monografia final nelcinei de freitas valente 200917001195

5/9/2018 Monografia Final Nelcinei de Freitas Valente 200917001195 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-nelcinei-de-freitas-valente-200917001195 1/43

UNIVERSIDADE ESTÁCIO DE SÁ

NELCINEI DE FREITAS VALENTE

Gestão e Análise de Riscos aplicados a Projetos de Tecnologiada Informação no Exército Brasileiro

Rio de Janeiro

Janeiro de 2011



NELCINEI DE FREITAS VALENTE

Gestão e Análise de Riscos aplicados aProjetos de Tecnologia da Informação no

Exército Brasileiro

Monografia apresentada à UniversidadeEstácio de Sá, como requisito final do cursode pós-graduação em Análise, Projeto eGerência de Sistemas.

Rio de JaneiroJaneiro de 2011



À Deus, Senhor e Criador de todas as coisas,meu eterno e presente redentor e amigo.



AGRADECIMENTOS

À Deus, que diariamente me concede a benção de viver e realizar meussonhos.

À minha esposa, Eline Lacerda da Silva Valente, pelo amor, carinho ecompreensão dedicados à minha pessoa, abrindo mão de nossos momentos de lazerem prol da realização de meu sonho.

Aos meus pais Edson da Costa Valente e Nice de Freitas Valente, pelo amor ecarinho com que me criaram para conquistar meu sucesso profissional.

Aos meus sogros, Edmilson José da Silva e Raquel Lacerda da Silva, pelaajuda constante prestada nos momentos em que mais necessitava.

Aos meus demais familiares, pela benção de viver em família com todosvocês.

Aos coordenadores, professores e colegas de curso pela amizade desprendidadurante a convivência nesse curso de especialização.



Aquele que se empenha a resolver as dificuldades,resolve-as antes que elas surjam.

Aquele que se ultrapassa a vencer os inimigos,

triunfa antes que as suas ameaças se concretizem.(Sun Tzu)



RESUMO

Atualmente, diferentes organizações tem envidado esforços na consecução de objetivosrelacionados à análise e gerenciamento de riscos. Isso se deve, principalmente, à melhoriade seus produtos e satisfação de seus clientes em função dessas práticas. Nas Forças

Armadas, tal paradigma não é diferenciado. Para o Exército Brasileiro, por exemplo, oproduto de seu trabalho é a garantia da segurança nacional e da soberania do país. Seusclientes são todos os brasileiros que confiam em sua boa ação no momento da crise. Essaanálise de risco pode envolver qualquer um dos diversos sistemas que fazem a engrenagemda Força Terrestre funcionar. Para o referido trabalho, o tema será Gestão e Análise deRisco aplicadas à Projetos de Tecnologia da Informação no Exército Brasileiro.Normalmente, em projetos dessa natureza, está envolvida a necessidade de aumento depoder de combate da Força Terrestre através desses meios. Qualquer risco que venha a serconsumado durante o desenvolvimento desses projetos expõe o Exército pela desatualizadatecnologia ou pela falha da nova tecnologia a ser utilizada, comprometendo, assim, avitória ou a permanência no combate. A bibliografia consultada mostra três modelos deanálise de riscos qualitativa para projetos de tecnologia de informação. O uso dessesmodelos pode variar de acordo com o grau de conhecimento que o usuário possua acercada análise de risco. O Exército Brasileiro, por sua vez, em função de legislação afimoriunda do Governo Federal, possui as Instruções Reguladoras sobre Análise de Riscospara Ambientes de Tecnologia da Informação do Exército Brasileiro - IRRISC (IR 13-10),norma essa fornece uma diretriz do Comandante da Força Terrestre acerca dogerenciamento de risco no âmbito da instituição militar. São objetivos da presentepesquisa: mostrar, resumidamente, os conceitos gerais de gestão e análise do risco; mostraras normas do Exército Brasileiro quanto à gestão e análise de risco na área de TI;identificar modelos, metodologias ou ferramentas de análise de risco aplicáveis aos

projetos de TI; identificar uma possível modelagem de gestão e análise de risco de projetosde TI que atenda e esteja em conformidade com as normas institucionais do ExércitoBrasileiro. A pesquisa realizada foi essencialmente bibliográfica, com abordagemqualitativa. O principal referencial teórico a ser utilizado na presente pesquisa é o livroModelos Qualitativos de Análise de Risco para Projetos de Tecnologia da Informação, deSchimitz, Alencar e Villar.

Palavras – Chave: análise, gerência, risco, modelo, Exército



ABSTRACT

Currently, different organizations have made efforts in achieving objectives related to theanalysis and risk management. This is due mainly to the improvement of its products andcustomer satisfaction in terms of these practices. In the military, this paradigm is not

differentiated. For the Brazilian Army, for example, the product of his work is theguarantee of national security and sovereignty. Her clients are all Brazilians who rely onher good deed at the time of crisis. That risk analysis may involve any of the varioussystems that make the gear work the land forces. For such work, the theme managementand Risk analysis applied to the Information Technology Projects in the Brazilian Army.Normally in such projects, is involved the need to increase the combat power of the landforces through these means. Any risk that may be consummated during the development of these projects by the Army exposes outdated technology or failure of new technologybeing used, compromising, winning or staying in combat. The bibliography shows threetypes of qualitative risk analysis projects for information technology. The use of thesemodels can vary with the degree of knowledge that the user has on the risk analysis. TheBrazilian Army, in turn, according to related legislation coming from the FederalGovernment, has the instructions on Regulatory Risk Analysis for Information Technologyenvironments of the Brazilian Army - IRRISC (IR 13-10), this standard provides aguideline Land Force Commander on risk management within the military institution. Theobjectives of this research: to show, briefly, the general concepts of management and riskanalysis; show the standards of the Brazilian Army in management and risk analysis in IT,to identify methodologies or tools for risk analysis applied to IT projects, to identify apossible modeling risk analysis and management of IT projects that meet and conform toinstitutional norms of the Brazilian Army. The research literature was essentially aqualitative approach. The main theoretical framework to be used in this study is the book

Models of Qualitative Risk Analysis for Information Technology Projects by Schimitz,Alencar and Villar.

Keywords: analysis, management, risk, model, Army



LISTA DE FIGURAS

Página

Figura 1: Atividades de um Sistema de Informação................................................. 28



SUMÁRIO

INTRODUÇÃO ....................................................................................................... 9

CAPÍTULO 1 – GESTÃO E ANÁLISE DO RISCO .............................................. 12

CAPÍTULO 2 – METODOLOGIAS DE ANÁLISE DE RISCO APLICÁVEIS ÀPROJETOS DE TECNOLOGIA DA INFORMAÇÃO ........................................... 19

CAPÍTULO 3 – GESTÃO E ANÁLISE DE RISCO NO EXÉRCITO BRASILEIRO

EM AMBIENTES DE TECNOLOGIA DA INFORMAÇÃO................................... 26

CAPÍTULO 4 – MODELAGEM DE GESTÃO E ANÁLISE DE RISCO NOEXÉRCITO BRASILEIRO .................................................................................... 33

CONCLUSÃO ...................................................................................................... 37

REFERÊNCIAS.................................................................................................... 40



9

INTRODUÇÃO

É consenso de grande parte das pessoas que, na atualidade, a humanidade vive sua

era iminentemente tecnológica. Grande parte dos processos industriais e comerciais são

realizados por meio das facilidades tecnológicas.

No segmento militar da sociedade, tal fato não seria diferenciado. Nos combates

modernos a tecnologia é um fator decisivo no combate. Além de retardar a fadiga dos

militares, apoia o processo decisório de grandes comandos e pode, em algumas situações,

combater no lugar do homem, preservando ao máximo a vida humana.

Dessa forma, é possível entender que no Exército, como em qualquer outra

instituição pública ou privada, projetos de TI são criados e desenvolvidos buscando a

vantagem no combate. Esses projetos também possuem riscos inerentes ao seu

desenvolvimento que devem ser corretamente gerenciados, sob pena de comprometimento

do poder de combate e do poder dissuasório da Força Terrestre.

Portanto, se torna interessante estudar a gestão e análise de risco aplicados à

projetos de TI no âmbito do Exército Brasileiro, de forma que um gerente de sistemas

possa conduzir suas atividades conforme as diretrizes de comando recebidas.

Pelo exposto até o presente, há a consciência da importância do tema a ser

desenvolvido. Sabe-se, também, que existe uma variedade de normas, ferramentas e/oumodelos que podem ser aplicados na gerência de riscos em projetos de tecnologia da

informação. Também há a preocupação com as diretrizes do Exército Brasileiro quanto à

essas atividades. Assim sendo, pode-se enunciar a questão problema desta pesquisa da

seguinte maneira: Quais seriam os modelos e/ou ferramentas de gestão e análise de risco,

em projetos de TI, aplicáveis ao contexto institucional e normativo do Exército Brasileiro?

São objetivos da presente pesquisa: mostrar, resumidamente, os conceitos gerais de

gestão e análise do risco; mostrar as normas do Exército Brasileiro quanto à gestão eanálise de risco na área de TI; identificar modelos, metodologias ou ferramentas de análise

de risco aplicáveis aos projetos de TI; identificar uma possível modelagem de gestão e

análise de risco de projetos de TI que atenda e esteja em conformidade com as normas

institucionais do Exército Brasileiro.

Para buscar, de forma objetiva, as informações que irão fazer parte da presente

pesquisa, foram elaboradas as seguintes questões de estudo: quais são os conceitos gerais

que envolvem a gestão e análise de riscos? Quais são as normas institucionais do ExércitoBrasileiro que regulam a gestão e análise de riscos na área de TI? Quais são os modelos,



10

metodologias ou ferramentas de análise de risco aplicáveis a projetos de TI? Qual seria

uma possível modelagem de gestão e análise de risco de projetos de TI que atenda e esteja

em conformidade com as normas institucionais do Exército Brasileiro?

O principal referencial teórico a ser utilizado na presente pesquisa é o livro

Modelos Qualitativos de Análise de Risco para Projetos de Tecnologia da Informação,

de Schimitz, Alencar e Villar1. A obra em questão é um referencial facilitador para

identificação e mitigação de riscos em todos os aspectos que envolvem projetos de TI.

Segundo Daltro (2008)2:

Um processo formal voltado ao gerenciamento dos riscos corporativos permiteque entidades públicas ou privadas operem com eficácia e eficiência no manejodos riscos inerentes ao negócio, mantendo-os a um nível considerado comoaceitável. Como resultados inegáveis da aplicabilidade dessa sistemática, serápossível a obtenção de melhora na gestão de incidentes e redução de perdas ouroubo, na segurança e confiança das partes envolvidas, na conformidade comregulamentações pertinentes e, especialmente, na governança da segurança dainformação. Outrossim, proporciona às corporações um caminho claro e coerentepara organizar e priorizar recursos limitados, no intento de gerir esses riscosinerentes aos processos de negócio. Ou seja, uma visão vantajosa da gestão deriscos e a implantação de controles eficientes, em termos de custos, e efetivos,reduzindo os riscos corporativos a um nível aceitável.

Sabe-se que as Forças Armadas, como instituições governamentais, não possuem

interesse em alcançar vantagens econômicas em nenhuma de suas atividades. Portanto, o

risco que se lhes aplica nunca irá causar o impacto econômico de perda de mercado ou

falência. O risco inerente às Forças Armadas está na perda de seu poder de combate.

Os projetos de tecnologia da informação desenvolvidos pelo Exército Brasileiro

recebem razoável investimento do Poder Executivo Federal. Isto porque entende-se que,

atualmente, muitas batalhas podem ser vencidas, com pouco ou nenhum número de baixas.

