UNIVERSIDADE DE BRASÍLIA - UNB

DEPARTAMENTO DE CIÊNCIAS DA COMPUTAÇÃO

ANÁLISE/AVALIAÇÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO PARA A ADMINISTRAÇÃO PÚBLICA

FEDERAL: UM ENFOQUE DE ALTO NÍVEL BASEADO NA ISO/IEC 27005

PEDRO JORGE SUCENA SILVA

MONOGRAFIA DE CONCLUSÃO DO CURSO DE ESPECIALIZAÇÃO EM CIÊNCIAS DA COMPUTAÇÃO: GESTÃO DA SEGURANÇA DA INFORMAÇÃO E

COMUNICAÇÕES

Orientador: Prof. Dr. Jorge Henrique Cabral Fernandes

II

Brasília, 29 de maio de 2009.

ANÁLISE/AVALIAÇÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO PARA A ADMINISTRAÇÃO

PÚBLICA FEDERAL: UM ENFOQUE DE ALTO NÍVEL BASEADO NA ISO:IEC 27005

Trabalho de conclusão de curso apresentado como parte das atividades para obtenção do título de Especialista em Ciências da Computação do curso de Especialização em Ciências da Computação: Gestão da Segurança da Informação e Comunicações do Departamento de Ciências da Computação da Universidade de Brasília.

Profº orientador: Jorge Henrique Cabral Fernandes

Brasília, 2009

III

Autoria: Pedro Jorge Sucena Silva

Título: Análise/avaliação de riscos de segurança da informação para a Administração Pública Federal: um enfoque de alto nível baseado na ISO:IEC 27005.

Trabalho de conclusão de curso apresentado como parte das atividades para obtenção do título de Especialista em Ciências da Computação do curso de Especialização em Ciências da Computação: Gestão da Segurança da Informação e Comunicações do Departamento de Ciências da Computação da Universidade de Brasília.

Os componentes da banca de avaliação, abaixo listados, consideram este trabalho aprovado.

Nome Titulação Assinatura Instituição

1 Jorge Henrique Cabral Fernandes Doutor Universidade de Brasília

2 Jacir Luiz Bordim Doutor Universidade de Brasília

3 Edgard Costa Oliveira Doutor Universidade de Brasília

Data da aprovação: ____ de _____________________ de ________.

IV

RESUMO

Este trabalho apresenta um modelo preliminar de análise/avaliação de riscos de segurança da informação, capaz de identificar os riscos com alto potencial de impacto em uma organização pública. A análise/avaliação de riscos é uma atividade do processo de gestão de riscos em que são identificados os riscos e seus componentes � ativos, ameaças, vulnerabilidades e conseqüências. A probabilidade de ocorrência do cenário de risco e suas conseqüências são avaliadas, resultando em um nível de risco. Esse risco é então avaliado segundo critérios pré-definidos que determinarão a sua importância para a organização. A norma ISO/IEC 27005 recomenda iniciar o processo de gestão de riscos com uma análise/avaliação com um enfoque de alto nível, isto é, uma abordagem mais global que vise os principais riscos que envolvem o negócio. É uma abordagem simplificada que considera os aspectos tecnológicos de forma independente das questões de negócio. A partir dos resultados dessa primeira iteração é possível definir as prioridades, os riscos que precisam ser detalhados em uma segunda iteração e uma cronologia para a execução de ações. Este trabalho propõe um modelo com essas características, tendo como base a Norma ABNT ISO/IEC 27005 e considerando algumas especificidades da Administração Pública Federal.

Palavras-chave: segurança da informação, gestão de riscos, administração pública.

V

SUMÁRIO

1 Introdução........................................................................................................1

2 Requisítos Pré-pesquisa.................................................................................3

2.1 Objetivos ..................................................................................................................... 3 2.1.1 Objetivo Geral......................................................................................................................3 2.1.2 Objetivos Específicos...........................................................................................................3

2.2 Justificativa ................................................................................................................. 3

2.3 Metodologia ................................................................................................................ 5

3 Revisão de literatura e fundamentos.............................................................7

3.1 Gestão de riscos: norma ISO/IEC 27005..................................................................... 7 3.1.1 Conceitos ............................................................................................................................8 3.1.2 O processo de gestão de riscos .........................................................................................12 3.1.3 Definição do contexto ........................................................................................................14 3.1.3.1 Critérios básicos ................................................................................................................14 3.1.3.2 Definição do escopo e limites.............................................................................................15 3.1.3.3 Organização para gestão de riscos ....................................................................................15 3.1.4 Análise/avaliação de riscos ................................................................................................16 3.1.4.1 Análise de riscos................................................................................................................16 3.1.4.2 Avaliação de riscos ............................................................................................................22 3.1.5 Tratamento do risco ...........................................................................................................23 3.1.6 Aceitação do risco .............................................................................................................27 3.1.7 Comunicação do risco .......................................................................................................27 3.1.8 Monitoramento e análise crítica de riscos...........................................................................28

3.2 Administração pública ............................................................................................... 30 3.2.1 Princípios da administração pública ...................................................................................32

4 instrumentos para análise/avaliação de risco � enfoque de alto nível .....37

4.1 Definição do contexto................................................................................................ 38 4.1.1 Definição do escopo ..........................................................................................................38 4.1.1.1 Especificidades da Administração Pública Federal .............................................................40 4.1.2 Critérios de risco................................................................................................................42

4.2 Análise/avaliação de riscos ....................................................................................... 46 4.2.1 Análise de riscos................................................................................................................46

VI

4.2.1.1 Identificação de riscos .......................................................................................................46 4.2.1.2 Estimativa de riscos...........................................................................................................49 4.2.2 Avaliação de riscos ............................................................................................................51

4.3 Tratamento do risco................................................................................................... 51

5 Exemplo de aplicação ...................................................................................53

6 Conclusão e trabalhos futuros.....................................................................67

Referências bibliográficas......................................................................................69

1

1 INTRODUÇÃO

Em um levantamento sobre a governança de tecnologia da informação (TI) na

Administração Pública Federal1 (APF), o Tribunal de Contas da União constatou que a

segurança da informação não consta na agenda da maioria dos órgãos públicos. O

levantamento apontou que 64% deles não possuem uma política da segurança da informação

nem uma área específica para lidar com a segurança da informação. Além disso, 75% não

fazem análise de risco de TI, 80% não classificam as informações e 88% não possuem plano

de continuidade de negócio.

Diante desses dados é possível afirmar que a gestão de risco de segurança da informação

(GRSI) não é uma prática comum na APF. Há vários fatores que podem explicar essa

situação. Primeiramente a aplicação da gestão de risco à segurança da informação é um

produto recente, considerando que a APF normalmente absorve as mudanças ou novas

ferramentas de gestão de modo mais lento do que a iniciativa privada. Em segundo lugar, a

GRSI precisa do apoio da direção do órgão, visto que é um processo transversal que perpassa

diversas frações da organização e necessita do apoio especializado de muitas delas. Vale

destacar ainda que os métodos de análise/avaliação de riscos normalmente são complexos,

exigem a coleta de uma enorme quantidade de dados e consomem muito tempo e recursos

para a sua operacionalização.

A proposta deste trabalho aponta para a necessidade de um método de análise/avaliação

de riscos que considere as especificidades da APF, que seja capaz de identificar os riscos com

alto potencial de impacto e que, ao mesmo tempo, seja simples, de baixo custo e que possa ser

executado por um grupo pequeno de pessoas.

1 TRIBUNAL DE CONTAS DA UNIÃO. Acórdão 1603/2008. Brasília, 2008.

2

A análise/avaliação de riscos é uma atividade do processo de gestão de riscos em que são

identificados os riscos e seus componentes � ativos, ameaças, vulnerabilidades e

conseqüências. A probabilidade de ocorrência do cenário de risco e suas conseqüências são

avaliadas, resultando em um nível de risco. Esse risco é então avaliado segundo critérios pré-

definidos que determinarão a sua importância para a organização.

A gestão de riscos de segurança da informação, em que está inserida a análise/avaliação

de riscos, é uma metodologia que procura identificar os riscos que envolvem uma

organização, priorizá-los e propor estratégias de tratamento desses riscos. Para a norma

ISO/IEC 27005, risco de segurança da informação é medido em função da combinação da

probabilidade de um evento e de sua conseqüência. Desse modo, riscos podem ser

gerenciados mudando-se tanto a natureza de suas conseqüências como a probabilidade de que

determinado evento ocorra.

A gestão de riscos é estabelecida em um processo de melhoria contínua com um enfoque

iterativo na execução da análise/avaliação de risco o que permite detalhar a avaliação a cada

repetição. Por conseguinte, é recomendado pela norma iniciar o processo de gestão de riscos

com uma análise/avaliação com um enfoque de alto nível, isto é, uma abordagem global que

visa os principais riscos que envolvem o negócio. É uma abordagem simplificada que

considera os aspectos tecnológicos de forma independente das questões de negócio. A partir

dos resultados dessa primeira iteração é possível definir as prioridades, os riscos que precisam

ser detalhados em uma segunda iteração e uma cronologia para a execução de ações.

Este trabalho vem propor instrumentos que ajudaram a compor um método com essas

características, tendo como base a norma ISO/IEC 27005 e considerando as especificidades da

Administração Pública Federal.

3

2 REQUISÍTOS PRÉ-PESQUISA

2.1 Objetivos

2.1.1 Objetivo Geral

Propor instrumentos para um método preliminar de análise/avaliação de riscos para

Administração Pública Federal em um enfoque de alto nível.

2.1.2 Objetivos Específicos

São objetivos específicos do trabalho:

1. Desenvolver os instrumentos para um método de análise/avaliação com um

enfoque de alto nível.

2. Aplicar os instrumentos propostos em uma organização fictícia.

3. Rever a literatura sobre o processo de gestão de riscos e sobre a administração

pública.

2.2 Justificativa

O avanço tecnológico vivido desde a segunda metade do século XX catalisou a explosão

informacional dos últimos trinta anos, proporcionando mudanças na forma como as

organizações manipulam o seu conhecimento. O aumento do fluxo de informações expõe o

conhecimento crítico das organizações a diversos riscos. Por isso, a demanda de proteção

dessas informações constitui um enorme desafio. Assim, a segurança da informação entrou na

agenda das organizações privadas e vem entrando lentamente na das organizações públicas.

A preocupação com a proteção da informação como ativo no âmbito das organizações

criou a necessidade de sistematização e padronização dos conceitos de segurança da

4

informação, de modo a consolidar as bases para o desenvolvimento seguro e uniforme de

soluções para os problemas emergentes dessa questão. Dentre as normas e padrões surgidos

dessa preocupação destacamos a série de normas ISO/IEC 27000:

ISO/IEC 27001 � Sistemas de gestão de segurança da informação: originária da

parte 2 da norma britânica BS 7799;

ISO/IEC 27002 � Código de prática para a gestão da segurança da informação: foi

desenvolvida a partir da parte 1 da norma britânica BS 7799;

ISO/IEC 27005 � Gestão de riscos de segurança da informação: teve como base a

parte 3 da BS 7799 e a norma australiana neozelandesa AS/NZS 4360.

O primeiro passo para gerir a segurança da informação segundo essas normas é a gestão

de risco. Trata-se de uma metodologia que procura evitar que riscos e ameaças se concretizem

e gerem prejuízos das mais diversas ordens. Procura delimitar os possíveis problemas e

possibilidades de interferência nas atividades de uma organização e transformá-los em riscos

mensuráveis e manejáveis.2 Trata-se da aplicação de um método lógico e sistemático para

estabelecer os contextos, bem como para identificar, estimar, avaliar, tratar, aceitar, monitorar

e comunicar os riscos associados a qualquer ativo, função, atividade, ou processo, de modo

que as organizações possam minimizar as perdas resultantes de incidentes de segurança da

informação.

A gestão eficaz de riscos reduz a probabilidade e a severidade de incidentes de segurança.

É possível evitar eventos indesejáveis ou negativos prevendo sistematicamente os riscos,

avaliando a sua importância, gerenciando suas conseqüências e aprendendo enquanto se

atravessa esse ciclo. No entanto, a gestão eficaz de riscos implica também prever os riscos

futuros e saber lidar de maneira pró-ativa com eles � gestão pró-ativa em vez de reativa.

Freqüentemente, é possível superar adversidades sendo pró-ativo na previsão de riscos e na

criação de condições que permitam evitá-los.3

A gestão de riscos proporciona uma série de benefícios às organizações. Fornece uma

base sólida e segura para a tomada de decisão e planejamento; torna mais eficaz a alocação e

o uso de recursos; melhora a gestão de incidentes e reduz perdas e custos com riscos, melhora

2 ZAMITH, José Luís Cardoso. Gestão de Riscos e Prevenção de Perdas. Rio de Janeiro: FGV, 2007. 3 CENTRO CANADENSE PARA O DESENVOLVIMENTO DA GESTÃO. Uma base para o desenvolvimento de estratégias de aprendizagem para a gestão de riscos no serviço público / Stephen Hill, Geoff Dinsdale; traduzido por Luís Marcos B. L. de Vasconcelos. Brasília: ENAP, 2003 (Cadernos ENAP, 23).

5

a segurança e confiança das partes envolvidas; melhora a conformidade com a legislação

pertinente; e melhorar a governança corporativa.

Portanto, o processo de gestão de riscos constitui uma ferramenta de extrema importância

para o estabelecimento de um Sistema de Gestão de Segurança da Informação (SGSI)

conforme a norma ISO/IEC 27001. E de forma semelhante e complementar ao SGSI, o

processo de gestão de riscos, é estabelecido em um processo de melhoria contínua com um

enfoque iterativo na execução da análise/avaliação de risco o que permite aprofundar e

detalhar a análise a cada repetição.

A primeira iteração dessa atividade deve utilizar uma abordagem de análise/avaliação de

riscos com um enfoque de alto nível. Momento em que se procuram os principais riscos da

organização, os de maior impacto e se estabelece um cronograma de ações. É mais rápida,

mais simples e de menor custo que uma abordagem detalhada, o que facilita a aceitação do

programa de gestão de riscos pelas partes interessadas.

É uma abordagem importante porque a indisponibilidade orçamentária comum na esfera

pública não permitiria a implementação simultânea de todos os controles que seriam precisos,

logo haveria a necessidade de tratar apenas os riscos mais críticos. Por isso não faz sentido

iniciar um processo de gestão de riscos detalhado se a implementação dos controles seria

completada em um prazo estendido. Vale destacar que uma análise/avaliação de risco perde

sua validade com as mudanças de contexto, de ameaças e de vulnerabilidades trazidas pelo

tempo, portanto uma abordagem com enfoque de alto nível seria mais adequada.

Diante dessas questões é imprescindível que a discussão quanto a um método de

análise/avaliação de riscos com um enfoque de alto nível seja colocada no âmbito do serviço

público, já que são poucos os órgão que se preocupam em gerir os seus riscos de modo

sistemático.

2.3 Metodologia

A presente pesquisa pode ser caracterizada, segundo a utilização dos resultados, como

pesquisa aplicada. Distingue-se pelo seu interesse prático que conforme Ander-Egg4 procura

resultados que possam ser aplicados ou utilizados, imediatamente, na solução de problemas

que ocorrem na realidade.

4 Ander-Egg (1978) apud MARCONI, M. A., LAKATOS, E. M. Técnicas de Pesquisa. São Paulo: Atlas, 2002.

6

A principal técnica utilizada foi a pesquisa bibliográfica, o objetivo era conhecer, discutir

e analisar as contribuições registradas acerca do tema proposto. Vale destacar que a pesquisa

bibliográfica não é mera repetição do que já foi escrito sobre determinado assunto. Ela

permite explorar novas áreas onde os problemas não se cristalizaram o suficiente. Propicia o

exame de um tema sob novo enfoque ou abordagem, podendo chegar a conclusões

inovadoras5.

Inicialmente foi realizado um estudo na literatura sobre a gestão de risco de segurança da

informação com ênfase na norma ISO/IEC 27005:2008. Em seguida o estudo voltou-se a

literatura sobre a administração pública.

