pd-cq-006 gestão de risco

8/16/2019 PD-CQ-006 Gestão de Risco

1/18

GESTÃO DE RISCO

ELABORADO POR: QUALIDADEAPROVADO POR: DIRETORIA

OD.: PD-

REVISÃO: 11 DATA:

.O.: INTERNO PÁGINA: 1

Av. Luiz Viana Fi!"# $/n# %& 10# Pa'(u) T)*n"+,i*" a a!ia E. T)*n"*)n'"# $aa$ 201 ) 202. Pa'a)a#ava"'# A.CEP 4130-101. .z*'.*"&.5' *"&uni*a*a"7z*'.*"&.5'

1. OBJETIVO

Definir a estratégia, conceitos, métodos e critérios para a implantação e execução de processo

contínuo de gestão de riscos em segurança da informação na empresa, criando um padrão para a

execução do processo.

2. APLICAÇÃO

Aplica-se a todas as áreas da empresa abrangidas pelas atiidades de gestão de risco.

!. DEFINIÇÕES (CONCEITOS E CRITÉRIOS)

Abordagem de ge!"o de r#$o são as metodologias adotadas no processo de gestão dos riscos

"análise #uantitatia, análise #ualitatia$, assim como as restriç%es organi&acionais e de escopo.Ba%$o de Dado de R#$o (BDR), pro'etado em ()-*xcel, contém as informaç%es necessárias +

análise e aaliação de riscos dos processos de negcio submetidos a este procedimento. D/ é

onde ficam as informaç%es pertinentes + gestão de riscos e é formado pelas seguintes planil0as, com

os respectios contedos

1. 3lanil0a de Atios 4 5digo, descrição, 0ost, irtual 0ost, aplicaç%es, seriços, classe, alor do

atio e proprietário6

2. 3lanil0a de 5lasse de Atios 4 5digo e nome da classe do atio6!. 3lanil0a de 3rocessos 4 5digo, nome e descrição do processo, local em #ue é usado e gestor6

7. 3lanil0a 5onsolidada de Aaliação de /iscos "35A/$ - 5digo do processo6 cdigo e descrição

do atio6 cdigo, descrição e alor da ameaça6 cdigo, descrição e alor da ulnerabilidade6

cenário do incidente e probabilidade de ocorrer o incidente6 conse#u8ncia, alor do impacto,

mecanismos ou controles existentes para eitar o risco, ob'etios de controle a serem

implementados, descrição do tratamento do risco, pra&o estimado, custo estimado, níel de

risco, status, estratégia, com todos os riscos dos processos leantados "recebidos atraés do

9TP&C'& Tem*+a!e P+a%#+,a de R#$o *or Pro$eo:$, consolidados nessa nica planil0a

e com terminologia uniformi&ada.

;. 3lanil0a de Ameaças 4 5digo, tipo, descrição da ameaça e motiação6

. 3lanil0a de ?ulnerabilidades 4 5digo, tipo, descrição da ulnerabilidade e detal0amento6

@. 5ontroles *spel0o da definição de controles existentes na Declaração de Aplicabilidade " DA-

CQ-001-Declaração de Aplicabilidade$ #ue são pertinentes e aplicáeis ao ))B da organi&ação, para

consulta no D.


2/18

GESTÃO DE RISCO

ELABORADO POR: (QUALIDADEAPROVADO POR: DIRETORIA

OD.: PD-

REVISÃO: 11 DATA:



Tem*+a!e P+a%#+,a de R#$o *or Pro$eo (PRP), pro'etado em ()-*xcel, é praticamente uma

cpia do D/, sendo #ue ao inés da 35A/, tem a planil0a /iscos por 3rocesso "/3$, onde serão

identificados os riscos e seus detal0es do processo. Ca /3 é onde ficam as informaç%es pertinentes

+ gestão de riscos por processo, e é formado pelas seguintes planil0as, com os respectios

contedos

1. 3lanil0a de /iscos do 3rocesso "/3$ 4 3lanil0a editáel contendo 5digo do processo6 cdigo e

descrição do atio6 cdigo, descrição e alor da ameaça6 cdigo, descrição e alor da

ulnerabilidade6 cenário do incidente e probabilidade de ocorrer o incidente6 conse#u8ncia e

alor do impacto.