Nesse contexto se enquadram os projetos de TI do Exército Brasileiro, seja para gerar um

produto propriamente dito ou para criar um ambiente para o desenvolvimento do mesmo.

O insucesso em algum momento não desvia os investimentos do projeto. Por se tratar de

um setor público, os fins do projeto justificam o investimento e o reinvestimento dos

meios.

1 SCHMITZ, E. A.; ALENCAR, A. J.; VILLAR, C. B. Modelos Qualitativos de Análise de Risco para

Projetos de Tecnologia da Informação. Rio de Janeiro: Brasport, 2006.2 DALTRO, Newton. Auditoria Baseada no Risco Corporativo. 2008. 63 f. Trabalho monográfico

(Especialização em Gestão da Segurança da Informação e das Comunicações) – Universidade de Brasília,Brasília, 2008, p. 21.



11

Mesmo assim, há riscos que podem comprometer o projeto quanto à sua

exclusividade, integridade e continuidade que merecem apreciação para que a equipe de

desenvolvimento possa mitigá-los, controlá-los ou eliminá-los durante a vida do projeto,

garantindo que o Exército Brasileiro, e consequentemente a nação brasileira, tenham

representatividade militar num contexto internacional.

A pesquisa realizada será essencialmente bibliográfica, com abordagem qualitativa.

Como a concepção é partir de conceitos genéricos buscando uma particularização para a

gestão e análise de riscos no desenvolvimento de projetos de TI no âmbito do Exército

Brasileiro, o método de investigação será o dedutivo. Levando-se em consideração que o

objeto de estudo são projetos de TI, que tem a particularidade de sofrerem a atuação de

diversos agentes que criam e modificam circunstâncias nesse projeto, a presente pesquisa

será abordada dentro do aspecto fenomenológico.



12

CAPÍTULO 1 – GESTÃO E ANÁLISE DO RISCO

Nos últimos tempos, identificou-se um número maior de empresas eprofissionais preocupados em aplicar o GRC (Governança, Risco e Compliance).Mas o que é necessário para realmente possuir uma gestão de GRC efetiva e

confiável? Na realidade, o maior problema é que muitos tentam aplicar controlesinternos sem entender o conceito ou sem utilizar a metodologia adequada. Pararealmente introduzir o GRC na organização, o primeiro bom caminho é conhecero ambiente regulatório, entrevistar os colaboradores para identificar as atividadescorrespondentes, compreender os fluxos operacionais e relatórios existentes naárea e observar o funcionamento dos sistemas internos. Por outro lado, oprofissional de GRC atual deve ter boa capacidade de argumentação, informaçãotécnica e teórica sobre a atividade exercida pela empresa, e incansável busca peloconhecimento nessa área em expansão. Hoje, existem empresas com equipesmuito mais preocupadas na gestão de riscos e controles internos. Osdelineamentos operacionais e financeiros, a continuidade de negócios, asegurança da informação, os contingentes trabalhistas e fiscais, os riscos deimagem e reputação, além de certos casos mesmo de ausência de índole, conduta

moral e ética se tornaram, de fato, elementos críticos dentro de qualquerorganização que se preze. O mais interessante, no entanto, é que governançacorporativa não é lei. É entendida, na verdade, como melhores práticas. Porém,como caminhamos para um modelo onde acionistas, órgãos reguladores,colaboradores e a própria sociedade estão exigindo a aplicabilidade da boagovernança nas empresas, é bem provável que em breve ela se torne regra. Emoutra vertente, a conscientização de todos é essencial para que haja uma maiorcobrança na gestão profissional das empresas, sejam elas de capital aberto oufechado. Governança, Risco e Compliance é um novo jeito de gerir e manter asempresas com eficiência, confiabilidade, sustentabilidade e continuidade. Não étão fácil mensurar, mas quando acontece uma perda por investimentos indevidosou especulativos em instrumentos financeiros, fraudes financeiras e/ou contábeis,falhas devido à ausência de plano de contingência ou de continuidade de

negócios, o dano sobrepõe o retorno. E aí, não tem como voltar atrás.3

Inicialmente, é interessante que se apresente a definição do que é risco. Risco pode

ser definido como “uma expectativa de perda expressada como a probabilidade de que uma

ameaça, em particular, poderá explorar uma vulnerabilidade com um possível prejuízo.”4

Como o presente trabalho remete-se a gerência de riscos em projetos de tecnologia da

informação, é interessante recordar, também, conceitos acerca dos riscos de projeto:

Risco de projeto é todo evento futuro e incerto que possa comprometer oatingimento de um ou mais objetivos do projeto (especificações, custos outempo, por exemplo). A Gestão de Riscos aplicada em projetos consiste naidentificação, classificação e quantificação dos riscos, bem como na definição,planejamento e gerenciamento das ações de resposta a estes riscos. Os principaisbenefícios da Gestão de Riscos são a minimização da probabilidade de eventosadversos aos objetivos dos projetos, ampliando assim as chances de sucesso

3 PEREIRA, Marcos Augusto Assi. Governança, Riscos e Controles Internos. Disponível em:<http://www.administradores.com.br/informe-se/artigos/governanca-risco-e-controles-internos/49386/>Acesso em: 12 dez. 2010.4 LAUREANO, Marcos Aurélio Pchek. Gerenciamento de Risco. Disponível em:<http://www.mlaureano.org/aulas_material/gst/gst_cap_09_v1.pdf> Acesso em: 12 dez. 2010.



13

destes. Fala-se também de "oportunidade" como o "risco com sinal trocado", istoé, evento incerto e futuro que pode ampliar o sucesso de um projeto. A Gestão deRiscos inclui a busca da maximização da probabilidade e consequência dasoportunidades em Projeto.5

A gestão de riscos de segurança é um processo sistemático da gestão organizacionalque determina a aplicação equilibrada de controles de segurança nessa organização, diante

do seu perfil de riscos de segurança. A ISO/IEC 31000:2009 é a norma base utilizada para

apresentação de um modelo de gestão de riscos.

A gestão de riscos tem o efeito de tornar um sistema mais seguro. Um sistema

seguro é um sistema que possui um grau de garantia de que continuará a funcionar

adequadamente conforme suas características estabelecidas, mesmo na presença de eventos

negativos decorrentes da interação com agentes maliciosos ou na ocorrência de eventos

decorrentes de acidentes ou desastres de origem natural ou ambiental. Para uma

organização, segurança significa continuar a cumprir seus objetivos de negócio, mesmo em

face do sinistro.

Uma atribuição de um sistema de gestão plausível para o presente trabalho é a

apresentada por Nunes:6

[...] cabe à gestão a optimização do funcionamento das organizações através da

tomada de decisões racionais e fundamentadas na recolha e tratamento de dadose informação relevante e, por essa via, contribuir para o seu desenvolvimento epara a satisfação dos interesses de todos os seus colaboradores e proprietários epara a satisfação de necessidades da sociedade em geral ou de um grupo emparticular.

Um dos efeitos que a gestão produz sobre uma organização é a atuação na redução

dos eventos que contribuem para produzir efeitos negativos, bem como a atuação para

aumentar eventos que contribuem para produzir efeitos positivos. A forma sistemática

como a gestão atua surge por meio do uso de controles.A gestão mobiliza as pessoas e outros agentes que atuam na organização,

especialmente por meio de controles de gestão, com vistas a reduzir efeitos negativos e

produzir efeitos positivos que garantam o alcance das metas coletivas dessa organização

diante da ocorrência de eventos incertos.

Na gestão de riscos, a implementação de controles é algo fundamental. A definição

5 ANÁLISE e Gestão de Riscos em Projetos. Disponível em: < http://lists.xml.org/archives/dita-fa-edboard/200602/msg00048.html> Acesso em: 12 dez. 2010.6 NUNES, Paulo. Conceito de Gestão e de Gestor. Disponível em: <http://www.notapositiva.com/trab_professores/textos_apoio/gestao/01conc_gestao.htm> Acesso em: 12 dez.2010.



14

de controle pode ser enunciada, segundo o Dicionário Babylon Online (2010)7, como

sendo a “capacidade que um sistema tem de funcionar dentro de parâmetros predefinidos ,

como normas, procedimentos e orçamentos, e o esforço gerencial necessário para manter o

sistema operando dentro desses parâmetros.”

Depreende-se da definição anterior que os controles podem aumentar a

previsibilidade do funcionamento da organização e, dessa forma, funcionar como

estabilizadores de processos e sistemas nas organizações.

Os riscos podem ser eliminados, reduzidos ou compartilhados, através de umeficiente sistema de controles internos que compreende: Plano de organização – é o modelo pelo qual a entidade se organiza. Corresponde a divisão do trabalho,relações de autoridade, responsabilidades, etc; métodos e medidas – estabelecemos caminhos, meios de comparação e julgamento para se chegar a determinadofim, mesmo que não tenham sido preestabelecidos formalmente; proteção dopatrimônio – compreende a forma pela qual são salvaguardados e defendidos osbens e direitos da empresa; exatidão e fidedignidade – correspondem a adequadaprecisão e observância aos elementos dispostos na contabilidade e registrosauxiliares; eficiência operacional – compreende a ação ou força a ser posta emprática nas transações realizadas pela empresa; políticas administrativas – compreende o sistema de regras relativas a direção dos negócios e à prática dosprincípios, normas e funções para a obtenção de determinado resultado.Salientamos que a administração é responsável pelo planejamento, instalação esupervisão de um sistema de controle interno adequado.8

A gestão de riscos pode envolver cinco atividades principais: a análise de riscos, a

avaliação de riscos, a mensuração de riscos, o tratamento de riscos e o monitoramento de

riscos.

A análise de riscos é uma atividade que, segundo o IBGC (2007)9, envolve a

“definição do conjunto de eventos, externos ou internos, que podem impactar os objetivos

estratégicos da organização, inclusive os relacionados aos ativos intangíveis. [...] O

processo de identificação e análise geral de riscos deve ser monitorado e continuamente

aprimorado.”

Ao realizar a análise de riscos, o primeiro passo a ser adotado é associar os

objetivos estratégicos da instituição/empresa com o perfil de riscos dessa

instituição/empresa.

7 DICIONÁRIO BABYLON ONLINE. Definição de controle. Disponível em:<http://dicionario.babylon.com/controle/> Acesso em: 12 dez. 2010.8 MARTINELLI Auditores. Avaliação de Riscos e Controles Internos. Módulo 2. Campinas: UNICAMP,2002. p. 7.9 INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA (IBGC). Guia de Orientação paraGerenciamento de Riscos Corporativos. Séria Cadernos de Governança Corporativa. Coordenação:Eduarda La Rocque. São Paulo, SP: IBGC, 2007, p. 16.



15

Os objetivos estratégicos orientam como a organização deverá trabalhar paracriar valor a todos que investiram na organização, o que depende crucialmentedo perfil de riscos corporativos. [...] O perfil de riscos significa em quantaexposição ao risco se aceita incorrer, o que envolve tanto o nível de apetitequanto o de tolerância a riscos. O perfil de riscos deverá estar refletido na culturada organização e, para isto, cabe ao conselho de administração outorgar um

mandato claro para a diretoria administrá-lo. [...] Para determinar o perfil deriscos de uma organização são necessárias definições claras de indicadores dedesempenho e índices de volatilidade, divididos em dois grupos: um de naturezafinanceira (valor de mercado, geração de caixa operacional, distribuição dedividendos, etc.) e outro de natureza qualitativa (transparência, idoneidade,reconhecimento de marca, ambiente de trabalho, responsabilidadesocioambiental, etc.).