Terminada esta etapa, o trabalho foi direcionado à caracterização da administração

pública em aspectos que subsidiem, de maneira geral, o processo de gestão de riscos.

Foram delineados os instrumentos para um método de gestão de riscos para a APF numa

abordagem de alto nível. Por fim, foi elaborado um exemplo de aplicação dos instrumentos

propostos em uma organização fictícia.

5 MARCONI, M. A., LAKATOS, E. M. Técnicas de Pesquisa. São Paulo: Atlas, 2002.

7

3 REVISÃO DE LITERATURA E FUNDAMENTOS

3.1 Gestão de riscos: norma ISO/IEC 27005

A norma ISO/IEC 27005 fornece diretrizes e descreve um processo genérico para a

Gestão de Riscos de Segurança da Informação de uma organização. O processo descrito pela

norma é harmonicamente sincronizado com o ciclo de melhoria contínua �PDCA� utilizado

em um SGSI conforme a ISO/IEC 27001. Além disso, o processo pode também ser usado de

forma independente, como por exemplo, para avaliações de risco em um projeto. Isto permite

flexibilidade e pragmatismo que possibilita a utilização do processo de GRSI em uma vasta

gama de circunstâncias.

Segundo Hervé Schauer6, a ISO/IEC 27005 é o resultado de diversas outras normas e

métodos conforme Figura 1.

Figura 1 � Normas que influenciaram a criação da ISO/IEC 27005.

6 SCHAUER, H. ISO/CEI 27005 : la norme du consensus. Global Security Mag. N°4, p. 52-55, Set. 2008

8

Desse modo, a ISO/IEC 27005 sofreu influência da norma ISO 13335-3, que traz um

modelo de gestão de risco para a área de tecnologia da informação (TI), desde 1992 com o

início da normalização da segurança em TI. O método EBIOS (Expression des Besoins et

Identification des Objectifs de Sécurité) criado pelo Ministério da Defesa francês, contribuiu

com a idéia da divisão do processo de avaliação de riscos de sistemas de informação em

atividades e sub-atividades com insumos de entrada, um trabalho a realizar e resultados a

obter. A norma AS/NZS 4360 apresentou um processo de gestão de risco cujas fases e tarefas

são parecidas com as adotadas pela ISO/IEC 27005. A British Standard BS 7799-3 possui

uma função similar a da ISO/IEC 27005, já que a série de normas BS 7799 foi a base das

normas da família 27000. Ainda, segundo Schauer a norma teria sofrido influências de

diversas outras fontes que não puderam ser identificadas.

3.1.1 Conceitos

É importante destacar o conceito de risco de segurança da informação e os seus

componentes, conforme descrito pela ISO/IEC 27005.

Riscos de segurança da informação: a possibilidade de uma determinada ameaça

explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira

prejudicando a organização. É medido em função da combinação da probabilidade de um

evento e de sua conseqüência.7

Desse conceito é possível depreender quatro elementos que são fundamentais para o

processo de gestão de risco, quais sejam: ativo, ameaça vulnerabilidade e impacto.

Ativo é definido como qualquer coisa que tenha valor para a organização8. A norma

ISO/IEC 27005 em seu Anexo B sugere a distinção entre ativos primários e ativos de suporte

e infra-estrutura.9 Os ativos primários seriam as informações, os processos e as atividades de

negócio. Os ativos de suporte são aqueles sobre os quais os elementos primários se apóiam,

eles podem ser agrupados da seguinte maneira: hardware, software, rede, recursos humanos,

instalações físicas e estrutura da organização.

7 Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27005: Gestão de risco de segurança da informação. Rio de Janeiro, 2008. Grifo nosso. 8 Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001:2006. Sistema de gestão de segurança da informação � requisitos. Rio de Janeiro, 2006. 9 Os anexos da norma ISO/IEC 27005 possuem valor informativo, logo as tipificações de ativos, ameaças, exemplos de vulnerabilidade e métodos de análise/avaliação de riscos são colocados como sugestões que podem ser adaptadas a realidade de cada organização.

9

Ameaça é a causa potencial de um incidente indesejado, que pode resultar em dano para

um sistema ou organização10. As ameaças podem ser de origem humana de natureza acidental

ou intencional ou, ainda, de origem ambiental. E podem ser tipificadas nas seguintes

categorias: dano físico, eventos naturais, paralisação de serviços essenciais, distúrbio causado

por radiação, comprometimento da informação, falhas técnicas, ações não autorizadas,

comprometimento de funções. Em relação às ameaças intencionais a norma sugere que seja

dada atenção especial as especificidades da origem e motivações dos agentes que representam

ameaça.

Vulnerabilidade é a fragilidade de um ativo ou grupo de ativos que pode ser explorada

por uma ou mais ameaças11. O Anexo D da ISO/IEC 27005 apresenta uma lista genérica de

exemplos de vulnerabilidades e de possíveis ameaças que poderiam explorá-las. A lista está

organizada segundo o tipo de ativo de suporte e infra-estrutura. Vale destacar que, conforme

colocado por Fernandes12, para o caso de ativos tecnológicos a lista possui pouca

aplicabilidade devido ao seu caráter genérico. Para tal atividade se faz necessário a utilização

de métodos, técnicas e ferramentas específicas.

A norma utiliza as palavras: impacto e conseqüência para se referir aos danos causados a

organização devido à perda ou comprometimento de ativos. Em alguns momentos elas são

usadas como sinônimos, porém é possível delinear algumas diferenças.

A conseqüência está relacionada a perdas operacionais relativas à proteção de ativos. A

sua determinação indica o valor operacional do ativo para a organização. As conseqüências

são avaliadas em função da perda da confidencialidade, integridade e disponibilidade dos

ativos supostamente afetados. Além desses critérios, segundo a ISO/IEC 27005, devem ser

considerados para a determinação das conseqüências operacionais a investigação e tempo de

reparo, o tempo de trabalho perdido, as oportunidades perdidas, saúde e segurança, custo

financeiro das competências específicas necessárias para reparar o prejuízo, imagem e

reputação da organização.

10 Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002: Código de Prática para a gestão da segurança da informação. Rio de Janeiro, 2005. 11 Ibid. 12 FERNANDES, J. H. C. Introdução à Gestão de Riscos de Segurança da Informação. 75 f. Texto desenvolvido para suporte das atividades de Ensino do Programa de Pesquisas e Formação de Especialistas. Universidade de Brasília (UnB), Brasília, 2009.

10

O impacto é definido como uma mudança adversa no nível obtido dos objetivos de

negócios13. Assim, quando se fala em impacto o dano causado por um incidente de segurança

é observado de um modo mais abrangente em relação ao negócio da organização como um

todo. Conforme o Anexo B.3 da norma, o impacto pode ser direto: (i) valor financeiro de

reposição do ativo perdido; (ii) custo de aquisição, configuração e instalação do novo ativo ou

do back-up; (iii) custo das operações suspensas devido ao incidente até que o serviço prestado

pelos ativos afetados seja restaurado; (iv) conseqüências resultantes de violações da segurança

da informação; e indireto: (i) custo de oportunidade; (ii) custo das operações interrompidas;

(iii) mau uso das informações obtidas através da violação da segurança; (iv) violação de

obrigações estatutárias ou regulatórias; (v) violação dos códigos éticos de conduta.

A seguir destacam-se outros conceitos pertinentes à gestão de risco de segurança da

informação. A Figura 2 apresenta um mapa que permite visualizar a relação entre os conceitos

fundamentais da gestão de risco.14

Evento de segurança da informação: �uma ocorrência identificada de um estado de

sistema, serviço ou rede, indicando uma possível violação da política de segurança da

informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser

relevante para a segurança da informação�.15

Risco residual: risco remanescente após o tratamento de riscos.16

Aceitação do risco: decisão de aceitar um risco.17

Avaliação de riscos: processo de comparar o risco estimado com critérios de risco

predefinidos para determinar a importância do risco.18

Tratamento do risco: processo de seleção e implementação de medidas para modificar

um risco.19

Ação de evitar o risco: decisão de não se envolver ou agir de forma a se retirar de uma

situação de risco.20

13 Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27005: Gestão de risco de segurança da informação. Rio de Janeiro, 2008. 14 FERNANDES, J. H. C. Op. Cit. 15 Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001:2006. Sistema de gestão de segurança da informação � requisitos. Rio de Janeiro, 2006. 16 Ibid. 17 Ibid. 18 Ibid. 19 Ibid.

11

Comunicação do risco: troca ou compartilhamento de informação sobre o risco entre o

tomador de decisão e outras partes interessadas.21

Estimativa de riscos: processo utilizado para atribuir valores à probabilidade e

conseqüências de um risco.22

Identificação de riscos: processo para localizar, listar e caracterizar elementos do risco.23

Redução do risco: ações tomadas para reduzir a probabilidade, as conseqüências

negativas, ou ambas, associadas a um risco.24

Retenção do risco: aceitação do ônus da perda ou do benefício do ganho associado a um

determinado risco.25

Transferência do risco: compartilhamento com outra entidade do ônus da perda ou do

benefício do ganho associado a um risco.26

No que tange a retenção e transferência do risco, somente conseqüências negativas

(perdas) são consideradas.

20 Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27005: Gestão de risco de segurança da informação. Rio de Janeiro, 2008. 21 Ibid. 22 Ibid. 23 Ibid. 24 Ibid. 25 Ibid. 26 Ibid.

12

Figura 2 � Um mapa de conceitos sobre risco de segurança da informação.27

3.1.2 O processo de gestão de riscos

A norma ISO/IEC 27005 contém a descrição e as diretrizes do processo de gestão de

risco de segurança da informação e das suas atividades. A Figura 3 é um esquema do

encadeamento das atividades do processo de gestão de risco.

O processo de gestão de risco começa com a definição do contexto. Em seguida é feita a

análise/avaliação de riscos, em que os riscos são identificados, estimados e avaliados segundo

critérios definidos no momento do estabelecimento do contexto. Finda está fase há o primeiro

ponto de decisão onde é verificado se a avaliação foi satisfatória ou não, caso não seja, o

processo é repetido. Vale destacar que a segunda iteração é para os riscos que precisam ser

detalhados, logo, o contexto da segunda iteração é mais específico que o da primeira. Se a

avaliação for considerada satisfatória passa-se ao tratamento do risco, etapa onde os riscos

podem ser reduzidos, retidos, evitados ou transferidos. É possível que o risco residual que

resulta do tratamento não seja aceitável para a organização, daí faz-se necessária outra

iteração de análise/avaliação de riscos.

27 FERNANDES, J. H. C. Op. Cit.

13

Figura 3 � Visão geral do processo de gestão de risco segundo a norma ISO/IEC 27005.

A aceitação do risco é importante porque os gestores da organização registram

formalmente a aceitação do risco residual. A comunicação do risco deve ser feita durante todo

o processo porque informações sobre os riscos e modo como serão tratados podem ser úteis

para os gestores e para áreas operacionais no gerenciamento de algum incidente. O

monitoramento cotidiano e a análise crítica são necessários para assegurar que o contexto, o

resultado da análise/avaliação de riscos e do tratamento do risco, assim como os planos de

gestão, permaneçam relevantes e adequados às circunstâncias.

As atividades do processo de gestão de risco de segurança da informação, conforme

apresentadas acima, são as seguintes: definição do contexto, análise/avaliação de riscos,

14

tratamento do risco, aceitação do risco, comunicação do risco e monitoramento e análise

crítica de riscos. A seguir serão descritas cada uma dessas atividades.

3.1.3 Definição do contexto

A definição do contexto determina o objeto sobre o qual a gestão de risco vai atuar.

Como sub-processo, a definição do contexto recebe como entrada todas as informações sobre

a organização relevantes para a definição do contexto e presta como saída à especificação dos

critérios básicos; o escopo e os limites do processo de gestão de riscos de segurança da

informação; e a organização responsável pelo processo.

A definição do contexto compreende a definição de critérios básicos necessários para a

gestão de riscos de segurança da informação, a definição do escopo e dos limites e o

estabelecimento de uma organização apropriada para atuar na gestão de riscos.

3.1.3.1 Critérios básicos

Conforme o objetivo da gestão de risco e as especificidades da organização diferentes

critérios de risco podem ser elaborados. Os critérios básicos apresentados pela norma têm o

objetivo de dar suporte e um SGSI e se dividem em critérios para a avaliação de riscos,

critérios de impacto e critérios para a aceitação do risco.

Critérios para a avaliação de riscos: estabelece um parâmetro para a avaliação dos

riscos e são usados para especificar as prioridades para o tratamento do risco. Para sua

elaboração são considerados: (i) o valor estratégico do processo que trata as

informações de negócio; (ii) a criticidade dos ativos de informação envolvidos; (iii)

requisitos legais e regulatórios, bem como as obrigações contratuais; (iv) importância

do ponto de vista operacional e dos negócios, da disponibilidade, da confidencialidade

e da integridade; (v) expectativas e percepções das partes interessadas e conseqüências

negativas para a imagem e a reputação.28

Critérios de impacto: procura definir um termo para avaliar o impacto de um cenário

de incidente. São considerados na sua definição: (i) o nível de classificação do ativo

de informação afetado; (ii) a ocorrências de violação da segurança da informação; (iii)

operações comprometidas; (iv) perda de oportunidades de negócio e de valor

28 Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27005: Gestão de risco de segurança da informação. Rio de Janeiro, 2008.

15

financeiro; (v) interrupção de planos e o não cumprimento de prazos; (vi) dano à

reputação; (vii) violações de requisitos legais, regulatórios ou contratuais.29

Critérios para a aceitação do risco: estabelece uma escala de níveis de aceitação do

risco, normalmente, depende das políticas, metas e objetivos da organização, assim

como dos interesses das partes interessadas. Segundo a norma, os critérios para a

aceitação do risco podem possuir limites diversos, em que riscos acima do patamar

estabelecido podem ser aceitos sob circunstâncias definidas. Além disso, diferentes

critérios podem ser aplicados a diferentes classes de risco, podem incluir requisitos

para um tratamento adicional futuro, e podem ser diferenciados de acordo com o

tempo de existência previsto do risco. A norma ressalta, ainda, que devem ser

considerados no estabelecimento desses critérios os seguintes itens: (i) critérios de

negócio; (ii) aspectos legais e regulatórios; (iii) operações; (iv) tecnologia; (v)

finanças; e (vi) fatores sociais e humanitários.

3.1.3.2 Definição do escopo e limites

O escopo e o limite do processo de gestão de risco definem a abrangência do processo

sobre os ativos da organização. É importante que sejam reunidas informações sobre a

organização, e que sejam consideradas as seguintes informações: (i) objetivos estratégicos,

políticas e estratégias da organização; (ii) processos de negócio; (iii) funções e estrutura da

organização; (iv) requisitos legais, regulatórios e contratuais aplicáveis à organização; (v)

política de segurança da informação da organização; (vi) abordagem da organização à gestão

de riscos; (vi) ativos de informação; (vii) localidades em que a organização se encontra e suas

características geográficas; (viii) restrições que afetam a organização; (ix) expectativas das

partes interessadas; (x) ambiente sociocultural; e (xi) interfaces, ou seja, a troca de informação

com o ambiente.

3.1.3.3 Organização para gestão de riscos

Um grupo ou fração da organização deve ser estabelecido e mantido para executar o

processo de gestão de risco. Conforme a ISO/IEC 27005, os papéis e responsabilidades desse

grupo são: (i) desenvolvimento do processo de gestão de riscos de segurança da informação

adequado à organização; (ii) identificação e análise das partes interessadas; (iii) definição dos

29 Ibid.

16

papéis e responsabilidades de todas as partes, internas e externas à organização; (iv)

estabelecimento das relações necessárias entre a organização e as partes interessadas, das

interfaces com as funções de alto nível de gestão de riscos da organização, assim como das

interfaces com outros projetos ou atividades relevantes; (v) definição de alçadas para a

tomada de decisões; e (vi) especificação dos registros a serem mantidos.

3.1.4 Análise/avaliação de riscos

A análise/avaliação de riscos identifica, quantifica ou descreve qualitativamente os riscos,

o que capacita os gestores a priorizá-los de acordo com a sua gravidade e com os critérios

estabelecidos na definição do contexto. Tem como entrada os critérios básicos, o escopo e os

limites, e a organização do processo de gestão de riscos, e como saída uma lista de riscos

avaliados, ordenados por prioridade de acordo com os critérios de avaliação de riscos.

