) dividido pelo período (quatro meses), para representar a média de ataques por mês. O desvio padrão calculado foi de 1,29 e o seu coeficiente de variação foi de 37%, ou seja, o resultado apresentou uma estimativa de 37% de diferir da média, e uma estimativa de 63% de manter a média. Esse cálculo irá ser muito útil na estimativa da perda esperada.

Como se pode verificar, a utilização desse método para o estabelecimento da probabilidade de um evento acontecer requer o conhecimento da estatística e de um registro de dados confiáveis, para que não sejam estabelecidos parâmetros aquém da real possibilidade.

28

Cálculo da consequência

Avaliar a consequência é estabelecer o impacto negativo da ocorrência de um evento, e se realiza por meio do cálculo financeiro dos danos possíveis aos negócios e ativos. Esse cálculo é geralmente realizado com o cálculo do custo para a reposição do ativo e da perda esperada.

O cálculo da reposição do ativo pode ser feito no valor de mercado, isto é, o quantum que a empresa iria gastar para adquirir um novo ativo.13 Esse cálculo ainda poderá incluir todas as despesas envolvidas na substituição do ativo, como transporte, alocação de mão de obra para o exame do ativo adquirido e seus ajustes para funcionamento, treinamento do usuário e pessoal de suporte, etc.

Outra forma de se calcular é com base no retorno do investimento que o valor utilizado para repor o ativo proporcionaria à organização, se aplicado no mercado financeiro e em coligadas e controladas, ou no custo da captação de recursos para a nova aquisição do ativo quando financiado. Observemos que a taxa de aplicação normalmente é menor do que a taxa de captação.

A perda esperada é calculada no quantum a empresa perderá se determinado evento vier a se concretizar. A perda pode ser calculada apenas para a expectativa de receita de vendas, como também pela estimativa do impacto na imagem da empresa e nos valores das ações.

Deve ser observado que a indisponibilidade de serviços para o cliente sempre abala a sua confiança na qualidade dos serviços, devendo também ser mensurada. Exemplificando:

No exemplo anterior, o número médio de eventos foi de 3,5, com uma probabilidade de 63% de média de ataques se manter. Se for considerado que cada ataque gerou uma perda de U$ 100.000, o cálculo da perda esperada será feito aplicando-se o percentual de 63% sobre 100.000, que é o valor de perda por ataque, o que resulta numa perda de U$ 63.000 por evento, o que

13 É importante ressaltar que o valor de reposição é diferente do valor do ativo constante dos relatórios contábeis, valor que, nesses relatórios, é registrado pelo custo de aquisição e suas depreciações, diferentemente do valor de mercado de um novo ativo.

29

multiplicado pela média de eventos, dará uma expectativa de perda total de U$ 220.500.

Aspectos que devem ser considerados quando do emprego desse método Cálculo do valor de ativos

Determinar um valor para um ativo tangível não é difícil, pois poderá ser feito com base no seu custo de aquisição ou no custo para a sua reposição, que no caso seria o valor de mercado mais as despesas operacionais. Já para se atribuir um valor para os ativos intangíveis é mais difícil, pois nem sempre essa mensuração corresponde ao verdadeiro valor desse intangível.

Como exemplo, o valor de um ativo pode ser calculado: pelo seu valor para a organização, pelo impacto financeiro imediato da perda do ativo, e pelo impacto indireto causado nos negócios da corporação. Cálculo do custo dos controles e retorno sobre o investimento

Determinar o custo dos controles é apropriar os gastos a todo e qualquer evento relacionado com o controle, a saber, todos os custos associados a aquisição, teste, implementação, operação e manutenção de cada controle. Entra nesse cálculo o valor gasto nas auditorias, consultorias, etc.

O retorno sobre o investimento pode ser calculado com base na redução das perdas esperadas (perdas antes – perdas após), deduzido o custo anual dos controles. Outra forma de se efetuar esse cálculo seria pela medição do retorno financeiro sobre o investimento realizado, confrontando-o com os danos estimados. Cálculo da probabilidade

É um cálculo bastante difícil sob o ponto de vista de que ele leva em consideração os registros anteriores de eventos ocorridos. Uma vez que os dados estatísticos não apresentem a real situação devido ao problema da subnotificação, esse cálculo poderá ser subestimado, induzindo a organização a um erro na determinação dessa taxa. Geralmente, para o cálculo dessa taxa, utiliza-se a média ponderada e o desvio padrão.

30

Cálculo das consequências O cálculo das consequências é realizado sobre as expectativas de

perdas. Ele é feito com base no valor total dos danos ou de receitas que podem ser perdidas em decorrência do evento, acrescido dos diversos gastos adicionais gerados por tal evento. Pode ser feito com base em período anual ou dentro do período de revisão do processo de análise.

O problema da utilização desse método relaciona-se com a credibilidade das fontes de informação e a disponibilidade dos dados. Dessa forma, faz-se necessária uma atenção especial no momento da utilização das fontes dos dados, principalmente nos registros de eventos passados, uma das fontes utilizadas para estimar a probabilidade de eventos futuros, para não incorrer em valores subavaliados.

Como se pode concluir, o método não deve ser aplicado quando não há dados históricos confiáveis e quando os ativos envolvidos são de difícil mensuração. Em contrapartida, quando existe disponibilidade de informação e grande confiabilidade, a aplicabilidade desse método é bastante eficaz.

As principais vantagens e desvantagens do método quantitativo são (Microsoft, 2005):

Benefícios: Os riscos são priorizados de acordo com o impacto financeiro; os

ativos são priorizados de acordo com os valores financeiros. Os resultados facilitam o gerenciamento dos riscos graças ao retorno

do investimento com segurança. Os resultados podem ser expressos usando-se uma terminologia de

gerenciamento (por exemplo, valores monetários e probabilidade expressa como uma porcentagem específica).

A precisão tende a aumentar com o passar do tempo, à medida que a organização coleta registros históricos dos dados e ganha experiência.

Desvantagens: Para atingir resultados confiáveis e um consenso, o processo é

demorado. Os cálculos podem ser complexos e demorados.

31

Os resultados são apresentados em termos monetários e podem ser difíceis de ser interpretados por pessoas sem conhecimento técnico.

O processo exige experiência e conhecimento, portanto pode ser difícil explicá-lo aos participantes.

Método qualitativo

A análise qualitativa é qualquer método de análise que utilize mais a descrição do que os recursos numéricos para definir o nível de risco (HB 436:2004). Em outras palavras, é um método de análise de risco que utiliza valores nominais para descrever o risco.

Ele é empregado quando não há disponibilidade e confiança no registro dos dados, quando os seus custos não estão disponíveis, quando é impossível de mensurar com outro método e quando não existe a necessidade da precisão do método quantitativo, dentre outros fatores.

É um método mais fácil de ser utilizado, além de possibilitar um melhor entendimento a respeito dos riscos para as pessoas que participam do processo, o que traz um resultado mais duradouro. O fator diferencial desse método está na habilidade, experiência e decisão de quem conduz a análise.

Nesse método, utilizam-se palavras para descrever a magnitude das consequências e a probabilidade de ela ocorrer (AS/NZS 4360:2004). A análise é realizada pela interpretação dos analistas ou equipe multidisciplinar, ao relacionar o evento com determinados níveis de referência, em vez de se atribuir valoração numérica e monetária à análise.

A seguir são apresentados dois exemplos de escalas para a medição das consequências e das possibilidades (probabilidades): Escala para medir as consequências

Fonte: HB 436:2004

Descrição Tipos

Severo Muitos objetivos não podem ser desenvolvidos

Maior Alguns objetivos importantes não podem ser desenvolvidos Moderado Alguns objetivos são afetados Menor Efeitos menores que são facilmente afetados Insignificante Impacto desprezível sobre os objetivos

32

Escala para medir as possibilidades Nível Descrição Indicador de

frequência A Frequente O evento ocorrerá numa base anual Uma vez por ano ou

mais Frequente B Provável O evento tem ocorrido várias vezes ou mais na sua

carreira Uma vez a cada 03 anos

C Possível O evento poderá ocorrer uma vez na sua carreira Uma vez a cada 10 anos

D Improvável O evento ocorre em algum lugar, de tempos em tempos

Uma vez a cada 30 anos

E Raro Ouve-se a respeito de alguma coisa que ocorre em outra parte

Uma vez a cada 100 anos

F Muito raro Nada tem sido escutado sobre sua ocorrência Um em 1.000 anos

G Inacreditável Teoricamente possível, mas não se espera que ocorra Um em 10.000 anos

Fonte: HB 436:2004

A sua desvantagem em relação ao método quantitativo é que se apresentam em valores relativos, em vez de valores absolutos; contudo, é um método mais fácil e possui uma ampla linha de visibilidade para a importância do processo de gerenciamento de risco para as pessoas da corporação.

As principais vantagens e desvantagens do método qualitativo são (Microsoft, 2005):

Benefícios: Permite a visibilidade e a compreensão da classificação dos riscos. Maior facilidade de se chegar a um consenso. Não é necessário quantificar a frequência da ameaça. Não é necessário determinar os valores financeiros dos ativos. Maior facilidade de envolver pessoas que não sejam especialistas em

segurança. Desvantagens: Os valores do impacto atribuído ao risco são baseados na opinião

subjetiva dos participantes. Riscos graves podem não ser suficientemente diferenciados.

33

Dificuldade de justificar o investimento na implementação de controles, pois não há valores básicos para se realizar a análise de custo/benefício.

Os resultados dependem da qualidade da Equipe de gerenciamento de riscos que foi formada.

O manual de gerenciamento de risco (HB 436:2004) apresenta o

método semiquantitativo, cujo objetivo é produzir uma escala de ranking de risco mais extensa do que as apresentadas no método qualitativo. Contudo, nesse método os valores atribuídos não representam os valores reais dos riscos, os quais só devem ser obtidos quando da utilização do método quantitativo. O grande problema desse método é que ele pode não produzir uma análise confiável dos riscos quando as suas probabilidades e consequências são extremas.

Parâmetros de avaliação

Outro ponto que merece destaque é a escolha dos parâmetros a serem utilizados para a avaliação do risco e a definição dos seus níveis de aceitabilidade. Os critérios de avaliação dos riscos são indispensáveis para que seja possível estabelecer o nível de risco. Já os níveis de aceitabilidade têm o propósito de prover uma orientação para as ações de tratamento ou de aceitação dos riscos.

Vários parâmetros podem ser utilizados para se estabelecerem os critérios contra os quais os riscos serão avaliados, como, por exemplo: financeiros: perda da produtividade, perda de vendas, perdas de mercado, aumento do custo operacional, penalidades contratuais, etc.; de imagem organizacional: dano na marca e nome da empresa, perda da confiança dos investidores, perdas do valor de mercado, mídia negativa, etc.; social e ambiental: descrédito das ações sociais, dano ambiental, dano na saúde e bem-estar social local, etc.; pessoal: instabilidade funcional e diminuição do potencial produtivo, etc.; normativo: ações judiciais, não conformidade com os padrões estabelecidos, multas contratuais, etc.

34

Esses critérios devem levar em consideração os tipos de consequências que serão considerados, o modo como as possibilidades serão definidas e como serão definidos os níveis de risco.

Abaixo são apresentadas duas tabelas: uma com a descrição dos parâmetros utilizados, e outra com o nível de risco para cada parâmetro. Quadro da descrição de categorias de impacto ou consequência CATEGORIA DESCRIÇÃO MORTE OU FERIMENTO Perspectiva de morte ou ferimento como resultado

de um ataque IMPACTO ECONÔMICO O potencial impacto econômico de um ataque IMPACTO AMBIENTAL O potencial impacto ambiental SEG. PÚBLICA/ IMPACTO DEFESA O impacto do efeito de um ataque em vários alvos,

incluindo o departamento de defesa EFEITO SIMBÓLICO Tipo efeito moral: economia americana, sistema

público, militar e bem-estar social

Quadro de níveis de impacto ou consequência NÍVEL DE IMPACTO

MORTE/ FERIMENTO

IMPACTO ECONÔMICO

IMPACTO AMBIENTAL

DEFESA NACIONAL

EFEITO SIMBÓLICO

ALTO Grande quantidade de feridos Múltiplas fatalidades

> 10 milhões de unidades monetárias > 10% do faturamento do exercício anterior

Completa destruição de múltiplos aspectos do ecossistema em uma área ampla

Longos períodos de vulnerabilidade na segurança pública

Mais perdas de importantes aspectos da imagem ou grande abalo moral

MÉDIO Razoável quantidade de feridos Iminente perigo de vida

1 a 10 milhões de unidades monetárias 1-10% do faturamento do exercício anterior

Longo tempo de dano para uma parte do ecossistema

Tempos curtos de interrupção no sistema de defesa

Maior dano ou destruição da imagem ou efeito moral

BAIXO Sem perigo de vida e sem ferimentos

< 1 milhão de unidades monetárias 1% do faturamento do exercício anterior

Pequeno ou mínimo impacto no ecossistema

Impactos sem gravidade

Menor ou nenhum dano à imagem ou efeito moral

35

Outra forma de se medir o risco é o estabelecimento de níveis para a consequência e suas possibilidades, e a relação entre eles, pois, por definição, o risco é a combinação das possibilidades de um evento e suas consequências. De uma maneira geral, esses parâmetros servem para medir as consequências, para que, em combinação com as possibilidades, possam ser avaliados os riscos, a fim de se estabelecer um ranking de prioridades com base nos níveis de aceitabilidade estabelecidos.

As tabelas abaixo exemplificam essa situação. Exemplo de níveis de Consequências ou Impactos

Exemplo de níveis de Possibilidades Nível Descrição Tipos

A Frequente É esperado que ocorra em mais circunstâncias – possibilidades de incidentes repetidos

B Provável Provavelmente ocorrerá em mais circunstâncias – possibilidade de incidentes isolados

C Ocasional Poderá ocorrer em algum tempo- possibilidade de algumas ocorrências

D Remota Ocorrerá alguma vez – ocorrência pouco provável

E Improvável Ocorrerá em circunstâncias excepcionais – praticamente impossível

A adoção de uma matriz de riscos é importante para a visualização

gráfica da relação entre as possibilidades e suas consequências, o que possibilita uma identificação mais fácil dos riscos, como está exemplificado no quadro a seguir.

Nível Descrição Tipos

1 Insignificante Nenhum prejuízo na imagem, perdas financeiras irrelevantes, sem impactos sobre os negócios

2 Menor Pequenos efeitos e facilmente reparados, ações preliminares para o tratamento, solução imediata local, perdas financeiras médias

3 Moderado Efeitos sobre algumas atividades de negócios, solução local com ajuda externa, perdas financeiras moderadas

4 Maior Grandes abalos na imagem, interrupção temporária da atividade de negócio, ajuda externa para tratamento, perdas financeiras elevadas

5 Catastrófico Morte, interrupção total das atividades, solução externa, danos de difícil reparação, perdas financeiras elevadas

36

Matriz de riscos (consequências X possibilidade) Consequências

Possibilidade Insignificante 1

Menor 2

Moderado 3

Maior 4

Catastrófico 5

A (Frequente) A A E E E

B (Provável) M A A E E

C (Ocasional) B M A E E

D (Remota) B B M A E

E (Improvável) B B M A A

Com base nos níveis de criticidade dos riscos, eles devem ser

confrontados com os níveis de aceitabilidade definidos pela organização, realizando assim a sua avaliação, como está exemplificado no quadro abaixo. Quadro da aceitabilidade dos riscos Risco extremo (E) Inaceitável- requer ação corretiva imediata Risco alto (A) Inaceitável - requer ação corretiva imediata com uma atenção

específica da direção Risco moderado (M) Inaceitável- requer monitoramento, ações de mitigação e revisão dos

controles pelo gerente Aceitável – requer a revisão e a autorização do gerente

Risco baixo (B) Aceitável- requer procedimentos de rotina

Uma atenção especial deve ser dispensada à classificação dos riscos

de baixa probabilidade e alto impacto. Esses riscos tendem a ser descartados. Entretanto, quando se materializam, pegam a organização despreparada, o que ocasiona enorme prejuízo.

Mesmo ao considerar as escalas de mensuração dos métodos de análise, entendemos ser necessário que a organização observe se esses parâmetros apresentados condizem com a sua realidade, pois muitas vezes um mesmo nível referencial de impacto não representa a mesma situação para empresas de um mesmo segmento, e até do mesmo porte.

Essa diferença é bastante clara quando se observa a classificação em valores absolutos entre empresas de porte e faturamento diferentes, e de um

37

mesmo segmento de atividade. Nesses casos, é preciso um ajuste nos termos valorativos das tabelas de referência, para que o risco analisado não seja indevidamente avaliado como sendo de uma classificação diferente da realidade. Esse ajuste não deve ser feito para um tipo de risco específico, mas para todo um referencial de mensuração que deve ser aplicado para todos os riscos e por toda a organização, durante a avaliação.

Um cuidado especial deve haver com relação à escolha do método e dos parâmetros para o estudo do risco, para que eles não sejam escolhidos de forma negligente, por serem métodos mais simples e fáceis, sem a consideração que merecem.

Dessa forma, faz-se necessário estabelecer condições tais que evitem uma escolha equivocada do método, e que os critérios de parametrização da criticidade dos riscos sejam ajustados à realidade da empresa. Essa escolha deve ser feita considerando, principalmente, o porte da empresa, a natureza da atividade de negócio e o seu contexto, o escopo e o objetivo do estudo do risco, dentre outros fatores.

Esses métodos e parâmetros devem ser questionados sobre o porquê de sua utilização, e quais os benefícios que podem trazer para a organização. Essa decisão quanto à escolha deve ser aprovada pelo staff da empresa, porque o estudo do risco é uma das etapas mais importantes do macroprocesso de gestão de riscos.

38

2. GESTÃO DE RISCOS

Como já foi visto, o risco é medido pela probabilidade e suas consequências, e o seu estudo deve considerar, dentre outros fatores, a metodologia de análise e os critérios de parametrização. Sabemos, também, que ele é inerente ao ambiente de negócios, que é altamente mutável.

Toda essa instabilidade contextual requer uma vigilância constante sobre esse cenário e, principalmente, sobre os seus riscos, com o objetivo de garantir uma constante harmonia entre eles (os negócios e os riscos). Essa coerência pode ser alcançada por meio do processo de gestão de riscos.

De uma maneira geral, a gestão de riscos é um processo voltado para o controle dos riscos e envolve um conjunto de atividades específicas que objetivam garantir a boa governança, sem que os riscos e as surpresas indesejáveis atrapalhem o alcance dos seus objetivos e metas.

A gestão de riscos compreende as atividades coordenadas para dirigir e controlar a organização em relação aos riscos. O seu sistema de gerenciamento engloba o conjunto de elementos do sistema de gerenciamento da organização, o qual inclui o planejamento estratégico, os tomadores de decisões e outros processos que lidam com riscos (ISO/IEC Guide 73:2002).

A gestão de riscos compreende a cultura, os processos e a estrutura direcionada para potencializar as oportunidades, enquanto são gerenciados os efeitos adversos. Ela é realizada pela aplicação sistemática da gestão de políticas, procedimentos e práticas voltados para as atividades de: comunicação, estabelecimento do contexto, identificação, análise, avaliação, tratamento, monitoramento e revisão dos riscos (AS/NZS 4360:2004).

Para uma melhor compreensão desse processo, este capítulo abordará os seguintes temas: benefícios e fatores críticos de sucesso para a gestão de riscos, modelos de gestão de riscos, revisão e monitoramento da gestão de riscos, e ferramentas utilizadas para a gestão de riscos.

39

2.1 Benefícios e fatores críticos de sucesso para a gestão de riscos

Para que o processo de gestão de riscos possa alcançar os seus objetivos, torna-se necessário identificar as principais variáveis que influenciam diretamente no seu desempenho, ou seja, os seus fatores críticos de sucesso.

Fatores críticos de sucesso

A Microsoft (2005) apresenta os seguintes fatores críticos para o sucesso da gestão de riscos: patrocínio da alta gestão, maturidade corporativa em relação ao gerenciamento de riscos, atmosfera de comunicação aberta, espírito de equipe, visão holística e autoridade da equipe de gerenciamento de riscos.

O Órgão Geral de Auditoria e Investigação do Congresso Americano (General Accounting Office - GAO), no estudo realizado com organizações líderes de mercado, identificou alguns fatores críticos de sucesso no processo de gestão de riscos, que foram: obter apoio e envolvimento dos executivos, estabelecer um ponto de apoio para todo o processo, definir os procedimentos para padronizar a avaliação de risco, envolver os especialistas das várias unidades de negócios, estabelecer uma unidade de negócio responsável por iniciar e conduzir a avaliação de risco, definir o escopo das avaliações e documentar e monitorar os resultados (GAO, 1999).

O manual de gerenciamento de riscos (HB 436:2004) apresenta alguns requisitos importantes para o sucesso da gestão de riscos: conhecimento consistente, pensamento voltado para os acontecimentos futuros e não apenas para os eventos passados, responsabilidade nas tomadas de decisão, comunicação permanente com as partes envolvidas no processo de gestão de risco e nas atividades principais da organização, e decisões baseadas no equilíbrio entre os custos e as oportunidades.

A norma ABNT NBR ISO 31000:2009 apresenta os seguintes princípios para que uma gestão de riscos possa ser eficaz: a gestão de riscos cria e protege valor; a gestão de riscos é parte integrante de todos os processos organizacionais; a gestão de riscos é parte da tomada de decisões; a gestão de

40

riscos aborda explicitamente a incerteza; a gestão de riscos é sistemática, estruturada e oportuna; a gestão de riscos baseia-se nas melhores informações disponíveis; a gestão de riscos é feita sob medida; a gestão de riscos considera fatores humanos e culturais; a gestão de riscos é transparente e inclusiva; a gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças; e a gestão de riscos facilita a melhoria contínua da organização.