6

Em um segundo momento, os riscos analisados devem ser categorizados, isto é,

devem ser separados em função de sua origem, natureza e tipificação. O IBGC (2007)

mostra que não existe uma categorização padrão, e que isso está intimamente relacionado àatividade-fim dessa instituição/empresa. Com relação à origem, os riscos podem ser

classificados em internos e externos. O próprio IBGC (2007)10 define riscos externos como

sendo “ocorrências associadas ao ambiente macroeconômico, político, social, natural ou

setorial em que a organização opera.” Também define riscos internos como sendo “eventos

originados na própria estrutura da organização, pelos seus processos, seu quadro de pessoal

ou de seu ambiente de tecnologia.”

Em seguida, os riscos deverão ser classificados conforme sua natureza, isto é,

estratégica, operacional ou financeira.

Os riscos estratégicos estão associados à tomada de decisão da alta administraçãoe podem gerar perda substancial no valor econômico da organização. [...] Osriscos operacionais estão associados à possibilidade de ocorrência de perdas (deprodução, ativos, clientes, receitas) resultantes de falhas, deficiências ouinadequação de processos internos, pessoas e sistemas, assim como de eventosexternos como catástrofes naturais, fraudes, greves e atos terroristas. Os riscosoperacionais geralmente acarretam redução, degradação ou interrupção, total ouparcial, das atividades, com impacto negativo na reputação da sociedade, além

da potencial geração de passivos contratuais, regulatórios e ambientais. [...] Osriscos financeiros são aqueles associados à exposição das operações financeirasda organização. É o risco de que os fluxos de caixa não sejam administradosefetivamente para maximizar a geração de caixa operacional, gerenciar os riscose retornos específicos das transações financeiras e captar e aplicar recursosfinanceiros de acordo com as políticas estabelecidas. São ocorrências tais como aadministração financeira inadequada, que conduz a endividamento elevado,podendo causar prejuízo frente à exposição cambial ou aumentos nas taxas de

juros, etc.11

10 INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA (IBGC). Guia de Orientação paraGerenciamento de Riscos Corporativos. Séria Cadernos de Governança Corporativa. Coordenação:Eduarda La Rocque. São Paulo, SP: IBGC, 2007, p. 18.11 INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA (IBGC). Guia de Orientação paraGerenciamento de Riscos Corporativos. Séria Cadernos de Governança Corporativa. Coordenação:Eduarda La Rocque. São Paulo, SP: IBGC, 2007, p. 18, 19.



16

Ao término das atividades de análise de riscos, é necessário que os riscos sejam

tipificados. Essa tipificação relaciona-se diretamente com a instituição/empresa que realiza

a análise dos riscos. Segundo o IBGC (2007)12, essa atividade “visa assegurar a definição

de uma linguagem comum de riscos dentro da organização, considerando uma descrição

ampla dos tipos de risco.”

A avaliação de riscos, processo que se segue após a análise dos mesmos, pode ser

entendido, de acordo com DALTRO (2008) e com o IBGC (2007), como a identificação do

potencial de determinado risco em causar danos à instituição/empresa, bem como o quanto

essa instituição/empresa estaria exposta a esse risco. Esses aspectos da avaliação de riscos

são conhecidos, respectivamente, como impacto e probabilidade.

A quantificação do grau de exposição nem sempre é trivial, podendo haverinterdependência entre os riscos em dois níveis: a) os eventos podem não serindependentes; b) um determinado evento pode gerar “impactos múltiplos”, ou

seja, efeitos sobre diferentes tipos de riscos, em diversas áreas. Neste caso, ograu de exposição irá depender do impacto financeiro consolidado e daprobabilidade conjunta de todos os eventos e deve ser medido quantitativamente[...]. A elaboração de um Mapa de Avaliação dos Riscos, tal como ilustrado nafigura 2, é uma etapa fundamental na priorização do gerenciamento de riscos ena definição de tratamento que deve ser dado a cada um dos riscos identificados[...].13

A terceira atividade envolvida na gestão dos riscos é a mensuração dos riscos, que,

em termos técnicos, também pode ser chamado de cálculo do impacto financeiro

consolidado. É comum que as organizações possuam um direcionamento estratégico onde

seus objetivos são traçados com metas mensuráveis, isto é, com variáveis quantitativas.

Destarte, as atividades envolvidas na mensuração dos riscos, diferentemente das anteriores

(essencialmente qualitativas), mostram o impacto financeiro sobre o direcionamento

estratégico da organização.

A atividade de planejamento envolve detalhar, além de outros dados, as receitase as despesas operacionais, os custos, investimentos e o fluxo de caixa projetado.Para isto é necessário que se projetem cenários sobre as tendências de mercado,trajetórias das variáveis macroeconômicas e financeiras, bem como as premissasoperacionais. Consolida-se, assim, um conjunto organizado e ordenado de planos

12 INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA (IBGC). Guia de Orientação paraGerenciamento de Riscos Corporativos. Séria Cadernos de Governança Corporativa. Coordenação:Eduarda La Rocque. São Paulo, SP: IBGC, 2007, p. 19.13 INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA (IBGC). Guia de Orientação paraGerenciamento de Riscos Corporativos. Séria Cadernos de Governança Corporativa. Coordenação:Eduarda La Rocque. São Paulo, SP: IBGC, 2007, p. 20, 21.



17

e metas das ações, sob o ponto de vista físico, econômico e financeiro. [...] Oimpacto financeiro consolidado dos riscos na organização pode ser medidoquantitativamente em termos da variação potencial do seu valor econômico,fluxo de caixa e resultado econômico, através de uma metodologia que sedenomina “planejamento sob incerteza”. Para viabilizar tal quantificação é

necessário que a organização (i) tenha o seu negócio modelado em alguma

ferramenta que possibilite simulações e (ii) seja capaz de gerar cenários dasprincipais variáveis e consistentes entre si. A modelagem passa pelaidentificação detalhada de cada um dos fatores que afetam as transações eindicadores de desempenho da organização, incluindo todos os tipos de riscosidentificados, e pela determinação da dinâmica de impacto de cada uma dasoperações nas contas de resultados.14

A quarta atividade do gerenciamento de riscos é o tratamento de riscos. Nessa

atividade estão envolvidos o planejamento e a execução de técnicas e metodologias que

objetivam mitigar e/ou eliminar os riscos analisados e avaliados. Neste planejamento os

riscos são priorizados com fins a otimizar o emprego dos esforços necessários àconsecução dos objetivos relacionados à gestão dos riscos. As duas principais linhas de

ação com relação ao tratamento do são evitar e aceitar o risco. No primeiro, ignora-se o

risco pelo fato de o mesmo ter baixíssima probabilidade de ocorrência e/ou baixíssimo

impacto. No segundo, quatro procedimentos podem ser aplicados com fins a mitigar o

risco: reter, reduzir, transferir/compartilhar e explorar o risco.

Reter: manter o risco no nível atual de impacto e probabilidade; Reduzir: açõessão tomadas para minimizar a probabilidade e/ou o impacto do risco; Transferire/ou Compartilhar: atividades que visam reduzir o impacto e/ou a probabilidadede ocorrência do risco através da transferência ou, em alguns casos, docompartilhamento de uma parte do risco. [...] Devem ser transferidos por meiode seguro os riscos tidos como catastróficos (riscos de baixa frequência e altaseveridade), os riscos de alta frequência que provoquem cumulativamente perdasrelevantes e todos aqueles cujo custo de transferência seja inferior ao custo deretenção. Os custos de seguro obtidos no mercado podem subsidiar a decisãosobre retenção versus transferência dos riscos. Além de identificar os riscos quedeseja transferir, os gestores de seguros precisam conhecer profundamente adinâmica das operações da organização e o fluxo de informações que garantirá aadequação do contrato de seguro por toda a vigência das apólices, normalmente

de 12 meses. A transferência do risco não necessariamente elimina todas aspotenciais perdas e, por isto, é necessário dispor de um adequado plano decontingência [...]. Explorar: aumentar o grau de exposição ao risco na medida emque isto possibilita vantagens competitivas.15

A última atividade inerente ao gerenciamento de riscos é o monitoramento dos

riscos que consiste, segundo Wikipedia (2010a) no “acompanhamento dos riscos

14 INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA (IBGC). Guia de Orientação paraGerenciamento de Riscos Corporativos. Séria Cadernos de Governança Corporativa. Coordenação:Eduarda La Rocque. São Paulo, SP: IBGC, 2007, p. 21, 22.15 INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA (IBGC). Guia de Orientação paraGerenciamento de Riscos Corporativos. Séria Cadernos de Governança Corporativa. Coordenação:Eduarda La Rocque. São Paulo, SP: IBGC, 2007, p. 23, 24.



18

identificados, monitoramento dos riscos residuais, identificação dos novos riscos, execução

de planos de respostas a riscos e avaliação da sua eficácia durante todo o ciclo de vida do

projeto.”

De um modo geral, os controles internos se estruturam em controles gerais eatividades de controles específicos, como por exemplo, reconciliações econfirmações de posições ou fluxos contábeis, procedimentos de testes, etc. Umadas metodologias para dar suporte a este processo de avaliação é o uso deMatrizes de Controles de Riscos, que evidenciam os objetivos e os riscosassociados. Estas atividades de controle têm o propósito de determinar em queproporção, através de distintos atributos, os objetivos considerados relevantespela administração estão sendo efetivamente gerenciados.16

16 INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA (IBGC). Guia de Orientação paraGerenciamento de Riscos Corporativos. Séria Cadernos de Governança Corporativa. Coordenação:Eduarda La Rocque. São Paulo, SP: IBGC, 2007, p. 25.



19

CAPÍTULO 2 – METODOLOGIAS DE ANÁLISE DE RISCOAPLICÁVEIS À PROJETOS DE TECNOLOGIA DA INFORMAÇÃO

Cabe iniciar a presente abordagem com a conceituação sobre o que é um projeto,

muito bem esclarecida por Wikipedia (2011a):

Um projeto [...] é um esforço temporário empreendido para criar um produto,serviço ou resultado exclusivo. Os projetos e as operações diferem,principalmente, no fato de que os projetos são temporários e exclusivos,enquanto as operações são contínuas e repetitivas. Os projetos são normalmenteautorizados como resultado de uma ou mais considerações estratégicas. Estaspodem ser uma demanda de mercado, necessidade organizacional, solicitação deum cliente, avanço tecnológico ou requisito legal. As principais característicasdos projetos são que eles são: temporários, possuem um início e um fimdefinidos; planejados, executados e controlados; entregam produtos, serviços ou

resultados exclusivos; desenvolvidos em etapas e continuam por incremento comuma elaboração progressiva; realizados por pessoas; com recursos limitados. [...]O contexto da gerência de projetos descreve o ambiente em que um projetoopera. Sua observação é fundamental, já que o gerenciamento das atividades dodia-a-dia é necessário, mas não é o suficiente para o sucesso do projeto.

Pela apresentação acima, é possível entender que um projeto está sempre ligado à

uma estratégia organizacional de inovação ou mudança, procurando satisfazer os anseios

dos stakeholders17 .

O sucesso de qualquer empreendimento depende da participação de suas partesinteressadas e por isso é necessário assegurar que suas expectativas enecessidades sejam conhecidas e consideradas pelos gestores. De modo geral,essas expectativas envolvem satisfação de necessidades, compensação financeirae comportamento ético. Cada interveniente ou grupo de intervenientes representaum determinado tipo de interesse no processo. O envolvimento de todos osintervenientes não maximiza obrigatoriamente o processo, mas permite achar umequilíbrio de forças e minimizar riscos e impactos negativos na execução desseprocesso. Uma organização que pretende ter uma existência estável e duradouradeve atender simultaneamente as necessidades de todas as suas partesinteressadas. Para fazer isso ela precisa „gerar valor‟, isto é, a aplicação dosrecursos usados deve gerar um benefício maior do que seu custo total.