Segundo a ISO/IEC 27005 a análise/avaliação de riscos é executada freqüentemente em

duas ou mais iterações. A primeira seria uma avaliação de alto nível que identifica os riscos

com potencial de alto impacto. Esses riscos são avaliados com maior profundidade em uma

segunda iteração. Caso ainda não seja possível avaliar o risco de maneira satisfatória, análises

detalhadas precisarão ser executadas, provavelmente em apenas partes do escopo e

possivelmente usando outro método.

A análise/avaliação de riscos desenvolve duas atividades: análise de risco, que se divide

em identificação e estimativa de riscos; e avaliação de riscos.

3.1.4.1 Análise de riscos

3.1.4.1.1 Identificação de riscos

O objetivo é identificar os elementos constituintes do risco, determinando os eventos que

possam causar uma perda potencial a organização. As atividades desenvolvidas são as

seguintes: (i) identificação de ativos; (ii) identificação de ameaças; (iii) identificação de

controles; (iv) identificação de vulnerabilidades; e (v) identificação de conseqüências. As

informações coletadas servem de entrada para a estimativa de riscos.30

30 Ibid.

17

Identificação de ativos: essa atividade visa identificar os ativos dentro do escopo que

precisa ter os seus riscos gerenciados. Recebe como entrada: o escopo e limites para a

análise/avaliação de riscos, e uma lista de preliminar dos ativos com os respectivos

responsáveis, localidade, função e outras características dos ativos; e como saída: uma

lista de ativos cujos riscos precisam ser controlados, e uma lista de processos do

negócio relacionados aos ativos e suas relevâncias.31

A identificação dos ativos, de acordo com a norma, deve ser executada com um

detalhamento adequado que forneça informações suficientes para as etapas seguintes

do processo. O detalhamento pode ser aprofundado a cada iteração da

análise/avaliação de riscos.

Para cada ativo é importante que seja identificado um responsável, o qual pode não

possuir a propriedade do ativo, mas tem responsabilidade sobre sua produção,

desenvolvimento, manutenção, utilização e segurança. O responsável pelo ativo é

freqüentemente a pessoa mais adequada para determinar o valor do mesmo para a

organização.32

Identificação de ameaças: recebe como entrada: informações sobre ameaças obtidas

a partir da análise crítica de incidentes, dos responsáveis pelos ativos, de usuários e de

outras fontes, incluindo catálogos externos de ameaças; e como saída: uma lista de

ameaças com a identificação do tipo e da fonte das ameaças.33

Conforme a ISO/IEC 27005, uma ameaça tem o potencial de comprometer ativos e

pode provocar impactos diferentes, dependendo de quais ativos são afetados. Além

disso, podem ser de origem natural ou humana, podem ser acidentais ou intencionais e

podem surgir de dentro ou de fora da organização. As fontes das ameaças acidentais e

das intencionais devem ser identificadas. As ameaças podem ser identificadas

genericamente e por classe (por exemplo: ações não autorizadas, comprometimento da

informação, falhas técnicas) e, em situações específicas, elas podem ser detalhadas.

31 Ibid. 32 Ibid. 33 Ibid.

18

Identificação dos controles existentes: recebe como entrada a documentação dos

controles e o plano de tratamento de risco, e como saída uma lista de todos os

controles existentes e planejados, sua implementação e status de utilização.34

Conforme a ISO/IEC 27005 a identificação dos controles evita custos e trabalho

desnecessários. Um controle que não funcione como esperado pode provocar o

surgimento de vulnerabilidades, por isso é importante medir a eficácia dos controles.

Uma maneira para estimar o efeito do controle é ver o quanto ele reduz a

probabilidade da ameaça, a facilidade de exploração de uma vulnerabilidade ou o

impacto do incidente.

Os controles podem ser considerados ineficazes, insuficientes ou não-justificados. Os

controles insuficientes ou não-justificados devem ser avaliados para determinar se

convém que o mesmo seja removido, substituído por outro mais adequado ou se deve

permanecer.

As atividades de identificação dos controles são as seguintes: (i) revisão da

documentação dos controles existentes ou planejados; (ii) verificar com os gestores de

segurança e com os usuários quais controles, relacionados ao escopo, estão realmente

implementados; (iii) revisar, no local, os controles físicos, comparando os controles

implementados com a lista de quais deveriam estar presentes, e verificar se aqueles

implementados estão funcionando efetivamente; (iv) analisar criticamente os

resultados de auditorias internas.35

Identificação das vulnerabilidades: recebe como entrada: (i) uma lista de ameaças

conhecidas; (ii) listas de ativos; e (iii) uma lista de controles existentes; e como saída:

(i) uma lista de vulnerabilidades associadas aos ativos, às ameaças e aos controles; e

(ii) uma lista de vulnerabilidades que não se refere a nenhuma ameaça identificada

para análise.36

As vulnerabilidades, segundo a norma, podem ser identificadas nas seguintes áreas: (i)

organização; (ii) processos e procedimentos; (iii) rotinas de gestão; (iv) recursos

humanos; (v) ambiente físico; (vi) configuração do sistema de informação; (vii)

34 Ibid. 35 Ibid. 36 Ibid.

19

hardware, software ou equipamentos de comunicação; (viii) dependência de entidades

externas.

Uma vulnerabilidade precisa de uma ameaça explorando-a para causar dano à

organização. Assim, uma vulnerabilidade que não tem uma ameaça correspondente

pode não requerer a implementação de um controle no presente, mas ela deve ser

monitorada, no caso de haver mudanças. Inversamente, uma ameaça que não tenha

uma vulnerabilidade correspondente pode não resultar em um risco.37

Vulnerabilidades podem estar ligadas a características do ativo, as quais podem ser

usadas de uma forma ou para um propósito diferente daquele para o qual o ativo foi

adquirido ou desenvolvido.38

Identificação das conseqüências: o objetivo é identificar as conseqüências que a

perda de confidencialidade, de integridade e de disponibilidade podem ter sobre os

ativos. Recebe como entrada: (i) uma lista de ativos; (ii) uma lista de processos do

negócio; e (iii) uma lista de ameaças e vulnerabilidades relacionadas aos ativos e sua

relevância; e como saída: uma lista de cenários de incidentes com suas conseqüências

associadas aos ativos e processos do negócio.

Um cenário de incidente, conforme a ISO/IEC 27005, é a descrição de uma ameaça

explorando certa vulnerabilidade ou um conjunto delas em um incidente de segurança

da informação. O impacto dos cenários de incidentes é considerado em função dos

critérios estabelecidos na definição do contexto.

A definição de valores aos ativos correspondendo aos seus custos financeiros e as

conseqüências aos negócios caso sejam danificados, em sua totalidade ou

parcialmente, contribui para essa atividade. Além disso, para a identificação das

conseqüências vale observar: (i) investigação e tempo de reparo; (ii) tempo de trabalho

perdido; (iii) oportunidade perdida; (iv) saúde e segurança; (v) custo financeiro das

competências específicas necessárias para reparar o prejuízo; (vi) imagem, reputação e

valor de mercado.39

37 Ibid. 38 Ibid. 39 Ibid.

20

3.1.4.1.2 Estimativa de riscos

A estimativa de riscos visa mensurar a conseqüência ou impacto dos cenários de

incidente e estimar a sua probabilidade. As atividades que realiza são as seguintes: (i)

avaliação das conseqüências; (ii) avaliação da probabilidade dos incidentes; (iii) estimativa do

nível de risco.

Metodologias para a estimativa de riscos: a estimativa de risco pode ser realizada

em diversos graus de detalhamento, já que a análise/avaliação de riscos normalmente é

feita em pelo menos duas iterações do processo. A primeira iteração seria de alto nível

com o objetivo de identificar os grandes riscos que a organização está exposta e para

tanto utilizaria um método qualitativo. Uma segunda iteração mais detalhada utilizaria

métodos quantitativos para estimar os riscos considerados mais graves pela

organização.

Os métodos de estimativa qualitativa utilizam uma escala de palavras que

qualificam ou que descrevem a gravidade das conseqüências identificadas, como por

exemplo, pequeno, médio e grande, e a probabilidade das ameaças ocorrerem. Um

método qualitativo é de fácil compreensão por qualquer pessoa e pouco oneroso,

porém a dependência à escolha subjetiva da escala é uma desvantagem. Conforme a

ISO/IEC 27005, a estimativa qualitativa pode ser utilizada: (i) como uma verificação

inicial a fim de identificar riscos que exigirão uma análise mais detalhada; (ii) quando

esse tipo de análise é suficiente para a tomada de decisões; e (iii) quando os dados

numéricos ou recursos são insuficientes para uma estimativa quantitativa.

Os métodos de estimativa quantitativos utilizam escalas com valores numéricos para

definir as conseqüências e a probabilidade. Utilizam, na maioria dos casos, dados

históricos de incidentes que podem ser relacionados aos objetivos e interesses da

organização, porém a falta desses dados principalmente sobre novos riscos inviabiliza

a sua utilização. Uma desvantagem da abordagem quantitativa ocorre quando dados

factuais e auditáveis não estão disponíveis. Nesse caso, a exatidão da análise/avaliação

de riscos e os valores associados tornam-se ilusórios. Por isso, a incerteza e a

variabilidade das conseqüências e da probabilidade devem ser consideradas na análise

e comunicadas de forma eficaz. 40

40 Ibid.

21

Avaliação das conseqüências: o objetivo é avaliar o impacto sobre o negócio da

organização, que pode ser causado por incidentes de segurança da informação. Recebe

como entrada uma lista de cenários de incidentes identificados como relevantes,

incluindo a identificação de ameaças, vulnerabilidades, ativos afetados e

conseqüências para os ativos e processos do negócio. A saída é uma lista de

conseqüências avaliadas referentes aos cenários de incidentes, relacionadas aos ativos

e critérios de impacto, conforme definido no contexto.41

O valor dos ativos presentes no escopo deve ser considerado, de acordo com a

ISO/IEC 27005, para avaliar as possíveis perdas que a organização está sujeita. Os

ativos são valorados segundo a sua criticidade, isto é, em relação ao seu custo de

reposição e as conseqüências ao negócio relacionadas à perda ou ao comprometimento

do ativo. Essa valoração pode ser determinada a partir de uma análise de impacto no

negócio � BIA (Business Impact Analysis).

Vale destacar que um incidente pode afetar mais de um ativo ou somente parte de um

ativo. Além disso, a criação de modelos com os resultados de um evento ou um

conjunto de eventos a partir de estudos experimentais ou dados passados contribuem

para determinar a extensão dos danos causados por um cenário de incidente e a relação

de dependência entre os ativos. As conseqüências podem ser expressas em função dos

critérios monetários, técnicos ou humanos, de impacto ou de outro critério relevante

para a organização.42

Avaliação da probabilidade dos incidentes: recebe como entrada: (i) uma lista de

cenários de incidentes identificados como relevantes, incluindo a identificação de

ameaças, ativos afetados, vulnerabilidades exploradas e conseqüências para os ativos e

processos do negócio; e (ii) listas com todos os controles existentes e planejados, sua

eficácia, implementação e status de utilização. A saída é a probabilidade dos cenários

de incidentes, utilizando um método quantitativo ou qualitativo.43

É importante observar a freqüência da ocorrência das ameaças e a facilidade com que

as vulnerabilidades podem ser exploradas, considerando o seguinte: (i) a experiência

passadas e estatísticas aplicáveis referentes à probabilidade da ameaça; (ii) a

41 Ibid. 42 Ibid. 43 Ibid.

22

motivação e as competências, que mudam ao longo do tempo, os recursos disponíveis

para possíveis atacantes, bem como a percepção da vulnerabilidade e o poder da

atração dos ativos para um possível atacante, no caso de ameaças intencionais; (iii)

fatores geográficos, a possibilidade de eventos climáticos extremos e fatores que

poderiam acarretar erros humanos e o mau funcionamento de equipamentos, no caso

de ameaças acidentais; (iv) vulnerabilidades, tanto individualmente como em

conjunto; e (v) os controles existentes e a eficácia com que eles reduzem as

vulnerabilidades.44

Estimativa do nível de risco: o objetivo é estimar o nível de riscos de todos cenários

de incidentes considerados relevantes. Recebe como entrada uma lista de cenários de

incidentes com suas conseqüências associadas aos ativos, processos de negócio e suas

probabilidades. A saída é uma lista de riscos com níveis de valores designados.45

Segundo a ISO/IEC 27005, o risco é estimado por meio da combinação entre a

probabilidade de um cenário de incidente e suas conseqüências. Desse modo, são

designados valores, de natureza quantitativa ou qualitativa, para a probabilidade e para

as conseqüências de um risco. Por conseguinte, o nível de risco dos cenários de

incidentes é determinado. Além disso, a estimativa de risco pode considerar o custo-

benefício, as preocupações das partes interessadas e outras variáveis, conforme

apropriado para a avaliação de riscos.

3.1.4.2 Avaliação de riscos

A avaliação de riscos visa comparar o nível de riscos dos cenários de incidentes

encontrados com os critérios de avaliação de riscos e com os critérios para a aceitação do

risco. As entradas da atividade são (i) uma lista de riscos com níveis de valores designados e

(ii) critérios para a avaliação de riscos. A saída é uma lista de riscos ordenados por prioridade,

de acordo com os critérios de avaliação de riscos, e associados aos cenários de incidentes que

os provocam.46

Os riscos estimados são avaliados por meio dos critérios de avaliação de riscos e dos

critérios para a aceitação do risco estabelecidos durante a definição do contexto. Neste estágio

44 Ibid. 45 Ibid. 46 Ibid.

23

o contexto deve ser revisado detalhadamente em que se conhece mais sobre os riscos

identificados. Além disso, os critérios de avaliação de riscos devem ser consistentes com o

contexto interno e externo da organização e devem considerar os objetivos da organização e o

ponto de vista das partes interessadas. Vale destacar que a agregação de múltiplos riscos

pequenos e médios pode resultar em um risco significativo que precisará ser tratado

adequadamente.47

Segundo a ISO/IEC 27005 os seguintes itens devem ser considerados:

As propriedades da segurança da informação (confidencialidade, integridade e

disponibilidade). Caso um critério não seja importante para a organização, logo, todos

os riscos que provocam esse tipo de impacto podem ser considerados irrelevantes.

A importância do processo de negócios ou da atividade suportada por um determinado

ativo ou conjunto de ativos. Os riscos associados a processos julgados de baixa

importância devem ser menos considerados que os associados a processos mais

importantes.

Com a avaliação de riscos a etapa de análise/avaliação de riscos termina, caso os

resultados tenham sido insatisfatórios deve-se retornar ao estabelecimento do contexto, caso a

avaliação tenha sido satisfatória passa-se ao tratamento do risco.

3.1.5 Tratamento do risco

O tratamento do risco visa selecionar controles para reduzir, reter, evitar ou transferir os

riscos e definir um plano de tratamento do risco Recebe como entrada uma lista de riscos

ordenados por prioridade e associados aos cenários de incidentes que os provocam, e como

saída o plano de tratamento do risco e os riscos residuais, sujeitos à decisão de aceitação por

parte dos gestores da organização.48 A Figura 4 ilustra a atividade de tratamento de risco

dentro do processo de gestão de risco de segurança da informação.

Conforme a ISO/IEC 27005, as opções do tratamento do risco são selecionadas

considerando o resultado da análise/avaliação de riscos, o custo esperado para implementação

dessas opções e os benefícios previstos. Porém os riscos improváveis e de impacto severo

podem exigir controles que não são justificáveis do ponto de vista estritamente econômico,

47 Ibid. 48 Ibid.

24

como por exemplo, controles de continuidade de negócios. Além disso, as quatro opções para

o tratamento do risco não são mutuamente excludentes, pode haver combinações entre elas de

modo a beneficiar a organização.