Os principais fatores que identificamos serem importantes para o sucesso da gestão de riscos são: O patrocínio da diretoria da organização; A definição dos requisitos do gerenciamento alinhado com a missão e

com os objetivos da empresa; O estabelecimento do escopo de todo o processo; O ambiente das atividades de negócios e a criticidade do produto; A criação de uma equipe multidisciplinar com suas responsabilidades

definidas para o macroprocesso; A definição dos colaboradores de diversas áreas da organização e as

suas atribuições no processo; A forma da comunicação interna; A cultura da segurança; A identificação dos principais ativos e processos de negócios; A confiabilidade da lista das principais ameaças à segurança; A escolha e a utilização do método de análise dos riscos; Os critérios de parametrização para a classificação dos riscos e as

medidas de tratamento; A implementação das medidas para o tratamento dos riscos; O controle e o monitoramento constante do processo.

A visualização desses fatores é o ponto fundamental para se alcançarem os benefícios da gestão de riscos. Benefícios

O manual de gerenciamento de risco (HB 436:2004) apresenta os

seguintes benefícios do gerenciamento de risco: poucas surpresas; exploração de oportunidades; planejamento, desempenho, e eficácia; economia e

41

eficiência; relacionamento entre as partes interessadas (stakeholder); tomadas de decisão com informações mais exatas; manutenção da reputação; proteção dos diretores; responsabilidade, garantia e governança, e bem-estar pessoal.

Um dos principais benefícios da gestão de riscos é poder garantir o desenvolvimento das atividades de negócios dentro de um ambiente de controle permanente sobre os riscos, pois, como é de conhecimento de todos, o ambiente de negócios é altamente mutável e repleto de incertezas. A capacidade de convivência nesse cenário, mediante um processo austero de gestão, é um fator decisivo de vantagem competitiva e de sucesso nos negócios.

A atenção aos fatores críticos de sucesso e a visão do alcance dos benefícios da gestão de risco devem ser uma preocupação permanente em cada etapa do processo de gerenciamento de risco. 2.2 Modelos de gestão de riscos

Como já foi visto, a gestão de riscos é um processo que comporta um conjunto de atividades voltadas para o controle dos riscos. Esse processo possui fases específicas que variam de acordo com o modelo escolhido. Neste capítulo serão apresentados alguns modelos de gerenciamento de riscos e suas etapas. 2.2.1 Modelo segundo a norma ISO Guide 73:2002

De acordo com as definições estabelecidas na norma ISO/IEC Guide 73:2002,14 a gestão de riscos envolve as seguintes etapas: a avaliação de riscos (risk assessment), o tratamento do risco, a aceitação do risco e a comunicação do risco.

14 Essa norma é um guia que estabelece a terminologia, as definições e as atividades relacionadas com o gerenciamento de riscos.

42

Avaliação de riscos A avaliação de riscos (risk assessment) envolve a análise de risco (risk

analysis) e a sua avaliação (risk evaluation) por determinado critério para se estabelecer o nível de criticidade do risco.

Tratamento do risco

O tratamento do risco (risk treatment) compreende as ações que vão modificar o risco. É a fase da tomada de decisão quanto aos riscos que afetam a organização.

Aceitação do risco

A aceitação do risco (risk acceptance) está relacionada com a capacidade da empresa de aceitar determinado risco. É a decisão de aceitar o risco.

Aceita-se um risco quando as suas probabilidades e consequências são muito baixas ou desprezíveis, e as contramedidas não são financeiramente viáveis.

Comunicação do risco

A comunicação do risco envolve a troca ou o compartilhamento da informação dos seus riscos pelos tomadores de decisões, stakeholders e grupos de respostas a incidentes de proteção.

A comunicação é importante para o aperfeiçoamento das equipes e instituições envolvidas, e tem como resultado o aumento da capacidade de resposta, seja na redução do tempo de resposta a um evento, seja na medida a ser adotada. Ela proporciona o desenvolvimento de uma network cada vez mais estruturada para enfrentar os riscos.

43

Abaixo reproduzimos a figura que permite visualizar a relação entre as diversas etapas do gerenciamento de risco.

Fonte: ISO/IEC Guide 73:2002. 2.2.2 Modelo segundo as normas AS/NZS 4360:2004 e ABNT NBR ISO 31000:2009

As normas AS/NZS 4360:200415 e ABNT NBR ISO 31000:200916 apresentam o mesmo processo para a gestão de riscos e estabelecem as seguintes etapas para o processo de gerenciamento de risco: comunicação e consulta; estabelecimento do contexto; avaliação do risco (risk assessment); tratamento do risco, e monitoramento e revisão. Comunicação e consulta

Essa etapa possui uma característica peculiar por interagir com as outras fases durante todo o processo. Caracteriza-se por estabelecer uma

15 Essa norma fornece um guia genérico para o gerenciamento de risco. É o padrão seguido pela Austrália (AS) e Nova Zelândia (NZS). 16 Essa norma estabelece um número de princípios que precisam ser atendidos para tornar eficaz a gestão de riscos. É uma adoção idêntica à ISO 31000:2009, que foi elaborada pelo ISO Technical Management Board Working Group on risk management.

44

troca de informações constante e interativa entre as partes envolvidas durante todo o processo de gestão dos riscos.

Essa interação, além de obter uma variedade de opiniões de seus agentes intervenientes, proporciona a compreensão por parte das pessoas quanto ao que representa o risco, bem como a importância do seu processo de gestão para a organização.

Estabelecimento do contexto

Esta etapa envolve as atividades de estabelecimento dos contextos interno externo e do contexto do gerenciamento de risco, o desenvolvimento dos critérios de avaliação dos riscos e a estrutura desse processo de gestão.

O contexto do gerenciamento de risco deve estar alinhado com o ambiente de negócios da organização, o qual deve ter sido estabelecido no planejamento estratégico. Entretanto, quando do início dessa fase, pode ser que o contexto definido anteriormente no planejamento estratégico necessite de ajustes. Nessa fase, o escopo, os objetivos, as metas e as atividades de todo o processo são estabelecidos, inclusive os recursos necessários à sua realização.

Os critérios para a avaliação dos riscos (risk evaluation) são desenvolvidos nessa fase, como também é identificada toda a estrutura de trabalho necessária à consecução das atividades do processo de gestão dos riscos.

Avaliação do risco

Nessa etapa, os riscos são identificados, analisados e avaliados de acordo com critérios previamente estabelecidos. É realizada em 3 fases: identificação dos riscos, analise dos riscos, e avaliação dos riscos (risk evaluate).

Tratamento do risco

Essa fase compreende ações específicas para reduzir perdas potenciais e aumentar os benefícios ao se tomar a melhor decisão quanto aos riscos avaliados.

45

Monitoramento e revisão Essa fase também possui a característica específica de interagir em

todas as fases do processo de gestão de risco, pois a efetividade do gerenciamento requer um monitoramento permanente, bem como uma revisão das medidas de tratamento para aferir a sua eficiência e eficácia.

As figuras abaixo representam esse processo:

NBR ISO 31000:2009 AS/NZS 4360:2004

46

2.2.3 Modelo de gerenciamento de risco de segurança da Microsoft

Para a Microsoft, o gerenciamento de riscos de segurança é o processo de determinação de um nível de risco aceitável que envolve avaliar o nível de risco atual, tomar medidas para reduzir o risco a um nível aceitável e manter esse nível de risco (Microsoft, 2005).

O processo de gerenciamento de riscos de segurança da Microsoft é dividido em quatro fases: avaliação dos riscos, oferecimento de suporte às decisões; implementação de controles e analise da eficácia do programa.

A primeira fase do seu processo de gerenciamento de risco é a etapa de avaliação dos riscos. Nessa fase são combinados aspectos dos métodos quantitativo e qualitativo de análise de risco. Uma abordagem qualitativa é usada para filtrar rapidamente a lista completa dos riscos de segurança.

Os riscos mais graves são identificados durante essa filtragem e, em seguida, são examinados detalhadamente, com o uso de uma abordagem quantitativa. O resultado é uma lista que contém os riscos mais importantes que já foram examinados.

A lista dos riscos mais importantes é usada durante a segunda fase, oferecimento de suporte às decisões, na qual um conjunto de possíveis soluções de controle é proposto e examinado, sendo apresentadas as melhores propostas ao comitê de orientação de segurança da organização como recomendações para a atenuação desses riscos.

Durante a terceira fase, implementação dos controles, os proprietários são responsáveis por implementar as soluções de controle escolhidas.

Na quarta fase, análise da eficácia do programa, verifica-se se os controles oferecem de fato o grau de proteção esperado, além de se monitorarem as alterações no ambiente, como, por exemplo, a instalação de novos aplicativos de negócios ou ferramentas de ataque que possam alterar o perfil de risco da organização.

Como o processo de gerenciamento de riscos de segurança da Microsoft é um processo contínuo, o ciclo é reiniciado com cada nova avaliação de risco. A frequência com que o ciclo é reiniciado varia de acordo com a organização: diversas empresas acreditam que uma recorrência anual é

47

suficiente, desde que a organização esteja monitorando de forma proativa as novas vulnerabilidades, ameaças e ativos.

A seguir está reproduzida a figura que ilustra as quatro fases do processo de gerenciamento de riscos de segurança da Microsoft.

Fonte: Guia de Gerenciamento de Riscos de Segurança. 2.2.4 Modelo segundo a norma BS 7799-3:2006

A norma BS 7799-3:2006 fornece orientação e recomendações para as

atividades de gerenciamento de riscos do sistema de gestão de segurança da informação (Information Security Management System- ISMS), de conformidade com os requisitos estabelecidos pela norma BS 27001:2005,17 que dentre outras coisas estabelece os requisitos para as atividades associadas ao gerenciamento de risco.

O padrão britânico (British Standard) de gerenciamento de risco adota a abordagem por processos, que encoraja os seus usuários a enfatizarem a importância de: a- Entendimento dos requisitos de segurança da informação dos negócios e necessidade de se estabelecerem políticas e objetivos para a segurança da informação; b- Seleção, implementação e operação dos 17 A norma BS 27001:2005, assim como a ISO 27001:2005, apresenta um modelo para estabelecer, implementar, operar, monitorar e revisar, manter e melhorar um ISMS.

48

controles selecionados no contexto do gerenciamento de todos os riscos de negócios da organização; c- Monitoramento e revisão do desempenho e eficácia do ISMS para gerenciar os riscos dos negócios; d- Desenvolvimento da melhoria contínua, baseada na medição objetiva dos riscos.

O seu processo de gerenciamento de riscos compreende as seguintes etapas:

1. Avaliação dos riscos; 2. Tratamento dos riscos; 3. Monitoramento e revisão dos riscos; 4. Manutenção e melhoria do sistema de controle dos riscos.

Avaliação dos riscos

Essa fase compreende o processo de avaliação de riscos e inclui a análise e a avaliação (evaluation) dos riscos. Para se analisarem os riscos são desenvolvidas as seguintes atividades: a identificação dos riscos, a identificação dos requisitos legais e de negócios que são relevantes para os ativos identificados, a valoração dos ativos identificados, considerando a classificação dos seus requisitos e as expectativas de perda de confidencialidade, integridade e disponibilidade, a identificação das principais ameaças e vulnerabilidades, e a avaliação da possibilidade de ameaças e vulnerabilidades ocorrerem.

Para a avaliação (evaluation) dos riscos é realizado o cálculo do risco para poder avaliá-los de acordo o critério predefinido. Tratamento dos riscos

Nessa fase são tomadas as decisões para um melhor gerenciamento dos riscos, por meio de controles de prevenção e detecção, além de medidas para se evitarem e transferirem riscos. Essas decisões devem ser registradas e materializadas no plano de tratamento dos riscos. É o processo clássico de tratamento dos riscos, como foi visto nos modelos apresentados anteriormente. Monitoramento e revisão

É nessa etapa que ocorrem as atividades que garantem o funcionamento eficaz dos controles implementados. Como os controles

49

podem deteriorar-se ou ficar obsoletos com o passar do tempo, são indispensáveis ações que garantam o seu pleno funcionamento e a sua eficácia.

Manter e melhorar

Essa fase alcança as atividades que previnem e corrigem as falhas e deficiências encontradas durante o monitoramento e a revisão (análise crítica). É nela que são executas as ações preventivas e corretivas.

A figura a seguir representa esse modelo de gerenciamento de risco.

Fonte: BS 7799-3:2006

Como podemos observar, essa norma estabelece o modelo PDCA para o gerenciamento de risco, identificado na figura acima, pelas iniciais de cada etapa: Plan (P), Do (D), Check (C) e Act (A), ou seja, na fase de planejamento (P), ocorre a definição do escopo do gerenciamento, a escolha do método de análise e o processo geral de avaliação de riscos; na fase de execução (D), temos o tratamento de risco, com a implementação dos controles relacionados para prevenir, detectar, evitar, aceitar e transferir os riscos; na fase de verificação (C), ocorrem as atividades de monitoramento e revisão desse processo; na fase da ação (A) ocorrem as ações para que o sistema

TRATAMENTO DOS RISCOS

MONITORAMENTO E REVISÃO DOS RISCOS

MANUTENÇÃO E MELHORIA DOS CONTROLES SOBRE OS RISCOS

AVALIAÇÃO DOS RISCOS

P

D

C

A

50

possa ser mantido e melhorado continuamente, dando origem às ações preventivas e corretivas. 2.2.5 Modelo segundo o IT Governance Institute (COBIT® 4.1)

O IT Governance Institute,18 com a publicação do Control Objectives for Information and related Technology (COBIT® 4.1), fornece boas práticas, por meio de uma estrutura de processos, domínios e atividades de controle voltadas para a boa governança nos serviços de TI. Em um de seus domínios19 encontra-se o seu modelo de avaliação e gestão de riscos.

Esse modelo apresenta as seguintes etapas: estabelecimento da estrutura de gerenciamento de risco de TI, estabelecimento do contexto dos riscos, identificação dos eventos, avaliação dos riscos; resposta aos riscos, e manutenção e monitoramento do plano de ação dos riscos.

Estabelecimento da estrutura de gerenciamento de risco

Essa fase requer que a estrutura para o gerenciamento dos riscos de TI esteja alinhada com a estrutura de gestão de riscos totais da organização.

Estabelecimento do contexto dos riscos

É a fase na qual são desenvolvidas atividades para que o resultado da avaliação de risco produza resultados apropriados. É nessa fase que são identificados o cenário (ambiente interno e externo), as metas da avaliação, e são definidos os critérios segundo os quais os riscos serão avaliados.

18 IT Governance Institute foi criado em 1998 para o desenvolvimento e a padronização de uma estrutura de controle direcionada para os serviços de tecnologia da informação. Esse padrão é estabelecido por meio do COBIT, que é uma publicação robusta, que serve como guia para se estabelecer uma estrutura (framework) com as melhores práticas para a governança, controle e auditoria dos serviços de TI. O COBIT fornece suporte ao Commitee of Sponsoring Organizations of the Treadway Commission (COSO), uma entidade criada para estudar os casos de fraudes em relatórios financeiros, em que o foco dos seus trabalhos são os controles internos e os relatórios financeiros. 19 Os quatro domínios do COBIT são: planejamento e organização; aquisição e implementação; entrega e suporte, e monitoramento e avaliação. O processo de avaliação e gestão de riscos faz parte do domínio planejar e organizar.

51

Identificar os eventos Como o próprio nome já diz, é nessa fase que os eventos são

identificados com as suas probabilidades e consequências, ou seja, é a fase da identificação e análise dos riscos, uma vez que os riscos são medidos pelas suas probabilidades e consequências.

Avaliação dos riscos

É nessa fase que ocorre a avaliação dos riscos identificados.

Resposta aos riscos É a fase na qual são desenvolvidos os processos que darão resposta

aos riscos avaliados. É a fase na qual ocorre o tratamento dos riscos com estratégias para evitar, reduzir, compartilhar ou aceitar os riscos.

Manutenção e monitoramento do plano de ação dos riscos

É quando ocorre o monitoramento de todas as atividades de controle, de modo a se fazerem as alterações necessárias ao gerenciamento dos riscos de TI.

2.2.6 Modelo segundo a norma ABNT ISO 27005:2008

A norma ISO 27005:2008 fornece diretrizes para o processo de gestão de riscos de segurança da informação de uma organização, atendendo particularmente aos requisitos de um sistema de gestão de segurança da informação de acordo com o padrão da norma ISO 27001:2005.

Esse modelo apresenta as seguintes etapas: 1- Definição do contexto; 2- Avaliação de riscos (risk assessment), com as etapas de análise de riscos e avaliação de riscos (risk evaluate); 3- Tratamento de risco; 4- Aceitação do risco; 5- Comunicação do risco, e 6- monitoramento e análise crítica dos riscos. O processo de gestão de riscos apresentado por essa norma é semelhante ao das normas AS/NZS 4360:2004 e NBR ISO 31000:2009, e sua representação gráfica é praticamente a mesma, diferenciando-se pela etapa da aceitação do risco. Seu processo de gestão de riscos alinha-se com o processo do sistema de gestão de segurança da informação, de acordo com o padrão estabelecido

52

na norma ISO 27001:2005, que adota o sistema PDCA. A tabela a seguir identifica essa relação: Processo do SGSI

Processo de Gestão de Riscos de Segurança da Informação

Planejar (P)

Definição do contexto; avaliação de risco (risk assessment); definição do plano de tratamento do risco; aceitação do risco.

Executar (D)

Implementação do plano de tratamento do risco.

Verificar (C)

Monitoramento contínuo e análise crítica de riscos.

Agir (A)

Manutenção e melhoria do processo de gestão de riscos de segurança da informação.

Fonte: Norma ABNT ISO/IEC 27005:2008

Observe-se que essa norma foi elaborada para atender a uma demanda específica daquelas organizações que pretendem certificar seus sistemas de gestão de segurança da informação com o padrão da norma ISO 27001:2005. Entretanto, para se atender ao requisito dessa norma (27001:2005), não se faz necessário adotar o modelo aqui apresentado, pois a norma BS 7799-3:2006 também satisfaz a esse requisito, uma vez que ambas as normas fornecem um suporte para que as organizações possam montar o seu sistema de gestão de segurança da informação alinhado com os requisitos indispensáveis da norma ISO 27001:2005. 2.3 Revisão e monitoramento da gestão de riscos

Como em todo processo de gestão, o gerenciamento de riscos também precisa ser monitorado e revisto. O monitoramento deve ser feito com base em vigilância cotidiana da performance do sistema, uma vez que os cenários são dinâmicos e susceptíveis às mudanças. A revisão desse processo deve ocorrer periodicamente a respeito de fatos presentes e com um foco bem específico. Ambas as atividades são essenciais para uma boa gestão dos riscos.

53

O monitoramento e a revisão devem estar atentos para as mudanças no ambiente da organização, para os riscos e seus níveis de criticidade, bem como para as medidas de tratamento, com priorização para os riscos de impacto elevado, especialmente nas atividades críticas de negócios, em que os ativos envolvidos sejam estratégicos e possuam um custo elevado de reposição.

Essas atividades podem ser executadas: por meio da medição de parâmetros definidos, nas rotinas das atividades cotidianas; em atividades específicas, que demandem mais atenção e preocupação com a manutenção de um nível mínimo de performance para determinada atividade; mediante a realização de auditorias, que são excelentes ferramentas para o exame de sistemas.

Todo e qualquer incidente de segurança, seja ele intencional, seja acidental, deve ser analisado, mesmo que as ações específicas de resposta e recuperação tenham sido eficazes, para que seja possível avaliar se tais medidas poderiam ter sido mais otimizadas, e até que nível de impacto elas seriam eficazes. Um erro comum é não realizar uma avaliação crítica das ações realizadas, o que, em alguns casos, pode abrir fendas de vulnerabilidades, em se considerando que tais medidas poderiam não manter o padrão de resposta desejado se tal evento fosse de uma gravidade um pouco maior.

Outro ponto importante, e que pode passar despercebido, é o fato de que se procura estudar casos ocorridos em outras organizações, e avaliar como a organização se comportaria frente a um evento semelhante. Com isso se estará fomentando um processo de aprendizagem e semeando a cultura de uma gestão arrojada dos riscos, ao se tentar entender e estudar possíveis eventos futuros, com preparação para quaisquer eventualidades.

2.4 Ferramentas utilizadas para a gestão de riscos

A gestão de riscos é um processo complexo, e a conclusão de todas as suas fases pode demandar um bom período de tempo. Dessa forma, a utilização de ferramentas é indispensável para tornar esse processo cada vez mais otimizado e bem mais fácil de ser realizado.

54

As ferramentas utilizadas nesse processo variam de simples planilhas, tabelas, questionários, até programas específicos para atividades pontuais ou para todo o processo. De acordo com essa filosofia, este capítulo trata de alguns tipos de ferramentas utilizadas na gestão de riscos.20

Checklist

O checklist é uma ferramenta bastante utilizada para a checagem de aspectos referentes à identificação de ameaças e vulnerabilidades. É uma ferramenta importante na avaliação da criticidade das atividades de negócios corporativos face às ameaças e vulnerabilidades, e pode ser facilmente utilizada pelo pessoal de cada unidade de negócio e pelos proprietários dos ativos. A sua utilização requer a verificação “in loco”.