Segundo Capers-Jones (1996 apud SCHMITZ, 2006, p. 07), são características de

um projeto exitoso o término no prazo estando dentro do orçamento previsto e com altos

níveis de qualidade e de satisfação do usuário. Por outro lado, é considerado malogrado por

ter ultrapassado o prazo e o orçamento previsto, ter baixo nível de qualidade e satisfação

do usuário, e ter sido cancelado antecipadamente.

17 Stakeholder (em português, parte interessada ou interveniente), é um termo usado em diversas áreas como

administração e arquitetura de software referente as partes interessadas que devem estar de acordo com aspráticas de governança corporativa executadas pela empresa. (WIKIPEDIA, 2011b)



20

O escopo do presente trabalho são os projetos de tecnologia da informação, muito

importantes na atualidade para qualquer organização, como bem pode descrever Santini

(2011):

A competição entre as empresas pela conquista de seus clientes torna-se o pontocrucial, levando as organizações a buscarem diferenciais e/ou vantagens maiscompetitivas. Estas organizações estão cada vez mais utilizando a Tecnologia daInformação como ferramenta de competitividade, com impactos importantes epositivos nos seus negócios, nos mais variados ramos de atividade. A grandemudança de enfoque é que essa tecnologia deixa de ser apenas um apoio àsatividades produtivas para tornar-se parte integrante delas, muitas vezesredefinindo a própria maneira de se fazer negócios. O papel da Tecnologia daInformação (TI) nas organizações pode variar de simples suporte administrativoaté uma situação estratégica em organizações que disputam mercados emcrescente competição. As decisões sobre quais projetos de Tecnologia daInformação devem ser implementados são, frequentemente, determinantes do

desempenho empresarial e são capazes não somente de mudar o posicionamentoestratégico das organizações, mas também podem modificar a estrutura decompetição do setor como um todo. A habilidade em fazer a correta Gestão deProjetos em Tecnologia da Informação está sendo vista como um diferencialcompetitivo para as organizações, colocando-as em posição de destaque frente aomercado globalizado. Esta função Estratégica da Tecnologia da Informação temocupado posição destacada em organizações líderes que disputam mercados emcrescente competição.

No capítulo 1 já foi abordado o tema relativo à gerenciamento de riscos do projeto.

A partir desse momento, serão definidas as análises qualitativas e quantitativas dos riscos:

Análise Qualitativa de Riscos: Priorização dos riscos para análise ou açãoadicional subsequente através de avaliação e combinação de sua probabilidadede ocorrência e impacto. A análise qualitativa de riscos avalia a prioridade dosriscos identificados usando a probabilidade deles ocorrerem, o impactocorrespondente nos objetivos do projeto se os riscos realmente ocorrerem, alémde outros fatores, como prazo e tolerância a risco das restrições de custo,cronograma, escopo e qualidade do projeto. [...] Análise Quantitativa de Riscos:Análise numérica do efeito dos riscos identificados nos objetivos gerais doprojeto. A análise quantitativa de riscos é realizada nos riscos que forampriorizados pelo processo Análise qualitativa de riscos por afetarem potencial esignificativamente as demandas conflitantes do projeto. Analisa o efeito desseseventos de risco e atribui uma classificação numérica a esses riscos. Ela tambémapresenta uma abordagem quantitativa para a tomada de decisões na presença daincerteza18.

O foco das modelagens de análise de risco para projetos de tecnologia da

informação (TI) apresentados neste capítulo serão qualitativos, visto que no Exército

Brasileiro a prática da análise de riscos é direcionada para essa abordagem. Os modelos

18 WIKIPEDIA. Gerenciamento de Riscos do Projeto. Disponível em:<http://pt.wikipedia.org/wiki/Gerenciamento_de_riscos_do_projeto> Acesso em: 12 dez. 2010a.



21

apresentados serão os de Tony Moynihan, Dale Walter Karolak e BRisk.

O modelo Moynihan, proposto por Tony Moynihan em 1989, consiste em avaliar

os riscos em um projeto de TI pela estimativa de 23 (vinte e três) fatores de risco

previamente levantados sobre 4 (quatro) fatores de sucesso (SCHMITZ, 2006, p. 56).

Os fatores de risco utilizados no modelo são os seguintes: percepção do cliente

sobre os requisitos do seu sistema; competência da equipe; exemplos de software

semelhantes; experiência da equipe com a área de aplicação; grau de dificuldade técnica ou

intelectual do projeto; facilidade de teste; tamanho do projeto; complexidade dos

requisitos; volatilidade dos requisitos; volatilidade das interfaces; flexibilidade dos

requisitos; tamanho da equipe; duração do projeto; maturidade do ambiente de

desenvolvimento; experiência da equipe com o ambiente de desenvolvimento; maturidade

do ambiente de produção; experiência da equipe no ambiente de produção; canal de

comunicação entre a equipe e fornecedores; canal de comunicação entre a equipe e o

cliente; volatilidade da equipe; chance de perda de pessoas críticas; conhecimento da

equipe pelo gerente; dependência de componentes importados (SCHMITZ, 2006, p. 57).

Da mesma forma o modelo em questão apresenta como fatores de sucesso de um projeto

de TI o custo dentro do valor esperado, a inexistência de falhas técnicas, correlação exata

entre as especificações estabelecidas e realizadas e o término do projeto em si sem

nenhuma problemática residual. O modelo busca verificar as chances de ocorrência de

cada critério de sucesso frente aos fatores de risco relacionados (SCHMITZ, 2006, p. 56).

Cada um desses fatores receberá um valor numérico inteiro numa escala que vai de

1 (um) à 4 (quatro), onde um significa sem efeito para o risco e 4 um efeito significativo.

Para cada fator de sucesso, será levantada a sua probabilidade de ocorrência dentro do

projeto, através do produto do valor de cada fator de risco (intensidade) por seu peso

correspondente na matriz de pesos dos fatores de risco19. Após isso, são aplicados os

cálculos probabilísticos do modelo20, concluindo sobre a probabilidade de sucesso doprojeto em cada fator de sucesso.

O presente modelo é o mais elementar dos modelos que serão apresentados nesse

trabalho. Recomenda-se que seja utilizado por pessoas que estão iniciando uma cultura de

análise de riso em suas organizações e não possuem qualquer ponto de partida, uma vez

19 SCHMITZ, E. A.; ALENCAR, A. J.; VILLAR, C. B. Modelos Qualitativos de Análise de Risco paraProjetos de Tecnologia da Informação. Rio de Janeiro: Brasport, 2006, p. 64.20 SCHMITZ, E. A.; ALENCAR, A. J.; VILLAR, C. B. Modelos Qualitativos de Análise de Risco paraProjetos de Tecnologia da Informação. Rio de Janeiro: Brasport, 2006, p. 65.



22

que seu entendimento requer conhecimentos de matemática elementar (SCHMITZ, 2006,

p. 145).

O segundo modelo de análise de risco qualitativa para projetos de TI foi o proposto

por Dale Walter Karolak, que consiste em não somente minimizar os riscos, mas também

as contingências do processo de desenvolvimento do projeto. Ensina que o gerenciamento

do risco deve ser realizado com a maior antecedência possível e dividido sob duas óticas: a

técnica (algoritmos e disponibilidade de tecnologia, por exemplo) e a de negócios (recursos

disponíveis, orçamento e prazo, por exemplo). Esse método lança mão de um modelo de

estimativa de risco por nome SERIM (Software Engineering Risk Model), que, em sua

análise, se utiliza de 03 (três) critérios de sucesso, 10 (dez) categorias de risco e 81 (oitenta

e um) fatores de risco. Cada fator de risco recebe uma nota entre 0 e 1 (podendo ser

fracionada) e, em seguida, cada fator de risco é agrupado em 10 (dez) categorias de risco,

sendo cada fator de risco pertencente à apenas uma categoria. Cada critério de sucesso

possuirá um valor de risco calculado pela soma ponderada dos valores das categorias de

risco (SCHMITZ, 2006, p. 79-80).

Os critérios de sucesso que devem ser obedecidos são a confecção de um produto

de qualidade, a otimização de emprego de recursos financeiros e o cumprimento do prazo

do projeto (SCHMITZ, 2006, p. 81-82).

Segundo o modelo de Karolak (que é o de SERIM), as categorias de risco podem

ser divididas em 10 (dez), a saber: organização, estimativa, monitoramento, metodologia

de desenvolvimento, ferramentas, cultura de risco, usabilidade, correção, confiabilidade e

pessoal. Os fatores de risco relacionam-se com as categorias de risco para que a visão

acerca do risco esteja mais abrangente. É interessante mencionar que cada fator de risco

pertence à uma única categoria de risco (SCHMITZ, 2006, p. 82-83).

Schmitz (2006, p. 84-93) nos mostra, divididos em categorias de risco, os 81 fatores

de risco a serem submetidos à análise, com uma proposta de escala de valores com vistas afacilitar a avaliação e o gerenciamento dos riscos. A fórmula21 utilizada para o cálculo de

probabilidade é simples, entretanto, requer paciência em sua utilização, visto que o método

se utiliza de muitas entradas de dados para que possa transparecer uma avaliação mais

condizente com a realidade.

Segundo Schmitz (2006, p. 145), o modelo de Karolak é recomendado para equipes

de desenvolvimento que já possuam experiência em análise e gerenciamento de risco e que

21 SCHMITZ, E. A.; ALENCAR, A. J.; VILLAR, C. B. Modelos Qualitativos de Análise de Risco paraProjetos de Tecnologia da Informação. Rio de Janeiro: Brasport, 2006, p. 93.



23

não saibam manipular estatisticamente os dados recolhidos.

O último modelo para análise qualitativa de riscos em projetos de tecnologia da

informação a ser estudado é o modelo BRisk, que pode ser entendido como uma evolução

do modelo de Karolak, possuindo melhorias. Exemplos disso foram a simplificação na

introdução de novos fatores e categorias de risco, bem como os critérios de sucesso; a

estimativas de probabilidade por faixas de valores; a possibilidade de vários especialistas

opinarem no processo e a definição de correlações entre fatores de risco pertencentes à

uma mesma categoria (SCHMITZ, 2006, p. 117).

Com relação à primeira melhoria mencionada (simplificação na introdução de

novos fatores e categorias de risco, bem como os critérios de sucesso), a principal ideia que

se deseja passar é que os modelos de análise e gestão do risco devem estar adequados aos

processos de produção e ao público em redor. A estimativa de probabilidade por faixas de

valores, segunda melhoria mencionada, se utiliza de 03 (três) pontos ou valores em sua

análise, ou seja, para cada estimativa de fator de risco que se deseja ter, o analista indicará

três valores: a mínima estimativa que o valor do fator de risco pode assumir, o valor que o

analista considera como mais provável e o máximo valor que esse fator de risco pode obter

dentro do projeto. Esses valores formam um triângulo que, na verdade, é uma distribuição

de probabilidade triangular (SCHMITZ, 2006, p. 117-119).

Em probabilidade e estatística, a distribuição triangular é a distribuição deprobabilidade contínua que possui um valor mínimo „a‟, um valor máximo „b‟ e

uma moda „c‟, de modo que a função densidade de probabilidade é zero para osextremos („a‟ e „b‟), e afim entre cada extremo e a moda, de forma que o gráficodela é um triângulo22.

Em termos estatísticos, os valores máximo e mínimo do fator de risco são os

extremos, e o valor que se considera o mais provável em ocorrência, a moda.