O plano de tratamento do risco deve identificar claramente a ordem de prioridade em que

as formas de tratamento do risco sejam implementadas, assim como os seus prazos de

execução. Algumas formas de tratamento do risco podem lidar com mais de um risco de

forma efetiva, por exemplo, o treinamento e a conscientização em segurança.

Após a definição do plano de tratamento do risco, os riscos residuais precisam ser

determinados. Para isso, ocorre uma repetição da análise/avaliação de riscos, considerando os

efeitos previstos do tratamento do risco que foi proposto. Caso o risco residual ainda não

satisfaça os critérios para a aceitação do risco da organização, uma nova iteração do

tratamento do risco pode ser necessária antes de se prosseguir à aceitação do risco. 49 A seguir

as opções de tratamento do risco são detalhadas.

Figura 4 � A atividade de tratamento do risco segundo a norma ISO/IEC 27005.

49 Ibid.

25

Redução do risco: consiste na tomada de ações para reduzir a probabilidade, as

conseqüências negativas, ou ambas, associadas a um risco. Nesse caso o nível de risco

é reduzido através da seleção de controles, para que o risco residual possa ser

reavaliado e então considerado aceitável.50

No âmbito de um sistema de gestão da segurança da informação em que a gestão de

risco está inserida, a seleção de controles para redução do risco se dá dentre as opções

oferecidas pela norma ISO/IEC 27002 � Código de prática para a gestão da segurança

da informação.

A escolha dos controles, de acordo com a ISO/IEC 27005, deve considerar: (i)

critérios para a aceitação do risco; (ii) requisitos legais, regulatórios e contratuais; (iii)

custos e prazos para a aquisição, implementação, administração, operação,

monitoramento e manutenção dos controles em relação ao valor dos ativos sendo

protegidos; (iv) o retorno do investimento em segurança, na forma da redução do risco

e da possibilidade de se explorar novas oportunidades de negócio em função da

existência de certos controles; (v) aspectos técnicos, culturais e ambientais; (vi)

competências especializadas que possam ser necessárias para definir e implementar

novos controles ou modificar os existentes. Vale ressaltar que os controles podem

fornecer os seguintes tipos de proteção: correção, eliminação, prevenção, minimização

do impacto, dissuasão, detecção, recuperação, monitoramento e conscientização.

Um controle pode afetar o desempenho de um sistema ou processos de uma

organização. Por isso é importante que uma solução que satisfaça os requisitos de

desempenho e que possa, ao mesmo tempo, garantir um nível suficiente de segurança

da informação seja encontrada.51

A norma destaca a necessidade de considerar restrições que podem afetar a seleção de

controles, as quais podem ser da seguinte natureza: temporais, financeiras, técnicas,

operacionais, culturais, éticas, ambientais, legais, facilidade de uso, restrições de

recursos humanos e restrições ligadas à integração dos controles novos aos já

existentes.

50 Ibid. 51 Ibid.

26

Retenção do risco: é a aceitação do ônus da perda ou do benefício do ganho

associado a um determinado risco, todavia, no contexto dos riscos de segurança da

informação, somente conseqüências negativas são consideradas. A decisão sobre a

retenção de algum risco é tomada em função da avaliação de risco. Se o nível de risco

atende aos critérios para a aceitação do risco, não há necessidade de se implementar

controles adicionais e pode haver a retenção do risco.52

Ação de evitar o risco: é a decisão de não se envolver ou agir de forma a se retirar de

uma situação de risco, isto é, a organização evita a atividade ou condição que dá

origem a um determinado risco. Esta ação é realizada quando o risco é demasiado e

quando os custos para a redução do risco são superiores aos benefícios. Por exemplo:

para riscos causados por fenômenos naturais, pode ser uma alternativa mais rentável

mover fisicamente as instalações de processamento de informações para um local

onde o risco não existe ou está sob controle.53

Transferência do risco: é o compartilhamento com outra entidade do ônus da perda

ou do benefício do ganho associado a um risco, isto é, a transferência de um risco para

outra entidade externa a organização que possa gerenciá-lo de forma mais eficaz. A

transferência do risco pode criar novos riscos ou modificar riscos existentes e já

identificados. Portanto, uma nova iteração do processo de gestão de risco pode vir a

ser necessária.

Uma forma de transferir o risco é a contratação de um seguro que cubra o impacto de

incidente outra forma seria a subcontratação de um parceiro cujo papel seria o de

monitorar o sistema de informação e tomar medidas imediatas que impeçam um

ataque antes que ele possa causar um determinado nível de dano ou prejuízo. Desse

modo é possível transferir a responsabilidade pelo gerenciamento do risco, entretanto a

responsabilidade legal pelo impacto normalmente não é possível ser transferida.

Assim, os clientes provavelmente irão atribuir a culpa por um efeito adverso à

organização. 54

52 Ibid. 53 Ibid. 54 Ibid.

27

3.1.6 Aceitação do risco

A aceitação do risco é a formalização pela autoridade competente da decisão de aceitar o

risco. Recebe como entrada: o plano de tratamento do risco e a análise/avaliação do risco

residual sujeito à decisão dos gestores da organização relativa à aceitação do mesmo. A saída

da atividade é uma lista de riscos aceitos, incluindo uma justificativa para aqueles que não

satisfaçam os critérios normais para aceitação do risco.55

Os gestores da organização devem analisar o plano de tratamento de risco e os riscos

residuais e, no caso de aprovação dos mesmos, as condições associadas à aprovação devem

ser registradas.

Conforme a ISO/IEC 27005, os critérios para a aceitação do risco podem ser mais

complexos do que a verificação se o risco residual está acima ou abaixo do limite

determinado pela organização. É possível que o nível de risco residual não satisfaça os

critérios para a aceitação do risco aplicados no momento. Em algum destes casos os gestores

podem aceitar o risco desce que a decisão seja formalizada e comente explicitamente sobre o

risco e inclua uma justificativa para ultrapassar os critérios normais para a aceitação do risco.

3.1.7 Comunicação do risco

A comunicação do risco preconiza o compartilhamento contínuo das informações

referentes aos riscos entre as partes interessadas durante todo o processo de gestão de risco.

Recebe como entrada todas as informações sobre os riscos obtidas através das atividades de

gestão de riscos. A saída da atividade é o entendimento contínuo do processo de gestão de

riscos de segurança da informação da organização e dos resultados obtidos.56

A comunicação do risco é uma atividade bidirecional, em que se busca o consenso entre

os tomadores de decisão e as partes interessadas sobre como os riscos devem ser gerenciados.

Entretanto, a percepção do risco varia devido a diferenças de suposições, conceitos,

necessidades, interesses e preocupações das partes interessadas quando lidam com o risco. É

importante que a sua percepção do risco, as razões subjacentes e a sua percepção dos

benefícios sejam claramente entendidas, consideradas e documentadas. Além disso, a

comunicação eficaz impacta significativamente sobre a tomada de decisão, já que ela

55 Ibid. 56 Ibid.

28

assegurará que todos tenham um bom entendimento do por que as decisões são tomadas e dos

motivos que tornam certas ações necessárias.57

As informações que devem ser compartilhadas, conforme a ISO/IEC 27005, incluem,

dentre outros fatores, a existência do risco, sua natureza, forma, probabilidade, severidade,

tratamento e aceitabilidade.

A norma aponta que a comunicação do risco é realizada com a finalidade de: (i) fornecer

garantia do resultado da gestão de riscos da organização; (ii) coletar informações sobre os

riscos; (iii) compartilhar os resultados da análise/avaliação de riscos e apresentar o plano de

tratamento do risco; (iv) evitar ou reduzir tanto a ocorrência quanto as conseqüências das

violações da segurança da informação que aconteçam devido à falta de entendimento mútuo

entre os tomadores de decisão e as partes interessadas; (v) dar suporte ao processo decisório;

(vi) obter novo conhecimento sobre a segurança da informação; (vii) coordenar com outras

partes e planejar respostas para reduzir as conseqüências de um incidente; (viii) dar aos

tomadores de decisão e as partes interessadas um senso de responsabilidade sobre riscos; e

(ix) melhorar a conscientização.

3.1.8 Monitoramento e análise crítica de riscos

O monitoramento e análise crítica de riscos é um conjunto de atividade continuamente

executo que visa monitorar as mudanças no contexto, nos componentes do risco e aprimorar o

processo de gestão de risco. Dividi-se em duas atividades: (i) monitoramento e análise crítica

dos fatores de risco, e (ii) monitoramento, análise crítica e melhoria do processo de gestão de

risco.

Monitoramento e análise crítica dos fatores de risco: os componentes do risco, isto

é, valor dos ativos, impactos, ameaças, vulnerabilidades, probabilidade de ocorrência,

devem ser monitorados a analisados criticamente para detectar qualquer mudança no

contexto da organização. Recebe como entrada todas as informações sobre os riscos

obtidas através das atividades de gestão de riscos. A saída da atividade é o

alinhamento contínuo da gestão de riscos com os objetivos de negócios da organização

e com os critérios para a aceitação do risco.58

57 Ibid. 58 Ibid.

29

Os riscos não são estáticos, os seus componentes podem mudar repentinamente, sem

qualquer indicação, daí a importância do monitoramento e análise crítica. Segundo a

norma os seguintes itens devem ser monitorados: (i) novos ativos que tenham sido

incluídos no escopo da gestão de riscos; (ii) modificações necessárias dos valores dos

ativos; (iii) novas ameaças que podem estar ativas tanto fora quanto dentro da

organização; (iv) o surgimento de vulnerabilidades novas ou as que já identificadas se

ampliem devido às novas ameaças; (v) as conseqüências ou o impacto ampliado de

ameaças, vulnerabilidades e riscos avaliados em conjunto; e (vi) incidentes

relacionados à segurança da informação.

Monitoramento, análise crítica e melhoria do processo de gestão de risco: o

processo de gestão de riscos deve ser continuamente monitorado, analisado

criticamente e melhorado. Recebe como entrada: todas as informações sobre os riscos

obtidos através das atividades de gestão de riscos, e como saídos: a garantia

permanente da relevância do processo de gestão de riscos de segurança da informação

para os objetivos de negócios da organização ou a atualização do processo.59

As atividades e os resultados do processo de gestão de risco devem ser acompanhados

para verificar se permanecem apropriados as circunstâncias da organização. As

melhorias devem ser comunicadas aos gestores apropriados, para aumentar a garantia

de que os riscos foram corretamente considerados e para garantir uma compreensão

realista do risco e da capacidade de reação. Além disso, os critérios utilizados para

mensurar o risco devem ser avaliados se continuam válidos e coerentes com as

necessidades da organização.60

A atividade de monitoramento e análise crítica, de acordo com a ISO/IEC 27005, deve

acompanhar as mudanças nos seguintes aspectos: (i) contexto legal e do ambiente; (ii)

contexto da concorrência; (iii) método de análise/avaliação de riscos; (iv) valor e as

categorias dos ativos; (v) critérios de impacto; (vi) critérios para a avaliação de riscos;

(vii) critérios para a aceitação do risco; (viii) custo total de propriedade; e (ix) recursos

necessários.

O monitoramento da gestão de riscos pode resultar em modificação ou acréscimo da

abordagem, metodologia ou ferramentas utilizadas, dependendo: (i) das mudanças

59 Ibid. 60 Ibid.

30

identificadas; (ii) da iteração da análise/avaliação de riscos; (iii) do objetivo do

processo de gestão de riscos de segurança da informação; e (iv) do objeto de interesse

do processo de gestão de riscos de segurança da informação.61

3.2 Administração pública

Segundo Hely Lopes Meirelles62 a administração pública, em sentido formal, é o

conjunto de órgãos instituídos para consecução dos objetivos do Governo; em sentido

material, é o conjunto das funções necessárias aos serviços públicos em geral; em acepção

operacional, é o desempenho perene e sistemático, legal e técnico, dos serviços próprios do

Estado ou por ele assumidos em beneficio da coletividade. Numa visão global, a

Administração é, pois, todo o aparelhamento do Estado preordenado à realização de seus

serviços, visando à satisfação das necessidades coletivas. A Administração não pratica atos de

governo; pratica, tão-somente, atos de execução, com maior ou menor autonomia funcional,

segundo a competência do órgão e de seus agentes.

Em sentido material ou objetivo, conforme Maria Sylvia Zanella Di Pietro63, a

administração pública abrange as seguintes atividades o fomento, a polícia administrativa e

o serviço público.

O fomento abrange a atividade administrativa de incentivo a iniciativa privada de

utilidade pública. São exemplos de fomento auxílios financeiros ou subvenções,

financiamentos sob condições especiais, favores fiscais, desapropriações e a intervenção. Esta

última compreende a regulamentação e fiscalização da atividade econômica de natureza

privada, bem como a atuação direta do Estado no domínio econômico, o que se dá

normalmente por meio das empresas estatais.

A polícia administrativa compreende toda atividade de execução das limitações

administrativas, que são restrições impostas por lei ao exercício de direitos individuais em

benefício do interesse coletivo. Compreende medidas de polícia, como ordens, notificações,

licenças, autorizações, fiscalização e sanções.

61 Ibid. 62 MEIRELLES, H. L. Direito Administrativo Brasileiro. São Paulo: Malheiros, 2005. 63 DI PIETRO, M. S. Z. Direito Administrativo. São Paulo: Atlas, 2006.

31

Serviço público é toda atividade que a Administração Pública executa, direta ou

indiretamente, para satisfazer à necessidade coletiva. Quanto ao objeto, os serviços públicos

podem ser classificados como administrativos, comerciais ou industriais e sociais64.

Os serviços administrativos são os que a Administração Pública executa para

atender às suas necessidades internas ou preparar outros serviços que serão

prestados ao público, tais como os da imprensa oficial, das estações

experimentais e outros dessa natureza65.

Serviço público comercial ou industrial é aquele que a Administração Pública

executa, direta ou indiretamente, para atender às necessidades coletivas de ordem

econômica. É o caso dos serviços de transportes, energia elétrica,

telecomunicações e outros. Esses serviços não se confundem com a atividade

econômica que só pode ser prestada pelo Estado em caráter suplementar da

iniciativa privada, os quais são considerados como atividade de fomento.

Serviço público social é o que atende a necessidades coletivas em que a atuação

do Estado é essencial, mas que convivem com a iniciativa privada, tal como

ocorre com os serviços de saúde, educação, previdência, cultura, meio ambiente;

Órgãos públicos são centros de competência instituídos para o desempenho de funções

estatais, através de seus agentes, cuja atuação é imputada à pessoa jurídica a que pertencem.

São unidades de ação com atribuições especificas na organização estatal. Cada órgão, como

centro de competência governamental ou administrativa, tem necessariamente funções, cargos

e agentes, mas é distinto desses elementos, que podem ser modificados, substituídos ou

retirados sem supressão da unidade orgânica. Isto explica por que a alteração de funções, ou a

vacância dos cargos, ou a mudança de seus titulares não acarreta a extinção do órgão.

Os órgãos integram a estrutura do Estado e das demais pessoas jurídicas como partes

desses corpos vivos, dotados de vontade e capazes de exercer direitos e obrigações para a

consecução de seus fins institucionais. Por isso mesmo, os órgãos não têm personalidade

jurídica nem vontade própria, que são atributos do corpo e não das partes, mas na área de suas

atribuições e nos limites de sua competência funcional expressam a vontade da entidade a que

pertencem e a vinculam por seus atos, manifestados através de seus agentes (pessoas físicas).

64 Ibid. 65 MEIRELLES, op. cit.

32

A natureza da administração pública é a de um múnus público para quem a exerce, isto é,

a de um encargo de defesa, conservação e aprimoramento dos bens, serviços e interesses da

coletividade. Como tal, impõe-se ao administrador público a obrigação de cumprir fielmente

os preceitos do Direito e da moral administrativa que regem a sua atuação. Ao ser investido

em função ou cargo público, todo agente do poder assume para com a coletividade o

compromisso de bem servi-la, porque outro não é o desejo do povo, como legitimo

destinatário dos bens, serviços e interesses administrados pelo Estado.

Os fins da administração pública resumem-se num único objetivo: o bem comum da

coletividade administrada. Toda atividade do administrador público deve ser orientada para

esse objetivo. Se dele o administrador se afasta ou desvia, trai o mandato de que está

investido, porque a comunidade não institui a administração sendo como meio de atingir o

bem-estar social. Ilícito e imoral será todo ato administrativo que não for praticado no

interesse da coletividade.