Análise GAP

A análise GAP21 (Gap analysis) é um exame que objetiva verificar a conformidade com as políticas, normas e procedimentos relacionados com a segurança. É uma comparação da situação atual com o padrão estabelecido. É um exame que identifica se os controles estão ou não alinhados com o padrão estabelecido.

Serve como ponto referencial para se avaliar a extensão e a complexidade do processo de avaliação de risco a ser implementado. É uma excelente ferramenta para o planejamento e a definição do escopo da avaliação dos riscos e do sistema de gestão a ser estruturado.

A análise GAP pode ser realizada com base nos controles aplicáveis e em níveis de referência (maturidade, por exemplo). Aquela realizada com base nos controles aplicáveis é sobre as normas de referência, verificando os itens dessas normas e comparando-os com os controles existentes na organização. Na análise baseada em níveis de controle, é realizado o exame

20 O objetivo deste capítulo não é optar por tal ou qual ferramenta, mas comentar e apresentar algumas ferramentas que se têm mostrado eficazes no processo de gestão de riscos. 21 O termo Gap vem do inglês e significa fenda, abertura, brecha, intervalo. A análise GAP é uma análise que objetiva fechar a brecha da segurança. Esse é o significado que desejamos ao empregar o termo “Análise GAP”.

55

com base em uma classificação de referência, no qual é verificado em qual estágio de controle se encontra a organização em determinado setor, área, atividade, etc.

Ferramentas GGRS1, GGRS2 e GGRS3

As planilhas também são bastante utilizadas no processo de gestão de riscos. Várias são as suas utilizações, como, por exemplo: identificação de funções críticas de negócios, análise de vulnerabilidades e riscos, análise de impacto nos negócios, desenvolvimento de estratégias, etc.

O Guia de gerenciamento de riscos de segurança da Microsoft (Microsoft, 2005) apresenta as ferramentas GGRS1, GGRS2 e GGRS3, que são planilhas utilizadas para facilitar o processo de análise e avaliação de riscos.

A ferramenta GGRS1 é uma planilha utilizada para a coleta de dados, coleta essa que é detalhada pelo nome do ativo e sua classificação, sendo completada com a camada de defesa em profundidade, suas ameaças, vulnerabilidades, o nível de exposição do ativo, os controles atuais, as probabilidades e os possíveis novos controles. A sua estrutura está representada na figura a seguir.

A ferramenta GGRS2 é composta de mais de uma planilha e destina-se a mostrar o nível de risco resumido. Essa ferramenta apresenta a descrição de cada ativo avaliado e a sua classe, a camada de defesa em profundidade vulnerável à ameaça, a ameaça, suas vulnerabilidades, o nível de exposição e a classificação do impacto. A sua estrutura está representada na figura a seguir.

56

Essa ferramenta ainda apresenta as planilhas de classe de ativo e nível

de exposição, assim como a planilha de impacto e probabilidade. A ferramenta GGRS3 é composta de mais de uma planilha e destina-se

a apresentar a lista detalhada dos riscos. Para isso, apresenta planilhas de classificação da exposição da disponibilidade, confidencialidade e integridade, determinação dos valores de impacto, avaliação de vulnerabilidade, atribuição de valores à probabilidade, e de avaliação da eficácia e controle atual. A planilha da lista detalhada dos riscos está representada na figura a seguir.

Risk Vision

A ferramenta Risk Vision22 é uma ferramenta de TI utilizada para o processo de gestão de riscos corporativos. O processo de GRC utiliza o método Brasiliano de análise de riscos. É uma ferramenta que possibilita que

22 Mais informações podem ser obtidas no endereço: http//www.sicurezza.com.br

57

se avaliem e gerenciem as incertezas como forma de criação de vantagem competitiva.

Essa ferramenta alinha estratégia, processos, pessoas, tecnologia e conhecimentos para a análise de riscos. Nesse processo de análise, os riscos não são tratados como fatos isolados, mas por meio de uma metodologia de gestão integrada que prioriza os riscos de maior importância e relevância para a empresa, evitando-se que não sejam devidamente gerenciados, ou, eventualmente, que os riscos menos importantes sejam controlados de modo excessivo.

A sua grande vantagem é a possibilidade de utilizar o método qualitativo e o quantitativo de avaliação de risco conjuntamente, pois os transforma num mesmo parâmetro, obtendo ganho de tempo e eficiência no processo como um todo.

RA2 art of risk

A ferramenta RA2 art of risk23 é um software direcionado para o desenho e a implementação de um sistema de gestão de segurança da informação (ISMS), em conformidade com a norma ISO 27001:2005.

Essa ferramenta ajuda a definir o escopo e os requisitos de negócios, políticas e objetivos para o ISMS, a desenvolver o inventário dos ativos, a conduzir o processo de avaliação de riscos, nas decisões das opções de tratamento, na escolha dos controles apropriados e em conformidade com os controles previstos no anexo A da norma ISO 27001:2005, bem como na seleção de toda a documentação necessária para o ISMS.

Ela traz referenciais de criticidade para a avaliação de ativos, vulnerabilidades e ameaças, os quais podem ser utilizados em vários níveis, além de construírem a declaração de aplicabilidade.24

23 Mais informações podem ser obtidas no endereço: http://www.itgovernance.co.uk/products/165 24 A Declaração de Aplicabilidade (Statement of Applicability) é uma exigência para a certificação de conformidade dos sistemas de gestão de segurança da informação com a norma ISO 27001. É uma declaração documentada que descreve os objetivos de controle e os controles que são aplicáveis ao sistema, como também a justificativa daqueles controles excluídos.

58

É uma ferramenta de fácil manuseio e praticidade e tem sido muito bem aceita pela comunidade de segurança da informação. Módulo Risk Manager

A ferramenta Módulo Risk Manager25 é um software implementador de processos que alcançam governança, riscos e conformidade com os diversos padrões e regulamentações de mercado e de governança em tecnologia da informação, de forma a facilitar a priorização das ações e os recursos envolvidos.

É uma ferramenta de grande amplitude, pois consegue atender aos requisitos das principais normas de controle, tais como: Sarbanes-Oxley (SOX), PCI-DSS, ISO 27001:2005, COBIT, Basiléia II, FISAP, etc.

Dentre os seus benefícios destacam-se: a criação de um scorecard para os riscos com uma visão relacionada com o negócio, o que permite alocar os investimentos de acordo com a criticidade de cada ativo; o mapeamento da evolução dos riscos; uma visão georreferenciada dos riscos; auditorias mais produtivas; apoio à implementação dos requisitos de certificação para SOX, PCI-DSS, ISO 27002, ISO 27001, BS 25999, COBIT, Basileia II e FISAP; gestão integrada para os riscos da organização; ampla integração, etc.

É uma ferramenta bastante conceituada, que tem apresentado excelentes resultados para quem a utiliza, vindo a ser reconhecida como uma das mais completas em relação às regulamentações específicas do segmento de tecnologia da informação.

Microsoft Security Assessment Tool

A Ferramenta Microsoft Security Assessment Tool (MSAT) 26 é um software de avaliação de riscos que fornece informações e recomendações sobre as boas práticas para a segurança da informação em organizações de médio porte que tenham entre 50 e 1.500 desktop.

25 Mais informações podem ser obtidas no endereço: http://www.modulo.com.br 26 Mais informações no site: http://technet.microsoft.com/pt-br/security/cc297183.aspx

59

Essa ferramenta utiliza o conceito de defesa em profundidade, ou seja, oferece orientações para a implementação de controles nas seguintes camadas: infraestrutura, aplicativos, operações e pessoal. No final, fornece um relatório dos resultados com duas avaliações: uma com o perfil de risco da empresa, e outra com a avaliação da defesa em profundidade.

É uma ferramenta fácil de ser utilizada e é uma opção para organizações com recursos limitados para investimentos em segurança da informação.

60

3 O PROCESSO DE AVALIAÇÃO DE RISCOS

Como já foi visto, o processo de avaliação de riscos é parte integrante do gerenciamento de riscos, e, independentemente do modelo a ser adotado, possui três etapas indispensáveis, que são: identificação dos riscos, análise dos riscos e avaliação dos riscos.27

3.1 Identificação de riscos

Na fase de identificação dos riscos, as atividades são direcionadas no sentido de se identificarem os principais riscos que afetam uma organização, e o seu resultado é materializado em uma relação que contém esses riscos ou cenários de riscos.

O objetivo da etapa é desenvolver uma compreensão dos riscos, suas fontes e quaisquer eventos que possam vir a comprometer as atividades de negócios da organização.

Para iniciar esse estudo, faz-se necessário visualizar alguns ingredientes que contribuem para o risco. Esses componentes são: a fonte do risco, o evento, a consequência, a causa, os controles e os seus aspectos temporal e espacial.

A fonte tem relação com a origem da atividade ou do material, o evento se relaciona com todo e qualquer ato que possa vir a comprometer a atividade, a causa tem relação direta com o motivo pelo qual o evento pode acontecer, é a sua justificativa, a consequência está diretamente relacionada com o impacto que tal evento poderá provocar. Os controles podem evitar, reduzir ou facilitar a materialização do evento, e os aspectos temporal e espacial estão relacionados com o momento e o local onde possam ocorrer.

27 As etapas apresentadas seguem a filosofia de gestão de riscos internacionalmente aceita, a qual identifica que a avaliação de riscos (o processo- risk assessment) possui 3 etapas: identificação de riscos; análise de riscos e avaliação de riscos (risk evaluation).

61

A seguir, um exemplo dos componentes do risco relacionado com carga química: Fonte: Carga química. Evento: derramamento e/ou vazamento da carga. Causa: inobservância de procedimentos operacionais, falha de equipamento, pessoal desqualificado para o manuseio de carga perigosa. Consequência: interrupção das atividades, ferimentos humanos, dano ambiental. Controles: inexistência de inspeções e auditorias. Aspecto temporal: quando do manuseio e armazenamento da carga. Aspecto espacial: pátio de operações.

Outro ponto importante para um levantamento eficaz dos riscos diz respeito à confiabilidade das informações dos registros de eventos passados. Para tal, faz-se necessário questionar a forma como esses registros eram feitos. Para suprir qualquer eventual vulnerabilidade desses registros, deve-se solicitar aos órgãos de controle e do governo informações sobre eventos e riscos que ocorreram no segmento de mercado da atividade na qual se está realizando a avaliação de risco. Outro ponto de ajuda é a busca de informações em pesquisas específicas sobre riscos, para se ter uma visão mais ampla da totalidade de eventos que podem materializar-se em riscos potenciais nas atividades de negócios, objeto da avaliação de riscos. De posse dos componentes do risco e das informações disponíveis, inicia-se a identificação de riscos propriamente dita. Um método eficaz de se identificarem os riscos é iniciar pela identificação da atividade de negócio. Para isso, deve-se: 1) Identificar os ativos dentro da atividade de negócio, e 2) Identificar as ameaças a esses ativos. Identificar os ativos

Essa é a fase onde são identificados os ativos, o que resulta em um inventário de todos os ativos das principais atividades de negócios, e em um valor atribuído a cada ativo que expresse a sua importância em relação à atividade.

62

Para exemplificar, abaixo apresentamos alguns tipos de ativos:28 Ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilas de auditoria e informações armazenadas; Ativos de software: aplicativos, sistemas de uma forma geral, ferramentas de desenvolvimento e utilitários; Ativos físicos: equipamentos computacionais (processadores, monitores, laptops, modens), equipamentos de comunicação (roteadores, PABXs, fax, secretárias eletrônicas), mídia magnética (fitas e discos), mídias removíveis e outros equipamentos técnicos (no-breaks, ar-condicionado), mobília, acomodações; Serviços: computação e serviços de comunicação, utilidades gerais, por exemplo, aquecimento, iluminação, eletricidade, refrigeração; Pessoas: pessoas e suas qualificações, habilidades e experiências; Intangíveis: reputação e imagem da organização.

A identificação dos ativos por si só não é suficiente, pois se faz necessário atribuir-lhes um valor correspondente à importância que eles representam para a organização em relação aos possíveis danos de um evento indesejável.

Existem várias técnicas para se atribuir um valor ao ativo. Uma técnica que pode ser utilizada para facilitar essa valoração é conhecer quais são os fatores críticos para o sucesso29 da empresa. Por exemplo, um terminal de contêiner que realiza a operação de carga e descarga tem como fatores críticos para o seu sucesso, a sua imagem e reputação no mercado, a qualidade dos serviços (especialmente a ação de carga, descarga e armazenagem), a integridade e o sigilo da carga, a disponibilidade das informações sobre a carga para o cliente, e a entrega da carga no tempo certo.

Após a identificação dos principais processos de negócios, deve ser feita uma classificação para se estabelecer a criticidade dessas atividades. Essa 28 Fonte: Norma ISO 27001:2005 29 Os fatores críticos de sucesso nesta etapa não são os fatores críticos de sucesso para a gestão de riscos, e sim para os negócios corporativos.

63

classificação pode ser feita com base nos níveis estratégico, tático e operacional, ou com base no custo de interrupção, ou em outros fatores definidos pela empresa.

Abaixo apresentamos a classificação utilizada por Toigo (2003), para as atividades de negócios:

Crítica: funções que não podem ser desenvolvidas, a não ser que capacidades identificadas formem uma base para repor a capacidade de perigo da companhia. Aplicações críticas não podem ser repostas por métodos manuais em nenhuma circunstância. A tolerância para a interrupção é muito pouca e o custo é muito elevado. Vital: funções que não podem ser desenvolvidas por meios manuais, ou podem ser desenvolvidas manualmente por apenas um breve período de tempo. Sensível: funções que podem ser realizadas com dificuldade e custo tolerável, por meios manuais e por um extenso período de tempo. Não crítico: funções que podem ser interrompidas por um longo período de tempo, com pouco ou nenhum custo para a companhia.

Nessa técnica, após a classificação da criticidade da atividade de negócio, devem ser identificados os ativos que compõem cada uma de suas atividades, para se poder estabelecer um valor para cada um deles.

Essa valoração pode ser expressa: em termos da sua importância, como na classificação apresentada acima; em termos dos requisitos de segurança em relação aos impactos provocados pela quebra desses requisitos; em termos financeiros com base no custo de manutenção, reparação e/ou reposição; em termos do custo do tempo de interrupção, etc. A valoração financeira do ativo pode ser feita tendo com base, exclusivamente, o valor monetário de mercado para a sua reposição, ou no retorno do investimento que o valor utilizado para repor aquele ativo proporcionaria à organização (aplicações no mercado), ou o custo da captação de recursos para a nova aquisição (financiamento do ativo). Esse

64

fator pode ser combinado com o custo estimado da interrupção dos serviços e do prejuízo à imagem da organização pela indisponibilidade desse serviço.

Como a valoração monetária de todos os ativos para o processo de avaliação é difícil, tem sido adotada uma escala de valoração nominal, com escalas que variam entre 3 e 5 níveis, como, por exemplo: insignificante, baixo, médio, alto e muito alto.

O quadro abaixo apresenta um exemplo de valoração de ativo.

Quadro de valoração de ativos ATIVO Valor DESCRIÇÃO Insignificante 0 Abaixo de 1.000 unidades monetárias; de reposição imediata;

não impactante nas atividades de negócios. Baixo 1 Entre 1.000 e 10.000 unidades monetárias; de fácil reposição

em 24h; baixo impacto na atividade de negócio. Médio 2 Entre 10.000 e 100.000 unidades monetárias; de fácil reposição

entre 48h-72h; operação da atividade de negócio com dificuldade.

Alto 3 Entre 100.000 e 1.000.000 de unidades monetárias; de difícil reposição em 7 dias; interrupção da atividade de negócios até a sua reposição ou reparação. Estratégico para a atividade.

Muito alto 4 Acima de 1 milhão de unidades monetárias; de difícil substituição em prazo inferior a 30 dias; interrupção total da atividade de negócio. Estratégico para a atividade.

Concluída a identificação das atividades de negócios e de seus ativos,

tem início a identificação das ameaças a esses ativos.

Identificação das ameaças aos ativos

Como já foi visto, a norma ISO/IEC 13335-1:2004 define a ameaça como a causa potencial de um incidente indesejado, a qual pode resultar em dano para um sistema ou para uma organização. De uma maneira geral, as ameaças são tidas como agentes ou condições que exploram as vulnerabilidades e provocam danos.

Também foi apresentado que as ameaças podem ser naturais, involuntárias e intencionais.

65

Na categoria de ameaças naturais, devem ser identificadas todas aquelas decorrentes de eventos da natureza, como: fogo, inundação, tempestade, relâmpago, tsunamis, etc.

Na categoria de involuntárias, devem ser incluídas todas as possíveis ações acidentais como falha de equipamento, falta de energia, erro funcional, divulgação de documento, etc.

Na categoria de intencionais, devem ser incluídas todas as ações deliberadas para provocar um dano à organização, e podem ser divididas em ações que podem causar dano às pessoas, como: incêndio criminoso, bomba, sabotagem, vandalismo; e aquelas que não causem danos às pessoas: furto, greve, espionagem, divulgação de informação. Essas subcategorias podem ser classificadas como ações intencionais violentas e não violentas, respectivamente.

Essas ameaças ainda podem ser mais discriminadas, como, por exemplo, o acesso não autorizado, que pode ser: ao estabelecimento, ao equipamento, aos relatórios, aos sistemas de informação, etc.

Lembramos que o grande problema dessa etapa está diretamente relacionado com a qualidade e a confiabilidade das informações, além da capacidade de se identificar a motivação para as ameaças intencionais, e da previsão dos fatores climáticos, de uma maneira geral.

Uma maneira prática para essa etapa é a de se relacionar as possíveis incidentes e ameaças em uma lista, identificando a sua origem (naturais, acidentais e intencionais), para uma visualização macro dos possíveis cenários de risco, evitando assim, a exclusão de incidentes e ameaças que estejam previstos em dispositivo normativo, como, por exemplo: os incidentes de proteção estabelecidos no item 15.11 da parte B do ISPS Code. Como as ameaças por si só não representam o risco, pois outros fatores são concorrentes para tal, como os motivos da ocorrência das ameaças e a eficácia dos controles existentes, a sua avaliação passa pela identificação das vulnerabilidades, que é a próxima fase da etapa de identificação dos riscos. Identificação das vulnerabilidades

Como já foi visto, as vulnerabilidades são fragilidades que podem provocar danos ao serem exploradas pelas ameaças. Como se sabe, tanto

66

uma vulnerabilidade quanto uma ameaça por si só não provocam danos, pois a concretização do risco envolve um conjunto de fatores que deságuam na sua materialização.

Esses fatores geralmente estão relacionados a processos, políticas, controles, equipamentos, softwares, comunicações, hardware, comunicações e recursos humanos, dentre outros. A sua identificação é o que caracteriza esta etapa.

É a etapa da identificação do risco em que são feitas as perguntas: “qual a sua causa ou motivo?”, “por quê?” e “como?”, para se identificar o porquê de tal acontecimento, ou seja, o fato que motivou a concretização da ameaça, e se compreender a forma pela qual ela ocorreu.

Na etapa da identificação das vulnerabilidades, devem ser identificadas as fragilidades relacionadas com os ativos no ambiente físico, nos controles e procedimentos, nas operações de negócios e fornecimento de serviços, nos hardware, software e equipamentos de comunicações e instalações (BS 7799-3:2006). Essas fragilidades podem ser identificadas por si mesmas, ou em relação às ameaças.

O manual HB 231:2004 apresenta uma série de exemplos de vulnerabilidades, dentre as quais: Área física e do ambiente: falta de proteção física à instalação, portas, janelas; instabilidade da energia; localização em área susceptível à inundação; Hardware: susceptibilidade à variação de voltagem, de temperatura, a poeira, umidade, radiação eletromagnética; falta de controle de mudança de configuração; Software: falta de mecanismo de identificação e autenticação; ausência das trilhas de auditoria; tabelas de senhas desprotegida; alocação errada de direitos de acesso; falta de documentação; falta de back-up; Comunicações: linhas de comunicações desprotegidas; falta de identificação e autenticação de emissor e receptor; gestão inadequada da network; conexões de rede pública desprotegidas; Documentação: arquivo desprotegido; falta de controle para cópias; falta de cuidado na disponibilização da documentação; Pessoal: falta de pessoal; treinamento de segurança insuficiente; ausência de conhecimento de segurança; utilização incorreta de software e hardware; falta

67

de mecanismos de monitoramento; ausência de políticas para a utilização correta de mídia e de mensagens; procedimento inadequado para a seleção.

A norma BS 7799-3:2006 apresenta uma série de exemplos de vulnerabilidades e sua relação com possíveis ameaças, as quais citamos apenas algumas na tabela abaixo:

Vulnerabilidade Ameaça Área: segurança física e do ambiente Descuido ou utilização inadequada do controle de acesso a instalações, salas e escritórios

Dano intencional

Arquivo desprotegido Roubo Área: gerenciamento das operações e comunicações Interface complexa de usuário Erro operacional Mudança inadequada de controle Falha de segurança Área: controle de acesso Segregação imprópria da network Conexões não autorizadas na network Falta de proteção de equipamento de computação móvel

Acesso não autorizado à informação

Área: aquisição, desenvolvimento e manutenção de sistemas de informação Proteção inadequada das chaves de criptografia

Revelação da informação

Seleção errada de dados para teste Acesso não autorizado a dado/informação pessoal

Fonte: BS 7799-3:2006

Algumas ferramentas e técnicas podem ser utilizadas para identificar as vulnerabilidades. As ferramentas automatizadas de identificação de vulnerabilidades geralmente executam uma varredura e monitoram a network. A utilização dessas ferramentas garante o exame periódico dos ativos e identifica as fontes oportunas de vulnerabilidade.