2. 3lanil0a de Atios 4 3lanil0a auxiliar não editáel contendo 5digo, descrição, 0ost, irtual

0ost, aplicaç%es, seriços, classe, alor do atio e proprietário6

!. 3lanil0a de 5lasse de Atios 4 3lanil0a auxiliar não editáel contendo 5digo e nome da classe

do atio6

7. 3lanil0a de 3rocessos 4 3lanil0a auxiliar não editáel contendo 5digo, nome e descrição do

processo, local em #ue é usado e gestor6

;. 3lanil0a de Ameaças 4 3lanil0a auxiliar não editáel contendo 5digo, tipo, descrição da

ameaça e motiação6

. 3lanil0a de ?ulnerabilidades 4 3lanil0a auxiliar não editáel contendo 5digo, tipo, descrição

da ulnerabilidade e detal0amento6

A%-+#e do R#$o é o uso sistemático de informações para identificar fontes e estimar o risco. Efetuada

pelo estor de /iscos, com a colaboração dos gestores de processos das áreas no escopo definido.

A.a+#a/"o de r#$o é o processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importncia do risco e sua prioridade no tratamento, aps a A%-+#e do R#$o0

Amea/a é tudo a#uilo #ue tem potencial de causar algum tipo de dano aos atios. estor de

/iscos manterá uma P+a%#+,a de Amea/a, encontrada no Ba%$o de Dado de R#$o (BDR) e

1ma $2*#a %o TP&C'& Tem*+a!e P+a%#+,a de R#$o *or Pro$eo para consulta pelas partes

interessadas #ue t8m a responsabilidade de identificar e monitorar os riscos em suas áreas de

atuação. Dee-se atribuir uma nota relatia de 1 a ;, conforme tabela 1


3/18

GESTÃO DE RISCO


OD.: PD-

REVISÃO: 11 DATA:



Tabela 1 – Graduação de Ameaças

A3EAÇA CRITÉRIO(uito alta Cota ; 5om potencial altamente crítico para explorar ulnerabilidadesAlta Cota 7 5om alto potencial para explorar ulnerabilidades(ediana Cota ! 5om potencial consideráel para explorar ulnerabilidadesaixa Cota 2 5om baixo potencial de explorar ulnerabilidades(uito baixa Cota 1 5om baixo ou #uase nen0um potencial de explorar ulnerabilidades

V1+%erab#+#dade é uma condição ou situação #ue pode ser explorada por uma ameaça, acarretando

pre'uí&o. estor de /iscos manterá uma 3lanil0a de ?ulnerabilidades para consulta pelas partes

interessadas #ue t8m a responsabilidade de identificar e monitorar os riscos em suas áreas de

atuação. Dee-se atribuir uma nota relatia de 1 a ;, conforme tabela 2.

Tabela 2 – Graduação de Vulnerabilidades

V4LNERABILIDADES CRITÉRIO(uito alta Cota ; *xposição máxima ou aus8ncia total de barreirasAlta Cota 7 /elencia alta com tratamento complexo(oderada Cota ! /eleante com tratamento moderado.aixa Cota 2 /eleante, com tratamento simples.(uito baixa Cota 1 Brreleante, com tratamento muito simples.

Co%!e5!o é o ambiente interno ou externo no #ual a organi&ação busca atingir seus ob'etios, cu'os

parmetros deerão ser leados em consideração ao gerenciar riscos, além do estabelecimento doescopo e dos critérios de risco para a política de gestão de riscos.

Co%!ro+e é um mecanismo de proteção ou uma medida #ue modifica o risco.

Cr#!6r#o b-#$o compreende a abordagem para a gestão de riscos, critérios para a aaliação do

dos riscos, critérios de impacto, de tratamento e aceitação do risco, escopo e organi&ação para

gestão de riscos.

E$o*o é a abrang8ncia do processo de gestão de riscos em relação aos processos de negcio e

atios considerados.E.e%!o ou #%$#de%!e é a ocorr8ncia ou mudança em um con'unto específico de circunstncias. Em

eento pode consistir em uma ou mais ocorr8ncias e pode ter árias causas. A probabilidade de

ocorrer um incidente é obtida pelo produto dos graus da ameaça e da ulnerabilidade.