3.2.1 Princípios da administração pública

Conforme Meirelles66, os princípios básicos da administração pública estão

consubstanciados em regras de observância permanente e obrigatória: legalidade, moralidade,

impessoalidade e publicidade, eficiência, razoabilidade, proporcionalidade, ampla defesa,

contraditório, segurança jurídica, motivação e supremacia do interesse público. Di Pietro

ainda acrescenta, dentre outros, o princípio da continuidade do serviço público. Por esses

padrões é que se pautam todos os atos administrativos. Constituem os fundamentos da ação

administrativa, são os sustentáculos da atividade pública. Serão abordados em mais detalhes

alguns desses princípios.

A legalidade, como principio de administração, significa que o administrador público

está sujeito aos mandamentos da lei e às exigências do bem comum, e deles não se pode

afastar ou desviar, sob pena de praticar ato inválido e expor-se a responsabilidade disciplinar,

civil e criminal, conforme o caso. A eficácia de toda atividade administrativa está

condicionada ao atendimento da lei. Na Administração Pública não há vontade pessoal.

Enquanto na administração particular é lícito fazer tudo que a lei não proíbe, na

Administração Pública só é permitido fazer o que a lei autoriza.67

66 MEIRELLES, op. cit. 67 Ibid.

33

A moralidade administrativa significa atuação segundo padrões éticos de probidade,

decoro e boa-fé. Constitui um pressuposto de validade de todo ato da Administração Pública.

O agente público não poderá desprezar o elemento ético de sua conduta. Ele não terá que

distinguir somente entre o bem e o mal, o legal e o ilegal, o justo e o injusto, o conveniente e

o inconveniente, o oportuno e o inoportuno, mas também entre o honesto e o desonesto. Há

uma moral institucional contida na lei e há uma moral administrativa, que é imposta de dentro

e vigora no próprio ambiente institucional e condiciona a utilização de qualquer poder

jurídico, mesmo o discricionário.68 O ato administrativo não terá que obedecer somente à lei

jurídica, mas também à lei ética da própria instituição, porque nem tudo que é legal é honesto.

A moral comum é imposta ao homem para sua conduta externa; a moral administrativa é

imposta ao agente público para sua conduta interna, segundo as exigências da instituição a

que serve e a finalidade de sua ação: o bem comum.69

O princípio da impessoalidade, ou ainda princípio da finalidade, impõe ao administrador

público que só pratique o ato para o seu fim legal. Significa que Administração Pública não

pode atuar com vistas a prejudicar ou beneficiar pessoas determinadas, visto que é sempre o

interesse público que deve nortear o seu comportamento. O ato administrativo que se afastar

desse objetivo estará sujeito a invalidação por desvio de finalidade, isto é, fim diverso daquele

previsto, explícita ou implicitamente, na regra de competência do agente. Esse princípio

também se aplica no sentido de excluir a promoção pessoal de autoridades ou servidores

públicos sobre suas realizações administrativas.70

Publicidade é a divulgação oficial do ato para conhecimento público e início de seus

efeitos externos. Por isso as leis, atos e contratos administrativos que produzem

conseqüências jurídicas fora dos órgãos que os emitem exigem publicidade para adquirirem

validade universal, isto é, perante as partes e terceiros. A publicidade é requisito de eficácia e

moralidade. Em princípio, todo ato administrativo deve ser publicado só se admitindo sigilo

nos casos em que a divulgação ponha em risco a segurança da sociedade e do Estado; ou viole

a intimidade, a vida privada, a honra e a imagem das pessoas; e investigações policiais,

conforme prescrição legal. O princípio da publicidade dos atos e contratos administrativos

68 DI PIETRO, op. cit. 69 MEIRELLES, op. cit. 70 Ibid..

34

visa propiciar seu conhecimento e controle pelos interessados diretos e pela sociedade em

geral. 71

O princípio da razoabilidade e proporcionalidade objetiva adequar os meios e os fins

de um ato da administração, de modo a evitar restrições desnecessárias ou abusivas. A idéia é

que seja guardada uma proporção adequada entre os meios que emprega e o fim que a lei

deseja alcançar, isto é, que não se trate de uma medida desproporcionada, excessiva em

relação ao que se deseja alcançar. Deve haver uma relação de pertinência entre oportunidade e

conveniência, de um lado, e a finalidade, de outro. A razoabilidade, agindo como um limite à

discrição na avaliação dos motivos, exige que sejam eles adequáveis, compatíveis e

proporcionais, de modo a que o ato atenda a sua finalidade pública específica.72

A proporcionalidade deve ser medida não pelos critérios pessoais do administrador, mas

segundo padrões comuns na sociedade em que vive, e não pode ser medida diante dos termos

frios da lei, mas diante do caso concreto. Com efeito, embora a norma legal deixe um espaço

livre para decisão administrativa, segundo critérios de oportunidade e conveniência, essa

liberdade às vezes se reduz no caso concreto, onde os fatos podem apontar para o

administrador a melhor solução.73

O princípio da motivação exige que a Administração Pública indique os fundamentos de

fato e de direito de suas decisões. Trata-se de uma formalidade necessária para permitir o

controle de legalidade dos atos administrativos. A motivação, normalmente, não exige formas

específicas, podendo ser ou não concomitante com o ato, além de ser feita, muitas vezes, por

órgão diverso daquele que proferiu a decisão. Freqüentemente, a motivação consta de

pareceres, informações, laudos, relatórios, feitos por outros órgãos, sendo apenas indicados

como fundamento da decisão. Nesse caso, eles constituem a motivação do ato, dele sendo

parte integrante.74

O princípio de eficiência exige que a atividade administrativa seja exercida com presteza,

perfeição e rendimento funcional.75 Este princípio apresenta dois aspectos: pode ser

considerado em relação ao modo de atuação do agente público, da qual se espera o melhor

desempenho possível de suas atribuições, para lograr os melhores resultados; e em relação ao

71 Ibid. 72 DI PIETRO, op.cit. 73 Ibid. 74 Ibid. 75 MEIRELLES, op.cit.

35

modo de organizar, estruturar, disciplinar a Administração Pública, também com o mesmo

objetivo de alcançar os melhores resultados na prestação do serviço público.76

Di Pietro ressalta que há uma oposição entre o princípio da eficiência e o princípio da

legalidade, pois o que importa aos cidadãos é que os serviços públicos sejam prestados

adequadamente. Entretanto, a eficácia não deve se confundir com a eficiência das

organizações privadas nem é, tampouco, um valor absoluto diante dos demais. O princípio da

legalidade deve ficar resguardado, porque a eficácia proposta pode sempre ser alcançada

conforme o ordenamento jurídico. Vale dizer que a eficiência é princípio que se sorna aos

demais princípios impostos à Administração, não podendo sobrepor-se a nenhum deles,

especialmente ao da legalidade.77

A continuidade do serviço público exige que o serviço público, sendo a forma pela qual

o Estado desempenha funções essenciais ou necessárias à coletividade, não pode parar. É

possível citar como exemplo da aplicação desse princípio a necessidade de regulamentação

específica, imposta pela Constituição, a greve de servidores públicos e de trabalhadores de

setores essenciais a sociedade. Outro exemplo, para evitar a paralisação de obras e serviços, é

a vedação ao particular contratado, dentro de certos limites, opor em face da Administração a

exceção de contrato não cumprido.78 Um exemplo mais recente, afeto a segurança da

informação, seria a gestão de continuidade de negócios, em que uma organização mantém

suas atividades principais na ocorrência de um desastre ou comprometimento de ativos vitais.

A supremacia do interesse público ou princípio da finalidade pública significa que a

Administração deve atuar atendendo aos fins de interesse geral, sendo vedada a renúncia total

ou parcial de poderes ou competências. A primazia do interesse público sobre o privado é

inerente à atuação estatal e domina-a, na medida em que a existência do Estado justifica-se

pela busca do interesse geral.79 Por exemplo, se a lei dá à Administração os poderes de

desapropriar, de requisitar, de intervir, de policiar, de punir, é porque tem em vista atender ao

interesse geral, que não pode ceder diante do interesse individual. Em conseqüência, se, ao

usar de tais poderes, a autoridade administrativa objetiva prejudicar um inimigo político,

beneficiar um amigo, conseguir vantagens pessoais para si ou para terceiros, estará fazendo

prevalecer o interesse individual sobre o interesse público e, em conseqüência, estará se

76 DI PIETRO, op.cit. 77 Ibid. 78 FILHO, J. S. C. Manual de Direito Administrativo. Rio de Janeiro: Lúmen Juris, 2006. 79 MEIRELLES, op.cit.

36

desviando da finalidade pública prevista na lei. Daí o vício do desvio de poder ou desvio de

finalidade, que torna o ato ilegal.80

80 DI PIETRO, op.cit.

37

4 INSTRUMENTOS PARA ANÁLISE/AVALIAÇÃO DE RISCO � ENFOQUE DE ALTO NÍVEL

Os instrumentos para análise/avaliação de risco com um enfoque de alto nível propostos

objetivam identificar os requisitos de segurança da informação para um órgão da

Administração Pública e suportar a criação de um sistema de gestão de segurança da

informação. Os instrumentos foram desenvolvidos com o propósito de ser a primeira iteração

do processo de gestão de riscos segundo a ISO/IEC 27005. Por isso utilizam uma estimativa

qualitativa para os riscos, em que o impacto e a probabilidade dos cenários de incidente são

mensurados a partir de escalas com atributos qualificadores.

As vantagens dessa abordagem em relação ao risco são a facilidade de compreensão pelas

pessoas envolvidas, é mais rápida e menos custosa que uma estimativa quantitativa. Porém

uma desvantagem que vale destacar é a escolha subjetiva das escalas. Para tentar minimizar o

caráter subjetivo do processo é indicado que uma equipe multidisciplinar trabalhe com a

gestão de risco, além disso é importante ouvir as pessoas das frações da organização

envolvidas no escopo, por meio de reuniões, entrevistas, brainstorm, visitas, etc.

Na abordagem proposta, a organização é abordada de um modo global, os aspectos

tecnológicos são considerados independentes das questões de negócio, isto é, concentra-se

sobre o negócio e sobre o ambiente operacional e menos sobre os elementos tecnológicos. Os

riscos decorrentes dessa análise são considerados como categorias ou classes gerais. O

tratamento dos riscos caminha no sentido de propor controles organizacionais, considerando

os aspectos gerenciais de controles técnicos. Logicamente, os riscos considerados graves

38

serão objetos de outras iterações do processo de análise/avaliação de riscos em que seus

componentes serão detalhados.81

Os instrumentos foram desenvolvidos para as seguintes atividades do processo de gestão

de risco de segurança da informação conforme a ISO/IEC 27005:

i. Definição do contexto: definição do escopo e dos critérios de risco;

ii. Análise/Avaliação de riscos;

Identificação de riscos: os ativos, processos, ameaças, vulnerabilidades e o impacto

dos cenários de riscos são identificados;

Estimativa de riscos: o nível de impacto, probabilidade e nível de risco são definidos;

Avaliação de riscos: os cenários de incidentes são priorizados conforme os critérios

de risco;

As outras atividades da GRSI, aceitação do risco, comunicação do risco, e monitoramento

e análise crítica dos riscos, seguirão as orientações da norma ISO/IEC 27005:2008.

4.1 Definição do contexto

A definição do contexto é um dos principais fatores do sucesso da gestão de risco.

Envolve a definição dos critérios básicos de risco, a definição do escopo e limites da gestão

de riscos.

4.1.1 Definição do escopo

A norma ISO/IEC 27005 sugere tacitamente que os critérios básicos sejam definidos

antes do escopo, porém o sentido natural do processo parece ser o contrário. Para especificar

os critérios é preciso considerar os processos estratégicos da organização, os ativos críticos,

dentre outras informações que necessariamente deverão estar no escopo. Além disso, os

critérios devem ser estabelecidos observando as características da organização e também as

especificidades do escopo.

O processo de gestão de risco envolve algumas escolhas em termos de abrangência. O

escopo é o conjunto de ativos que será coberto pelo processo. Um fator crítico para uma

81 As diretrizes para uma metodologia de análise/avaliação de riscos com um enfoque de alto nível são descritos no Anexo E da norma ISO/IEC 27005:2008.

39

organização que está começando um processo de gestão de risco é o tamanho do escopo.

Escopos pequenos podem não ser eficientes, por não cobrirem todos os ativos críticos da

organização e escopos muito grandes podem gerar projetos que não acabam nunca.82

O enfoque de alto nível como primeira iteração do processo de gestão de risco visa à

organização como um todo. Porém não será preciso uma análise exaustiva de todos os

elementos presentes no escopo, já que a abordagem concentra-se em aspectos gerais da

organização. Todavia, vale destacar que o escopo deve ser definido de modo que o processo

de gestão de risco seja sustentável.

Um ponto crítico da abordagem proposta é o potencial de menos precisão por utilizar

uma estimativa qualitativa para os riscos, então pode haver o perigo de algum ativo não ser

identificado entre aqueles que requerem uma segunda iteração. Isso pode ser contornado se o

levantamento de informações sobre a organização for adequado.

Uma forma de definir o escopo é a elaboração de um documento com a estrutura

conforme a indicada abaixo ou que aborde os mesmos itens. 83

1. Identificação da organização

Negócio público: (Definido pelas técnicas e know-how de seus funcionários, viabiliza o cumprimento de sua missão. É específico à área de atividade da organização e freqüentemente define sua cultura).

Missão: (A organização atinge seu propósito ao cumprir sua missão. Para bem identificá-la os serviços prestados devem ser relacionados aos seus públicos-alvos)

Valores: (São os princípios fundamentais ou um código de conduta bem definido, aplicados na rotina de um negócio público. Normalmente, incluem os recursos humanos, as relações com agentes externos, a qualidade dos produtos fornecidos ou dos serviços prestados. A APF possui seu código de ética em que muitos desses valores podem ser encontrados, todavia é válido verificar se os valores apontados são de fato aplicados a rotina do órgão).

Organograma: (É a estrutura da organização esquematizada. Essa representação precisa deixar claro quem se reporta a quem, destacando também a linha de comando que legitima a delegação de autoridade. Convém que inclua também outros tipos de relacionamentos, os quais, mesmo que não sejam baseados em uma autoridade oficial, criam de qualquer forma caminhos para o fluxo de informação).

Objetivos: (São as metas, o que se pretende alcançar). Estratégia: (É a expressão formalizada dos princípios que norteiam a

organização). Localidade e características geográficas: (São as características da região ou

82 RAMOS, A. et al. Security Officer 1: guia oficial para a formação de gestores de segurança da informação. Porto Alegre: Zouk, 2006. 83 Alguns itens foram retirados do Anexo A da norma ISO/IEC 27005:2008.

40

vizinhança onde a organização está instalada).

2. Legislação aplicável à organização: (São leis, decretos, portarias e regulamentos internos que dizem respeito à organização. Englobam também contratos, acordos e, mais genericamente, qualquer obrigação de natureza legal ou regulatória).

3. Limites do escopo: (São os limites organizacionais e físicos do escopo, como por exemplo uma fração ou unidade da organização, um processo ou serviço específico ou uma certa localidade geográfica). 4. Ativos de informação: (Neste ponto são listados os ativos de informação que farão parte do escopo. Os ativos primários e os de suporte e infra-estrutura poderão ser relacionados em categorias conforme a profundidade que se que imprimir na análise, embora em uma abordagem de alto nível não convenha descrições muito detalhadas. É importante que sejam elencados também os processos estratégicos da organização relacionados ao escopo, visto que os ativos que os suportam são considerados mais relevantes).

5. Características da organização Restrições que afetam a organização: (As restrições que afetam a

organização e determinam o direcionamento da segurança da informação devem ser elencadas. As suas origens podem ser encontradas na própria organização, o que lhe dá um certo controle sobre as restrições ou talvez sejam externas à organização, o que as tornariam, provavelmente, inegociáveis)

Expectativa das partes interessadas: (São as expectativas dos entes interessados nas atividades da organização. No caso da Administração Pública temos os cidadãos, a opinião pública, o governo, outros órgãos públicos, entidades de classe, empresas, etc.).