Uma técnica utilizada para a identificação das vulnerabilidades é o emprego do diagrama de causa e efeito. Esse diagrama também é conhecido pelos nomes de diagrama de Ishikawa, porque foi desenvolvido primeiro por Kaoro Ishikawa, em 1943, na Universidade de Tóquio; ou por diagrama Espinha de Peixe, pela sua similaridade com a forma de um esqueleto de peixe.

68

Esse diagrama é construído em duas etapas: a primeira descreve o problema específico, que pode ser a ameaça potencial, e a segunda pesquisa as possíveis causas, que são as vulnerabilidades. A sua construção é parecida com uma espinha de peixe, em que na extremidade da direita é colocado o problema (que no nosso caso é a ameaça), e à esquerda as categorias das principais vulnerabilidades. No final, o diagrama apresenta a seguinte forma:

N A T U R A L F ÍS IC A H U M A N A

H A D W A R E C O M U N IC A Ç Ã O

M O T IV O C A U S A D O R

A M E A Ç A

Nas janelas da esquerda devem ser colocadas as vulnerabilidades, por

origem: natural, física, de hardware, de software, nos meios de armazenamento, humanas e nas comunicações. Com isso são analisados os possíveis motivos que concorreram para a concretização da ameaça.

Um ponto que merece atenção com relação às vulnerabilidades é o seu aspecto temporal, que está relacionado com o momento em que elas possam vir a ocorrer.

Algumas perguntas podem ajudar nesta fase. Por exemplo: A quem poderão interessar esses ativos? Por quê? Para quê? A quem poderá interessar a interrupção desse serviço? O que pode ser explorado para prejudicar a segurança? Quem é a ameaça? No final da etapa, os responsáveis pela identificação dos riscos terão uma relação das vulnerabilidades e das possíveis ameaças para os ativos de cada atividade de negócio, para que se possa realizar uma análise de acordo com a concepção de riscos.

69

3.2 Análise de riscos

A análise de riscos desenvolve um entendimento sobre os riscos e os seus impactos nas atividades de negócios e ativos envolvidos, a fim de orientar as melhores estratégias para tratamento dos riscos dentro da relação custo-benefício.

É a fase em que ocorre o estudo detalhado de cada risco e a sua inter-relação com os controles e suas vulnerabilidades. É o que pode ser chamado de estudo do risco propriamente dito.

Na fase de analise dos riscos30, três fatores são fundamentais: os controles, a probabilidade e as consequências. Os controles

Os controles são importantes porque minimizam ou facilitam a concretização do risco. Não se pode falar em avaliação de risco sem uma referência aos controles, pois eles têm uma interferência direta no nível de vulnerabilidade dos instrumentos de proteção de uma organização e, portanto, não podem ser excluídos.

O fator controle é baseado na avaliação da eficácia dos controles existentes, que são materializados em normas, processos, procedimentos e práticas, dentre outros, o qual compõe todo um arcabouço de uma infraestrutura voltada para a proteção da organização.

Um ponto que merece destaque nesse processo de análise é como se deve aferir a vulnerabilidade de um controle. Uma ferramenta importante que pode ser utilizada para avaliar se os controles são eficazes é a auditoria.

Nesse tipo de auditoria, o auditor deverá focar o seu exame na avaliação da eficácia dos controles na prevenção e na detecção de possíveis ameaças. O seu trabalho deverá estar baseado nas políticas e nos controles implementados, para que no final se possa atestar a eficácia ou a vulnerabilidade de um controle.

30 Recomendamos a releitura do item “métodos de análise e parâmetros de avaliação” do capítulo 2 deste livro, para uma melhor compreensão desse tópico.

70

As inspeções e as vistorias são técnicas que também podem ser utilizadas para a verificação dos controles, concomitantemente com a auditoria ou isoladamente.

Probabilidades X Consequências: RISCO

Como já foi visto, o risco é medido pela combinação da probabilidade de um evento e suas consequências. É na combinação desses fatores que as análises são realizadas e é estabelecido um ranking que se baseia na criticidade dos riscos analisados.

Consequências

As ameaças podem produzir danos nos negócios e nos ativos envolvidos, quando exploram as vulnerabilidades, o que pode ocorrer de forma intencional ou não. Nessa etapa, devem ser identificados os impactos que as ameaças podem causar.

O fator consequência (impacto) é baseado na valoração do ativo e da sua importância para as atividades de negócios. A sua análise deve levar em consideração os critérios estabelecidos para se avaliarem os impactos, como, por exemplo: financeiro, legal, imagem organizacional, custo do ativo, etc.

Relembramos aqui a questão da escolha dos parâmetros a serem utilizados para a classificação dos impactos ou consequências.31

A seguir são apresentadas duas tabelas: uma com a descrição dos parâmetros utilizados, e outra com o nível de risco para cada parâmetro. Quadro da descrição de categorias de impacto CATEGORIA DESCRIÇÃO MORTE OU FERIMENTO Perspectiva de morte ou ferimento como resultado

de um ataque IMPACTO ECONÔMICO O potencial impacto econômico de um ataque IMPACTO AMBIENTAL O potencial impacto ambiental SEG. PÚBLICA/ IMPACTO DEFESA O impacto do efeito de um ataque em vários alvos,

incluindo o departamento de defesa EFEITO SIMBÓLICO Tipo efeito moral: economia americana, sistema

público, militar e bem-estar social

31 Maiores detalhes no item 1.5 Métodos de análise e parâmetros de avaliação do capítulo 1 deste livro.

71

Quadro de níveis de impacto NÍVEL DE IMPACTO

MORTE/ FERIMENTO

IMPACTO ECONÔMICO

IMPACTO AMBIENTAL

DEFESA NACIONAL

EFEITO SIMBÓLICO

ALTO > 50 feridos > 5 mortes

> 100 milhões de unidades monetárias


Cria longos períodos de vulnerabilidade na seg. pública

Mais perdas de importantes símbolos nacionais que são internacionalmente conhecidos

MÉDIO 10 a 50 feridos 2 a 5 mortes

10 a 100 milhões de unidades monetárias



Maior dano ou destruição de importantes símbolos locais ou nacionais

BAIXO 0 a 10 feridos 0 a 1 morte

< 10 milhões de unidades monetárias



Menor ou nenhum dano para importantes símbolos

Uma técnica que poderá facilitar a identificação dos impactos é a

elaboração de um roteiro, do qual constem os seguintes itens: 1- Os ativos por atividade de negócio, a sua criticidade e o valor de cada

ativo; 2- As ameaças aos ativos, por categoria: naturais, involuntárias e

intencionais; 3- As vulnerabilidades a esses ativos relacionadas com as ameaças; 4- Os possíveis impactos pela concretização das ameaças.

Possibilidades

O fator possibilidade (probabilidade) é baseado na possibilidade da ocorrência de uma ameaça. Essa aferição pode ser efetuada pelo emprego do método qualitativo ou do quantitativo. O método que predomina, por ser mais fácil, é o método qualitativo, que, como já foi visto anteriormente, utiliza valores nominais.32

Abaixo é apresentado um exemplo para a classificação das possibilidades: 32 Idem.

72

Níveis de possibilidade Nível Descrição Tipos

A Frequente É esperado que ocorra em mais circunstâncias – possibilidades de incidentes repetidos

B Provável Provavelmente ocorrerá em mais circunstâncias – possibilidade de incidentes isolados

C Ocasional Poderá ocorrer em algum tempo- possibilidade de algumas ocorrências

D Remota Ocorrerá alguma vez – ocorrência pouco provável

E Improvável Ocorrerá em circunstâncias excepcionais – praticamente impossível

Não se pode esquecer que as análises devem levar em consideração

tudo o que foi identificado na etapa de identificação dos riscos, a qual envolveu: a identificação dos ativos, seus proprietários e o valor desses ativos; a identificação das ameaças e a sua relação com as vulnerabilidades.

Na análise dessas combinações é elaborada uma matriz de risco. A seguir estão apresentados alguns exemplos de uma matriz de risco:

Matriz de riscos (valores de ativos, possibilidades de ameaças e vulnerabilidades)

Níveis de ameaças Baixo (B) Médio (M) Alto (A) Níveis de vulnerabilidade

Valor do ativo

B M A B M A B M A 0 0 1 2 1 2 3 2 3 4 1 1 2 3 2 3 4 3 4 5 2 2 3 4 3 4 5 4 5 6 3 3 4 5 4 5 6 5 6 7 4 4 5 6 5 6 7 6 7 8 Fonte: BS 7799-3:2006

73



Menor 2

Moderado 3

Maior 4

Catastrófico 5

A (Freqüente) M A A E E

B (Provável) M M A A E

C (Ocasional) B M A A A

D (Remota) B B M M A

E (Improvável) B B M M A

Fonte: HB 436:2004 Matriz de riscos (ameaças, vulnerabilidade e possibilidade) Níveis de ameaças Baixo (B) Médio (M) Alto (A) Níveis de vulnerabilidade

B M A B M A B M A

Valor da possibilidade

0 1 2 1 2 3 2 3 4

Fonte: HB 231:2004 3.3 Avaliação de riscos

Na etapa de avaliação de riscos (risks evaluate) é realizada uma comparação entre a classificação de cada risco analisado e o critério de avaliação estabelecido pela organização quando da escolha do método de avaliação.

Como visto no capítulo 2, vários parâmetros são utilizados na escolha dos critérios para se avaliarem os riscos, como, por exemplo: financeiros, de imagem organizacional, social e ambiental, pessoal, normativo; etc.

Esses parâmetros são referenciais escolhidos pela organização e estão relacionados com o tipo de atividade e criticidade do segmento econômico da organização. Eles servem para dar mais transparência ao processo de segregação dos riscos, e tornar o seu tratamento mais objetivo.

74

Para exemplificar, vamos adotar a matriz de risco a seguir, a qual identifica os níveis de criticidade dos riscos em quatro categorias: risco extremo, risco alto, risco moderado, e risco baixo. Essa matriz faz parte da etapa de análise dos riscos.



Menor 2

Moderado 3

Maior 4

Catastrófico 5

A (Frequente) A A E E E

B (Provável) M A A E E

C (Ocasional) B M A E E

D (Remota) B B M A E

E (Improvável) B B M A A

Com base nessa matriz, os riscos devem ser confrontados com os

critérios definidos pela organização para a aceitabilidade dos riscos, e poder-se identificar o que deve ser feito, ou seja, as medidas de tratamento. Quadro da aceitabilidade dos riscos Risco extremo (E) Inaceitável- Requer ação corretiva imediata Risco alto (A) Inaceitável - Requer ação corretiva imediata com

atenção específica da direção Risco moderado (M) Inaceitável- Requer monitoramento, ações de

mitigação e revisão dos controles pelo gerente Aceitável – requer a revisão e a autorização do gerente

Risco baixo (B) Aceitável- Requer procedimentos de rotina

Outro padrão que pode ser utilizado para a avaliação é identificar as

medidas de tratamento para cada nível de risco (combinação das consequências com as possibilidades), conforme o exemplo abaixo:

75

Matriz de riscos POSSIBILIDADE CONSEQUÊNCIA

BAIXA MÉDIA ALTA ALTA CONSIDERAR MITIGAR MITIGAR MÉDIA DOCUMENTAR CONSIDERAR MITIGAR BAIXA DOCUMENTAR DOCUMENTAR DOCUMENTAR

Ações de tratamento: Mitigar: estratégias desenvolvidas para reduzir o risco. Considerar: meios que a combinação alvo/cenário deve considerar e estratégias mitigadoras que devem ser desenvolvidas em cada caso. Documentar: não necessita de medidas de tratamento. Deve ser apenas documentado para uma revisão futura dos riscos avaliados. A norma ABNT NBR ISO 20858:2011 apresenta uma tabela cuja finalidade é determinar quando as contramedidas devem ser consideradas. Essa norma apenas orienta que, para a combinação de determinado cenário, devem ser adotadas medidas de proteção (contramedidas), não se referindo a que tipo de contramedida, como pode ser visto na reprodução da tabela a seguir. Cenário de proteção

CONSEQUÊNCIA POSSIBILIDADE ALTA MÉDIA BAIXA

ALTA Contramedidas Contramedidas MÉDIA Contramedidas BAIXA

3.4 Análise de risco X Avaliação de risco

Existe certa confusão entre os conceitos de avaliação e análise de riscos, e pode ser comum encontrar alguns autores se referem ao processo de avaliação de riscos atribuindo-lhe o nome de análise de riscos. Compreender essa diferença é fundamental quando estudamos os riscos.

Por mais que seja desejável finalizar essa discussão, algumas dúvidas poderão surgir sobre a questão, transpondo o campo da semântica. Entretanto, na prática, tais concepções necessitam estar bem delimitadas, a

76

fim de que não existam dúvidas para os aplicadores da gestão dos riscos, sobre o processo de avaliação de riscos.

Na pesquisa realizada, foi verificado o emprego das expressões avaliação de risco, análise de risco com o mesmo significado. Elas possuem significados diferentes, constituem etapas específicas do processo de gestão de riscos e não podem ser utilizadas como expressões sinônimas.

Essa diferenciação já é percebida no significado das palavras análise e avaliação que, segundo o dicionário (Houaiss, 2005) significam:

Análise: ato ou efeito de analisar-se; separação de um todo em seus elementos ou partes componentes; estudo pormenorizado de cada parte de um todo, para conhecer sua natureza, suas funções, relações, causas, etc; exame, processo ou método com que se descreve, caracteriza e compreende algo, para proporcionar uma avaliação crítica do mesmo. Avaliação: ato ou efeito de avaliar-se; apreciação ou conjectura sobre condições, extensão, intensidade, qualidade de algo; verificação que objetiva determinar a competência, o progresso, etc., de um profissional, aluno, etc.

Como pode ser visto, a avaliação é mais ampla do que a análise, que é mais restrita. Isso também ocorre quando estudamos os riscos.

A norma ISO/IEC Guide 73 emprega a expressão avaliação de risco (risk assessment) para se referir ao processo geral de análise e de avaliação de risco (risk evaluation). E a expressão análise de risco é referente a uma das etapas desse processo.

A norma AS/NZS 4360:2004 emprega a expressão avaliação de riscos (risk assessment) para referir-se ao processo geral de identificação, análise e avaliação de risco (risk evaluation), e a análise de risco para se referir ao processo sistemático para entender a natureza e inferir sobre o nível de risco. Dessa forma, na referência à avaliação de risco (risk assessment), deve-se compreender que é o processo geral, mais amplo. Já a análise de risco é um processo específico de análise para cada risco identificado.

77

Outra questão que merece destaque tem relação com o termo evaluation,33 que significa avaliação. Contudo, ao empregarmos a expressão avaliação de risco (risk evaluation), estaremos nos referindo ao processo de comparação do risco estimado com determinado critério de risco, para determinar a sua relevância. Essa avaliação pontual é utilizada para as ações de tratamento do risco. Ela é uma etapa do processo maior de avaliação (assessment).

Nesse sentido, conclui-se que, pelos padrões internacionais (ISO, BSI e AS/NZS), a avaliação de risco é um processo geral, que possui como uma de suas etapas a análise do risco, para que ele possa ser comparado com determinados critérios para se estabelecer um nível de relevância, a fim de ajudar na tomada de decisão sobre o tal risco. E a essa comparação para o estabelecimento da criticidade do risco para tratamento é chamada de avaliação de risco (risk evaluation), que deve ser entendida como uma avaliação pontual, ou seja, para aquele tipo de risco.34

Considerações às normas ABNT ISO/IEC Guia 73:2005, NBR ISO/IEC 27002:2005, NBR ISO/IEC 27001:2006 e NBR ISO/IEC 27005:2008, com relação às expressões análise/avaliação de risco, análise de risco e avaliação de risco

Quando se referem à avaliação de riscos (risk assessment) utilizam a expressão análise/avaliação de riscos para se referirem ao processo geral de análise e avaliação de riscos, e as expressões análise de risco e avaliação de risco para se referirem às etapas específicas desse macroprocesso: a análise de risco como o uso sistemático de informações para identificar fontes e estimar o risco; a avaliação de risco (risk evaluation) como o processo de comparar o risco estimado com os critérios prédefinidos para determinar a importância do risco.

Elas constituem a versão brasileira (em português) do padrão ISO, e são elaboradas com base na versão original que é em inglês. Daí, quando da tradução ao significado estrito da palavra, pode-se encontrar alguns termos 33 Neste trabalho, empregaremos o termo em inglês “risk evaluation” para nos referirmos à avaliação do risco (mais pontual, para cada risco), e a expressão “risk assesment” para o processo de avaliação de riscos (mais amplo). 34 No nosso trabalho, quando nos referirmos às definições e metodologias de autores pesquisados, utilizaremos as expressões desses autores, preservando a fonte e respeitando seus entendimentos, contudo adotaremos como referência o padrão internacional das normas ISO, BSI e AS/NZS.

78

com o mesmo significado, como é o caso dos termos em inglês assessment e evaluation, que significam avaliação. Contudo, quando utilizados no contexto do gerenciamento de risco, eles representam atividades distintas.

Dessa forma, ao nos referirmos a essas expressões neste livro, utilizaremos os termos das normas ISO/IEC Guide 73:2002, da AS/NZS 4360:2004 e da BSI 7799-3:2006. Já as normas NBR ISO/IEC 27002:2005, NBR ISO/IEC 27001:2006, e NBR ISO/IEC 27005:2008 são utilizadas como referências específicas em exemplos, no contexto deste livro.

A norma ISO 31000:2009 refere-se à expressão risk assessment como um processo de avaliação de riscos e a utiliza para evitar conflito com a expressão risk evaluation, que foi traduzido como avaliação de risco. Essa é a linha adotada neste livro.

3.5 Tratar os riscos35

Na conclusão do processo de avaliação de riscos, temos uma listagem com todos os riscos por nível de criticidade, bem como orientações genéricas para o que devemos fazer. Com isso tem início a fase de tratamento dos riscos.

A figura a seguir exemplifica como pode ser orientada a escolha da melhor estratégia para o tratamento dos riscos.

35 O tratamento de risco é uma etapa do gerenciamento de riscos e não uma etapa do processo de avaliação de risco.

79

Fonte: HB 292:2006

O detalhamento dessas ações constituem atividades específicas de uma nova etapa denominada tratamento de riscos, que, segundo a ISO Guide 73:2002, é o processo de seleção e implementação de medidas para modificar o risco.

O tratamento dos riscos tem como objetivos eliminar os riscos que podem ser eliminados, transformar (ou reduzir) o nível dos riscos que não podem ser eliminados para um nível menor e com o mínimo de dano para a

80

organização, transferir o risco (ou parte dele) que não pode ser tratado, e evitar os riscos que podem ser evitados.

A eliminação, o monitoramento e a transformação dos riscos alcançam a maioria das ações de tratamento dos riscos. Essas medidas têm como lastro os processos que envolvem as medidas para reduzir a probabilidade e as consequências negativas relacionadas com os riscos.

As ações destinadas a evitar o risco, como o próprio nome já sugere, são todas as medidas adotadas para evitar que um risco venha a ser concretizado, e essas medidas estão representadas nas políticas e procedimentos da organização.

A transferência do risco é a divisão com outra parte do peso de perdas de um risco. É materializada nos contratos de terceirização e nas apólices de seguro. Nas apólices de seguro, por exemplo, o peso da perda é minimizado com o pagamento do prêmio do seguro, que é de valor bem menor do que os ativos envolvidos.

A retenção do risco é a aceitação da carga da perda de um risco específico. Geralmente é feita com os riscos de pequeno impacto. Dessa forma, como foi visto acima, pode-se afirmar que o tratamento dos riscos compreende as ações para evitar, otimizar, transferir e/ou compartilhar e reter o risco.

O HB 436:2004 apresenta um roteiro para o estabelecimento das opções de tratamento, o qual engloba as seguintes etapas: 1- Revisão das causas e dos controles existentes; 2- Estabelecimento dos objetivos do tratamento; 3- Detalhamento das medidas de tratamento; 4- Revisão das medidas escolhidas; 5- Comunicação e implementação.

Conforme se pode verificar, todos os padrões acima focam as atividades de tratamento com o objetivo maior de reduzir ou transformar, transferir e/ou compartilhar e evitar os riscos, para que a organização possa vir a desenvolver as suas atividades de negócios em um ambiente de riscos gerenciáveis.

A figura a seguir exemplifica algumas opções de tratamento:

81

Fonte: HB 292:2006

Como foi visto em capítulo anterior, na escolha das opções de tratamento para os riscos devemos atentar para dois aspectos: a prevenção e a reação. Ratificamos, assim, que devemos observar o antes, o durante e o depois para a escolha da melhor opção para cada uma dessas fases.

Um ponto que merece atenção na escolha da opção de tratamento tem relação com os riscos de baixa probabilidade e alto impacto. Às vezes,

82

esses riscos não recebem qualquer atenção no tratamento e são praticamente descartados ou aceitos. Geralmente, eles são negligenciados, mesmo quando possuem o poder de destruir o valor da empresa. Nesses casos, entendemos que o estabelecimento de cenários predefinidos é oportuno para se determinarem as ações preliminares de resposta. Não devemos esquecer, também, que algumas ações de prevenção são fundamentais, principalmente quando se consideram os riscos de origem nos fenômenos da natureza, por exemplo.

Outra questão diz respeito à relação custo X benefício da medida escolhida. Essa análise geralmente é financeira, para não se ter uma escolha cujo custo total seja superior ao impacto calculado para o risco em questão. Entretanto, alguns pontos podem ser levados em consideração, como a aceitabilidade da ação frente ao segmento de mercado, à tecnologia empregada e à praticidade da medida adotada.