A estimativa de três pontos permite utilizar a função de distribuição deprobabilidade triangular para expressar o comportamento desse fator de risco.Existem outras distribuições de probabilidade que podem ser utilizadas quandotemos uma estimativa de três pontos, entretanto optamos pela distribuição deprobabilidade triangular por ser de fácil compreensão pelos especialistas23.

A terceira melhoria mencionada é um dos pontos mais importantes da metodologia

22 WIKIPEDIA. Distribuição triangular. Disponível em:

<http://pt.wikipedia.org/wiki/Distribui%C3%A7%C3%A3o_triangular> Acesso em: 01 jan. 2011c.23 SCHMITZ, E. A.; ALENCAR, A. J.; VILLAR, C. B. Modelos Qualitativos de Análise de Risco paraProjetos de Tecnologia da Informação. Rio de Janeiro: Brasport, 2006, p. 119.



24

apresentada. A opinião dos diversos especialistas (também pode ser conhecida como

múltiplos avaliadores) permite que todos os envolvidos no projeto de TI tenham a

oportunidade de avaliar os riscos segundo seu ponto de vista, fazendo com que a

consolidação dos dados gere valores mais próximos à realidade. Entretanto, devido à

problemas de agenda, inibição, dificuldade de expressar opiniões contrárias ou de possuir

ideias diferentes do grupo, a melhor forma de realizar essa atividade é através de um

questionário onde seja garantido à esse especialista a não divulgação de suas opiniões à

terceiros. Nesse mesmo processo, especialistas em uma determinada área do conhecimento

terão prioridade de suas opiniões na análise de risco de sua área, sem desprezar as demais

opiniões. A consolidação dessas informações fará parte da matriz de conhecimento do

avaliador, onde nas linhas estarão discriminados os avaliadores e nas colunas os fatores de

risco (SCHMITZ, 2006, p. 120-121).

A última melhoria mencionada diz respeito à dependência entre fatores de risco de

uma mesma categoria. A base desse pensamento está no fato de que, em termos gerais,

fatores de risco de uma mesma categoria possuem entre si uma dependência de forma que,

a partir do valor de um, é possível estimar o valor do outro, claro, dentro de uma taxa de

erro prevista. No modelo BRisk em análise, essa dependência é mostrada,

matematicamente, através do coeficiente de correlação, que mostra a dependência linear

entre as variáveis a serem analisadas. É importante ressaltar que a dependência entre os

fatores de risco não é uma regra que deve ser seguida por todos os fatores de risco

(SCHMITZ, 2006, p. 121).

O BRisk é entendido como um dos modelos de análise qualitativa de riscos

aplicados à projetos de TI mais complexo, por envolver conceitos e cálculos estatísticos,

nos quais se recomendam a utilização de um especialista da área da estatística para utilizar

corretamente as fórmulas24 deste modelo.

24 SCHMITZ, E. A.; ALENCAR, A. J.; VILLAR, C. B. Modelos Qualitativos de Análise de Risco paraProjetos de Tecnologia da Informação. Rio de Janeiro: Brasport, 2006, p. 122-132.



25

Primeiramente, o uso do Modelo BRisk permite que o resultado da avaliação daschances de sucesso do projeto reflita as percepções subjetivas das partesinteressadas no projeto, o que leva a resultados que balanceiam as percepçõesotimistas com as pessimistas. O resultado final fica mais perto do sentimento das

partes interessadas sobre o projeto. Em segundo lugar, o uso do BRisk mostra asincertezas associadas com o processo de avaliação de risco. Quanto maior odesvio padrão, tanto maior é a incerteza associada com o processo de avaliação.Como o desvio padrão representa, de certa forma, o desconhecimento que temosdo projeto, ele pode ser usado como uma medida da qualidade da avaliação dorisco25.

Assim sendo, o modelo BRisk complemente o modelo de Karolak ao resolver os

problemas de precisão de resposta para cada um dos questionamentos dos modelos de

avaliação do risco e de falta de aproveitamento da opinião de mais de um avaliador

(SCHMITZ, 2006, p. 142).

25 SCHMITZ, E. A.; ALENCAR, A. J.; VILLAR, C. B. Modelos Qualitativos de Análise de Risco paraProjetos de Tecnologia da Informação. Rio de Janeiro: Brasport, 2006, p. 133.



26

CAPÍTULO 3 – GESTÃO E ANÁLISE DE RISCO NO EXÉRCITOBRASILEIRO EM AMBIENTES DE TECNOLOGIA DA

INFORMAÇÃO

No Exército Brasileiro, o documento normativo que regula a gestão e análise dosriscos são as INSTRUÇÕES REGULADORAS SOBRE ANÁLISE DE RISCOS PARA

AMBIENTES DE TECNOLOGIA DA INFORMAÇÃO DO EXÉRCITO BRASILEIRO -

IRRISC (IR 13-10)26, confeccionadas pelo Departamento de Ciência e Tecnologia (DCT)

do Exército Brasileiro. O DCT27 tem por missão “gerenciar o Sistema de Ciência e

Tecnologia do Exército (SCTEx) para produzir os resultados científico-tecnológicos

necessários à operacionalidade da Força Terrestre.”

Do exposto acima, dois aspectos são plausíveis de entendimento: o primeiro que osprojetos de tecnologia da informação desenvolvidos pelo DCT tem por objetivo o aumento

da operacionalidade do Exército Brasileiro. O segundo, consequência do primeiro, é que a

inexistência de uma metodologia de análise e gerenciamento de riscos nesses projetos

prejudica a operacionalidade da Força Terrestre, seja pelas falhas de um novo sistema

empregado em combate real, ou pelo atraso na consolidação do projeto, permanecendo o

Exército Brasileiro em desvantagem tecnológica frente aos demais exércitos do mundo.

É conveniente esclarecer, entretanto, que as IRRISC iniciam sua abordagem

mencionando que sua elaboração é fruto de uma determinação das Instruções Gerais de

Segurança da Informação para o Exército Brasileiro (IG 20-19)28, que é a ação institucional

da Força Terrestre para cumprir o determinado no Decreto nº 3.505, de 13 de junho de

200029, da Presidência da República. Seguindo a lógica apresentada nas referidas normas,

o presente capítulo se ocupará, inicialmente, em abordar assuntos relativos à Segurança da

Informação.

Para iniciar o entendimento acerca do assunto, cabe aqui enunciar o conceito de

informação que, segundo Wikipedia (2010b) “é o resultado do processamento,

26 BRASIL. Ministério da Defesa – Exército Brasileiro. Portaria n° 002/DCT, de 31 de janeiro de 2007.Aprova as Instruções Reguladoras Sobre Análise de Riscos para Ambientes de Tecnologia da Informação doExército Brasileiro - IRRISC (IR 13 -10). Boletim do Exército, Brasília, DF, n. 09, p. 06, 02 mar. 2007.27 MISSÃO do DCT. Disponível em: <http://www.dct.eb.mil.br/index.php?option=com_content&view=article&id=56&Itemid=73> Acesso em: 12 dez. 2010.28 BRASIL. Ministério da Defesa – Exército Brasileiro. Portaria n° 483, de 20 de setembro de 2001. Aprovaas Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). Boletim doExército, Brasília, DF, n. 39, p. 07, 28 set. 2001.29 BRASIL. Decreto Nr 3.505, de 13 de junho de 2000. Institui a Política de Segurança da Informação nos

órgãos e entidades da Administração Pública Federal. Diário Oficial [da] República Federativa do Brasil,Poder Executivo, Brasília, DF, 14 jun. 2000. p. 2.



27

manipulação e organização de dados, de tal forma que represente uma modificação

(quantitativa ou qualitativa) no conhecimento do sistema (pessoa, animal ou máquina) que

a recebe.”

É procedente o entendimento de que a definição acima é abrangente em significado,

sendo conveniente a delimitação de seu escopo. Analisando a definição com a devida

cautela, pode-se entender que não há sentido em a informação permanecer estagnada em

um determinado ponto. A informação somente cumpre seu papel quando se encontra em

movimento entre vários pontos de emissão e recepção, tendo importância para todos

aqueles que transmitem ou recebem essa informação, formando uma espécie de sistema.

Um sistema de informação pode ser definido tecnicamente como um conjunto de

componentes inter-relacionados que coleta (ou recupera), processa, armazena edistribui informações destinadas a apoiar a tomada de decisões, a coordenação eo controle de uma organização. Além de dar suporte à tomada de decisões, àcoordenação e ao controle, esses sistemas também auxiliam os gerentes etrabalhadores a analisar problemas, visualizar assuntos complexos e criar novosprodutos. Os sistemas de informação contêm informações sobre pessoas, locais ecoisas significativas para a organização ou para o ambiente que a cerca. Trêsatividades em um sistema de informação produzem as informações de que asorganizações necessitam para tomar decisões, controlar operações, analisarproblemas e criar novos produtos ou serviços. Essas atividades são a entrada, oprocessamento e a saída [...]. A entrada captura ou coleta dados brutos de dentroda organização ou de seu ambiente externo. O processamento converte essesdados brutos em uma forma mais significativa. A saída transfere as informações

processadas às pessoas que as utilizarão ou às atividades em que serãoempregadas. Os sistemas de informação também requerem um feedback, que é aentrada que volta a determinados membros da organização para ajudá-los aavaliar ou corrigir o estágio de entrada. Os sistemas de informação são partesintegrantes das organizações.30

As atividades relativas aos sistemas de informação estão muito bem exemplificadas

na Figura 1, a seguir.

30 LAUREANO, Marcos Aurélio Pchek. Gestão de Segurança da Informação. Curitiba: PUC-PR, 2005, p.5, 6.



28

Figura 1: Atividades de um Sistema de InformaçãoFonte: Laureano (2005)

Os sistemas da informação são os ativos que devem ser constantemente protegidosatravés da cultura e prática de procedimentos de segurança da informação.

Segurança da Informação está relacionada com proteção de um conjunto dedados, no sentido de preservar o valor que possuem para um indivíduo ou umaorganização. São características básicas da segurança da informação os atributosde confidencialidade, integridade, disponibilidade e autenticidade, não estandoesta segurança restrita somente a sistemas computacionais, informaçõeseletrônicas ou sistemas de armazenamento. O conceito se aplica a todos osaspectos de proteção de informações e dados. O conceito de Segurança

Informática ou Segurança de Computadores está intimamente relacionado com ode Segurança da Informação, incluindo não apenas a segurança dosdados/informação, mas também a dos sistemas em si. [...] A Segurança daInformação se refere à proteção existente sobre as informações de umadeterminada empresa ou pessoa, isto é, aplica-se tanto as informaçõescorporativas quanto às pessoais.31

As IG 20-19 (BRASIL, 2001, p. 1) atribui responsabilidade ao DCT (até então

denominado Secretaria de Tecnologia da Informação – STI) de propor a metodologia de

31 WIKIPEDIA. Segurança da Informação. Disponível em:<http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o> Acesso em: 12 dez.2010c.



29

análise de risco para a Força Terrestre, o que deu origem às IRRISC (BRASIL, 2007).

A partir do entendimento acerca da informação e dos conceitos relacionados à

segurança da informação, pode-se iniciar a abordagem sobre a análise e gestão de riscos no

Exército Brasileiro.

Os passos a serem seguidos na análise do risco, segundo Brasil (2007),

compreendem as seguintes etapas: designação de pessoal; planejamento da análise de

riscos; caracterização do sistema a ser analisado; identificação das vulnerabilidades e dos

riscos; estimativa das chances de concretização dos riscos; análise de impactos,

identificação dos riscos e relato da situação.