Dentre esses requisitos de informação vale destacar algumas especificidades da

Administração Pública Federal.

4.1.1.1 Especificidades da Administração Pública Federal

A Administração Pública de modo geral tem sua atuação marcadamente distinta da

iniciativa privada. O ponto de maior destaque é o princípio da legalidade que determina que a

eficácia da atividade administrativa esteja condicionada ao atendimento da lei. Enquanto na

iniciativa privada é permitido fazer tudo que a lei não proíbe, na administração pública só é

permitido fazer o que a lei autoriza.84 Nesse quesito há uma gama de diplomas legais relativos

à segurança da informação, a contratação de serviços e de pessoal, bem como a compra de

materiais, que os órgãos públicos devem observar.

84 MEIRELLES, op. cit. p. 88.

41

Há ainda algumas restrições que são comuns aos órgãos públicos que valem ser

destacadas:

Restrições de natureza política: a Administração Pública precisa aplicar as decisões

governamentais relativas a orientações estratégicas, operacionais, ou a políticas

públicas. Nesta questão merece destaque a descontinuidade administrativa. As

mudanças de direção normalmente são marcadas pelo rompimento de atividades e

programas, por modificações na estrutura órgão, e nas chefias intermediárias. A troca

de governo, ou de gestor, é vista como um momento em que naturalmente tudo vai

mudar, atividades e programas são rompidos, independentemente de política pública,

partido ou sua efetividade anterior. O pressuposto dessa prática é que o novo é novo e

o anterior é passado, para o novo se estabelecer é necessário ignorar o anterior.

Conseqüentemente, o novo se concebe virando a página para começar com uma

página em branco; os demais esperam para ver as novas direções � aceitando a

autoridade do novo mandatário.85 Portanto, o planejamento de uma ação sistemática

de gestão de risco ou de gestão de segurança da informação deve procurar se

estabelecer de modo formal e bem fundamentado para que não fique ao sabor das

mudanças ocasionadas pela descontinuidade administrativa.

Restrições orçamentárias: a gestão do dinheiro público é um processo complicado,

regido pelo Sistema de Planejamento e de Orçamento Federal, o qual é formado por

um conjunto de agentes, métodos e processos, tecnologias, recursos, normas técnicas,

articulados entre si, orientados para as atividades de elaboração, acompanhamento e

avaliação de planos, programas e orçamento. O modelo orçamentário do governo é

composto por três instrumentos básicos o plano plurianual, a lei de diretrizes

orçamentárias e a lei orçamentária anual, os quais correspondem respectivamente aos

níveis estratégico, tático e operacional.86 A principal implicação desse sistema é que a

dotação orçamentária anual dos órgãos públicos é feita com antecedência. Então a

previsão de gastos com a gestão de riscos, implementação de controle, dentre outros,

precisa ser feita com a mesma antecedência.

85 SPINK, Peter. Continuidade e Descontinuidade Administrativa. São Paulo: FGV, 2001. 86 VOLPE, Ricardo Alberto. Visão abrangente do processo político e institucional de planejamento e orçamento. Disponível em: <http://www.amefpp.org.mx/centrodoc/XXIXSemIPP/RicardoV.pdf>. Acesso em 10 out. 2008.

42

Restrições relativas aos recursos humanos: a Constituição diz que a investidura em

cargo ou emprego público depende de aprovação prévia em concurso público de

provas ou de provas e títulos, de acordo com a natureza e a complexidade do cargo ou

emprego. A realização de um concurso público é um processo demorado, precisa de

diversas autorizações e estudos, por isso a contratação de pessoal para atender as

demandas da gestão de risco ou da segurança da informação pode se tornar um

processo intricado. Todavia, é possível a contratação de servidores temporários,

mediante processo seletivo simplificado, para atender à necessidade transitória de

excepcional interesse público, no caso em que a demora do procedimento do concurso

público pode ser incompatível com as exigências imediatas da Administração. A

contratação de terceirizados é possível para os serviços de vigilância, de conservação e

limpeza, bem como para serviços especializados ligados à atividade-meio da

organização, desde que não exista a pessoalidade e a subordinação direta do

trabalhador terceirizado. A subordinação aqui tratada não é técnica, o terceirizado não

pode ter seu trabalho dirigido diretamente pela organização, isto é, recebendo ordens e

submetendo-se ao poder disciplinar da organização. Com relação à pessoalidade

pressupõe a realização da atividade por sujeito que não seja certo nem determinado. É

irrelevante a identidade do agente que desempenha a atividade, dado que a finalidade

da contratação limita-se à obtenção do resultado material pactuado. Vale destacar que

o inadimplemento das obrigações trabalhistas, por parte do empregador, implica a

responsabilidade subsidiária da Administração Pública. 87

4.1.2 Critérios de risco

Os critérios de risco são termos de referência por meio dos quais a significância do risco

é avaliada. A definição de critérios está relacionada de maneira íntima a atividade

desempenhada pela organização e ao escopo do processo de gestão de risco. De modo que é

inviável determinar critérios que sejam aplicáveis indiscriminadamente a todos os órgãos da

Administração Pública Federal.

87 DI PIETRO, op.cit.

43

Os critérios de risco subsidiam a decisão do gestor público quanto às opções de

tratamento do risco, por isso é importante que eles sejam bem fundamentados para que o

gestor possa justificar suas decisões e atender aos princípios da Administração Pública.

A norma ISO/IEC 27005 sugere pelo menos três tipos: critérios para avaliação de riscos,

critérios de impacto e critérios para aceitação do risco.

Critérios para a avaliação de riscos: eles são utilizados para determinar as

prioridades de tratamento dos riscos, serve para especificar os riscos que são

considerados mais significativos para a organização. Por exemplo, os incidentes que

envolvam determinado processo ou conjunto de ativos críticos podem ser

considerados mais importantes que outros, ou incidentes que envolvam a perda da

confidencialidade são mais graves do que aqueles que comprometem a

disponibilidade.

A planilha abaixo representa uma forma de avaliar riscos e de priorizá-los. O

momento de utilizá-la será na etapa de avaliação de riscos, após os riscos terem sido

identificados e mensurados. O primeiro elemento da planilha é o cenário de incidente,

isto é, a descrição da ameaça explorando a vulnerabilidade de um ativo. Em seguida

há o nível de risco (NR), que é a referência da combinação da probabilidade e do

impacto da ocorrência do cenário de incidente. O NR é um índice muito importante

para a avaliação e priorização dos riscos. As respostas aos quesitos que vem em

seguida na planilha ajudam a definir a ordem de prioridade de tratamento dos riscos

identificados, a qual será indicada na última coluna. Os quesitos devem ser adaptados

conforme as necessidades da organização.

Cenário de incidente NR Atin

ge a

lgum

pro

cess

o es

trat

égic

o?

Atin

ge a

lgum

ati

vo c

rític

o?

Vio

la a

lgum

req

uisi

to le

gal?

Cau

sa d

ano

a im

agem

ou

repu

taçã

o da

org

aniz

ação

?

Cau

sa d

ano

a im

agem

a d

o go

vern

o ou

do

país

?

Vio

la q

ual a

trib

uto

da

segu

ranç

a da

info

rmaç

ão?

Prio

riza

ção

dos r

isco

s.

Tabela 1 � Critério para a avaliação de risco.

44

Critérios de impacto: determinam a gravidade das conseqüências de um incidente,

são desenvolvidos em função do valor de reposição do ativo e da conseqüência para o

negócio público relacionada à perda do ativo. O primeiro está relacionado à criticidade

do ativo, ao seu custo e tempo de recuperação ou de reposição da informação. O

segundo refere-se aos prejuízos organizacionais, como violação de segurança da

informação, violação de requisitos legais, perda de oportunidades, comprometimento

de operações, perda da eficiência, dano a reputação. A tabela abaixo representa uma

forma como os critérios de impacto podem ser apresentados. Serão elaboradas

definições para os graus de importância dos ativos como um todo e para a graduação

da conseqüência para a atividade do órgão.

Critério Alta Média Baixa

Valor de reposição do ativo

Conseqüência para o negócio público relacionada à perda do ativo

Tabela 2 � Critério de impacto.

Vale ressaltar que os prejuízos intangíveis, como danos a reputação, tomam uma

proporção diferente quando se trata da Administração Pública. Uma empresa privada

quando sofre um incidente que prejudica sua reputação, por exemplo, pode perder a

confiança de seus clientes, oportunidades, dentre outras coisas, porém o prejuízo quase

sempre é restrito apenas a empresa. Para a Administração Pública as conseqüências

vão além do órgão atingido, podem alcançar o governo e até o próprio país.

Critérios para aceitação do risco: o estabelecimento desses critérios depende dos

marcos legais, políticas, metas e objetivos da organização. Outros aspectos também

devem ser observados como critérios de negócio, finanças, tecnologia, fatores sociais

e humanitários. Podem ser estabelecidos limites diferentes para partes específicas do

45

escopo, assim como um risco pode ser aceito mediante um compromisso de

tratamento em um tempo futuro.

É importante que seja definida uma escala de níveis de aceitação de risco. Desse

modo, o NR variará de 1 a 25 e dentro desse intervalo defini-se uma classificação

geral da grandeza do risco, como por exemplo, riscos alto, médio e baixo. Esses

degraus podem ser ajustados de modos diferentes para atender as necessidades da

organização ou do escopo. A tabela abaixo representa uma forma de sistematizar os

critérios de aceitação de risco. A organização pode definir, por exemplo, que de

maneira geral os riscos alto e médio não serão aceitos, todavia, é possível que sejam

postas exceções e diferentes níveis de aceitação de risco. Vale destacar que as

exceções devem ser justificadas.

Nível de risco (1 � 25)

Descrição Aceitabilidade Exceções Observações

Alto (15 � 25)

Médio (4 � 12)

Baixo (1 � 4)

Justificativa das exceções:

Tabela 3 � Critério para a aceitação de risco.

A definição de critérios de aceitação de riscos suscita uma discussão sobre o apetite de

risco na Administração Pública Federal. Até onde um gestor público pode aceitar

riscos? De um modo geral a finalidade da administração pública88 é o bem comum da

coletividade administrada. Toda a atividade do gestor público deve ser orientada para

esse objetivo89. Assim, um risco que contrarie essa premissa não pode ser aceito, do

mesmo modo que um risco que implique em violação de qualquer dos princípios da

administração pública. Logo, riscos que, por exemplo, impliquem em violação da

88 Refere-se à atividade �administração pública� e não aos seus órgãos, por isso foi escrita em letras minúsculas. 89 MEIRELLES, op. cit. p.86.

46

legislação, que comprometa a eficiência ou a continuidade da prestação do serviço

público não poderão ser aceitos.

4.2 Análise/avaliação de riscos

4.2.1 Análise de riscos

O processo de análise de risco em um enfoque de alto nível parte de uma premissa

generalizante. Os ativos, ameaças, vulnerabilidades e por conseguinte os riscos serão visto por

uma perspectiva mais ampla. A abordagem é qualitativa, define o nível de risco (NR)

multiplicando o valor do nível de impacto (NI) pelo nível de probabilidade (NP). O valor de

NI e de NP são definidos por meio de uma matriz de valores pré-definidos que relacionam

duas variáveis, como será visto no tópico estimativa de riscos. Para cada ativo identificado

serão elencados as ameaças as vulnerabilidades e o impacto do respectivo cenário. A

sistematização da análise de riscos poderá ser feita em uma tabela como a ilustrada abaixo.

ANÁLISE DE RISCOS

Identificação de riscos Estimativa de riscos

Ativo Ameaça Vulnerabilidade Impacto NI NP Nível

de risco

Tabela 4 � Análise de riscos.

4.2.1.1 Identificação de riscos

O objetivo da identificação de riscos é determinar os cenários de incidente que a

organização está exposta, determinar os eventos que possam causar uma perda potencial. Para

este fim é preciso coletar dados que vão subsidiar a estimativa de risco. Para cada ativo

identificado serão elencadas as ameaças, vulnerabilidades e conseqüências correspondentes,

essas informações serão organizadas conforme a tabela acima.

47

Identificação dos ativos: no enfoque de alto nível os ativos são identificados sem

muitos pormenores, não é interesse detalhar ativos que poderão ser melhor

especificados em outras interações do processo de análise/avaliação de riscos. Os

ativos podem ser identificados por meio de categorias ou conjuntos de ativos que

podem ser avaliados simultaneamente. A norma ISO/IEC 27005 sugere a seguinte

classificação de ativos90:

o Ativos primários: informações e processos de negócio;

o Ativos de suporte e infra-estrutura: hardware, software, rede, recursos

humanos, instalações físicas e estrutura da organização.

Identificação das ameaças: um ativo pode ser alvo de uma infinidade de ameaças, as

quais mudam e evoluem constantemente. Por isso as ameaças são identificadas de

modo genérico, por classes, como por exemplo: dano físico ou comprometimento da

informação. Desse modo, diferentes formas de uma ameaça causar um dano serão

consideradas, inclusive as que ainda estão sendo descobertas. Catálogos de ameaças

podem ser utilizados, porém é preciso atentar para a atualidade das informações. Vale

destacar o trabalho de Murilo Cunha e de Mauro Soares91 que caracteriza uma ameaça

ainda comum na Administração Pública: o desvio ético. Essa ameaça pode causar

vários tipos incidentes de segurança relacionados à perda da confidencialidade,

integridade ou disponibilidade de ativos de informação.

Identificação das vulnerabilidades: vulnerabilidade é a fragilidade de um ativo que

pode ser explorada por uma ameaça acarretando prejuízo. Para a abordagem proposta

as vulnerabilidades podem ser procuradas nas seguintes áreas:

o Organização: está ligado a problemas relacionados a procedimentos, processos,

normas ou a questões inerentes a organização. Exemplos:92 inexistência de

auditorias periódicas, provisões relativas à segurança insuficientes ou

inexistentes, inexistência de um plano de continuidade, atribuição inadequada

90 Esta classificação é sugerida no anexo B da norma ISO/IEC 27005, os anexos possuem valor apenas informativo. Outras classificações são possíveis e devem ser ajustadas ao contexto específico da organização. 91 CUNHA, M., SOARES, M. Um estudo introdutório para mensurar o grau de exposição dos órgãos governamentais ao risco do desvio ético. In: COMISSÃO DE ÉTICA PÚBLICA, Desvios Éticos: risco institucional. Brasília, 2002. 92 Os exemplos deste tópico e dos que se seguem foram extraídos do Anexo D da norma ISO/IEC 27005.

48

das responsabilidades pela segurança da informação, inexistência de análises

críticas periódicas por parte da direção;

o Recursos humanos: são falhas na gestão das pessoas no que se refere a

segurança. Exemplos: ausência de recursos humanos, inexistência de

mecanismos de monitoramento, treinamento insuficiente em segurança, falta

de conscientização em segurança, trabalho não supervisionado de pessoal de

limpeza ou de terceirizados;

o Ambiente físico: refere-se à localização do imóvel, características da

edificação e serviços essenciais. Exemplos: uso inadequado ou sem os

cuidados necessários dos mecanismos de controle do acesso físico a prédios e

aposentos, localização em área suscetível a inundações, fornecimento de

energia instável, inexistência de mecanismos de proteção física no prédio,

portas e janelas.

o Hardware, software e equipamentos de comunicação: são as vulnerabilidades

ligadas aos sistemas de informação e infra-estrutura de tecnologia da

informação. Exemplos: manutenção insuficiente, sensibilidade a variações de

voltagem, sensibilidade a variações de temperatura, falta de cuidado durante o

descarte, procedimentos de teste de software insuficientes ou inexistentes,

inexistência de uma trilha de auditoria, download e uso não controlado de

software, inexistência de cópias de segurança, inexistência de evidências que

comprovem o envio ou o recebimento de mensagens, linhas de comunicação

desprotegidas, arquitetura insegura da rede.