Todas essas ações são descritas no plano de tratamento de riscos, documento que consolida todas as ações de tratamento e a sua forma de implementação, identificando as responsabilidades e estabelecendo os prazos, recursos, mecanismos de avaliação e controle, dentre outras.

84

4 O ISPS CODE E O PROCESSO DE AVALIAÇÃO DE RISCOS

O ISPS Code (International Ship and Port Facility Security Code) é um código internacional que foi aprovado pela Organização Marítima Internacional (IMO), na Conferência Diplomática sobre proteção marítima, realizada em Londres, em dezembro de 2002. Esse código fez parte das novas medidas de prevenção ao terrorismo, relativas à proteção de embarcações e de instalações portuárias.

Como consequência desse código, um novo padrão internacional de proteção foi estabelecido para as instalações portuárias de todos os países que compõem a IMO, as quais serão certificadas internacionalmente se estiverem em conformidade com esse código.

Em linhas gerais, o ISPS Code introduziu requisitos e diretrizes para um sistema de segurança portuária, revestido de critérios que só elevam ainda mais a qualidade de um sistema de segurança, imprescindível a qualquer instalação portuária. Dentre os critérios estabelecidos, está a obrigatoriedade de se realizar uma avaliação de risco de acordo com os parâmetros estabelecidos pelo código.

O processo de avaliação de riscos é, portanto, um processo geral de análise e avaliação que no final apresenta uma relação com os seus principais riscos, apontando a necessidade de um tratamento específico para cada um deles. O seu objetivo principal é identificar, analisar e avaliar os riscos.

Para que esse processo esteja alinhado com o ISPS Code, faz-se necessário que os requisitos e as diretrizes do código sejam obedecidos ao se elaborar a avaliação de risco, ou seja, que estejam em conformidade com o ISPS Code.

4.1 O processo de avaliação de riscos em conformidade com o ISPS Code

O ISPS Code, na sua parte A, item 15, estabelece: 15 AVALIAÇÃO DA PROTEÇÃO DAS INSTALAÇÕES PORTUÁRIAS

85

15.1 A avaliação da proteção das instalações portuárias é parte integral e essencial do processo de elaboração e atualização do plano de proteção das instalações portuárias. 15.2 A avaliação de proteção das instalações portuárias deverá ser executada pelo Governo Contratante em cujo território a instalação portuária esteja localizada. Um Governo Contratante poderá autorizar uma organização de proteção reconhecida a executar a avaliação de proteção das instalações portuárias para uma determinada instalação portuária localizada em seu território. 15.2.1 Quando a avaliação de proteção das instalações portuárias tiver sido executada por uma organização de proteção reconhecida, deverá ser revisada e aprovada, para fins de cumprimento aos requisitos desta seção, pelo Governo Contratante em cujo território a instalação portuária esteja localizada. 15.3 As pessoas responsáveis pela execução da avaliação deverão ter os conhecimentos adequados para avaliar a proteção da instalação portuária de acordo com o previsto nesta seção, levando em conta as diretrizes constantes da Parte B deste Código. 15.4 As avaliações da proteção das instalações portuárias deverão ser revisadas e atualizadas periodicamente, levando em conta mudanças nas ameaças e/ou pequenas alterações na instalação portuária, e deverão ser revisadas e atualizadas sempre que ocorreram mudanças de vulto na instalação portuária. 15.5 A avaliação da proteção das instalações portuárias deverá incluir, pelo menos, os seguintes elementos:

1. Identificação e avaliação de bens móveis e infraestrutura relevantes, os quais é importante proteger; 2. Identificação de possíveis ameaças a bens móveis e infraestrutura e a possibilidade de sua ocorrência, a fim de estabelecer e priorizar medidas de proteção;

86

3. Identificação, seleção e priorização de contramedidas e alterações nos procedimentos e seu nível de eficácia quanto à redução de vulnerabilidade; e 4. Identificação de fraquezas, incluindo fatores humanos, na infraestrutura, planos de ação e procedimentos.

15.6 O Governo Contratante poderá permitir que uma avaliação da proteção das instalações portuárias cubra mais de uma instalação portuária se o operador, a localização, a operação, os equipamentos e o projeto destas instalações portuárias forem semelhantes. Qualquer Governo Contratante que permita tal procedimento deverá comunicar à Organização os detalhes do mesmo. 15.7 Após a conclusão da avaliação da proteção das instalações portuárias, um relatório deverá ser preparado, consistindo de um resumo sobre como a avaliação foi executada, uma descrição de cada ponto vulnerável descoberto durante a avaliação e uma descrição de contramedidas que poderiam ser utilizadas para resolver cada ponto de vulnerabilidade. O relatório deverá ser protegido contra o acesso ou divulgação não autorizada.

Em linhas gerais, pode-se concluir que para atestar a conformidade

com os requisitos do ISPS Code, uma avaliação de risco deve: 1- Ser parte integrante e essencial do processo de elaboração e atualização do plano de proteção de uma instalação portuária. Isso quer dizer que todo plano de proteção e sua alteração devem ser precedidos de uma avaliação de risco. 2- Ser executada pelo Governo contratante ou por uma organização de proteção reconhecida (RSO). Isso quer dizer que o governo poderá realizar a avaliação de risco ou poderá autorizar uma RSO a elaborá-la. Neste último caso, ele próprio deverá revisar e aprovar a avaliação de riscos realizada.

87

3- Ser executada por pessoas que possuam conhecimento adequado, e que realizem a avaliação considerando as diretrizes estabelecidas na parte B do código. Isso quer dizer que as pessoas que realizam a avaliação de riscos devem demonstrar que possuem conhecimento para tal e que a façam em conformidade com as diretrizes estabelecidas na parte B do código. Esse “conhecimento” pode ser verificado com a apresentação de documentos de capacitação e treinamento. 4- Ser revisada e atualizada periodicamente, e toda vez que mudanças nas ameaças ou alterações nas instalações portuárias ocorram. 5- Conter um relatório sobre o processo realizado do qual constem a descrição de cada ponto vulnerável e a descrição de contramedidas que possam ser utilizadas.

5- Conter em seu processo os subitens do item 15.5 acima descritos. Todo e qualquer requisito deve ser entendido como ponto que

obrigatoriamente deva ser contemplado, e que, em não tendo sido, não se possa falar em conformidade, ou seja, nenhum subitem do item 15 da parte A do ISPS Code pode ser excluído sob pena de não se atestar a conformidade com esse código. Esse é o entendimento que permeia o segmento daqueles que trabalham com certificação.

Dos requisitos do ISPS Code, o item 15.536 requer uma atenção maior porque se refere ao processo de avaliação de riscos.

15.5 A avaliação da proteção das instalações portuárias deverá incluir, pelo menos, os seguintes elementos:

1. Identificação e avaliação de bens móveis e infraestrutura relevantes, os quais são importantes proteger; 2. Identificação de possíveis ameaças a bens móveis e infraestrutura e a possibilidade de sua

36 Observemos que o item 15.5 da parte A do código utiliza a expressão “pelo menos”, o que significa que a avaliação de risco não está restrita a esses itens, mas que, no mínimo, deve contê-los.

88

ocorrência, a fim de estabelecer e priorizar medidas de proteção; 3. Identificação, seleção e priorização de contramedidas e alterações nos procedimentos e seu nível de eficácia quanto à redução de vulnerabilidade; e 4. Identificação de fraquezas, incluindo fatores humanos, na infraestrutura, planos de ação e procedimentos.

Para que o processo de avaliação de riscos esteja em conformidade

com o ISPS Code, e objetivando uma abordagem mais didática, vamos apresentar uma metodologia desenvolvida por nós, que pretende a realização da avaliação de proteção (avaliação de risco) em conformidade com o ISPS Code, alinhando o processo de avaliação de riscos com a filosofia da gestão de riscos e o padrão ISO 31000:2009 e ISO 20858:2011.

Antes de se iniciar a descrição da metodologia, faz-se necessário ter a definição da equação do risco que, como já visto em capítulo anterior, deve ser medida pela combinação da consequência com a possibilidade de um evento. Entretanto, o item 1.17 da parte B do ISPS Code deve ser observado nessa equação, pois adiciona um ingrediente que é a identificação de vulnerabilidade, como pode ser observado abaixo:

1.17 A Avaliação de Proteção das Instalações Portuárias é fundamentalmente uma análise de riscos de todos os aspectos de operação de uma instalação portuária a fim de determinar quais partes dela são mais suscetíveis, e/ou mais prováveis de sofrer um ataque. O risco de proteção é uma função da ameaça de um ataque, juntamente com a vulnerabilidade do alvo e as consequências de um ataque. A avaliação deve incluir os seguintes itens:

- determinação da pressuposta ameaça às instalações e infraestrutura do porto; - identificação das prováveis vulnerabilidades; e - cálculo das consequências de um incidente.

89

Ao concluir a análise será possível realizar uma avaliação geral do nível de risco. A Avaliação de Proteção das Instalações Portuárias irá ajudar a determinar quais instalações portuárias precisam designar um Funcionário de proteção das instalações portuárias e elaborar um Plano de Proteção das Instalações Portuárias.

Dessa forma, a avaliação de proteção para se alinhar com o ISPS Code deve considerar a ameaça (T), a consequência (C) e a vulnerabilidade (V). Pode ser expressa pela equação R= C x T x V.37

Observemos que é importante dar ênfase ao cálculo da vulnerabilidade ou à avaliação da vulnerabilidade quando de uma avaliação de risco, pois, em se tratando de sistema de proteção, ao avaliarmos os riscos, estaremos avaliando controles e são, justamente, as vulnerabilidades dos controles que, de certa forma, contribuem para a materialização de um risco.

Outro aspecto importante para o emprego da metodologia diz respeito aos métodos de análise que são utilizados para estimar a probabilidade e aferir a consequência de um risco. A escolha do método de análise deve ser realizada sob 2 prismas: o qualitativo e o quantitativo. A análise qualitativa é geralmente utilizada quando não existe disponibilidade de dados, ou quando eles são precários, e a sua análise é realizada com base em valores referenciais. A análise quantitativa é utilizada quando os dados são confiáveis e estão disponíveis, e a sua análise é realizada com base em valores absolutos. O método empregado para a presente metodologia é o método qualitativo. A análise qualitativa é qualquer método de análise que utiliza mais a descrição do que os recursos numéricos para definir o nível de risco (HB 436:2004). Em outras palavras, é um método de análise de risco que utiliza valores nominais para descrever o risco. Esse método é o mais utilizado e, por isso, o escolhido.

Para o objetivo deste livro, vamos adotar cada requisito do item 15.5 da parte A do ISPS Code como uma etapa da metodologia, e especificar cada etapa com as diretrizes da parte B do código.

37 Essa equação é uma das abordagens utilizadas para o processo de avaliação de risco, e pode ser encontrada no HB 167: 2006 Security risk management. Sydney/Wellington: Standards Australia/Standards New Zealand, 2006.

90

Para um melhor entendimento da metodologia, vamos apresentar os seguintes tópicos: um com a descrição detalhada da metodologia da avaliação de risco, e outro com o resumo dos parâmetros e critérios utilizados no processo de avaliação de riscos.

4.1.1 Etapa 1: Identificação e avaliação de bens móveis e infraestrutura relevantes, os quais é importante proteger

A parte B do código, nos itens 15.5 a 15.8, estabelece as seguintes diretrizes:

15.5 A identificação e avaliação da infraestrutura e bens móveis importantes é um processo através do qual se pode estabelecer a importância relativa das estruturas e instalações para o funcionamento da instalação portuária. Este processo de identificação e avaliação é importante porque fornece uma base para a concentração de estratégias de atenuação do impacto naqueles bens móveis e estruturas os quais são mais importantes proteger contra um incidente de proteção. Este processo deve levar em conta a perda potencial de vidas, a importância econômica do porto, seu valor simbólico e a presença de instalações governamentais. 15.6 A identificação e avaliação de bens móveis e infraestrutura deve ser usada para priorizar sua importância relativa para a proteção. O objetivo principal deve ser evitar mortes e lesões corporais. Também é importante considerar se a instalação portuária, estrutura ou planta pode continuar a operar sem tais bens e quão rapidamente pode-se re-estabelecer o seu funcionamento normal. 15.7 Os bens móveis e infraestrutura que devem ser considerados como importantes para proteger podem incluir:

1. Áreas de acesso, entradas, aproximações, ancoragem, manobras e atracação;

91

2. Instalações de cargas, terminais, áreas de armazenagem e equipamentos para manuseio de cargas; 3. Sistemas, tais como sistemas de distribuição elétrica, sistemas de rádio e telecomunicações e sistemas e redes de informática; 4. Sistemas de gestão de tráfego de navios no porto e sistemas de auxílio à navegação; 5. Instalação de energia, tubulação de transferência de cargas e abastecimento de água; 6. Pontes, ferrovias estradas; 7. Embarcações de serviços portuários, incluindo embarcações de praticagem, rebocadores, chatas, etc.; e 8. Sistemas e equipamentos de proteção e vigilância; e 9. Águas adjacentes às instalações portuárias.

15.8 A identificação clara de bens móveis e infraestrutura é essencial para a avaliação dos requisitos de proteção das instalações portuárias e para a priorização de medidas de proteção e de decisões relativas à designação de recursos para melhor proteger as instalações portuárias. O processo pode envolver consultas com as autoridades relevantes com relação a estruturas adjacentes às instalações portuárias as quais poderiam causar danos dentro das instalações ou serem utilizadas para causar danos às instalações, para observação ilícita das instalações ou para desviar a atenção.

Dessas diretrizes, alguns pontos merecem especial atenção: 1- No item 15.5 está estabelecido que a identificação e a avaliação da

infraestrutura e dos bens móveis é um processo que pode estabelecer a importância das estruturas e instalações para o funcionamento da instalação portuária. Quando se trata de avaliação de riscos, é importante que se faça a identificação e a classificação das atividades de negócios, para que se possa alinhar essa importância (de estruturas e instalações) a estas atividades, e

92

assim, poder alcançar um nível satisfatório de eficiência no processo de avaliação.

Nesse sentido, os bens móveis e a infraestrutura devem ser identificados como obedecendo à sequência dos subitens do item 15.7. Essa identificação deve levar em consideração os elementos de avaliação constantes do item 15.3 da parte B do ISPS Code.

Como o objetivo dessa identificação é a priorização das infraestruturas e bens móveis para a proteção, e considerando que nessa identificação se deve levar em conta a capacidade de resposta e ao retorno à normalidade da atividade (item 15.6 do ISPS Code), a nossa metodologia apresenta um padrão de valoração para a infraestrutura, bens móveis e/ou ativos e atividades. Para essa valoração de importância, adotamos como pressupostos: a importância do ativo, bem móvel ou infraestrutura, o tempo de aceitabilidade, e a importância da atividade.

Para a valoração da importância do ativo, bem móvel ou infraestrutura, escolhemos como referência o seu valor econômico (custo de aquisição, custo de reposição, valor de captação, valor de aplicação, etc.).

Para a valoração do tempo de aceitabilidade, admitimos como parâmetro o tempo que um ativo, bem móvel ou infraestrutura possam ficar indisponíveis, e esse tempo deve ser estabelecido em termos de horas ou dias, e tem relação direta com a sua reposição ou reparação. Por exemplo, um programa de computador pode ser facilmente reparado ou substituído, já um guindaste não.

Para a importância da atividade, o critério de identificação e classificação das atividades de negócio a ser utilizado na presente metodologia é apresentado por Toigo (2003).38 A sua classificação é feita da seguinte forma:39

Classificação Descrição Crítica Funções que não podem ser desenvolvidas, a não ser que sejam

identificadas as capacidades para repor o dano causado à companhia. Aplicações críticas não podem ser respostas pelos métodos manuais sobre nenhuma (quaisquer) circunstância. A tolerância para a

38 TOIGO, Jon William. Disaster recovery planning: preparing for the unthinkable. 3rd ed. New jersey: Prentice Hall, PTR, 2003. 39 Tradução e adaptação feita por Marcus Dantas.

93

interrupção é muito pouca e o custo é muito alto (elevado). Vital Funções que não podem ser desenvolvidas por meios manuais ou

podem ser desenvolvidas, manualmente, por apenas um breve período de tempo.

Sensível Processos de negócios realizados com dificuldades e custo tolerável, por meios manuais e por um extenso período de tempo.

Não crítica Podem ser interrompidos por um longo período de tempo, com pouco ou nenhum custo para a companhia.

O quadro a seguir apresenta o parâmetro de valoração dos ativos bens

móveis e da infraestrutura utilizados pela metodologia.

Quadro de valoração de ativos, infraestrutura e atividades ATIVO Valor DESCRIÇÃO Insignificante 0 Abaixo de 1.000 unidades monetárias; de reposição imediata;

não impactante nas atividades de negócios. Função não crítica. Baixo 1 Entre 1.000 e 10.000 unidades monetárias; de fácil reposição

em 24h; baixo impacto na atividade de negócio. Função sensível.

Médio 2 Entre 10.000 e 100.000 unidades monetárias; de fácil reposição entre 48h-72h; Operação da atividade de negócio com dificuldade. Função vital.

Alto 3 Entre 100.000 e 1.000.000 de unidades monetárias; de difícil reposição em 7 dias; interrupção da atividade de negócios até a sua reposição ou reparação. Estratégico para a atividade. Função crítica.

Muito alto 4 Acima de 1 milhão de unidades monetárias; de difícil substituição em prazo inferior a 30 dias; interrupção total da atividade de negócio. Estratégico para a atividade. Função crítica.

2- No item 15.7 da parte B, a diretriz orienta o que pode ser

considerado quando da identificação dos bens móveis e da infraestrutura. É bom ressaltar que as diretrizes contidas nesse item podem ser consideradas como não obrigatórias, uma vez que, no texto, a expressão “podem incluir” não gera tal obrigatoriedade. É uma interpretação literal.

3- No item 15.5, também é estabelecido que a avaliação de risco deve levar em conta a perda potencial de vidas, a importância econômica do porto,

94

seu valor simbólico e a presença de instalações governamentais. Esses pontos são os parâmetros que devem ser utilizados para as consequências.

Como já foi dito no início deste livro, é importante descrever as categorias de impacto para que seja possível estabelecer o parâmetro de avaliação. Aqui chamamos a atenção para o fato de esses parâmetros serem aprovados anteriormente pela instalação portuária, a fim de estarem alinhados com a sua realidade. Ressalte-se aqui que esses são os parâmetros mínimos que devem constar em todo processo da avaliação de riscos para se poder atestar a conformidade com o ISPS Code.

Abaixo são apresentadas duas tabelas: uma com a descrição dos parâmetros utilizados, e outra com o nível de risco para cada parâmetro.

Quadro da descrição de categorias de impacto/consequência CATEGORIA DESCRIÇÃO MORTE OU FERIMENTO Perspectiva de morte ou ferimento como resultado

de um ataque. IMPACTO ECONÔMICO O potencial impacto econômico de um ataque. IMPACTO AMBIENTAL O potencial impacto ambiental. SEG. PÚBLICA/ IMPACTO DEFESA O impacto do efeito de um ataque em vários alvos,

incluindo o departamento de Defesa Nacional/Segurança Pública.

EFEITO SIMBÓLICO Tipo de efeito moral/dano à imagem: sensação de segurança da população; percepção da economia; imagem do sistema público, militar e bem-estar social.

Quadro de níveis de impacto/consequência NÍVEL DE IMPACTO

MORTE/ FERIMENTO

IMPACTO ECONÔMICO

IMPACTO AMBIENTAL

DEFESA NACIONAL

EFEITO SIMBÓLICO




Criar longos períodos de vulnerabilidade na segurança pública



1 a 10 milhões de unidades monetárias 1-10% do faturamento



Maior dano ou destruição à imagem ou efeito moral

95

do exercício anterior






4- No item 15.6, está estabelecido que o objetivo principal desse

processo é evitar mortes e lesões corporais. Com relação a esse ponto, importa destacar que o parâmetro de avaliação deve considerar a importância de uma vida porque, em alguns casos, esse parâmetro pode ser indevidamente estabelecido ao levar em conta a estimativa de mortes que um evento poderá causar, ou seja, é estabelecer um índice de 100 mortes para atribuir o nível de impacto baixo para determinado evento (atentado a bomba), quando na realidade o que se deve estabelecer é que 1 morte é inaceitável e, se ocorrer, o nível de impacto é alto. Essa ponderação de valor é que vai delinear o nível de celeridade dos controles a serem estabelecidos para a segurança da instalação portuária. Por exemplo, um atentado a bomba pode causar 100 mortes, devendo ser classificado em um nível de impacto alto por ter a potencialidade de causar mais de uma morte, segundo o parâmetro de avaliação estabelecido.40

5- No item 15.8 é citada a expressão requisitos de proteção. As principais fontes de requisitos de proteção são: 1- A legislação, os estatutos, os contratos, etc.; 2- Os princípios, objetivos e requisitos de negócios, e 3- A avaliação de risco.

Com relação à legislação, o ISPS Code é o principal requisito de proteção. Entretanto, as políticas de segurança e outros instrumentos normativos que estabelecem requisitos (Legislação aduaneira, Resoluções da CONPORTOS, legislação ambiental, etc.) são indispensáveis e devem ser

40 A majoração de valores para se atribuir uma classificação para a categoria morte ou ferimento tem apresentado pontos de controvérsia. Entretanto, a linha de pensamento aqui adotada chama a atenção para a importância de uma vida. Sabe-se, portanto, que, em determinados eventos, pode-se até quantificar valores na casa de centenas para a classificação de impacto de nível baixo, principalmente quando se comparam eventos similares de grandes proporções.