A designação de pessoal deve ser entendida como o ato de escolha dos militares

que irão trabalhar com a análise e gestão do risco em cada Organização Militar (OM),

sendo prerrogativa do comandante de OM essa designação. Esse pessoal deverá estar

devidamente credenciado, tendo que possuir compromisso com o sigilo das informações,

uma vez que a análise de risco irá explorar as vulnerabilidades da Força Terrestre, que não

devem ser divulgadas ostensivamente.

O planejamento da análise de riscos envolve a designação de um sistema para ser

analisado (no caso deste trabalho, deve ser entendido como um projeto da área de

tecnologia da informação), bem como a análise de toda a documentação relacionada ao

sistema em análise, bem como as que se referem à segurança (em uma abordagem geral) e

à segurança da informação.

A caracterização do sistema é feita de forma documental, física (análise de

infraestrutura geral, como redes de computadores e sistemas de alimentação elétrica, por

exemplo) e pessoal, onde os agentes desse sistema são interrogados acerca de suas

atividades diárias e capacitação para o trabalho.

A identificação das vulnerabilidades é um processo um pouco mais demorado.

Inicialmente, é recomendado que o sistema analisado esteja dividido em diferentes áreas,onde os diferentes aspectos levantados na caracterização do sistema serão agrupados de

acordo com sua afinidade. A primeira técnica adotada nesse processo é o brainstorm ou

brainstorming, com a finalidade de levantar diferentes ideias acerca das vulnerabilidades

apresentadas no sistema, sem qualquer tipo de restrição.



30

Brainstorming é uma ferramenta para geração de novas ideias, conceitos esoluções para qualquer assunto ou tópico num ambiente livre de críticas e derestrições à imaginação. [...] O Brainstorming é útil quando de deseja gerar emcurto prazo uma grande quantidade de ideias sobre um assunto a ser resolvido,

possíveis causas de um problema, abordagens a serem usadas, ou ações a seremtomadas.32

Seguindo-se ao brainstorming, deve ser realizada uma revisão crítica da

documentação relativa ao sistema, onde serão buscadas características do sistema que

podem se constituir como potenciais focos de risco. A etapa seguinte sugere a criação de

listas de verificação, onde são indicados estados ideais de um determinado sistema numa

planilha e um militar verificados irá comparar com a realidade, indicando quais pontos

correspondem à uma atitude correta e quais não o correspondem, necessitando correção.A próxima técnica recomendada é a Técnica Delphi. Segundo Brasil (2007, p. 10)

“esta técnica tem por objetivo estimar as chances de uma vulnerabilidade ser explorada e

ocorrer uma violação de segurança ou estimar o impacto que pode advir da concretização

de uma ou mais ameaças que explorem vulnerabilidades.”

O Método Delphi é um método de tomada de decisão em grupo que secaracteriza pelo fato de cada membro do grupo apresentar as suas ideias masnunca face a face com os restantes elementos (como acontece por exemplo nométodo do grupo nominal ou no brainstorming). Cada elemento é assim isoladoda influência dos restantes. Como não ocorre a presença física dos participantesnuma reunião, este método pode ser usado quando os elementos do grupo seencontram distantes geograficamente. Apresenta, contudo, algunsinconvenientes, entre os quais o maior consumo de tempo na tomada de umadecisão e a perda dos benefícios associados ao intercâmbio pessoal de ideiasproporcionado por outros métodos. O Método Delphi para a tomada de decisão écaracterizado pelas seguintes fases: 1. Identificação do problema, construção doquestionário e apresentação do mesmo cada um dos elementos do grupo; 2.Resposta ao questionário de forma anônima e independente por cada um doselementos do grupo; 3. Compilação das respostas e sua distribuição pelosmembros do grupo acompanhadas do questionário revisto; 4. Resposta ao novoquestionário da mesma forma descrita na fase 2, isto é, de forma anônima eindependente; 5. Repetição das terceira e quarta fases até se atingir uma soluçãode consenso.33

A Técnica Delphi necessita, em seu julgamento de valores acerca de probabilidade

e impacto da vulnerabilidade apresentada, que o avaliador justifique os valores atribuídos

em sua análise.

32 SIQUEIRA, Jairo. Ferramentas de Criatividade: Brainstorming. Disponível em:

<http://criatividade.files.wordpress.com/2007/02/brainstorming.pdf> Acesso em: 12 dez. 2010.33 MÉTODO Delphi. Disponível em: <http://www.knoow.net/cienceconempr/gestao/metododelphi.htm>Acesso em: 12 dez. 2010.



31

Terminada a Técnica Delphi, ainda são convenientes realizar entrevistas com os

gestores do sistema (para caracterizar melhor os diferentes pontos do sistema), pesquisar as

vulnerabilidades do sistema notificadas pelo fabricante e as verificadas por entidades

especializadas em vulnerabilidades de Sistemas da Informação (SI), onde serão buscadas

vulnerabilidades específicas de determinados componentes, que podem expor todo o

sistema.

A última técnica sugerida para a etapa de identificação de vulnerabilidades é a

identificação de vulnerabilidades por uso de software de apoio, ou seja, o quanto um

sistema de apoio pode expor o sistema principal ao risco.

A próxima etapa da análise de riscos é a identificação do risco. Diferentemente da

vulnerabilidade, que é onde o sistema está exposto, o risco está diretamente relacionado às

ações que podem ser realizadas com fins a explorar as vulnerabilidades e prejudicar o

sistema.

A primeira fase da identificação dos riscos é sua categorização segundo as

IRRISC34, com fins a facilitar o processo de identificação. Vale ressaltar que essa

categorização deve se adaptar ao sistema analisado.

A identificação do risco pode se utilizar das mesmas técnicas utilizadas na

identificação de vulnerabilidades, já que ambos os processos estão relacionados. Como

exemplo, as justificativas que devem ser apresentadas durante a utilização da Técnica

Delphi podem ser os próprios riscos relacionados às vulnerabilidades apresentadas. O que

deve ficar claro é que, na verdade, são dois processos distintos.

A próxima etapa da análise do risco, a estimativa das chances de concretização dos

riscos, também pode se utilizar da Técnica Delphi para sua consolidação. Ela se utilizará

das tabelas previamente estabelecidas pela IRRISC35 para auxiliar os avaliadores nessa

estimativa, que relacionadas com a tabela da análise de impactos da mesma IRRISC36, fará

um escalonamento dos riscos, gerando o que se denomina matriz de riscos, que, para o

34 BRASIL. Ministério da Defesa – Exército Brasileiro. Portaria n° 002/DCT, de 31 de janeiro de 2007.Aprova as Instruções Reguladoras Sobre Análise de Riscos para Ambientes de Tecnologia da Informação doExército Brasileiro - IRRISC (IR 13 -10). Boletim do Exército, Brasília, DF, n. 09, p. 06, 02 mar. 2007, p.16.35 BRASIL. Ministério da Defesa – Exército Brasileiro. Portaria n° 002/DCT, de 31 de janeiro de 2007.Aprova as Instruções Reguladoras Sobre Análise de Riscos para Ambientes de Tecnologia da Informação doExército Brasileiro - IRRISC (IR 13 -10). Boletim do Exército, Brasília, DF, n. 09, p. 06, 02 mar. 2007, p.17, 18.36 BRASIL. Ministério da Defesa – Exército Brasileiro. Portaria n° 002/DCT, de 31 de janeiro de 2007.

Aprova as Instruções Reguladoras Sobre Análise de Riscos para Ambientes de Tecnologia da Informação doExército Brasileiro - IRRISC (IR 13 -10). Boletim do Exército, Brasília, DF, n. 09, p. 06, 02 mar. 2007, p.18, 19.



32

Exército Brasileiro, classificará os riscos, qualitativamente, como intoleráveis, altos,

médios, baixos ou toleráveis, segundo o apresentado por Brasil (2007, p. 15).

Segundo Brasil (2007, p. 16) a análise quantitativa somente deverá ser realizada

quando o volume de dados analisados for grande o suficiente para justificar seu tratamento

estatístico. Também recomenda que caso tal análise seja necessária, o DCT deverá ser

consultado para prestar a devida assistência.

O relatório da situação de risco é a etapa final da análise de riscos. Nele estarão

relacionadas todas as vulnerabilidades levantadas, a probabilidade de ocorrência de cada

uma delas relacionadas com os impactos esperados e o levantamento dos riscos inerentes à

essas vulnerabilidades.

Feita a análise do risco, o mesmo deverá ser gerenciado através de diferentes

tratamentos. Segundo Brasil (2007, p. 17), o risco poderá ser neutralizado (quando alguma

característica do sistema será modificada com fins a eliminar o risco relacionado),

transferido (quando alguma outra organização assume o risco, por exemplo, as companhias

de seguro que assumem o risco do roubo de um automóvel, do incêndio de uma residência

ou da morte de uma pessoa), mitigado (onde são adotadas medidas que diminuam a

probabilidade de ocorrência do risco ou seu eventual impacto) ou aceito (nada é feito para

modificar a probabilidade de ocorrência e o impacto do risco).

Os tratamentos deverão ser levantados pela equipe de trabalho e priorizados

segundo a gravidade do risco que foi levantada na análise qualitativa. A sequencia das

ações está devidamente explicada no artigo 40 das IRRISC37.

Feito o tratamento correspondente, cada risco deverá ser monitorado em seu

comportamento, com fins a verificar sua possível evolução em probabilidade e impacto e a

consequente readaptação de seu tratamento. Normalmente essa monitoração é realizada

através de auditorias de segurança da informação ou de análise de risco periódicas.

37 BRASIL. Ministério da Defesa – Exército Brasileiro. Portaria n° 002/DCT, de 31 de janeiro de 2007.

Aprova as Instruções Reguladoras Sobre Análise de Riscos para Ambientes de Tecnologia da Informação doExército Brasileiro - IRRISC (IR 13 -10). Boletim do Exército, Brasília, DF, n. 09, p. 06, 02 mar. 2007, p.22.



33

CAPÍTULO 4 – MODELAGEM DE GESTÃO E ANÁLISE DE RISCONO EXÉRCITO BRASILEIRO

Iniciando o presente capítulo, é recomendável que se recorde que a missão

institucional do Exército Brasileiro38 envolve “preparar a Força Terrestre par a defender a

Pátria, garantir os poderes constitucionais, a lei e a ordem; participar de operações

internacionais; cumprir atribuições subsidiárias e apoiar a política externa do País.”

Além disso, numa perspectiva ainda maior, é conveniente recordar as atribuições do

Exército Brasileiro elencadas pela Estratégia Nacional de Defesa39, onde se ressaltam a

necessidade de desenvolvimento tecnológico, inclusive na área de TI.