Identificação das conseqüências: as conseqüências são identificadas a partir dos

cenários de incidentes, que são a descrição de uma ameaça explorando uma

vulnerabilidade ou um conjunto delas. A norma ISO/IEC 27005 sugere que sejam

identificadas as conseqüências operacionais dos cenários de incidentes em função de:

o Investigação e tempo de reparo

o Tempo de trabalho perdido

o Oportunidade perdida

o Saúde e segurança

49

o Custo financeiro das competências específicas necessárias para reparar o

prejuízo

o Imagem e reputação.

Na coluna impacto da Tabela 4 deverão ser descritas as conseqüências dos respectivos

cenários de incidente.

4.2.1.2 Estimativa de riscos

A estimativa de risco compreende três atividades: avaliação das conseqüências, avaliação

da probabilidade dos incidentes e estimativas dos níveis de risco.

Avaliação das conseqüências: para avaliar as conseqüências propõe-se uma matriz

com valores pré-definidos que relaciona duas variáveis para definir o nível de

impacto: a importância do ativo e a conseqüência para o negócio. Para cada uma

dessas variáveis são estipulados três níveis (baixo, médio ou alto) e a sua combinação

define o nível de impacto do cenário de incidente. O critério de impacto conforme

apontado anteriormente trará descrições dos níveis de cada uma das variáveis.

Valor de reposição do ativo Baixa Média Alta

Conseqüência para o negócio público relacionada à perda do ativo

B M A B M A B M A

Nível de impacto (NI) 1 2 3 2 3 4 3 4 5

Tabela 5 � Determinação do nível de impacto.

Avaliação da probabilidade dos incidentes: a probabilidade da ocorrência de um

cenário de incidente decorre de dois elementos: probabilidade da ocorrência da

ameaça93 e facilidade da exploração da vulnerabilidade. Essas variáveis devem ser

descritos em três níveis (baixo, médio ou alto), conforme a tabela abaixo.

93 Segundo Cunha e Soares (2002), a probabilidade da ameaça de desvio ético é proporcional ao poder de regulamentação das atividades econômicas e civis e ao poder de aquisição de bens e serviços do órgão público em questão.

50

Critério Alto Médio Baixo

Probabilidade da ameaça

Facilidade de exploração da vulnerabilidade

Tabela 6 � Avaliação da probabilidade dos incidentes.

Em seguida e a combinação dessas variáveis define o nível de probabilidade do cenário

de incidente conforme a tabela abaixo.

Probabilidade da ameaça Baixa Média Alta

Facilidade de exploração da vulnerabilidade B M A B M A B M A

Nível de probabilidade (NP) 1 2 3 2 3 4 3 4 5

Tabela 7 � Determinação do nível de probabilidade.

Segundo a norma ISO/IEC 27005 é importante considerar na avaliação da

probabilidade dos incidentes as experiências passadas, a motivação, as competências e

os recursos disponíveis para possíveis atacantes, bem como a percepção da

vulnerabilidade e o poder de atração dos ativos para um possível atacante.

Estimativa do nível de risco: o nível de risco será calculado multiplicando o nível de

impacto pelo nível de probabilidade (NR = NI x NP). A matriz abaixo representa a

evolução do nível de risco.

51

Probabilidade (NP) Muito baixa (1) Baixa (2) Média (3) Alta (4) Muito alta (5)

Muito alto (5) 5 10 15 20 25

Alto (4) 4 8 12 16 20

Médio (3) 3 6 9 12 15

Baixo (2) 2 4 6 8 10

Impacto (NI)

Muito baixo (1) 1 2 3 4 5 Tabela 8 � Matriz do nível de risco.

4.2.2 Avaliação de riscos

Neste ponto os riscos encontrados são comparados com os critérios de avaliação de riscos

e com os critérios de aceitação de risco, os quais foram estabelecidos na definição do

contexto. O principal produto dessa etapa é a tomada de decisões sobre ações futuras, por

meio da determinação de prioridades para o tratamento do risco e da indicação dos riscos que

precisarão passar por uma segunda iteração do processo. A Tabela 1, referente aos critérios de

aceitação do risco, elenca alguns quesitos que ajudarão nessa atividade.

Após a avaliação de riscos está o primeiro ponto de decisão, se a análise/avaliação de

riscos foi satisfatória. Para uma abordagem de alto nível esse momento tem uma importância

singular, visto que alguns riscos encontrados podem merecer um maior aprofundamento em

uma segunda iteração do processo. Isso seria requerido para os casos em que o ativo ou

conjunto de ativos atingidos necessitem de um nível alto investimento para reposição,

manutenção ou desenvolvimento, ou ainda para os ativos que suportem processos estratégicos

da organização. De um modo geral, quando o incidente de segurança resultar em um impacto

significativo para a organização, uma segunda iteração do processo, mais específica e

detalhada, é necessária.

A saída da atividade de avaliação de risco é uma lista de riscos ordenados por prioridade

de tratamento.

4.3 Tratamento do risco

O tratamento do risco em uma abordagem de alto nível preconiza a relação entre tipos ou

classes de ameaças ou de cenários de incidente e determinados controles. Notadamente os

52

controles organizacionais e os aspectos gerenciais de controles técnicos. Destaca-se a

necessidade de trabalhos futuros que estabeleçam uma classificação de ameaças próprias para

a administração pública e sua relação com os referidos controles.

53

5 EXEMPLO DE APLICAÇÃO

Com a finalidade de avaliar os instrumentos propostos foi elaborado um exemplo de

aplicação em cima de uma organização fictícia. Trata-se do Hospital Universitário do Distrito

Federal (HUDF) ligado a uma universidade pública federal.

O HUDF é considerado um hospital de grande porte e de alta complexidade, tem a

capacidade para realizar cerca de 800 atendimentos ambulatoriais e de emergência por dia,

além de uma média de 30 cirurgias diárias. Circulam pelas instalações do hospital cerca de 8

mil pessoas por dia. O HUDF conta com 250 leitos ativos (20 de UTI), 15 enfermarias, 12

salas cirúrgicas gerais, seis salas cirúrgicas ambulatoriais e serviços de laboratório e de

diagnóstico.

1. Definição do contexto

1.1 Definição do escopo

a. Identificação da organização

Negócio público: Assistência, ensino e pesquisa na área de saúde para o

desenvolvimento da região.

Missão:

Preservar e manter a vida, promovendo a saúde, formando profissionais, produzindo e

socializando conhecimentos, com ética e responsabilidade social.

Valores:

Respeito ao ser humano e aos seus direitos;

Oferecer tratamento humanizado e personalizado, valorizando as pessoas;

Compromisso com a função social;

54

Ética nas relações internas e externas;

Respeito aos princípios do Sistema Único de Saúde (SUS): integralidade,

universalidade, eqüidade, resolutividade;

Valorização, qualificação e competência profissional.

Organograma:

Figura 5 � Organograma do HUDF.

Objetivos:

Prestar assistência à população, por meio da aplicação de medidas de proteção e

recuperação da saúde;

Prestar assistência à saúde da população, sem distinção de qualquer natureza, agindo

com o máximo zelo e capacidade profissional;

Prestar assistência integral ao paciente e à família, desenvolvendo ações de promoção,

prevenção, recuperação e reabilitação, no processo saúde-doença;

Conselho de Administração

Direção Geral

Diretoria Clínica

Diretoria de Enfermagem

Diretoria Administrativa

Diretoria de Ensino e Pesquisa

Coordenação de Tecnologia da

Informação

Assessoria de Planejamento

55

Operar de forma articulada com outras unidades de saúde, atendendo às demandas

técnico-científicas do SUS;

Servir de campo de treinamento para o ensino de graduação das profissões de saúde no

que se refere à assistência de média e alta complexidade;

Propiciar a realização de cursos de pós-graduação e de especialização das unidades

docentes, enfatizando os programas de Residência Médica e Residência

Interdisciplinar;

Treinar pessoal de nível médio e auxiliar com vistas ao aprimoramento da qualidade

dos próprios serviços e no Sistema de Saúde e à manutenção de bons padrões de rotina

de atendimento;

Estratégia:

Satisfação dos clientes:

Nosso esforço deve estar centrado às necessidades do cliente externo e interno

e a qualidade na prestação de serviços.

Informatização global em rede de todos os processos.

Fornecedores:

Passar aos fornecedores, a responsabilidade e o compromisso com toda

comunidade, dos produtos aqui ofertados.

Honrar os compromissos dentro do prazo estabelecido.

Assistência, Ensino e Pesquisa:

Integrar ensino e assistência;

Impulsionar as atividades de pesquisa;

Incentivar o comprometimento dos serviços;

Incentivar e fomentar áreas de excelência;

Priorizar a manutenção, reposição e ampliação da estrutura a fim de dar

prosseguimento ao desenvolvimento institucional;

56

Localidade e características geográficas:

O HUDF está localizado no Setor Médico Hospitalar Sul (SMHS) na região central de

Brasília. Nas proximidades do hospital há prédios comerciais, um shopping, quadras

residências e vias de grande circulação de veículos.

b. Legislação aplicável à organização:

Constituição Federal (artigos 196 a 200)

Lei nº 8.142, de 28 de dezembro de 1990. Dispõe sobre a participação da comunidade

na gestão do Sistema Único de Saúde (SUS) e sobre as transferências

intergovernamentais de recursos financeiros na área da saúde e dá outras providências.

Lei nº 8.080, de 19 de setembro de 1990. Lei orgânica da Saúde que dispõe sobre as

condições para a promoção, proteção e recuperação da saúde, a organização e o

funcionamento dos serviços correspondentes e dá outras providências.

Portaria nº 373, de 27 de fevereiro de 2002. Aprova a Norma Operacional da

Assistência à Saúde (NOAS-SUS 01/2002) que amplia as responsabilidades dos

municípios na Atenção Básica; estabelece o processo de regionalização como

estratégia de hierarquização dos serviços de saúde e de busca de maior eqüidade; cria

mecanismos para o fortalecimento da capacidade de gestão do SUS e atualiza os

critérios de habilitação de estados e municípios.

Portaria nº 2.203, de 5 de novembro de 1996. Aprova a Norma Operacional Básica

(NOB 01/96), que redefine o modelo de gestão do Sistema Único de Saúde,

constituindo instrumento imprescindível à viabilização da atenção integral à saúde da

população e ao disciplinamento das relações entre as três esferas de gestão do Sistema.

Outras portarias do Ministério da Saúde.

Regimento interno do hospital e da universidade.

c. Limites do escopo:

A gestão de riscos será limitada aos ativos de informação específicos da Diretoria

Clínica. Os serviços de conexão a internet, e-mail e os sistemas administrativos estão fora do

escopo, embora sejam utilizados também pelos servidores da Diretoria Clínica.

57

d. Ativos de informação:

A Diretoria Clínica possui três processos fundamentais: serviços clínicos94, serviços

cirúrgicos e serviços complementares de diagnósticos. Os ativos relacionados a seguir dão

suporte a essas atividades.

Sistema de informações médicas de pacientes (SIMP): é uma aplicação distribuída que

possui um servidor exclusivo e uma rede compartilhada por computadores dispostos

pelo hospital. Os componentes apóiam uma variedade de aplicações médicas e de

bases de dados. Além disso, é integrado com o Sistema de análises laboratoriais,

imagem e diagnóstico (SALID), descrito a baixo, de maneira que os resultados dos

exames realizados no hospital podem ser consultados pelo SIMP. Os dados de

paciente podem ser inseridos a qualquer momento a partir de qualquer estação de

trabalho. Médicos, funcionários administrativos, técnicos de laboratório, e enfermeiros

têm autorização para introduzir dados no SIMP.

Sistema de análises laboratoriais, imagem e diagnóstico (SALID): é um sistema que

permite a gestão dos resultados de exames laboratoriais, a edição de laudos, a captura

de imagens e de vídeos digitais integrados aos exames. Alem disso, por meio do SIMP

é possível visualizar essas informações.

Sistema de documentação de equipamentos médicos (SDOC): esse sistema reúne as

informações dos equipamentos médicos desde sua entrada no hospital até o momento

em que são descartados, por exemplo, manuais de operação, procedimentos de

calibração e ajuste, peças trocadas, acidentes que envolveram o equipamento,

relatórios de manutenção. Trata-se de um sistema de gerenciamento eletrônico de

documentos que permite gerar ou implantar, controlar, armazenar, compartilhar e

recuperar as informações constantes nos documentos.

Computadores fixos: distribuídos nos consultórios, salas de exame, laboratórios e

ambulatório.

Equipamentos de processamentos de dados dedicados ao SIMP, ao SALID e ao

SDOC.

Recursos humanos: usuários e pessoal da manutenção e gestores dos sistemas.

94 Os serviços clínicos referem-se ao atendimento médico normal nas diferentes especialidades e ao atendimento ambulatorial.

58

e. Características da organização

Restrições que afetam a organização:

Descontinuidade administrativa: mudanças nos cargos de direção e nas políticas

públicas.

A gestão orçamentária, financeira e de pessoal é atrelada a da universidade, não há

autonomia.

Não há autorização governamental para a realização de concurso público em curto ou

médio prazo.

Número insuficiente de médicos e de servidores técnico-administrativos do quadro

permanente. Alguns serviços estão sendo desativados devido a não reposição de

pessoal, bolsistas estão substituindo profissionais do quadro efetivo, servidores

desmotivados.

Corporativismo em determinadas categorias profissionais.

Expectativa das partes interessadas:

Os cidadãos usuários do HUDF esperam um acesso ordenado e organizado aos serviços

do hospital; um tratamento adequado e efetivo para seu problema; um atendimento

humanizado, acolhedor e livre de qualquer discriminação; e um atendimento que respeite a

sua pessoa, seus valores e seus direitos.

Os alunos dos cursos realizados no hospital esperam encontrar um ambiente de estímulo à

aprendizagem e à pesquisa.

O governo espera que hospital alcance suas metas, realize seus objetivos para o

cumprimento de sua missão.

1.2 Critérios básicos

a. Critério para avaliação de risco:

A tabela 16 será utilizada para ponderar a prioridade dos riscos.

Os cenários de incidente que tenham o nível de risco (NR) mais elevado devem ser

considerados primeiro.

59

Os riscos que envolvam a perda da disponibilidade e da integridade das informações

médicas dos pacientes são considerados graves.

Os riscos que impliquem violação da legislação são considerados graves.

Os riscos que causem dano a imagem e reputação do hospital ou dano a imagem do

governo ou do país são considerados graves.

b. Critério de impacto

CRITÉRIO ALTA MÉDIA BAIXA

VALOR DE REPOSIÇÃO DO ATIVO

Ativos de grande valor financeiro ou de difícil recuperação. A compra de ativos desse tipo exige uma dotação orçamentária específica que normal-mente só é possível para o ano seguinte.

Ativos de valor financeiro médio. Sua reposição normal-mente pode ser feita no mesmo ano fiscal, porém pode haver necessidade de licitação.

Ativos de fácil reposição.

CONSEQÜÊNCIA PARA

O NEGÓCIO PÚBLICO RELACIONADA À PERDA DO ATIVO

Paralisação de processos críticos da do hospital

Alguns processos podem ser afetados.

Perda de eficiência em alguns serviços.

Efeitos mínimos para o negócio.

Tabela 9 � Critério de impacto.

60

c. Critério para aceitação de risco

NÍVEL DE RISCO

(1 � 25) DESCRIÇÃO ACEITABILIDADE EXCEÇÕES OBSERVAÇÕES

ALTO

(15 � 25)

A maioria dos objetivos não pode ser atingida. Paralisação dos serviços à população. Dano grave a imagem do hospital e do governo.

Inaceitável, requer ação imediata para manejar o risco.

MÉDIO

(4 � 12)

Alguns objetivos não podem ser atingidos.

Alguns processos podem ser afetados.

Não pode ser aceito, requer ação para manejar o risco.

O NR igual a 4 formado por NI 1 e NP 4 e vice versa são considerados risco médio. O manejo desse tipo de risco pode ser condicio-nado a um tratamento futuro.

BAIXO

(1 � 4)

Efeitos menores que são facilmente remediados

Risco aceitável, nenhuma ação é requerida.

O NR igual a 4 formado por NI 2 e NP 2 é considerado risco baixo.