7e!or de R#$o colaborador com ínculo empregatício designado pela direção da empresa como

administrador do processo contínuo de gestão de riscos, sendo detentor de cargo ou não.

Ide%!#8#$a/"o do r#$o é o processo de identificar ameaças, ulnerabilidades e os impactos

decorrentes da ocorr8ncia de eentos #ue podem causar efeitos negatios em atios da organi&ação.


4/18

GESTÃO DE RISCO


OD.: PD-

REVISÃO: 11 DATA:



Im*a$!o ou $o%e91:%$#a é o efeito do incidente nos ob'etios estratégicos ou nos processos de

negcio. Dee-se atribuir uma nota relatia de 1 a ;, conforme tabela !

Tabela 3 – Graduação de Impacto

I3PACTO CRITÉRIO

(uito alto Cota ;5ompromete grande parte dos ob'etios estratégicos definidos no

contexto ou nos ob'etios do processo de negcio.

Alto Cota 7Bmpacto eleado nos ob'etios estratégicos definidos no contexto

podendo comprometer, em parte, o processo de negcio enolido.

(ediano Cota !As conse#u8ncias nos ob'etios estratégicos e nos processos de

negcio são contornáeis com esforço ra&oáel.

aixo Cota 23e#ueno impacto nos ob'etios estratégicos e nos processos de

negcio, dependendo de soluç%es ra&oáeis.

(uito baixo Cota 1Bmpacto irreleante nos ob'etios estratégicos e nos processos de

negcio podendo ser facilmente resolido.

3o%#!orame%!o do r#$o será reali&ado pelo estor de /iscos atraés da análise dos fatores de

risco "alores de atios, ameaças, ulnerabilidades, controles e probabilidade de ocorr8ncia$. s

índices de segurança e de conformidade também deerão ser recalculados periodicamente, de

acordo com os controles recomendados pela norma AC= C/ B)FB*5 2>GG12GG;

Hndice de )egurança "B)$ I 1GG J /= F /A, onde/= a #uantidade dos riscos tratados

/A é a #uantidade de riscos aplicáeis.

Hndice de 5onformidade "B5$ I 1GG J 5B F 5A, onde

5B é a #uantidade de controles implementados e

5A é a #uantidade de controles aplicáeis.

.

N;.e+ de R#$o é obtido pelo produto da nota da probabilidade e&es a nota do impacto. s alores possíeis são mostrados na =abela 7, #ue classifica os riscos por importncia ou seeridade Kem

ermel0o, os riscos altos "L 1;$, em amarelo, os riscos médios "entre @ e 12$ e, em erde, os riscos

baixos "M


5/18

GESTÃO DE RISCO


OD.: PD-

REVISÃO: 11 DATA:



2 2 7 < @ 1G

1 1 2 ! 7 ;

1 2 3 4 !

O *o;.e# %;.e# de r#$o "o<

A+!o! 2GGO$ ou é um eento ou

condição incerta #ue, se ocorrer, terá um efeito positio ou negatio sobre, pelo menos, um ob'etio

do pro'eto, como tempo, custo, mbito ou #ualidade "3(B, 3(T uide 2GG7$. Ca U5/,

usaremos o primeiro conceito para os procedimentos de gestão de risco e o segundo para os pro'etos

submetidos ao processo de estão de (udanças.

De #ual#uer forma, podemos substituir o termo 9pro'eto: por 9processo:. *sse efeito positio ou

negatio será medido pela probabilidade de ocorrer um incidente e&es o grau de impacto. *ssa

Im*a$!o


6/18

GESTÃO DE RISCO


OD.: PD-

REVISÃO: 11 DATA:



medida representa o níel de risco da#uele atio, sendo classificado como alto, médio ou baixo,

exatamente como definido na =abela 7, para efeito de tratamento do risco.

*xemplo de medida de risco 4 )upon0a aaliar o risco de interromper o processo de Atendimento a

5lientes num 5all 5enter deido + aus8ncia de atendentes. cenário de incidente estudado neste

exemplo é causado pela ameaça de gree dos rodoiários e pela vulnerabilidade expressa pelo

percentual de pessoas #ue t8m condução prpria.