96

considerados quando do processo de construção do sistema de proteção de uma instalação portuária.

O negócio em si é outro ponto que merece atenção, e não pode ser deixado de se considerar, no mínimo, a sua principal atividade, sob pena de se ter uma avaliação vulnerável.

A avaliação de riscos é importante porque aponta aspectos relevantes para a proteção ao estabelecer qual medida de tratamento deve ser aplicada para cada risco avaliado.

Para esse item do ISPS Code, serão desenvolvidas as seguintes atividades: a- identificação da infraestrutura e bens móveis, b- Valoração dos itens identificados.

Essas atividades podem ser consolidadas na ferramenta: Planilha MD1- Identificação de infraestrutura e bens móveis, cujo objetivo é facilitar a identificação dos bens móveis e da infraestrutura, de acordo com o item 15.7 da parte B do ISPS Code, e valorar esses elementos de acordo com a sua importância.41

Concluídas as atividades, a etapa seguinte consiste em identificar a ameaça a esses ativos e a possibilidade da sua ocorrência.

4.1.2 Etapa: 2 Identificação de possíveis ameaças a bens e infraestrutura e a probabilidade de sua ocorrência, a fim de estabelecer e priorizar medidas de proteção

A parte B do código, nos itens 15.9 a 15.12, estabelece as seguintes diretrizes:

15.9 Possíveis atos que possam ameaçar a proteção de bens móveis e infraestrutura e os métodos utilizados para sua execução devem ser identificados para avaliar a vulnerabilidade de um determinado bem móvel ou local em relação a um incidente de proteção e para estabelecer e priorizar os requisitos de proteção a fim de permitir o planejamento e a alocação de recursos. A identificação e avaliação de cada ato potencial e do método utilizado para

41 O capítulo 4.2 deste livro apresenta com mais detalhes as ferramentas utilizadas por essa metodologia.

97

executá-lo deve ser baseada em vários fatores, incluindo avaliações de ameaças por organizações Governamentais. Ao identificar e avaliar as ameaças, aqueles que realizam a avaliação não precisam recorrer a projeções de piores cenários possíveis para orientar o planejamento e a alocação de recursos. 15.10 A PFSA deve incluir uma avaliação realizada em consulta com as organizações nacionais de proteção relevantes para determinar:

1. Quaisquer aspectos particulares das instalações portuárias, incluindo o tráfego de navios que utilizam as instalações, os quais as tornam passíveis de serem alvos de um ataque; 2. As possíveis consequências de um ataque nas instalações portuárias em termos de perda de vidas, danos a propriedades, danos econômicos, incluindo interrupção dos sistemas de transporte. 3. A capacidade e intenções daqueles passíveis de planejar tal ataque; e 4. Os possíveis tipos de ataques, realizando uma avaliação completa do nível de risco contra o qual as medidas de proteção têm que ser desenvolvidas.

15.11 A PFSA deve considerar todas as ameaças possíveis, as quais podem incluir os seguintes tipos de incidentes de proteção:

1. Danos às instalações portuárias e aos navios ou destruição dos mesmos, por exemplo, através de explosivos, incêndio criminoso, sabotagem ou vandalismo; 2. Sequestro ou captura do navio ou de pessoas a bordo; 3. Adulteração de cargas, sistemas ou equipamentos essenciais do navio ou de provisões do navio; 4. Acesso ou uso não autorizado, incluindo a presença de clandestinos; 5. Tráfico de armas ou equipamentos, incluindo armas de destruição em massa;

98

6. Uso do navio para transportar pessoas que pretendem causar um incidente de proteção e seus equipamentos; 7. Uso do navio em si como uma arma ou como um meio de causar danos ou destruição; 8. Bloqueio; de entradas dos portos, comportas, aproximações, etc.; e 9. Ataque nuclear, biológico e químico.

15.12 O processo deve envolver consultas com as autoridades relevantes em relação a estruturas adjacentes às instalações portuárias que possam causar danos dentro das instalações ou serem utilizadas para causar danos às instalações ou para observação ilícita das instalações ou para desviar a atenção.

Das diretrizes acima pode-se concluir:

1- Que os incidentes de proteção devem ser identificados levando-se em conta a ameaça que podem causar aos bens móveis e à infraestrutura, e os métodos para a sua execução.

2- Que esses incidentes devem ser confrontados com as possíveis vulnerabilidades dos ativos identificados (bens móveis e infraestrutura), para que seja possível estabelecer e priorizar os requisitos de proteção.

3- Que na identificação das ameaças podem ser incluídos os incidentes de proteção citados no item 15.11 (citado acima).

4- Que devem ser consultadas organizações nacionais de proteção e autoridades para atender ao que está disposto nos itens 15.10 e 15.12 das diretrizes do ISPS Code. Em linhas gerais, o que se pretende é identificar todos os possíveis

atos que ameaçam os ativos (bens móveis e infraestrutura), bem como as possíveis formas de se materializarem essas ameaças, para se poder avaliar as vulnerabilidades desses ativos em relação aos incidentes identificados, e se poder estabelecer e priorizar os requisitos de proteção.

Para isso é necessário identificar as ameaças e a sua possibilidade de ocorrência.

99

Identificação de possíveis ameaças Um aspecto que merece destaque com relação à identificação das

ameaças, entendidas aqui como incidentes de proteção (ISPS Code), é que a avaliação de risco não deve limitar-se aos incidentes descritos no item 15.11 da parte B do ISPS Code, devendo incluir outros tipos de ameaças que fazem parte do cotidiano de qualquer organização.

A norma ISO/IEC 13335-1:2004 define o termo ameaça como: a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou para a organização.

Uma maneira de facilitar essa identificação é classificar as ameaças em: naturais, involuntárias e intencionais. As ameaças naturais são aquelas que se originam de fenômenos da natureza, tais como terremotos, furacões, enchentes, maremotos, tsunamis; As ameaças involuntárias são as que resultam de ações desprovidas de intenção para causar algum dano. Geralmente são causadas por acidentes, erros, ou por ação inconsciente de usuários; As ameaças intencionais são aquelas deliberadas, que objetivam causar danos, tais como hackers, fraudes, vandalismo, sabotagens, espionagem, invasões e furtos de informações, dentre outras.

Como se pode verificar, os incidentes citados no item 15.11 da parte B do ISPS Code servem como um referencial, e limitar-se apenas a esses incidentes é abrir um campo de possibilidades de se ter uma avaliação de risco vulnerável, uma vez que outros incidentes não relacionados são verdadeiras ameaças aos negócios de uma instalação portuária, pois, ao se concretizarem podem vir a interromper as suas atividades com danos de difícil reparação.

Entretanto, o que se deve fazer é elaborar uma lista de ameaças, incluindo as constantes do item 15.11 da parte B do código, mesmo não se tendo delas histórico ou registro de qualquer natureza.42

Abaixo apresentamos uma lista de ameaças/eventos, classificados de acordo com a sua natureza: Naturais (N), Acidentais ou involuntários (A) e Intencionais (I)43.

42 Caso alguma norma específica estabeleça que todos os incidentes de proteção devem ser utilizados quando do processo de avaliação de riscos, esses incidentes devem ser incluídos, sem exceção. 43 Um ponto que pode facilitar a identificação dos cenários diz respeito aos objetivos do ISPS Code, principalmente às medidas de proteção que, segundo o ISPS Code (item 16.9 da parte B),

100

Lista de ameaças/ eventos AMEAÇAS/EVENTOS ORIGEM

Incidentes do item 15.11 da parte B do IPS Code 1. Danos às instalações portuárias e aos navios ou destruição dos

mesmos, por exemplo, por meio de explosivos, incêndio criminoso, sabotagem ou vandalismo;

I

2. Sequestro ou captura do navio ou de pessoas a bordo; I 3. Adulteração de cargas, sistemas ou equipamentos essenciais do

navio ou de provisões do navio; I

4. Acesso ou uso não autorizado, incluindo a presença de clandestinos;

I, A

5. Tráfico de armas ou equipamentos, incluindo armas de destruição em massa;

I

6. Uso do navio para transportar pessoas que pretendem causar um incidente de proteção e seus equipamentos;

I

7. Uso do navio em si como uma arma ou como um meio de causar danos ou destruição;

I

8. Bloqueio das entradas dos portos, comportas, aproximações, etc.;

I

9. Ataque nuclear, biológico e químico. I Outros Incidentes/Ameaças/Eventos

10. Eventos da natureza: terremoto, furação, inundação, relâmpago ou raio, tsunami, etc.

N

11. Acidente com veículo I, A 12. Ameaças (de uma forma geral), invasão e tentativa de invasão I 13. Greves e tumultos. I 14. Delitos diversos: roubo, furto, sequestro e sequestro

decorrente de roubo, consumo de drogas, etc. I

15. Porte ilegal de armas e utilização indevida/acidental de arma de fogo

A, I

16. Falha em: equipamentos, fornecimento de energia e de água A, I 17. Erro ou falha operacional e falha de manutenção A, I

devem cobrir: acesso às instalações portuárias; áreas de acesso restrito dentro das instalações; manuseio de cargas; entrega das provisões do navio; manuseio de bagagens desacompanhadas e monitoramento da proteção das instalações portuárias. Na escolha dos cenários, deve-se observar quais os eventos que podem vir a comprometer as medidas de proteção nessas áreas de controle.

101

18. Acidente com carga perigosa A, I 19. Interrupção do fornecimento de energia N, A, I 20. Fogo e incêndio N, A, I

Como pode ser constatado, não são apenas os incidentes previstos no

ISPS Code que possuem a capacidade de causar um dano, mas também outras ameaças podem provocar danos. O importante é poder identificar dentro de uma racionalidade uma quantidade de cenários de risco que estejam dentro do campo da possibilidade, sendo assim, factíveis.

Como exemplo, podemos citar a interrupção do fornecimento de energia (incidente não previsto no ISPS Code). Esse evento pode ser decorrente de uma descarga elétrica (raio) que, devido a uma falha no equipamento (para-raios), danifique a subestação de energia; pode ser decorrente de uma ação intencional quando se provocar a ruptura do cabo condutor, ou um dano provocado pelo acesso sem proteção à sala da subestação. E esse simples evento pode interromper as atividades de uma instalação portuária e interferir na eficácia do sistema de proteção.

As atividades seguintes devem ser executadas: identificar os incidentes e ameaças para cada infraestrutura e bens móveis identificados, e avaliar o nível de consequência ou impacto dessas ameaças para esses bens e infraestrutura identificados.

Essas atividades podem ser consolidadas nas ferramentas: Planilha MD2- Identificação de ameaças para infraestrutura e bens móveis, que objetiva a identificação das ameaças que são aplicáveis à infraestrutura e aos bens móveis; e Planilha MD3- Avaliação de consequências, que objetiva a avaliação das consequências dos incidentes e cenários de riscos para os bens e a infraestrutura da instalação portuária. Essas consequências seguem o parâmetro já esclarecido no tópico anterior.

Identificação da probabilidade de ocorrência das ameaças

Outro ponto nesse domínio do ISPS Code é o de se estabelecer a possibilidade de sua ocorrência.44 Uma forma de se trabalhar essa questão é

44 Observemos que o texto dos itens desse domínio não trata da identificação ou valoração da probabilidade de sua ocorrência. Entretanto, o título do domínio faz referência textualmente à

102

estabelecer um parâmetro para se fazer uma avaliação qualitativa a fim de classificar a possibilidade de uma ameaça vir a ser concretizada.

Abaixo é apresentado um exemplo para essa classificação. Alta possibilidade

Quando as medidas de proteção oferecem pouca resistência para a ocorrência de um incidente de proteção.

Média possibilidade

Quando as medidas de proteção oferecem resistência moderada para a ocorrência de um incidente de proteção.

Baixa possibilidade

Quando as medidas de proteção oferecem substancial ou sólida resistência para a ocorrência de um incidente de proteção.

Fonte: ABNT NBR ISO 20858:2011

Como medida de prevenção e para não haver o risco de uma valoração qualitativa (da possibilidade), apenas pela observação do especialista, a presente metodologia tem como linha de ação se identificar e valorar a possibilidade de um evento alinhado com a vulnerabilidade dos controles. Esse alinhamento é feito com a mesma classificação qualitativa atribuída à vulnerabilidade para a identificação da possibilidade de um evento, pois adota-se como pressuposto que, se a vulnerabilidade estiver presente, a possibilidade de uma ameaça se concretizar é bastante factível.

Essa opção de se alinhar a vulnerabilidade com a possibilidade é racional, porque o próprio ISPS Code estabelece no item 1.17 de sua parte B, que a avaliação de risco deve incluir: a determinação da pressuposta ameaça às instalações e à infraestrutura do porto, assim como a identificação das prováveis vulnerabilidades e o cálculo das consequências.

Para o levantamento das vulnerabilidades, são empregados dois padrões: um com base em dois critérios utilizados pelo método empregado pela United States Coast Guard (Navigation and Vessel Inspection Circular n0 11-02, de 13jan2003), e outro, que é utilizado pelo COBIT45 (COBIT 4.1, p.175) para o exame dos controles.

“probabilidade de sua ocorrência”. Os termos probabilidade e possibilidade são sinônimos, segundo os dicionários da língua portuguesa. 45 O IT Governance Institute (ITGI), por meio do Control Objectives for Information and related Technology45 (COBIT®), apresenta um modelo de maturidade45 dividido em 5 (cinco) níveis: não existente, inicial, repetível, definido, gerenciável e otimizado (COBIT 4.1, 2007).

103

Para o padrão da Us Coast Guard, serão considerados dois elementos básicos (acessibilidade e segurança orgânica) para estabelecer o nível de vulnerabilidade, conforme está demonstrado nas tabelas abaixo.46 Tabela 1: elementos da vulnerabilidade

ACESSIBILIDADE Acessibilidade do alvo para um ataque. O relato para barreiras físicas e geográficas para deter a ameaça por meio da segurança orgânica.

SEGURANÇA ORGÂNICA

Habilidade do pessoal da segurança para deter um ataque. Inclui placas de segurança, capacidade de comunicação, guardas, seguranças, sistema de detecção e oportunidade de aplicação da lei para fora para prevenir um ataque.

Tabela 2: Escore da vulnerabilidade

CATEGORIA ACESSIBILIDADE SEG. ORGÂNICA ALTA (3)

Sem barreiras, sem restrições para acesso ao alvo e sem restrição interna.

Sem capacidade (sem vigilantes, plano, emergência, etc.). Não disponível para a aplicação da lei no tempo desejável, não possui prevenção nem capacidade de detecção.

MÉDIA (2)

Bons obstáculos, barreiras simples, acesso restrito dentro de 100 jardas47 do alvo.

Boa capacidade para deter (plano de seg mínimo, algumas comunicações, força armada do tipo de alvo). Não disponível em tempo oportuno, prevenção e sistema de detecção limitado.

BAIXA (1)

Obstáculos excelentes para deter o ataque. Acesso restrito dentro de 500 jardas do alvo. Múltiplas

Excelente capacidade de retenção de expectativa para deter o ataque. Abrigo

46 Tradução feita por Marcus Dantas. 47 1 jarda tem 0,91 metros. Para o processo de avaliação podemos considerar 100 m e 500m, pois o importante é termos um parâmetro de medição.

104

barreiras geográficas e físicas p/elementos e elementos não visíveis

Para a avaliação da vulnerabilidade dos controles, será utilizado o

modelo de maturidade para controle o interno apresentado pelo COBIT48 (COBIT 4.1, p.175), o qual reproduzimos a seguir.

Tabela 3: Modelo de maturidade para controle interno49

Nível de maturidade

Status do ambiente de controle Controles internos

0 (Não existente)

Não existe o reconhecimento da necessidade de controle interno. O controle não faz parte da cultura e missão da organização. Existe alto risco de incidentes.

Não existe a intenção de avaliar a necessidade de controle interno. Os incidentes são lidados à medida que surgem surgem.

1 (Inicial / Ad hoc)

Existe algum reconhecimento da necessidade de controle interno. A abordagem do risco e requisitos de controle é desorganizada, sem comunicação e monitoramento. Deficiências não são identificadas. Funcionários não têm conhecimento de suas responsabilidades.

Não existe conhecimento da necessidade de avaliar o que é necessário em termos de controle. Quando desenvolvido, é ad hoc (apenas para caso específico) e na reação a incidentes significantes de alto nível. Avaliação endereçada apenas para o incidente atual.

2 (Repetível/ intuitivo)

Existem controles, mas não são documentados. Sua operação depende do conhecimento e da motivação individual. Sua eficácia não é adequadamente avaliada. Existe muita vulnerabilidade nos controles e eles não são adequadamente endereçados. O impacto pode ser severo. O gerenciamento das ações para questões de controle

As necessidade de avaliar o controle ocorre apenas quando se trata de selecionar processos para determinar o nível atual de maturidade, o nível a ser alcançado e a lacuna (GAP) existente. Workshop informal com gerentes e a equipe envolvida no processo é utilizado para definir uma adequada abordagem dos controles para o processo e para motivar a agregação da ação ao plano de ação.

48 O IT Governance Institute (ITGI), por meio do Control Objectives for Information and related Technology48 (COBIT®), apresenta um modelo de maturidade48 dividido em 5 (cinco) níveis: não existente, inicial, repetível, definido, gerenciável e otimizado (COBIT 4.1, 2007). 49 Tradução efetuada por Marcus Dantas.

105

não é priorizado ou consistente. Os funcionários não conhecem as suas responsabilidades.

3 (Processo definido)

Os controles estão implementados e documentados. A eficácia da operação é avaliada periodicamente, e existe uma média numérica e questões. Entretanto, a avaliação do processo não é documentada. O gerenciamento é capaz para lidar com mais casos de controle; contudo, algumas vulnerabilidades de controle persistem e os impactos podem ser severos. Os empregados conhecem suas responsabilidades para com os controles.

Os processos críticos são identificados com base nos riscos. Uma análise detalhada é desenvolvida para identificar os requisitos de controle, a causa da lacuna e desenvolver a melhoria e as oportunidades. Ferramentas e entrevistas são utilizadas, em workshop, para dar suporte à análise e garantir a avaliação e a melhoria dos processos.

4 (Gerenciado e mensurável)

Existe um controle interno efetivo e um ambiente de gerenciamento de risco. Uma avaliação formal e documentada ocorre frequentemente. Muitos controles são automatizados e revisados regularmente. O gerenciamento é capaz de detectar muitas questões de controle, mas nem todas são rotineiramente identificadas. Existe uma abordagem consistente para identificar as vulnerabilidades nos controles. Uso limitado da tecnologia para a automação dos controles.

A criticidade dos processos é definida com o apoio e a adesão dos encarregados pelos principais processos de negócios. A avaliação dos requisitos de controle é baseada na política e na maturidade atual dos processos, seguindo uma análise que envolve os principais acionistas. O registro dessas avaliações é claro e obrigatório. A melhoria das estratégias é apoiada em casos de negócios. O desempenho e a realização são apoiados nos resultados e monitorados constantemente. O exame por controles externos é organizado ocasionalmente.

5 (Otimizado)

Uma ampla estrutura de risco e um programa de controle fornecem contínuo e efetivo controle e resolução de questões de risco. Os controles internos e o gerenciamento de risco são

As mudanças dos negócios consideram a criticidade dos processos e cobrem qualquer necessidade para reavaliar a capacidade do processo de controle. Os encarregados pelos processos desenvolvem autoavaliações

106

integrados com uma estrutura prática, apoiado no monitoramento automatizado, em tempo real, com o registro completo do monitoramento do controle, do gerenciamento de risco e da conformidade do cumprimento. A avaliação do controle é contínua, baseada na autoavaliação, na lacuna existente e na análise da raiz do problema. Os funcionários agem proativamente e estão envolvidos na melhoria dos controles.

regularmente, para confirmar que os controles estão no nível de maturidade correto e reunir as necessidades de negócios, e eles consideram os atributos da maturidade como a forma de identificar os controles de modo eficiente e eficaz. A organização realiza benchmark com as melhores práticas externas e mantém um controle interno eficiente. Revisões independentes são realizadas nos processos críticos, para garantir que os controles forneçam o nível de maturidade desejado, conforme o que foi planejado para o trabalho.

Ao utilizar esse referencial para a avaliação da vulnerabilidade, a

classificação será: alta, média e baixa vulnerabilidade. A alta vulnerabilidade para os níveis 0 e 1; a média vulnerabilidade para os níveis 2 e 3; e a baixa vulnerabilidade para os níveis 4 e 5. Essa mesma classificação será utilizada para balizar a identificação dos níveis de possibilidade da ocorrência de um evento ou ameaça potencial, em conformidade, também, com a norma ABNT NBR ISO 20858:2011.

Essa identificação de possibilidade mediante uma avaliação de controles dá uma maior precisão na aferição do quantum de vulnerável pode ser encontrado num sistema de proteção.

Por tudo isso é que essa linha raciocínio não só torna o processo de avaliação mais robusto e consistente para a identificação das medidas de tratamento, como também atende aos requisitos do ISPS Code e da ISO 20858:2011.

Essa atividade pode ser consolidada na ferramenta: Planilha MD4- Identificação e avaliação de vulnerabilidades, que objetiva identificar e avaliar as vulnerabilidades dos bens móveis e da infraestrutura.

107

A fim de estabelecer e priorizar medidas de proteção Como foi visto, o título deste item do ISPS Code diz: “identificação de

possíveis ameaças a bens móveis e infraestrutura e da probabilidade de sua ocorrência a fim de estabelecer e priorizar medidas de proteção”.