1. O Exército Brasileiro cumprirá sua destinação constitucional e desempenharásuas atribuições, na paz e na guerra, sob a orientação dos conceitos estratégicosde flexibilidade e de elasticidade. A flexibilidade, por sua vez, inclui osrequisitos estratégicos de monitoramento/controle e de mobilidade. Flexibilidadeé a capacidade de empregar forças militares com o mínimo de rigidez pré-estabelecida e com o máximo de adaptabilidade à circunstância de emprego daforça. Na paz, significa a versatilidade com que se substitui a presença – ou aonipresença – pela capacidade de se fazer presente (mobilidade) à luz dainformação (monitoramento/controle). Na guerra, exige a capacidade de deixar oinimigo em desequilíbrio permanente, surpreendendo-o por meio da dialética dadesconcentração e da concentração de forças e da audácia com que se desfecha ogolpe inesperado. [...] Por isso mesmo, rejeita a tentação de ver na altatecnologia alternativa ao combate, assumindo-a como um reforço da capacidade

operacional. [...] Elasticidade é a capacidade de aumentar rapidamente odimensionamento das forças militares quando as circunstâncias o exigirem,mobilizando em grande escala os recursos humanos e materiais do País. Aelasticidade exige, portanto, a construção de força de reserva, mobilizável deacordo com as circunstâncias. A base derradeira da elasticidade é a integraçãodas Forças Armadas com a Nação. O desdobramento da elasticidade reporta-se àparte desta Estratégia Nacional de Defesa, que trata do futuro do Serviço MilitarObrigatório e da mobilização nacional. A flexibilidade depende, para suaafirmação plena, da elasticidade. O potencial da flexibilidade, para dissuasão epara defesa, ficaria severamente limitado se não fosse possível, em caso denecessidade, multiplicar os meios humanos e materiais das Forças Armadas. Poroutro lado, a maneira de interpretar e de efetuar o imperativo da elasticidaderevela o desdobramento mais radical da flexibilidade. A elasticidade é a

flexibilidade, traduzida no engajamento de toda a Nação em sua própria defesa.2. O Exército, embora seja empregado de forma progressiva nas crises econflitos armados, deve ser constituído por meios modernos e por efetivos muitobem adestrados. O Exército não terá dentro de si uma vanguarda. O Exércitoserá, todo ele, uma vanguarda. A concepção do Exército como vanguarda tem,como expressão prática principal, a sua reconstrução em módulo brigada, quevem a ser o módulo básico de combate da Força Terrestre. Na composição atualdo Exército, as brigadas das Forças de Ação Rápida Estratégicas são as quemelhor exprimem o ideal de flexibilidade. [...] Entretanto, todas as brigadas do

38 MISSÃO e visão de futuro do Exército Brasileiro. Disponível em:<http://www.exercito.gov.br/web/guest/missao-e-visao-de-futuro> Acesso em: 12 dez. 2010.39 BRASIL. Decreto Nr 6.703, de 18 de dezembro de 2008. Aprova a Estratégia Nacional de Defesa, e dáoutras providências. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 19dez. 2008. p. 4.



34

Exército devem conter, em princípio, os seguintes elementos, para que segeneralize o atendimento do conceito da flexibilidade: (a) Recursos humanoscom elevada motivação e efetiva capacitação operacional, típicas da Brigada deOperações Especiais, que hoje compõe a reserva estratégica do Exército; (b)Instrumentos de comunicações e de monitoramento que lhes permitam operar emrede com outras unidades do Exército, da Marinha e da Força Aérea e receber

informação fornecida pelo monitoramento do terreno a partir do ar e do espaço;[...] A qualificação do módulo brigada como vanguarda exige amplo espectro demeios tecnológicos, desde os menos sofisticados, tais como radar portátil einstrumental de visão noturna, até as formas mais avançadas de comunicaçãoentre as operações terrestres e o monitoramento espacial. [...] 5. Omonitoramento/controle, como componente do imperativo de flexibilidade,exigirá que entre os recursos espaciais haja um vetor sob integral domínionacional, ainda que parceiros estrangeiros participem do seu projeto e da suaimplementação, incluindo: (a) a fabricação de veículos lançadores de satélites;(b) a fabricação de satélites de baixa e de alta altitude, sobretudo de satélitesgeoestacionários, de múltiplos usos; (c) o desenvolvimento de alternativasnacionais aos sistemas de localização e de posicionamento, dos quais o Brasildepende, passando pelas necessárias etapas internas de evolução dessas

tecnologias; (d) os meios aéreos e terrestres para monitoramento focado, de altaresolução; (e) as capacitações e os instrumentos cibernéticos necessários paraassegurar comunicações entre os monitores espaciais e aéreos e a força terrestre.[...] 7. Monitoramento/controle e mobilidade têm seu complemento em medidasdestinadas a assegurar, ainda no módulo brigada, a obtenção do efetivo poder decombate. Algumas dessas medidas são tecnológicas: o desenvolvimento desistemas de armas e de guiamento que permitam precisão no direcionamento dotiro e o desenvolvimento da capacidade de fabricar munições não nucleares detodos os tipos40.

Analisando a política institucional da União, através do Ministério da Defesa e do

Comando do Exército, é possível entender que os projetos de tecnologia da informaçãofazem parte do escopo do preparo tecnológico da Força Terrestre, que irão corroborar com

a capacidade de cumprimento de missão do Exército.

O capítulo anterior mostrou como é regulada a análise de risco no âmbito do

Exército Brasileiro, mediante as IRRISC41. Foi possível verificar que a essência dessa

análise é realizar uma análise qualitativa para identificar os riscos em potencial e aplicar o

tratamento conforme a gravidade. Porém, é justo recordar que a mesma norma informa que

as análises quantitativas também podem ser realizadas se o volume de dados a seremanalisados justificarem essa utilização.

Apesar da norma apresentar todo o necessário conhecimento para uma análise de

risco no âmbito da Força Terrestre, pode-se verificar que ela é genérica no que tange à

tecnologia da informação, isto é, ela é o ponto de partida para a equipe responsável pelos

40 BRASIL. Decreto Nr 6.703, de 18 de dezembro de 2008. Aprova a Estratégia Nacional de Defesa, e dáoutras providências. Diário Oficial [da] República Federativa do Brasil , Poder Executivo, Brasília, DF, 19dez. 2008. p. 7-8.41 BRASIL. Ministério da Defesa – Exército Brasileiro. Portaria n° 002/DCT, de 31 de janeiro de 2007.Aprova as Instruções Reguladoras Sobre Análise de Riscos para Ambientes de Tecnologia da Informação doExército Brasileiro - IRRISC (IR 13 -10). Boletim do Exército, Brasília, DF, n. 09, p. 06, 02 mar. 2007.



35

projetos de TI, pela equipe de manutenção do sistema existente, pela equipe de

infraestrutura de TI, entre outros. Em suma, não indica um procedimento particular para os

projetos de tecnologia da informação, escopo do presente trabalho.

Conforme visto no Capítulo 2, para todo projeto de TI a ser realizado, é

conveniente uma análise de risco (e o consequente gerenciamento de risco) que mostre a

probabilidade de sucesso do projeto de TI e/ou onde se pode empreender esforços para

direcionar um projeto de TI para o sucesso. Essa análise probabilística é realizada de forma

bastante subjetiva na metodologia apresentada pela norma militar, sem um norteamento

acerca dos questionamentos.

Contudo, é possível aproveitar as técnicas de brainstorming e Delphi da norma da

Força Terrestre, incrementando-as com as metodologias propostas no Capítulo 2 do

presente trabalho. Essas metodologias poderão orientar, por exemplo, a análise de

probabilidade e impacto da norma de uma forma menos subjetiva já que, estatisticamente,

diversos itens devem ser elencados para concluir sobre esses dois aspectos. Os fatores de

risco levantados nos modelos podem ser utilizados como referência para a normatividade

militar.

Como visto anteriormente, o DCT42 é o responsável dentro da Força Terrestre pelo

desenvolvimento e implantação de projetos tecnológicos, inclusos neste escopo os projetos

de tecnologia da informação. Nesse caso, por se tratar de um departamento que possui uma

grande estrutura, gerindo projetos no âmbito da Força Terrestre, o modelo BRisk

mencionado no Capítulo 2 se mostra como um forte candidato, primeiro, pelo fato de um

projeto institucional possuir uma magnitude tal que justifique o emprego de uma

metodologia de tratamento estatístico – conforme recomendado nas IRRISC – como é o

BRisk, segundo, porque um departamento como o DCT possui condições de ter pessoal

especializado em estatística, o que facilita a consecução dos trabalhos referente à análise e

gerenciamento de risco pelo método proposto.Organizações Militares menores, dependendo do grau de afinidade de seu pessoal

com a análise de risco, poderão optar pelos métodos de Moynihan ou de Karolak,

relembrando que o primeiro é recomendável para pessoas que nunca realizaram uma

análise de risco orientada a projetos de tecnologia da informação. O segundo recomenda-se

a pessoas que já estejam experimentadas na análise de risco e não conhecem as técnicas de

42 MISSÃO do DCT. Disponível em:<http://www.dct.eb.mil.br/index.php?option=com_content&view=article&id=56&Itemid=73> Acesso em:12 dez. 2010.



36

tratamento estatístico dos dados.

O tratamento auferido da forma mencionada anteriormente corrobora para uma

análise e gerenciamento de risco mais efetiva para a realização de projetos de tecnologia da

informação no âmbito do Exército Brasileiro. É conveniente esclarecer que não se pretende

priorizar uma forma de análise em detrimento da outra. A intenção é colaborar para um

tratamento estatístico (mesmo que simplificado) da análise de risco que possa justificar,

com maior clareza, a viabilidade ou não de um projeto, um aumento do orçamento pré-

estabelecido ou a mudança de requisitos iniciais do projeto.



37

CONCLUSÃO

A análise de riscos pode ser muito bem exemplificada por Beck (2011):

Existem diversas técnicas e métodos de análise de riscos, sendo impossíveldeterminar qual o método mais eficiente, uma vez que qualquer forma dedetectar riscos enquadra-se na teoria de análise. Como a ideia não é compararmetodologias, o objetivo desta seção é o de demonstrar para o leitor de umaforma didática os aspectos mais importantes e os principais conceitos e dadosque devem ser levados em conta no decorrer das atividades de análise de riscos.Antes de se buscar um modelo de referência, para se obter uma análise profundado risco, deve-se entender a fórmula que o determina. O risco deve ser calculadopela multiplicação da vulnerabilidade pela importância. Isto significa que quantomais vulnerável um determinado processo e mais importante sua função noambiente de negócios, ou quanto mais vulnerável um ativo e mais importante osprocessos por ele suportados, maior o seu risco e maiores são os investimentos

que devem ser norteados a fim de minimizar esta janela de vulnerabilidade.Desta forma, três diferentes visões temos que obter do cenário de negócios que aempresa está operando. Primeiramente, temos que entender a probabilidade realde ocorrência de ameaças ou incidentes neste ambiente formado por negócios einfraestrutura. Em seguida, temos que analisar o grau de exposição que esteambiente apresenta frente aquelas principais e prováveis ameaças. Finalmente,temos que classificar a extensão do impacto ou prejuízo eventualmente causado,após determinada ocorrência. Temos então três classificações importantes naanálise de riscos: 1. Probabilidade de Ocorrência, sob a ótica das Ameaças; 2.Grau de exposição, sob a ótica dos Ativos e Vulnerabilidades; 3. Probabilidadede Impacto, sob a ótica dos Prejuízos. Embora a natureza exata de desastrespotenciais ou as consequências resultantes deles seja difícil determinar, ébenéfico executar uma taxa de risco em todas as ameaças com probabilidade de

ocorrência na organização. Independente do tipo de ameaça, o objetivo das metasde recuperação planejadas é assegurar a segurança de clientes, pessoas einformações durante e depois de um desastre. O processo de análise de riscosustenta todo o esforço para a recuperação de desastres e continuidade denegócios. Pode haver terminologias e diferenças de definição relacionadas àanálise de riscos, grau de risco e análise de impacto de negócio. Embora váriasdefinições são possíveis e podem sobrepor, para propósitos deste artigoconsideramos as definições seguintes: 1 – Análise de Vulnerabilidade de Ativos:A Análise da Vulnerabilidade está relacionada com a análise do grau deexposição e de suficiência da segurança física, ambiental e de controles, dianteda probabilidade de ocorrência de ameaças potenciais da organização; 2 – Avaliação de Riscos de Ativos (Risk Assessment): O processo de avaliação deriscos de ativos tem como objetivo principal comparar as vulnerabilidades de

ativos, em uma determinada localidade, com os impactos de parada nosprocessos de negócios suportados. Estes dados são levantados através deentrevistas ou workshop com os principais gestores destes ativos e dos processosassociados; 3 – Análise de Impacto nos Negócios (BIA – Business ImpactAnalysis): A Análise de Impacto nos Negócios envolve a identificação dasfunções empresariais críticas dentro da organização, determinando o impactocorporativo de não executar esta função de negócios além de um limite deautonomia aceitável; 4 – Avaliação dos Custos de Parada em TI: A avaliação doscustos de parada em TI tem como objetivo principal avaliar os impactosfinanceiros através do cálculo dos eventuais custos causados por uma falha,interrupção ou parada operacional na infraestrutura tecnológica da empresa.