Deido + alta fre#u8ncia de grees desse tipo em )alador, a ameaça é alta e, considerando #ue no

setor, metade das pessoas disp%e de condução prpria, a vulnerabilidade será média, logo a

*robab#+#dade (P) de ocorrer o incidente “ausncia de atendentes: é 9alta ! ": "ide =abela !$. )e

a aus8ncia de atendentes, em apenas um dia, pode 95omprometer grande parte dos ob'etios do

processo de negcio:, então o #m*a$!o (I) é 9muito alto I ;: "?. =abela 1$. * o níel de risco será

R I P x I I 7 x ; R = 2G.

R#$o re#d1a+ é o risco remanescente aps o seu tratamento.

Tra!ame%!o do r#$o é o processo de seleção e implementação de medidas ou $o%!ro+e para

modificar um risco. Vá diersas estratégias para tratamento de um risco. 5abe ao estor de /isco

selecionar a estratégia mais ade#uada em função do níel do risco, do tempo máximo para

recuperação da operacionalidade do processo, do alor de reposição do atio, do con0ecimento para

tratar o risco, etc. "?ide =abela < 4 *stratégias para =ratamento dos /iscos$.

Cr#!6r#o de !ra!ame%!o do r#$o Bndependente dos critérios definidos a seguir, a direção da

empresa poderá recomendar o tratamento ou aceitar o risco identificado.

• riscos altos, sempre serão tratados. 3ara o tratamento de riscos de alta seeridade "faixa

ermel0a da =abela 7$, pode-se adotar mais de uma estratégia, inclusie planos de

conting8ncia, #uando não se consegue redu&ir o risco a um níel aceitáel.

• riscos médios sempre serão tratados de forma #ue se'am redu&idos a um níel aceitáel6

• riscos baixos serão aceitos, sem tratamento. Co entanto, estes riscos poderão sofrer algum

tratamento em decorr8ncia do tratamento de outros riscos de maior seeridade. *sses riscos

serão sempre acompan0ados pelo gestor de riscos a cada ciclo de A/.

Tabela # – $strat%&ias para tratamento de riscos

ESTRATÉ7IA DESCRIÇÃO

*liminar /emoer a sua causa.


7/18

GESTÃO DE RISCO


OD.: PD-

REVISÃO: 11 DATA:

.O.: INTERNO PÁGINA:


ESTRATÉ7IA DESCRIÇÃO

(itigar ou modificar =omar aç%es para redu&ir a probabilidade de ocorrer ou redu&ir o

impacto do risco.

Acompan0ar econtrolar

bserar e, periodicamente, reaaliar as características do risco,

podendo até alterar sua estratégia de tratamento. Ainda assim, pode-se

ter um plano de conting8ncia, se necessário.

Aceitar

=er consci8ncia do risco, mas não tomar nen0uma ação. Cormalmente

utili&ada para riscos muito baixos e para a#ueles cu'o tratamento é

iniáel.

=ransferir ou

compartil0ar

/ealocar os re#uisitos, ainda atendendo as necessidades do cliente,

para outros re#uisitos de riscos menores.


8/18

GESTÃO DE RISCO


OD.: PD-

REVISÃO: 11 DATA:



S!a!1 é o controle de estado do risco, e nunca dee estar a&io. s possíeis status para os riscos

são

Tabela ' – (tatus dos riscos

S!a!1 De$r#/"oIde%!#8#$ado /iscos #ue foram identificados e serão monitorados.

Em A%-+#e /iscos #ue estão sendo analisados pelo estor de /iscos

Em Tra!ame%!o /iscos 'á analisados, priori&ados e em processo de tratamento

A$e#!o /iscos de níel igual ou inferior a Re#d1a+ /iscos #ue ocorreram, foram tratados, mas ainda 0á comoocorrerem noamente.

E+#m#%ado /iscos #ue não tem mais como ocorrer.