Como sabemos, o processo de avaliação de risco possui três etapas: a identificação das ameaças, a análise dos riscos e a avaliação dos riscos. Quando se identificam as ameaças e a possibilidade de sua ocorrência, adentra-se na análise do risco.

A análise de riscos desenvolve um entendimento sobre os riscos e os seus impactos nas atividades de negócios e ativos envolvidos, no sentido de sugerir as melhores estratégias para o seu tratamento. O objetivo maior da análise é poder segregar os riscos de maiores impactos a fim de se poder eliminar o que puder ser eliminado, e reduzir ou transformar para níveis menores aqueles que não puderem ser eliminados, ou transferi-los para outras partes.

Três fatores são fundamentais na fase de análise dos riscos: os controles, a possibilidade e as consequências.

O fator consequência (impacto) baseia-se na valoração do ativo e da sua importância para as atividades de negócios. Sua análise deve levar em consideração os critérios estabelecidos para se avaliarem os impactos, o que, para se alcançar a conformidade com o ISPS Code, deve levar em consideração (item 15.5, parte B): uma perda potencial de vidas, a importância econômica do porto, seu valor simbólico e a presença de instalações governamentais. O fator possibilidade, como o próprio nome já diz, deve estar baseado na possibilidade de a ameaça se concretizar. O fator controle50 tem como base a avaliação da vulnerabilidade dos controles.

Todas essas atividades podem ser consolidadas na ferramenta: Planilha MD5- Avaliação de riscos, que objetiva analisar e avaliar os riscos.

A análise de risco é a fase na qual ocorre o estudo detalhado de cada risco e a sua inter-relação com os controles e suas vulnerabilidades. É o que pode ser chamado de estudo do risco propriamente dito.

50 Os controles são materializados em normas, processos, procedimentos e práticas, dentre outros, que compõem todo um arcabouço de uma infraestrutura voltada para a proteção da instalação portuária.

108

Para uma melhor visualização dessas combinações, apresentamos, a seguir, a matriz de riscos. Matriz de riscos

Níveis de ameaças Baixo (B) Médio (M) Alto (A) Níveis de possibilidade/vulnerabilidade

Valor do ativo

B M A B M A B M A 0 0 1 2 1 2 3 2 3 4 1 1 2 3 2 3 4 3 4 5 2 2 3 4 3 4 5 4 5 6 3 3 4 5 4 5 6 5 6 7 4 4 5 6 5 6 7 6 7 8

A matriz de risco apresentada acima consegue consolidar os ativos

(pelo nível de importância), as ameaças (pelo seu impacto) e as possibilidades (alinhada com as vulnerabilidades). Utilizando essa matriz, a classificação dos riscos fica assim definida: risco baixo para a pontuação de 0 a 2; risco médio para a pontuação de 3 a 5; e risco alto para a pontuação de 6 a 8.

É justamente essa classificação que vai nortear a avaliação do risco (risk evaluate) analisado para se estabelecerem as medidas de tratamento dos riscos, as quais são materializadas em medidas de controle, que no caso específico serão as medidas de proteção.

Como vimos na etapa da análise de risco, a nossa matriz de risco estabeleceu níveis de risco que teve a pontuação de 0 a 8,51 para a classificação dos riscos nos níveis alto, médio e baixo. Na etapa da avaliação de risco, é estabelecida uma identificação de qual medida de tratamento deve ser adotada pela instalação portuária para cada nível de risco analisado (classificado).

Ressaltemos que na etapa da avaliação do risco não são elaboradas as medidas de tratamento, apenas é identificado o tipo de tratamento para cada nível de risco encontrado, pois a elaboração das medidas de tratamento faz

51 A estratificação dos riscos em 8 níveis de criticidade é importante para evitar que determinado risco de uma mesma classificação tenha o mesmo tratamento, e com isso possa ser super ou subdimensionada a medida de tratamento.

109

parte da etapa de tratamento dos riscos, que tem como objetivos eliminar, transformar (ou reduzir), transferir e evitar os riscos.

Nesse sentido, e alinhando-se com a filosofia da gestão de riscos, a nossa avaliação de risco seria assim representada: Avaliação de risco52 RISCO MEDIDAS DE TRATAMENTO

Nível 8 Eliminar, transformar, transferir ou compartilhar e evitar

Nível 7 Eliminar, transformar, evitar

ALTO

Nível 6 Eliminar, transformar, evitar Nível 5 Eliminar, transformar

Nível 4 Eliminar, transformar

MÉDIO

Nível 3 Eliminar, transformar e monitorar Nível 2 Transformar e monitorar

Nível 1 Monitorar

BAIXO

Nível 0 Aceitar

As opções de eliminação, monitoramento e transformação dos riscos

alcançam a maioria das ações de controle e proteção. A opção evitar sugere as medidas para evitar o risco. A transferência é a divisão com outra parte do peso do dano, e geralmente é materializada nos contratos de seguro. A aceitação da carga da perda de um risco é feita com os riscos de pequeno impacto.

Como se pode ver, é na avaliação de risco que se determina quais são os riscos toleráveis e quais os riscos que necessitam de ações de tratamento. É justamente com base nessa avaliação que o especialista vai desenvolver as medidas de tratamento, que serão materializadas, na sua maioria, em controles de proteção. O ISPS Code e a ISO 20858:2011 referem-se aos controles de proteção como contramedidas.

52 Outras orientações podem ser atribuídas, como, por exemplo: mitigar (risco alto), considerar (risco médio) e documentar (risco baixo). O detalhamento dessas medidas faz parte de uma nova fase que é a do tratamento do risco.

110

Tudo isso fica consolidado na ferramenta: Planilha MD5- Avaliação de riscos.

4.1.3 Etapa 3: Identificação, seleção e priorização de contramedidas e alterações nos procedimentos e seu nível de eficácia quanto à redução de vulnerabilidade

A parte B do código, nos itens 15.13 e 15.14, estabelece as seguintes diretrizes:

15.13 A identificação e priorização de contramedidas tem o objetivo de assegurar que sejam empregadas as medidas de proteção mais eficazes para reduzir a vulnerabilidade de uma instalação portuária ou da interface navio/porto a possíveis ataques. 15.14 As medidas de proteção devem ser selecionadas com base em fatores, tais como, se reduzem a probabilidade de um ataque, e devem ser avaliadas utilizando-se informações que incluam:

1. Vistorias, inspeções e auditorias relacionadas à proteção; 2. Consultas com proprietários e operadores de instalações portuárias e com proprietários/operadores de estruturas adjacentes, se apropriado; 3. Informações relativas ao histórico de incidentes de proteção; e 4. Operações dentro das instalações portuárias.

Como se pode observar nos itens acima, as contramedidas devem ter

por objetivo serem mais eficazes para reduzir as vulnerabilidades (15.13) de uma instalação portuária a um possível ataque. Devem ser avaliadas (15.14) levando em consideração as informações que incluam todos os subitens desse item do código.

Se forem observados atentamente, esses itens do ISPS Code estão alinhados com a etapa da avaliação de risco (risk evaluate), pois, como já visto na etapa anterior, a avaliação de risco considera todos os aspectos dessa

111

parte do ISPS Code. Após a fase de análise de risco (na qual se faz o estudo pormenorizado do risco, considerando-se os impactos, as possibilidades e as vulnerabilidades de uma ameaça), é realizada a avaliação pontual de cada risco a fim de priorizar as contramedidas (medidas de tratamento e/ou controles). Essas contramedidas levam em conta fatores que possam eliminar os riscos que podem ser eliminados, transformar, monitorar, transferir e aceitar os riscos que não podem ser eliminados. Como vimos, na etapa da avaliação de risco é estabelecida uma orientação (diretriz) para se detalhar a contramedida.

É justamente esse detalhamento que vai caracterizar a etapa do tratamento do risco, cujas atividades serão materializadas na elaboração detalhada de cada contramedida (controle), que deve ser estabelecida com base na diretriz estabelecida na etapa da avaliação de risco e nos itens do ISPS Code. Essa deve ser a intenção do domínio desses itens do ISPS Code. Um ponto a ser observado tem relação com o item 16.9 da parte B do ISPS Code, o qual estabelece que as medidas de proteção devem cobrir: o acesso às instalações portuárias, as áreas de acesso restrito dentro das instalações portuárias, o manuseio de cargas, a entrega das provisões do navio, o manuseio de bagagens desacompanhadas, e o monitoramento da proteção das instalações portuárias.

Na prática, tais medidas fazem parte dos controles do sistema de proteção e devem constar do plano de proteção. Uma orientação para a elaboração dessas medidas é que elas sejam em duas etapas: na primeira, um rol com todas as medidas que forem identificadas; na segunda, uma triagem cujo foco esteja na relação custo x benefício da medida, para que o valor investido não seja superior ao dano que o risco poderá causar. Medidas adequadas e proporcionais de proteção fazem parte de um dos objetivos do ISPS Code. 4.1.4 Etapa 4: Identificação de vulnerabilidade

A parte B do código, nos itens 15.15 e 15.16, estabelece as seguintes diretrizes:

112

15.15 A identificação de vulnerabilidades em estruturas físicas, sistemas de proteção de pessoal, processos ou outras áreas que possam levar a um incidente de proteção pode ser usada para estabelecer opções para eliminar ou atenuar tais vulnerabilidades. Por exemplo, uma análise pode revelar vulnerabilidades nos sistemas de proteção das instalações portuárias ou infraestruturas não protegidas, tais como abastecimento de água, pontes, etc., que podem ser resolvidas através de medidas físicas, por exemplo, barreiras permanentes, alarmes, equipamentos de vigilância, etc. 15.16 A identificação de vulnerabilidades deve incluir a consideração de: 1. Acesso às instalações portuárias por água e por terra e navios atracados nas instalações; 2. Integridade estrutural dos ancoradouros, instalações e estruturas relacionadas; 3. Medidas e procedimentos existentes de proteção, incluindo sistemas de identificação; 4. Medidas e procedimentos existentes de proteção com relação a serviços portuários e empresas de utilidades públicas; 5. Medidas para proteger equipamentos de rádio e de telecomunicações, serviços portuários e empresas de utilidades públicas, incluindo sistemas e redes de informática; 6. Áreas adjacentes que possam ser exploradas durante ou para um ataque; 7. Acordos existentes com companhias privadas de proteção que forneçam serviços de proteção em terra/na água; 8. Quaisquer políticas conflitantes entre as medidas e procedimentos de segurança e proteção; 9. Quaisquer conflitos entre as instalações portuárias e a atribuição de deveres relativos à proteção; 10. Quaisquer limitações no tocante ao pessoal e à implementação;

113

11. Quaisquer falhas identificadas durante os treinamentos e simulações; e 12. Quaisquer falhas identificadas durante as operações rotineiras, após a ocorrência de incidentes ou alertas, relatórios de preocupações relativas à proteção, exercício de medidas de controle, auditorias, etc.

Para se atestar a conformidade com o código, a identificação de

vulnerabilidade deve considerar o que foi estabelecido no item 15.16 da parte B do ISPS Code.

Uma observação especial com relação a essa etapa é que ela será executada na fase de análise de riscos, conforme foi visto anteriormente, pois a identificação de vulnerabilidade faz parte da etapa de análise de riscos. Como já foi citado, tudo isso fica consolidado na ferramenta: Planilha MD4- Identificação e avaliação de vulnerabilidades. 4.1.5 Atividades do processo de avaliação de riscos

Para resumir as atividades da presente metodologia, apresentamos abaixo sequência a ser adotada: 1- Identificar a infraestrutura e os bens móveis e valorá-los; 2- Identificar as ameaças/eventos aplicáveis à infraestrutura e aos bens móveis, bem como avaliar as consequências dessas ameaças; 3- Identificar as vulnerabilidades; 4- Identificar as possibilidades; 5- Analisar os riscos; 6- Avaliar os riscos, e 7- Identificar as medidas de tratamento. 4.1.6 Critérios e parâmetros do processo de avaliação de riscos

Abaixo apresentamos um resumo dos critérios e parâmetros que serão utilizados na avaliação de riscos: Equação do risco: R= C x T x V. Ameaça (T), consequência (C) e vulnerabilidade (V).

114

Método: Qualitativo Critério de identificação e classificação das atividades de negócio Quadro de valoração de ativos, infraestrutura e atividades ATIVO Valor DESCRIÇÃO Insignificante 0 Abaixo de 1.000 unidades monetárias; de reposição imediata;

não impactante nas atividades de negócios. Função não crítica. Baixo 1 Entre 1.000 e 10.000 unidades monetárias; de fácil reposição

em 24h; baixo impacto na atividade de negócio. Função sensível.

Médio 2 Entre 10.000 e 100.000 unidades monetárias; de fácil reposição entre 48h-72h; Operação da atividade de negócio com dificuldade. Função vital.

Alto 3 Entre 100.000 e 1.000.000 de unidades monetárias; de difícil reposição em 7 dias; interrupção da atividade de negócios até a sua reposição ou reparação. Estratégico para a atividade. Função crítica.

Muito alto 4 Acima de 1 milhão de unidades monetárias; de difícil substituição em prazo inferior a 30 dias; interrupção total da atividade de negócio. Estratégico para a atividade. Função crítica.

Identificação e classificação das atividades de negócio

Classificação Descrição Crítica Funções que não podem ser desenvolvidas, a não ser que sejam

identificadas as capacidades para repor o dano causado à companhia. Aplicações críticas não podem ser respostas pelos métodos manuais sobre nenhuma (quaisquer) circunstância. A tolerância para a interrupção é muito pouca e o custo é muito alto (elevado).

Vital Funções que não podem ser desenvolvidas por meios manuais ou podem ser desenvolvidas, manualmente, por apenas um breve período de tempo.

Sensível Processos de negócios realizados com dificuldades e custo tolerável, por meios manuais e por um extenso período de tempo.

Não crítica Podem ser interrompidos por um longo período de tempo, com pouco ou nenhum custo para a companhia.

Quadro da descrição de categorias de impacto/consequência CATEGORIA DESCRIÇÃO MORTE OU FERIMENTO Perspectiva de morte ou ferimento como resultado

de um ataque.

115

IMPACTO ECONÔMICO O potencial impacto econômico de um ataque. IMPACTO AMBIENTAL O potencial impacto ambiental. SEG. PÚBLICA/ IMPACTO DEFESA O impacto do efeito de um ataque em vários alvos,

incluindo o departamento de Defesa Nacional/Segurança Pública.

EFEITO SIMBÓLICO Tipo de efeito moral/dano à imagem: sensação de segurança da população; percepção da economia; imagem do sistema público, militar e bem-estar social.

Quadro de níveis de impacto/consequência NÍVEL DE IMPACTO

MORTE/ FERIMENTO

IMPACTO ECONÔMICO

IMPACTO AMBIENTAL

DEFESA NACIONAL

EFEITO SIMBÓLICO




Criar longos períodos de vulnerabilidade na segurança pública



1 a 10 milhões de unidades monetárias 1-10% do faturamento do exercício anterior



Maior dano ou destruição à imagem ou efeito moral






Ameaças e/ou incidentes Naturais (N), Acidentais ou involuntários (A) e Intencionais (I). Lista de ameaças/ eventos AMEAÇAS/EVENTOS ORIGEM

Incidentes do item 15.11 da parte B do IPS Code 1. Danos às instalações portuárias e aos navios ou destruição dos

mesmos, por exemplo, por meio de explosivos, incêndio criminoso, sabotagem ou vandalismo;

I

116

2. Sequestro ou captura do navio ou de pessoas a bordo; I 3. Adulteração de cargas, sistemas ou equipamentos essenciais

do navio ou de provisões do navio; I

4. Acesso ou uso não autorizado, incluindo a presença de clandestinos;

I, A

5. Tráfico de armas ou equipamentos, incluindo armas de destruição em massa;

I

6. Uso do navio para transportar pessoas que pretendem causar um incidente de proteção e seus equipamentos;

I

7. Uso do navio em si como uma arma ou como um meio de causar danos ou destruição;

I

8. Bloqueio das entradas dos portos, comportas, aproximações, etc.;

I

9. Ataque nuclear, biológico e químico. I Outros Incidentes/Ameaças/Eventos

10. Eventos da natureza: terremoto, furação, inundação, relâmpago ou raio, tsunami, etc.

N

11. Acidente com veículo I, A 12. Ameaças (de uma forma geral), invasão e tentativa de invasão I 13. Greves e tumultos. I 14. Delitos diversos: roubo, furto, sequestro e sequestro

decorrente de roubo, consumo de drogas, etc. I

15. Porte ilegal de armas e utilização indevida/acidental de arma de fogo

A, I

16. Falha em: equipamentos, fornecimento de energia e de água A, I 17. Erro ou falha operacional e falha de manutenção A, I 18. Acidente com carga perigosa A, I 19. Interrupção do fornecimento de energia N, A, I 20. Fogo e incêndio N, A, I

Classificação de possibilidades Alta possibilidade

Quando as medidas de proteção oferecem pouca resistência para a ocorrência de um incidente de proteção.

Média possibilidade

Quando as medidas de proteção oferecem resistência moderada para a ocorrência de um incidente de proteção.

Baixa possibilidade

Quando as medidas de proteção oferecem substancial ou sólida resistência para a ocorrência de um incidente de proteção.

Fonte: ABNT NBR ISO 20858:2011

117

Vulnerabilidades O critério de avaliação de vulnerabilidades da US Coast Guard Tabela 1: elementos da vulnerabilidade

ACESSIBILIDADE Acessibilidade do alvo para um ataque. O relato para barreiras físicas e geográficas para deter a ameaça por meio da segurança orgânica.

SEGURANÇA ORGÂNICA

Habilidade do pessoal da segurança para deter um ataque. Inclui placas de segurança, capacidade de comunicação, guardas, seguranças, sistema de detecção e oportunidade de aplicação da lei para fora para prevenir um ataque.

Tabela 2: Escore da vulnerabilidade

CATEGORIA ACESSIBILIDADE SEG. ORGÂNICA ALTA (3)

Sem barreiras, sem restrições para acesso ao alvo e sem restrição interna.

Sem capacidade (sem vigilantes, plano, emergência, etc.). Não disponível para a aplicação da lei no tempo desejável, não possui prevenção nem capacidade de detecção.

MÉDIA (2)

Bons obstáculos, barreiras simples, acesso restrito dentro de 100 jardas do alvo.

Boa capacidade para deter (plano de seg mínimo, algumas comunicações, força armada do tipo de alvo). Não disponível em tempo oportuno, prevenção e sistema de detecção limitado.

BAIXA (1)

Obstáculos excelentes para deter o ataque. Acesso restrito dentro de 500 jardas do alvo. Múltiplas barreiras geográficas e físicas

Excelente capacidade de retenção de expectativa para deter o ataque. Abrigo p/elementos e elementos não visíveis

118

Modelo de maturidade para controle interno apresentado pelo COBIT: Tabela: Modelo de maturidade para controle interno53

Nível de maturidade

Status do ambiente de controle Controles internos

0 (Não existente)

Não existe o reconhecimento da necessidade de controle interno. O controle não faz parte da cultura e missão da organização. Existe alto risco de incidentes.

Não existe a intenção de avaliar a necessidade de controle interno. Os incidentes são lidados à medida que surgem surgem.

1 (Inicial / Ad hoc)

Existe algum reconhecimento da necessidade de controle interno. A abordagem do risco e requisitos de controle é desorganizada, sem comunicação e monitoramento. Deficiências não são identificadas. Funcionários não têm conhecimento de suas responsabilidades.

Não existe conhecimento da necessidade de avaliar o que é necessário em termos de controle. Quando desenvolvido, é ad hoc (apenas para caso específico) e na reação a incidentes significantes de alto nível. Avaliação endereçada apenas para o incidente atual.

2 (Repetível/ intuitivo)

Existem controles, mas não são documentados. Sua operação depende do conhecimento e da motivação individual. Sua eficácia não é adequadamente avaliada. Existe muita vulnerabilidade nos controles e eles não são adequadamente endereçados. O impacto pode ser severo. O gerenciamento das ações para questões de controle não é priorizado ou consistente. Os funcionários não conhecem as suas responsabilidades.

As necessidade de avaliar o controle ocorre apenas quando se trata de selecionar processos para determinar o nível atual de maturidade, o nível a ser alcançado e a lacuna (GAP) existente. Workshop informal com gerentes e a equipe envolvida no processo é utilizado para definir uma adequada abordagem dos controles para o processo e para motivar a agregação da ação ao plano de ação.

3 (Processo definido)

Os controles estão implementados e documentados. A eficácia da operação é avaliada periodicamente, e existe uma média numérica e questões. Entretanto, a avaliação do

Os processos críticos são identificados com base nos riscos. Uma análise detalhada é desenvolvida para identificar os requisitos de controle, a causa da lacuna e desenvolver a melhoria e as oportunidades. Ferramentas e entrevistas são

53 Tradução efetuada por Marcus Dantas.

119

processo não é documentada. O gerenciamento é capaz para lidar com mais casos de controle; contudo, algumas vulnerabilidades de controle persistem e os impactos podem ser severos. Os empregados conhecem suas responsabilidades para com os controles.

utilizadas, em workshop, para dar suporte à análise e garantir a avaliação e a melhoria dos processos.

4 (Gerenciado e mensurável)

Existe um controle interno efetivo e um ambiente de gerenciamento de risco. Uma avaliação formal e documentada ocorre frequentemente. Muitos controles são automatizados e revisados regularmente. O gerenciamento é capaz de detectar muitas questões de controle, mas nem todas são rotineiramente identificadas. Existe uma abordagem consistente para identificar as vulnerabilidades nos controles. Uso limitado da tecnologia para a automação dos controles.