A norma institucional do Exército Brasileiro que regulamente a análise e ogerenciamento de risco no âmbito da Força Terrestre são as INSTRUÇÕES



38

REGULADORAS SOBRE ANÁLISE DE RISCOS PARA AMBIENTES DE

TECNOLOGIA DA INFORMAÇÃO DO EXÉRCITO BRASILEIRO - IRRISC (IR 13-

10)43. A referida norma é fruto, inicialmente, de uma política nacional de segurança da

informação regulada pelo Decreto nº 3.505, de 13 de junho de 200044, da Presidência da

República, que institui a Política de Segurança da Informação nos órgãos e entidades da

Administração Pública Federal, o que mobilizou o Exército Brasileiro para a criação das

INSTRUÇÕES GERAIS DE SEGURANÇA DA INFORMAÇÃO PARA O EXÉRCITO

BRASILEIRO (IG 20-19)45. Nessas normas estão descritas todos os conceitos,

metodologias e técnicas para a gestão de riscos no âmbito da Administração Pública

Federal e do Exército Brasileiro.

O Capítulo 2 do presente trabalho mostrou 3 (três) possíveis modelagens de análise

de risco qualitativa para ambientes de tecnologia da informação. O modelo de Moynihan, o

de Karolak e o BRisk. Para a escolha do modelo a ser utilizado, deve-se levar em

consideração o nível de compreensão do sistema a ser analisado (SCHMITZ, 2006, p.

145). Outras observações poderão auxiliar na escolha do modelo.

Se a equipe de avaliadores que vai ajudá-lo a responder às perguntas doquestionário é inexperiente em assuntos relativos à gerência do risco, então omodelo Moynihan é um bom ponto de partida. O modelo é relativamente simples

de ser utilizado, dando aos participantes a chance de tomar contato com modelosqualitativos de análise de risco antes de evoluir para a utilização de modelosmais sofisticados. A simplicidade do modelo Moynihan também pode ser muitoútil em um ambiente de cultura de aversão ao risco, já que é fácil de sercompreendido, mesmo por pessoas com pouco ou nenhum conhecimento deanálise de risco. Por outro lado, se a equipe de avaliadores tem algumaexperiência com as práticas de análise de risco, mas tem conhecimento reduzidode estatística, então a utilização do modelo proposto por Dale Water Karolakpode trazer bons frutos. A abrangência do modelo e o nível de detalhamento dasperguntas tende a capturar a imaginação dos profissionais de tecnologia dainformação, facilitando tanto a sua adoção como a elaboração e disseminação deplanos de contingência. Finalmente, se a equipe de avaliadores está familiarizadacom conceitos básicos de estatística e simulação tais como medidas de tendência

central, medidas de dispersão e uso de função de distribuição de probabilidade, e já teve alguma experiência prévia com análise de risco, então o uso do modeloBRisk deve ser seriamente considerado46.

43 BRASIL. Ministério da Defesa – Exército Brasileiro. Portaria n° 002/DCT, de 31 de janeiro de 2007.Aprova as Instruções Reguladoras Sobre Análise de Riscos para Ambientes de Tecnologia da Informação doExército Brasileiro - IRRISC (IR 13 -10). Boletim do Exército, Brasília, DF, n. 09, p. 06, 02 mar. 2007.44 BRASIL. Decreto Nr 3.505, de 13 de junho de 2000. Institui a Política de Segurança da Informação nosórgãos e entidades da Administração Pública Federal. Diário Oficial [da] República Federativa do Brasil,Poder Executivo, Brasília, DF, 14 jun. 2000. p. 2.45 BRASIL. Ministério da Defesa – Exército Brasileiro. Portaria n° 483, de 20 de setembro de 2001. Aprovaas Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). Boletim do

Exército, Brasília, DF, n. 39, p. 07, 28 set. 2001.46 SCHMITZ, E. A.; ALENCAR, A. J.; VILLAR, C. B. Modelos Qualitativos de Análise de Risco paraProjetos de Tecnologia da Informação. Rio de Janeiro: Brasport, 2006, p. 145-146.



39

Da análise das informações apresentadas no decorrer desse trabalho, é plausível

concluir que as metodologias de análise qualitativa de projetos de tecnologia da

informação apresentadas no Capítulo 2 podem ser aplicáveis ao Exército Brasileiro, sem

preocupações em ferir a normatividade institucional da Força Terrestre. O que deve ser

frisado é que essas metodologias devem ser utilizadas em caráter complementar à

normatividade do Exército Brasileiro, sendo necessária a adequabilidade do modelo a ser

escolhido de acordo com o abordado no Capítulo 4.



40

REFERÊNCIAS

ANÁLISE e Gestão de Riscos em Projetos. Disponível em:<http://lists.xml.org/archives/dita-fa-edboard/200602/msg00048.html> Acesso em: 12 dez.

2010.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO 31000:2009:informação e documentação: princípios e diretrizes. Rio de Janeiro, 2009.

BECK, Paulo Ricardo T. Análise e Gestão de Riscos. Disponível em:<http://paulobeck.blogspot.com/2007/08/anlise-de-riscos.html> Acesso em: 01 jan. 2011.

BRASIL. Decreto Nr 3.505, de 13 de junho de 2000. Institui a Política de Segurança daInformação nos órgãos e entidades da Administração Pública Federal. Diário Oficial [da]República Federativa do Brasil, Poder Executivo, Brasília, DF, 14 jun. 2000. p. 2.

BRASIL. Decreto Nr 6.703, de 18 de dezembro de 2008. Aprova a Estratégia Nacional deDefesa, e dá outras providências. Diário Oficial [da] República Federativa do Brasil,Poder Executivo, Brasília, DF, 19 dez. 2008. p. 4.

BRASIL. Ministério da Defesa – Exército Brasileiro. Portaria n° 483, de 20 de setembro de2001. Aprova as Instruções Gerais de Segurança da Informação para o Exército Brasileiro(IG 20-19). Boletim do Exército, Brasília, DF, n. 39, p. 07, 28 set. 2001.

BRASIL. Ministério da Defesa – Exército Brasileiro. Portaria n° 002/DCT, de 31 de janeiro de 2007. Aprova as Instruções Reguladoras Sobre Análise de Riscos paraAmbientes de Tecnologia da Informação do Exército Brasileiro - IRRISC (IR 13 -10).Boletim do Exército, Brasília, DF, n. 09, p. 06, 02 mar. 2007.

DALTRO, Newton. Auditoria Baseada no Risco Corporativo. 2008. 63 f. Trabalhomonográfico (Especialização em Gestão da Segurança da Informação e das Comunicações)

– Universidade de Brasília, Brasília, 2008.

DICIONÁRIO BABYLON ONLINE. Definição de controle. Disponível em: <

http://dicionario.babylon.com/controle/> Acesso em: 12 dez. 2010.

GESTÃO organizacional e motivação. Disponível em: < http://pt.shvoong.com/social-sciences/education/1832294-gest%C3%A3o-organizacional-motiva%C3%A7%C3%A3o/>Acesso em: 12 dez. 2010.

INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA (IBGC). Guia deOrientação para Gerenciamento de Riscos Corporativos. Séria Cadernos de

Governança Corporativa. Coordenação: Eduarda La Rocque. São Paulo, SP: IBGC, 2007.



41

LAUREANO, Marcos Aurélio Pchek. Gestão de Segurança da Informação. Curitiba:PUC-PR, 2005.

LAUREANO, Marcos Aurélio Pchek. Gerenciamento de Risco. Disponível em:<http://www.mlaureano.org/aulas_material/gst/gst_cap_09_v1.pdf> Acesso em: 12 dez.2010.

MARTINELLI Auditores. Avaliação de Riscos e Controles Internos. Módulo 2.Campinas: UNICAMP, 2002.

MÉTODO Delphi. Disponível em: <http://www.knoow.net/cienceconempr/ gestao/metododelphi.htm> Acesso em: 12 dez. 2010.

MISSÃO do DCT. Disponível em: <http://www.dct.eb.mil.br/index.php?

option=com_content&view=article&id=56&Itemid=73> Acesso em: 12 dez. 2010.

MISSÃO e visão de futuro do Exército Brasileiro. Disponível em:<http://www.exercito.gov.br/web/guest/missao-e-visao-de-futuro> Acesso em: 12 dez.2010.

NUNES, Paulo. Conceito de Gestão e de Gestor. Disponível em: <

http://www.notapositiva.com/trab_professores/textos_apoio/gestao/01conc_gestao.htm>Acesso em: 12 dez. 2010.

PEREIRA, Marcos Augusto Assi. Governança, Riscos e Controles Internos. Disponívelem: <http://www.administradores.com.br/informe-se/artigos/governanca-risco-e-controles-internos/49386/> Acesso em: 12 dez. 2010.

ROCHA, Paulo César Cardoso. Segurança da Informação: uma questão não apenastecnológica. 2008. 61 f. Trabalho monográfico (Especialização em Gestão da Segurança daInformação e das Comunicações) – Universidade de Brasília, Brasília, 2008.

SANTINI, Abigail Ribeiro. Gestão de Projetos de Tecnologia da Informação:

Diferencial Competitivo. Disponível em: <http://ogerente.com.br/rede/projetos/tecnologia-da-informacao> Acesso em: 01 jan. 2011.

SCHMITZ, E. A.; ALENCAR, A. J.; VILLAR, C. B. Modelos Qualitativos de Análise deRisco para Projetos de Tecnologia da Informação. Rio de Janeiro: Brasport, 2006.

SIQUEIRA, Jairo. Ferramentas de Criatividade: Brainstorming. Disponível em:<http://criatividade.files.wordpress.com/2007/02/brainstorming.pdf> Acesso em: 12 dez.2010.



42

WIKIPEDIA. Distribuição triangular. Disponível em: <http://pt.wikipedia.org/ wiki/Distribui%C3%A7%C3%A3o_triangular> Acesso em: 01 jan. 2011c.

WIKIPEDIA. Gerenciamento de Riscos do Projeto. Disponível em:<http://pt.wikipedia.org/wiki/Gerenciamento_de_riscos_do_projeto> Acesso em: 12 dez.2010a.

WIKIPEDIA. Informação. Disponível em: <http://pt.wikipedia.org/wiki/ Informa%C3%A7%C3%A3o> Acesso em: 12 dez. 2010b.

WIKIPEDIA. Projeto. Disponível em: <http://pt.wikipedia.org/wiki/Projeto> Acesso em:01 jan. 2011a.

WIKIPEDIA. Segurança da Informação. Disponível em: <http://pt.wikipedia.org/

wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o> Acesso em: 12 dez. 2010c.

WIKIPEDIA. Stakeholder. Disponível em: <http://pt.wikipedia.org/wiki/Stakeholder>Acesso em: 01 jan. 2011b.

monografia final nelcinei de freitas valente 200917001195

Documents