7. RESPONSABILIDADES7.1. D *)=/ D* /B)5)

estor de /iscos é designado pela Direção da empresa, a #uem responderá diretamente, e tem

como atribuiç%es superisionar os pro'etos de tratamento dos riscos6 reisar permanentemente os

critérios básicos da gestão de riscos6 reali&ar, a #ual#uer tempo, noas análises de riscos6 manter o

anco de Dados de /iscos6 comunicar riscos6 monitorar os níeis de risco da empresa6 e subsidiar

as reuni%es de análise crítica.

7.2. D) *)=/*) D* 3/5*)))

s gestores dos processos inscritos no escopo da gestão de riscos deerão contribuir

significatiamente com a identificação e aaliação dos riscos em sua área de atuação, além de

estarem permanentemente atentos a noas ameaças e ulnerabilidades, inclusie pela adição ou

remoção de atios.

7.!. D 5(B=W D* )*E/ACPA DA BCX/(APY

5omit8 de )egurança da Bnformação exercerá um papel consultio em todas as etapas do

processo de gestão de risco, podendo ser conidado a opinar sobre as decis%es estratégicas.

;. I3PLANTAÇÃO O4 REVISÃO DO PROCESSO DE 7ESTÃO DE RISCOS

s procedimentos descritos neste capítulo serão utili&ados para a implantação de um processo de

gestão de riscos na U5/ Bnformática ou nas sucessias reis%es do processo.

A Direção da empresa


9/18

GESTÃO DE RISCO


OD.: PD-

REVISÃO: 11 DATA:

.O.: INTERNO PÁGINA:


;.1. *stabelece o contexto interno e externo para gestão de riscos de segurança da informação

considerando os ob'etios estratégicos da organi&ação6 uma aaliação dos re#uisitos de segurança

da informação6 a política do sistema de gestão da segurança da informação da empresa6 os riscos

potenciais de incidentes de segurança da informação6 os resultados de análises de riscos efetuadas

anteriormente6 a abordagem de análise e aaliação de riscos na organi&ação.;.2. Define o escopo da Análise de /iscos estabelecendo os processos de negcio #ue serão

ob'eto da gestão de riscos.;.!. Designa o estor de /isco, define seu papel, suas responsabilidades e sua inculação

0ierár#uica. estor de /iscos;.7. /eisa os critérios básicos definidos neste documento e elabora o #$-CQ-001-#lano de

%rabal&o da 'estão de (iscos, onde constará• Zustificatia para a implantação do processo ou reisão do processo de gestão de riscos

apoiada no contexto interno e externo da empresa, além do apontamento das restriç%es

organi&acionais e #ue podem afetar o escopo definido.• *stabelecimento ou modificaç%es introdu&idas nos critérios básicos do processo 4 critérios

de aaliação dos riscos, critérios de impacto, critérios de aceitação dos riscos, estratégias de

tratamento e critérios de monitoramento dos riscos.• Definição do escopo da gestão de riscos 4 processos #ue serão ob'eto de análise, tratamento

e monitoramento dos riscos.•

3roposta de organi&ação para gestão dos riscos na empresa, incluindo atribuiç%es dosenolidos.

;.;. *labora ou atuali&a a )A*+,*--1*)eclaração de Aplicabilidade baseada no Anexo A da

norma AC= B) B*5 2>GG12GG;, contendo os ob'etios de controle e controles no escopo

definido, os controles existentes "'á implementados$ e as exclus%es de controles com as respectias

'ustificatias.;.. )ubmete + aproação da Direção da empresa.;.@. *dita o #$-CQ-001-#lano de %rabal&o da 'estão de (iscos com as orientaç%es para

implantação ou reisão da análise de riscos e recomendaç%es consideradas.;.O. 5omunica +s partes interessadas.


10/18

GESTÃO DE RISCO


OD.: PD-

REVISÃO: 11 DATA:




11/18

GESTÃO DE RISCO


OD.: PD-

REVISÃO: 11 DATA:



seguida, l0es dá um alor, conforme os critérios predefinidos "?ide probabilidade no

capítulo ! deste documento e tabela ;$.• estor do 3rocesso poderá considerar noas ameaças e ulnerabilidades e lançá-los

nas =abelas respectias, mas sempre de forma destacada para #ue o estor de /iscos

possa identificar mais adiante.. 3ara cada par ameaça-ulnerabilidade, preenc0e o campo 9cenário de incidente: com o

eento resultante. A probabilidade é calculada automaticamente pela planil0a eletr]nica, de

acordo com a =abela ;.• Alguns incidentes poderão ser lançados nessa planil0a sem #ue ten0am sido

identificadas as respectias ameaça e ulnerabilidade "ide tabelas 1 e 2$, mas neste

caso, o estor de 3rocesso deerá atribuir uma nota + probabilidade de ocorrer a#uele

incidente, conforme predefinido "?ide 5apítulo ! 4 3robabilidade$.