A criticidade dos processos é definida com o apoio e a adesão dos encarregados pelos principais processos de negócios. A avaliação dos requisitos de controle é baseada na política e na maturidade atual dos processos, seguindo uma análise que envolve os principais acionistas. O registro dessas avaliações é claro e obrigatório. A melhoria das estratégias é apoiada em casos de negócios. O desempenho e a realização são apoiados nos resultados e monitorados constantemente. O exame por controles externos é organizado ocasionalmente.

5 (Otimizado)

Uma ampla estrutura de risco e um programa de controle fornecem contínuo e efetivo controle e resolução de questões de risco. Os controles internos e o gerenciamento de risco são integrados com uma estrutura prática, apoiado no monitoramento automatizado, em tempo real, com o registro completo do monitoramento do controle, do gerenciamento de risco e da conformidade do cumprimento. A avaliação do controle é contínua, baseada na autoavaliação, na lacuna

As mudanças dos negócios consideram a criticidade dos processos e cobrem qualquer necessidade para reavaliar a capacidade do processo de controle. Os encarregados pelos processos desenvolvem autoavaliações regularmente, para confirmar que os controles estão no nível de maturidade correto e reunir as necessidades de negócios, e eles consideram os atributos da maturidade como a forma de identificar os controles de modo eficiente e eficaz. A organização realiza benchmark com as melhores práticas externas e mantém um controle interno eficiente. Revisões

120

existente e na análise da raiz do problema. Os funcionários agem proativamente e estão envolvidos na melhoria dos controles.

independentes são realizadas nos processos críticos, para garantir que os controles forneçam o nível de maturidade desejado, conforme o que foi planejado para o trabalho.

Classificação de vulnerabilidades para o modelo do COBIT Classificação de vulnerabilidade Níveis Alta 0 e 1 Média 2 e 3 Baixa 4 e 5 Matriz de riscos

Níveis de ameaças Baixo (B) Médio (M) Alto (A) Níveis de possibilidade/vulnerabilidade

Valor do ativo

B M A B M A B M A 0 0 1 2 1 2 3 2 3 4 1 1 2 3 2 3 4 3 4 5 2 2 3 4 3 4 5 4 5 6 3 3 4 5 4 5 6 5 6 7 4 4 5 6 5 6 7 6 7 8

Risco baixo: pontuação de 0 a 2. Risco médio: pontuação de 3 a 5. Risco alto: pontuação de 6 a 8. Avaliação de riscos RISCO MEDIDAS DE TRATAMENTO

Nível 8 Eliminar, transformar, transferir ou compartilhar e evitar

Nível 7 Eliminar, transformar, evitar

ALTO

Nível 6 Eliminar, transformar, evitar Nível 5 Eliminar, transformar

Nível 4 Eliminar, transformar

MÉDIO

Nível 3 Eliminar, transformar e monitorar

121

Nível 2 Transformar e monitorar

Nível 1 Monitorar

BAIXO

Nível 0 Aceitar

4.2 Ferramentas do processo de avaliação de riscos

O item apresenta as ferramentas que foram elaboradas para ser utilizadas pelo método MD de avaliação de riscos. Elas têm por objetivo ser um auxiliar maior no processo de avaliação de riscos. Como poderá ser constatado logo abaixo, essas ferramentas consolidam as atividades do processo de avaliação de riscos desta metodologia, que são: 1- Identificar a infraestrutura e os bens móveis e valorá-los; 2- Identificar as ameaças/eventos aplicáveis à infraestrutura e aos bens móveis, bem como avaliar as consequências dessas ameaças; 3- Identificar as vulnerabilidades; 4- Identificar as possibilidades; 5- Analisar os riscos; 6- Avaliar os riscos e 7- Identificar as medidas de tratamento.

Para facilitar a compreensão da utilização dessas ferramentas, vamos adotar como exemplo uma portaria de acesso ao prédio administrativo de uma instalação portuária.

Segundo o item 15.7 da parte B do ISPS Code, ficaria assim identificado: 1. Áreas de acesso, entradas, aproximações, ancoragem, manobras e atracação 1.1 Acesso terrestre a. Prédio da administração a.1 Portaria de acesso de pedestres 4.2.1 Planilha MD1- Identificação de infraestrutura e dos bens móveis

Objetivo: Identificar os bens móveis e a infraestrutura de acordo com o item 15.7 da parte B do ISPS Code e valorar esses elementos de acordo com a sua importância, a fim de se estabelecerem os alvos críticos para a proteção.

Abaixo, o exemplo de como ficaria a utilização da planilha MD1:

122

Infraestrutura e bens móveis (item 15.7 da Parte B do ISPS Code)

Valor Comentários

1. Áreas de Acesso, entradas, aproximações, ancoragem, manobras e atracação 1.1 Acesso Terrestre: a. Prédio da administração a.1 Portaria de pedestres 1 Função sensível

Como pode ser observado no exemplo acima, a identificação segue os

itens do ISPS Code e é feita uma valoração de importância para atividade, bem ou infraestrutura. 4.2.2 Planilha MD2- Identificação de ameaças para a infraestrutura e os bens móveis

Objetivo: Identificar as ameaças que são aplicáveis à infraestrutura e aos bens móveis

Sua estrutura está apresentada abaixo:

Incidentes do item 15.11 da parte B do ISPS Code

INFRAESTRUTURA E BENS MÓVEIS (item 15.7 da parte B do ISPS Code

1. D

anos

às

inst

alaç

ões

port

uária

s e

aos

navi

os o

u de

stru

ição

dos

mes

mos

, por

exe

mpl

o, a

trav

és d

e ex

plos

ivos

, inc

êndi

o cr

imin

oso,

sab

otag

em o

u va

ndal

ism

o 2.

Seq

uest

ro o

u ca

ptur

a do

nav

io o

u de

pes

soas

a

bord

o

3. A

dulte

raçã

o de

car

gas,

sis

tem

as o

u eq

uipa

men

tos

esse

ncia

is d

o na

vio

ou d

e pr

ovis

ões

do n

avio

4. A

cess

o ou

uso

não

aut

oriz

ado,

incl

uind

o a

pres

ença

de

clan

dest

inos

5. T

ráfic

o de

arm

as o

u eq

uipa

men

tos,

incl

uind

o ar

mas

de

dest

ruiç

ão e

m m

assa

6. U

so d

o na

vio

para

tran

spor

tar p

esso

as q

ue

pret

ende

m c

ausa

r um

inci

dent

e de

pro

teçã

o e

seus

equ

ipam

ento

s

7. U

so d

o na

vio

em s

i com

o um

a ar

ma

ou c

omo

um m

eio

de c

ausa

r dan

os o

u de

stru

ição

8. B

loqu

eio

de e

ntra

das

dos

port

os, c

ompo

rtas

, ap

roxi

maç

ões,

etc.

9. A

taqu

e nu

clea

r, bi

ológ

ico

e qu

ímic

o

1.Áreas de Acesso, entradas, aproximações, ancoragem, manobras e atracação

1.1 Acesso Terrestre:

a. Prédio da administração

a.1 Portaria de pedestres X X X X

123

OUTROS INCIDENTES/AMEAÇAS

10.E

vent

os d

a na

ture

za: E

nche

ntes

, rel

âmpa

go

ou ra

io

11. A

cide

nte

com

veí

culo

12. A

mea

ças

(de

uma

form

a ge

ral),

Inva

são

e te

ntat

iva

de in

vasã

o

13. G

reve

s e

tum

ulto

s

14. D

elito

s di

vers

os: r

oubo

, fur

to, s

eque

stro

e

sequ

estr

o de

corr

ente

de

roub

o, c

onsu

mo

de

drog

as, e

tc

15. P

orte

ileg

al d

e ar

mas

e u

tiliz

ação

in

devi

da/a

cide

nte

de a

rma

de fo

go

16. E

rro

ou fa

lha:

equ

ipam

ento

s, o

pera

cion

al,

falh

a de

man

uten

ção

17. F

ogo

e in

cênd

io

18. A

cide

nte

com

car

ga p

erig

osa

1.Áreas de Acesso, entradas, aproximações, ancoragem, manobras e atracação

1.1 Acesso Terrestre:


a.1 Portaria de pedestres X X X X X

Observemos que há dois momentos de identificação de ameaças: os

incidentes relacionados no item 15.11 da parte B do ISPS Code e outras ameaças que devem ser apresentadas para essa identificação. Como pode ser constatado, deve ser feita apenas a identificação dos cenários que são aplicáveis a cada bem móvel ou infraestrutura. 4.2.3 Planilha MD3- Avaliação de consequências

Objetivo: Avaliar as consequências dos incidentes e cenários de riscos

para os bens e a infraestrutura da instalação portuária. Consequência/Impacto: Alto- A; Médio- M; Baixo- B; NA- Não Avaliado

Essa avaliação deve ser feita apenas com os cenários identificados de cada bem móvel ou infraestrutura. No exemplo abaixo foi citado apenas um cenário, mas na prática devem ser relacionados todos os cenários já identificados e constantes da planilha MD2.

124

CENÁRIOS DE RISCO

MO

RTE/

FERI

MEN

TO

IMPA

CTO

ECO

NÔ

MIC

O

IMPA

CTO

AM

BIEN

TAL

DEF

ESA

NA

CIO

NA

L

EFEI

TO S

IMBÓ

LICO

NÍVEL DE IMPACTO

FINAL

1.Áreas de acesso, entradas, aproximações, ancoragem, manobras e atracação

1.1 Acesso Terrestre


a.1 Portaria de pedestres

1-Danos às instalações portuárias e aos navios ou destruição dos

mesmos, por exemplo, através de explosivos, incêndio criminoso,

sabotagem ou vandalismo.

B

B

B

B

B

B

Observemos que para cada ameaça identificada deve ser feita a

avaliação de consequência de cada bem ou infraestrutura identificados, utilizando os parâmetros de avaliação já definidos. No exemplo dado, a consequência para essa ameaça foi baixa. 4.2.4 Planilha MD4- Identificação e avaliação de vulnerabilidades

Objetivo: Identificar e avaliar as vulnerabilidades dos bens móveis e da infraestrutura

Essa avaliação deve ser feita seguindo aos parâmetros definidos, conforme pode ser verificado no exemplo a seguir.

125

Identificação de vulnerabilidades

Ace

ssib

ilida

de

Segu

ranç

a or

gâni

ca

Mat

urid

ade

dos

cont

role

s

Escore Final VULNERABILIDADE

1.Áreas de acesso, entradas, aproximações, ancoragem, manobras e atracação

1.1 Acesso terrestre


a.1 Portaria de pedestres A M 4 B Média vulnerabilidade

4.2.5 Planilha MD5- Avaliação de riscos

Objetivo: Analisar e avaliar os riscos Como pode ser observado na planilha MD5, existem três colunas que

identificam as etapas do processo de avaliação de riscos (identificação dos riscos, análise dos riscos e avaliação dos riscos). Na coluna identificação dos riscos devem ser colocados todos os incidentes e/ou ameaças identificados para cada bem móvel ou infraestrutura.

Na coluna análise dos riscos são colocadas outras colunas para o valor dos ativos (A), consequências (C), para a possibilidade (P) e para a classificação do risco (Risco).

Na coluna avaliação dos riscos devem ser colocadas as medidas de tratamento a serem desenvolvidas na etapa de tratamento dos riscos e que norteiam os controles a serem estabelecidos quando da elaboração do plano de proteção.

126

Identificação dos riscos Análise dos riscos Avaliação dos riscos

Ameaça/cenário de risco A C P Risco Medidas de

tratamento 1.Áreas de Acesso, entradas, aproximações, ancoragem, manobras e atracação

1.1 Acesso Terrestre a. Prédio da administração

a.1 Portaria de pedestres

1-Danos às instalações portuárias e aos navios ou destruição dos mesmos, por exemplo, através de explosivos, incêndio criminoso, sabotagem ou vandalismo.

1 B M 2B Transformar e monitorar

128

BIBLIOGRAFIA Associação Brasileira de Normas Técnicas (ABNT). NBR ISO/IEC 27002:2005 – Tecnologia da informação – Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005. Associação Brasileira de Normas Técnicas (ABNT). NBR ISO/IEC 27001:2006 – Tecnologia da informação – Técnicas de segurança – Sistema de gestão de segurança da informação - requisitos. Rio de Janeiro: ABNT, 2006. AS/NZS 4360:2004 Risk Management. Third edition. Sydney/Wellington: Standards Australia/Standards New Zealand, 2004. ACADEMIA LATINO AMERICANA DE SEGURANÇA DA INFORMAÇÃO. Disponível em: <http://www.technetbrasil.com.br/academia. BEAL, Adriana. Segurança da informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2005. BRASIL. Decreto no 4.553, de 27 de novembro de 2002. Diário Oficial da União, poder Executivo, Brasília, 30/12/2002. BRASIL. Código Internacional para a Proteção de Navios e Instalações Portuárias. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2004. BRASIL. Portaria no 387, de 03 de outubro de 2006. Ministério da Justiça: Departamento da Polícia Federal (DPF), 2006. BRASIL. Resolução no 02, de 02 de dezembro de 2002. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2002. BRASIL. Resolução no 03, de 27 de junho de 2003. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2003. BRASIL. Resolução no 07, de 11 de agosto de 2003. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2003. BRASIL. Resolução no 10, de 20 de outubro de 2003. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2003.

129

BRASIL. Resolução no 12, de 18 de dezembro de 2003. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2003. BRASIL. Resolução no 26, de 08 de junho de 2004. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2004. BRASIL. Resolução no 32, de 11 de novembro de 2004. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2004. BRASIL. Resolução no 33, de 11 de novembro de 2004. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2004. BRASIL. Resolução no 36, de 21 de junho de 2005. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2005. BRASIL. Resolução no 37, de 21 de junho de 2005. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2005. BRASIL. Resolução no 47, de 07 de abril de 2011. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2011. BRASIL. Resolução no 49, de 08 de agosto de 2011. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2011. BRASIL. Instalações portuárias – Quadro geral. Disponível em: <http://www.mj.gov.br/senasp/conportos/documentos/conportos_instalacoes_certificadas.pdf>. Acesso em: 27.jun.2011. BRASILIANO, Antonio Celso Ribeiro. Planejamento da segurança empresarial – metodologia e implantação. São Paulo: Brasiliano & Associados: Sicurezza: Cia. Das Artes, 1999. BRASILIANO, Antonio Celso Ribeiro. Manual de planejamento: gestão de riscos corporativos. São Paulo:Sicurezza, 2003. BS 7799-3:2006 Information security management systems – Part 3: Guidelines for information security risk management. British Standards Institution (BSI): 2006.

130

BUSINESS CONTINUITY PLANNING GUIDE (BCPG). First edition. Property Advisers to the Civil Estate (PACE): Central Advice Unit, may, 1998. CARDOSO JÚNIOR, Walter Felix. Inteligência empresarial estratégica. Tubarão:Ed. Unisul, 2005. CASADA, Myron; Thomas Nolan; David Trinker; and David Walker. Guide for Port Security. Houston: ABS Consulting, Octuber, 2003. DANTAS, Marcus Leal. Segurança preventiva: conduta inteligente do cidadão. Recife: Nossa Livraria, 2003. DANTAS, Marcus Leal. Auditoria em Instalações Portuárias. Recife: Nossa Livraria, 2008. DANTAS, Marcus Leal. Segurança da informação: uma abordagem focada em gestão de riscos. Olinda: Livro Rápido, 2011. Disarming the Value Killers – A Risk Management Study. Deloitte Touche Tohmatsu, 2005. Ernst & Young 8th Global Fraud Survey (Fraud – The Unmanaged Risk). Ernst & Young: Global Investigations & Dispute Advisory Services, 2003. ERNST & YOUNG. Fraud: Real solution to a real risk. London: Ernst & Young LLP, 2004. GENERAL ACCOUNTING OFFICE (GAO). Information Security Risk Assessment: pratices of leading organization. United States: Washington: GAO, 1999. HB 231:2004 Information Security Risk Management Guidelines. Sydney/Wellington: Standards Australia/Standards New Zealand, 2004. HB 436:2004 Risk Management Guidelines. Sydney/Wellington: Standards Australia/Standards New Zealand, 2005. HB 292:2006 A Practitioners Guide to Business Continuity Management. Sydney: Standards Australia, 2006. HERZOG, Ana Luiza. Sua empresa jamais esteve tão ameaçada. Revista Exame, São Paulo, SP, no 09, ano 40, ed Ed. 867, p. 84-86, 10 maio 2006. HOUAISS DICIONÁRIO DA LINGUA PORTUGUESA. Disponível em: <http://www.houaiss.uol.com.br>. Acesso em 30 out 2005. INTERNATIONAL ASSOCIATION OF PORT AND HARBORS (IAPH). Report on ISPS Code - Port Readiness Survey. In: Review Port and Harbors, june, 2004.

131

INTERNATIONAL MARITIME ORGANIZATION (IMO). International Ship and Port Facility Security Code (ISPS Code). Eletronic Edition. London: International Maritime Organization, 2003. ISO/IEC 13335-1:2004 – Information technology – Security techniques – Management of information and communications technology security – Part 1: Concepts and models for information and communications technology security management. ISO/IEC Guide 73:2002 – Risk Management – Vocabulary – Guideliness for use in standards. First edition. Switzerland: International Organization for Standardization, 2002. IT GOVERNANCE INSTITUTE (ITGI). COBIT 4.1. Illinois, USA: IT Governance Institute, 2007. J. Alex Haldermany, Seth D. Schoenz, Nadia Heningery, William Clarksony, William Paulx, Joseph A. Calandrinoy, Ariel J. Feldmany, Jacob Appelbaum. Lest We Remember: Cold Boot Attacks on Encryption Keys. New Jersey, Princeton University: Electronic Frontier Foundation, February, 2008. disponível em:<http://citp.princeton.edu.nyud.net/pub/coldboot.pdf> KUHN, Markus G. Optical time-domain eavesdropping risks of CRT Displays. IEEE Symposium on Security and Privacy, Berkeley, California, USA May 12–15, 2002. Disponível em:<http://www.cl.cam.ac.uk/~mgk25/ieee02-optical.pdf>. LOUGHRY, Joe and UMPHRESS, David A. Information Leakage from Optical Emanations. ACM Transactions on Information and System Security (TISSEC), 5(3):262--289, 2002. Disponível em:<http://www.applied-math.org/acm_optical_tempest.pdf>. MATSUMOTO, Tsutomo, H. Matsumoto, K. Yamada, S. Hoshino. Impact of artificial “Gummy” fingers on fingerprint systems. Proceedings of SPIED Vol. #4677, Optical security and counterfeit deterrence techniques IV. Yokohama National University, 14may2002. Disponível em:< http://cryptome.org/gummy.htm>. MICROSOFT. Guia de Gerenciamento de riscos de Segurança. Disponível em: <http://www.microsoft.com/brasil/security/guidance/riscos/default.mspx>. Acesso em 20 abr 2005. MINTZBERG, H; AHLSTRAND, B; LAMPEL, J. Safári de estratégia: um roteiro pela selva do planejamento estratégico. Porto Alegre: Bookman, 2000.

132

Operational Critical Threat, Asset, and Vulnerability EvaluationSM (OCTAVESM). Pittsburgh: Software Engineering Institute: Carnegie Mellon University, 2001. Disponível em: <http:www.cert.org/octave/>. RALPH, M. Stair e George W. Reynolds. Princípios de sistemas de informação: uma abordagem gerencial. 4a ed. Rio de Janeiro: LTC, 2002. SÊMOLA, Marcos. Gestão da segurança da informação: visão executiva da segurança da informação. Rio de Janeiro:Campus, 2003. TOIGO, Jon William. Disaster recovery planning: preparing for the unthinkable. 3rd ed. New jersey: Prentice Hall, PTR, 2003. UNITED STATES COAST GUARD. Navigation and Vessel Inspection Circular 11/2002 - NVIC 11-02: Recommended Security Guidelines for Facilities. Washington: United States Coast Guard, 2003.

ISPS CODE

O tema segurança (proteção) nos portos e terminais, até os atentados terroristas nos Estados Unidos da América em 2001, não tinham destaque nas suas ações, porém com o estabelecimento do Código ISPS, que entrou em vigor em julho de 2004, passou a ser ponto de preocupação para os administradores de portos e terminais portuários.

O ponto de partida dos estudos das medidas de proteção é sempre a avaliação de risco, a qual precisa ser feita obedecendo a metodologias consagradas e adequadas, e porque não dizer teorizadas, sob pena de serem sub ou superdimensionadas aumentando a possibilidade de ocorrência de incidentes indesejáveis com sérios prejuízos materiais e perda de vidas ou a gastos excessivos e desnecessários, respectivamente.

A abordagem deste trabalho permitirá ao leitor a familiarização com a teoria do risco de uma forma bastante amigável até que entenda a sua aplicação nos portos e terminais, finalizando com o seu emprego no atendimento ao Código ISPS.

O trabalho ainda tem o mérito de se adequar aos padrões de qualidade internacional emitidos pela ISO, ao referenciar a norma ISO 20858.

Estamos diante de um trabalho que vai orientar a elaboração de muitos planos de segurança de portos e terminais.

LUIS FERNANDO RESANO

www.livrorapido.com

ISBN 978-85-406-0068-3

9 788540 600683

marcus leal dantas - portal idea...gêmeas do world trade center e ao pentágono, a organização...

Documents