12/18

GESTÃO DE RISCO


OD.: PD-

REVISÃO: 11 DATA:



. 3ara os eentos com níel de risco L 1;, cu'o tratamento não este'a em curso no 3lano de

Ação para =ratamento de /iscos ")tatus 9 m %ratamento:$, define os controles a serem

implementados no campo prprio, atraés dos c*di+os do obetivo de controle e controle

correspondentes.

.1. 3ara situaç%es onde os atios se'am descontinuados, estor de /iscos deerá

alterar os alores de ameaça e ulnerabilidade para G "&ero$, os campos

9(*5ACB)() E 5C=/R*) *QB)=*C=*) 3A/A *?B=A/ /B)5:,

9D*)5/BPY D =/A=A(*C= D /B)5:, 93/AU *)=B(AD: e 95E)=

*)=B(AD: para 9CA:, e informar se o atio foi descontinuado permanentemente ou

temporariamente no campo 9Z*=B?) D* 5C=/R*) A )*/*(

B(3R*(*C=AD):, além disso, alterar o status e a estratégia dos riscos para

9*liminado:. *sses riscos deem ser mantidos para #uest%es de 0istrico, e possíelreatiação do atio posteriormente.


13/18

GESTÃO DE RISCO


OD.: PD-

REVISÃO: 11 DATA:




14/18

GESTÃO DE RISCO


OD.: PD-

REVISÃO: 11 DATA:




15/18

GESTÃO DE RISCO


OD.: PD-

REVISÃO: 11 DATA:



• )ubmete + aproação da alta direção e fa& as correç%es recomendadas no 3lano de Ação

para =ratamento dos /iscos.GG12GG; 4 5digo de 3rática para a estão da )egurança da Bnformação

AC= C/ B) B*5 2>GG; 4 estão de /iscos de )egurança da Bnformação

X-5\-G17 /elatrio de =ratamento de /iscos

X-5\-G1; /elatrio de Aceitação de /iscos

X-5\-G1O *olução dos Bncidentes de )egurança

O. FL4?O7RA3A


16/18

GESTÃO DE RISCO


OD.: PD-

REVISÃO: 11 DATA:




17/18

GESTÃO DE RISCO


OD.: PD-

REVISÃO: 11 DATA:



1G. CONTROLE DE REVISÃO

Re.#"o Da!a #!2r#$o da re.#e I!em Re.#ado *orG1 27FG7F2G11 Bnserção da noa tabela de controle de registros. Alteração

do la`out, cdigo do documento e do #uadro de reis%esconforme documento 3D-5\-GG16 alteração do #uadro deregistros conforme documento 3D-5\-GG2.

; e @ \ualidade

G2 2!FG;F2G12 b'etio foi reescrito, foram incluídos noos termos noglossário e as etapas foram reistas para dar maior clare&a6foi criado um noo formulário para leantamento das

probabilidades de ocorrer os incidentes e impactosgerados.

1, !, ;, , @

\ualidade

G! 2 2!FG;F2G1! /eisão e a'ustes nas definiç%es para compatibili&ar com anoa estrutura do Ba%$o de Dado de R#$o (BDR) eincorporação da Declaração de Aplicabilidade no mesmo.

1, ! e > \ualidade

G@ 2>FG;F2G1! 5orreção nas colunas da 35A/ e alteração na tabela deulnerabilidades "definição de (uito alta$.

! \ualidade

GO G!FG


18/18

GESTÃO DE RISCO


OD.: PD-

REVISÃO: 11 DATA:


)tatus de riscos$, a.a+#a/"o de r#$o e !ra!ame%!o der#$o.

e

pd-cq-006 gestão de risco

Documents