Justificativa das exceções:

Tabela 10 � Critério para a aceitação de risco.

2. Análise/avaliação de riscos

2.1 Tabelas de referência

Valor de reposição do ativo Baixa Média Alta

Conseqüência para o negócio público relacionada à perda do ativo

B M A B M A B M A

Nível de impacto (NI) 1 2 3 2 3 4 3 4 5

Tabela 11 � Determinação do nível de impacto.

61

Critério Alto Médio Baixo

Probabilidade da ameaça

Ameaças comuns que ocorrem rotinei-ramente no coti-diano do hospital.

Ameaças com uma freqüência variável, mas que não ultra-passa três ocorrên-cias por ano.

Ameaças raras, sua freqüência é de uma ocorrência a cada cinco ou dez anos.

Facilidade de exploração da vulnerabilidade

Vulnerabilidades facilmente explo-radas e de amplo conhecimento.

Em alguns casos, há ferramentas pró-prias ou tutoriais para sua exploração.

Vulnerabilidades recém descobertas e/ou que precisam de certo conhe-cimento técnico para sua exploração.

Vulnerabilidades de difícil exploração.

Existe a necessidade de um amplo conhe-cimento técnico ou de uma grande capa-cidade de proces-samento para sua exploração.

Tabela 12 � Avaliação da probabilidade dos incidentes.

Probabilidade da ameaça Baixa Média Alta

Facilidade de exploração da vulnerabilidade

B M A B M A B M A

Nível de probabilidade (NP) 1 2 3 2 3 4 3 4 5

Tabela 13 � Determinação do nível de probabilidade.

Probabilidade (NP) Muito baixa (1) Baixa (2) Média (3) Alta (4) Muito alta (5)

Muito alto (5) 5 10 15 20 25

Alto (4) 4 8 12 16 20

Médio (3) 3 6 9 12 15

Baixo (2) 2 4 6 8 10

Impacto (NI)

Muito baixo (1) 1 2 3 4 5 Tabela 14 � Matriz do nível de risco.

62

2.1 Análise de risco

ANÁLISE DE RISCOS

Identificação de riscos Estimativa de riscos

Nº Ativo Ameaça Vulnerabilidade Conseqüência NI NP Nível de

risco

1 SIMP Comprometimento de dados

Falhas conhecidas no software

Perda da confidencialidade e integridade de dados.

Comprometimento dos serviços clínicos.

Violação da legislação que protege o sigilo das informações referentes à vida privada das pessoas.

4 4 16

2 SIMP Gerenciamento de senhas mal feito

Forjamento de direitos Perda da confidencialidade, integridade e disponibilidade de dados.

Comprometimento dos serviços clínicos.

Violação da legislação que protege o sigilo das informações referentes à vida privada das pessoas.

4 4 16

3 SIMP Abuso de direitos Inexistência de uma trilha de auditoria

Prejudica a implementação de controles.

Prejudica a investigação de eventos de segurança.

3 3 9

4 SALID Erro durante o uso Interface de usuário complicada

Perda da integridade de dados.

Perda de eficiência. 4 2 8

63

ANÁLISE DE RISCOS

Identificação de riscos Estimativa de riscos

Nº Ativo Ameaça Vulnerabilidade Conseqüência NI NP Nível de

risco

5 SALID Defeito de software Software novo ou imaturo

Perda da confidencialidade, integridade e disponibilidade de dados.

3 2 6

6 SALID Forjamento de direitos

Tabelas de senhas desprotegidas

Perda da confidencialidade, integridade e disponibilidade de dados.

Comprometimento dos serviços clínicos.

Violação da legislação que protege o sigilo das informações referentes à vida privada das pessoas.

4 4 16

7 SDOC Erro durante o uso Documentação inexistente

Perda da integridade de dados.

Perda de eficiência. 4 2 8

8 SDOC Comprometimento de dados

Inexistência de cópias de segurança

Perda da disponibilidade de dados.

Comprometimento dos serviços clínicos e cirúrgicos.

5 3 15

9 Computadores fixos

Destruição de equipamento

Falta de uma rotina de substituição periódica

Perda da eficiência.

Comprometimento dos serviços clínicos. 2 3 6

64

ANÁLISE DE RISCOS

Identificação de riscos Estimativa de riscos

Nº Ativo Ameaça Vulnerabilidade Conseqüência NI NP Nível de

risco

10 Computadores fixos

Furto de mídia ou documentos

Armazenamento não protegido

Perda da confidencialidade de dados.

Perda da eficiência.

Violação da legislação que protege o sigilo das informações referentes à vida privada das pessoas.

3 4 12

11 Equipamentos de processamentos de dados

Poeira, corrosão, temperatura elevada

Sensibilidade à umidade, poeira, sujeira e temperatura

Perda da disponibilidade de dados.

Comprometimento dos serviços clínicos e cirúrgicos.

4 4 16

12 Recursos humanos

Erro durante o uso de software

Treinamento insuficiente em segurança

Perda da confidencialidade e integridade de dados.

Perda da eficiência. 3 2 6

13 Recursos humanos

Comprometimento de dados

Falta de conscientização em segurança

Perda da confidencialidade de dados.

Perda da eficiência. Violação da legislação que protege o sigilo das informações referentes à vida privada das pessoas.

3 4 12

Tabela 15 � Análise de riscos.

65

2.2 Avaliação de risco

Nº Cenário de risco NR Ati

nge

algu

m p

roce

sso

estr

atég

ico?

Ati

nge

algu

m a

tivo

crít

ico?

Vio

la a

lgum

req

uisi

to le

gal?

Cau

sa d

ano

a im

agem

ou

repu

taçã

o da

org

aniz

ação

?

Cau

sa d

ano

a im

agem

a d

o go

vern

o ou

do

país

?

Vio

la q

ual a

trib

uto

da

segu

ranç

a da

info

rmaç

ão?

Pri

oriz

ação

dos

risc

os.

1 Comprometimento de dados do SIMP devido a falhas conhecidas no software.

16 Sim Sim Sim Sim Não C/I 2

2 Forjamento de direitos do SIMP devido ao gerenciamento de senhas mal feito.

16 Sim Sim Sim Sim Não C/I/D 1

6 Forjamento de direitos do SALID devido às tabelas de senhas desprotegidas.

16 Sim Sim Sim Sim Não C/I/D 3

11 Equipamentos de processamen-tos de dados sujeitos a poeira, corrosão e temperatura elevada.

16 Sim Sim Não Sim Não D 4

8 Comprometimento de dados do SDOC devido à inexistência de cópias de segurança.

15 Sim Sim Não Sim Não D 5

10 Furto de mídia ou documentos de computadores fixos devido ao armazenamento não protegido.

12 Não Não Sim Sim Não C 7

13 Comprometimento de dados devido à falta de conscientização em segurança dos usuários.

12 Sim Sim Não Não Não C 6

3 Abuso de direitos no SIMP devido à inexistência de trilhas de auditoria.

9 Não Sim Não Não Não Não 8

4 Erro durante o uso do SALID devido à interface de usuário complicada.

8 Sim Sim Não Não Não I 10

7 Erro durante o uso do SDOC devido à documentação inexistente.

8 Sim Não Sim Sim Não I 9

5 Defeito no SALID por ser um software novo. 6 Não Sim Não Não Não C/I/D 11

9 Destruição dos computadores fixos devido à falta de uma rotina de substituição periódica.

6 Sim Não Não Sim Não Não 13

12 Erro durante o uso de software devido ao treinamento insuficiente em segurança.

6 Não Sim Não Não Não C/I 12

Tabela 16 � Critério para a avaliação de risco.

66

3. Lista de riscos ordenados por prioridade

1 Forjamento de direitos do SIMP devido ao gerenciamento de senhas mal feito.

2 Comprometimento de dados do SIMP devido a falhas conhecidas no software.

3 Forjamento de direitos do SALID devido às tabelas de senhas desprotegidas.

4 Equipamentos de processamen-tos de dados sujeitos a poeira, corrosão e temperatura elevada.

5 Comprometimento de dados do SDOC devido à inexistência de cópias de segurança.

6 Comprometimento de dados devido à falta de conscientização em segurança dos usuários.

7 Furto de mídia ou documentos de computadores fixos devido ao armazenamento não protegido.

8 Abuso de direitos no SIMP devido à inexistência de trilhas de auditoria.

9 Erro durante o uso do SDOC devido à documentação inexistente.

10 Erro durante o uso do SALID devido à interface de usuário complicada.

11 Defeito no SALID por ser um software novo.

12 Erro durante o uso de software devido ao treinamento insuficiente em segurança.

13 Destruição dos computadores fixos devido à falta de uma rotina de substituição periódica.

Tabela 17 � Riscos ordenados por prioridade.

Após a identificação dos elementos constitutivos do risco (ativo, ameaça,

vulnerabilidade e conseqüência) e após a estimativa do impacto e da probabilidade dos

cenários de incidentes, os riscos foram avaliados segundo os critérios elencados na Tabela 16.

O resultado desse percurso é uma lista de riscos ordenados por prioridade de tratamento

conforme a tabela acima. Desse modo, os riscos encontrados por meio de uma

análise/avaliação de riscos com enfoque de alto nível apontam para os principais problemas

de segurança da informação do escopo considerado.

67

6 CONCLUSÃO E TRABALHOS FUTUROS

A Administração Pública Federal é um conjunto de instituição que se dedicam a

atividades completamente diversas, desde atividades de fomento a iniciativa privada, de

polícia administrativa e de prestação de serviços públicos. Mesmo considerando toda a sua

amplitude e diversidade é possível, conforme demonstrado, que haja um método de

análise/avaliação de riscos, em um enfoque de alto nível, que seja capaz de atender a maioria

dessas instituições na primeira iteração do processo de gestão de risco de segurança da

informação.

É possível porque a APF precisa perseguir um único objetivo: o bem comum da

coletividade administrada. E para alcançar tal fim a APF pauta seus atos em princípios que

são regras de observância permanente e obrigatória, dentre eles destacam-se a legalidade, a

moralidade, a eficiência, a proporcionalidade, a publicidade, a continuidade do serviço

público e a supremacia do interesse público. Esse delineamento básico da APF permite

visualizar um método análise/avaliação de risco genérico o suficiente para detectar os

principais problemas de segurança da informação relacionados a esses princípios.

Vale destacar que a partir de uma segunda iteração do processo de gestão de risco com o

detalhamento dos ativos a especificidade de cada instituição obriga a criação ou adaptação de

um método próprio para analisar e avaliar seus riscos.

As vantagens de uma abordagem com enfoque de alto nível são a facilidade de

compreensão do método e de seus resultados, a rapidez e o baixo custo em relação a uma

análise detalhada dos ativos e seus riscos. Além disso, a organização orçamentária da APF

exige ordinariamente um planejamento antecipado dos gastos. Isto reforça a necessidade de

um método simples, ágio e eficaz que aponte os principais problemas de segurança da

informação em que será necessária a alocação de recursos.

68

Todavia, a principal limitação da abordagem proposta é a dependência de escalas

subjetivas que podem diminuir a precisão dos resultados. A utilização de critérios subjetivos é

inerente a primeira iteração do processo de gestão de risco em um enfoque de alto nível

conforme a ISO/IEC 27005. O seu objetivo não é apontar os riscos com uma precisão

refinada, antes, porém, os seus achados são como categorias de riscos que precisaram ser

dissecadas em futuras iterações.

Desse modo, os objetivos desse trabalho foram alcançados já que os instrumentos

propostos de análise e avaliação de riscos contribuem na sistematização de um método que

compreenda a APF numa perspectiva genérica conforme demonstrado no exemplo de

aplicação dos instrumentos.

Dentro da temática pesquisada existem ainda várias lacunas que precisam ser preenchidas

com trabalhos monográficos, foram destacadas algumas como sugestões de trabalhos futuros.

Um aprofundamento das especificidades e restrições próprias da Administração

Pública em relação à segurança da informação;

A elaboração de uma ontologia das ameaças próprias ao setor público, sua tipificação,

agentes, origem e motivação.

A elaboração de um método que relacione e sistematize a dependência entre ativos e a

relação entre eventos de segurança para a composição de cenários de incidentes. Vale

lembra que o método Octave de análise e avaliação de riscos traz uma interessante

abordagem desse tópico.

69

REFERÊNCIAS BIBLIOGRÁFICAS

Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001:2006. Sistema de gestão de segurança da informação � requisitos. Rio de Janeiro, 2006.

__________. NBR ISO/IEC 27002: Código de Prática para a gestão da segurança da informação. Rio de Janeiro, 2005.

__________. NBR ISO/IEC 27005: Gestão de risco de segurança da informação. Rio de Janeiro, 2008.

BEAL, A. Segurança da informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2005.

BERNSTEIN, P. L. Desafio aos deuses: a fascinante história do risco. Rio de Janeiro: Campus, 1997.

BRASIL, Ministério da Saúde. Segurança no Ambiente Hospitalar. Brasília, 1995. BRASILIANO, A. C. R. Análise de risco corporativo. São Paulo: Sicurezza, 2007.

CENTRO CANADENSE PARA O DESENVOLVIMENTO DA GESTÃO. Uma base para o desenvolvimento de estratégias de aprendizagem para a gestão de riscos no serviço público / Stephen Hill, Geoff Dinsdale; traduzido por Luís Marcos B. L. de Vasconcelos. Brasília: ENAP, 2003 (Cadernos ENAP, 23).

CHERUBIN, N. A. Fundamentos da Administração Hospitalar. São Paulo: Hospital São Camilo, 1977.

CUNHA, M., SOARES, M. Um estudo introdutório para mensurar o grau de exposição dos órgãos governamentais ao risco do desvio ético. In: COMISSÃO DE ÉTICA PÚBLICA, Desvios Éticos: risco institucional. Brasília, 2002.

DI PIETRO, M. S. Z. Direito Administrativo. São Paulo: Atlas, 2006.

FERNANDES, J. H. C. Introdução à Gestão de Riscos de Segurança da Informação. 75 f. Texto desenvolvido para suporte das atividades de Ensino do Programa de Pesquisas e Formação de Especialistas. Universidade de Brasília (UnB), Brasília, 2009. FILHO, J. S. C. Manual de Direito Administrativo. Rio de Janeiro: Lúmen Juris, 2006.

FONTINELE, K. Administração Hospitalar. Goiânia: AB Editora, 2002.

FRAGA FILHO, C. A Implantação do Hospital Universitário da UFRJ. Rio de Janeiro: FUJB, 2000.

70

Hospital Universitário da Universidade Federal de Juiz de Fora. Juiz de Fora, desenvolvido por João Carlos Gonzaga, 2007. Portal da instituição. Disponível em: <http://www.hu.ufjf.br/>. Acesso em 10 jan. 2009.

Hospital Universitário Clementino Fraga Filho. Rio de janeiro. Portal da instituição. Disponível em: <http://www.hucff.ufrj.br/>. Acesso em 10 jan. 2009.

Hospital Universitário de Brasília. Brasília. Portal da instituição. Disponível em: <http://www.hub.unb.br>. Acesso em 10 jan. 2009.

Hospital Universitário Ernani Polydoro São Thiago. Florianópolis. Portal da instituição. Disponível em: <http://www.hu.ufsc.br>. Acesso em 10 jan. 2009.

LORENS, E. M. Aspectos normativos da segurança da informação: um modelo de cadeia de regulamentação. 2007. 128 f. Dissertação (mestrado) � Departamento de Ciência da Informação e Documentação, Universidade de Brasília (UnB), Brasília, 2007. Disponível em: <http://bdtd.bce.unb.br/tedesimplificado/tde_busca/arquivo.php?codArquivo=2504>. Acesso em: 07 ago. 2008.

MANDARINI, M. Segurança Corporativa Estratégica: fundamentos. Barueri: Manole, 2005.

MARCIANO, J. L. P. Segurança da Informação: uma abordagem social. 2006. 211 f. Tese (Doutorado) � Departamento de Ciência da Informação e Documentação, Universidade de Brasília (UnB), Brasília, 2006. Disponível em: <http://www.enancib.ppgci.ufba.br/premio/UnB_Marciano.pdf>. Acesso em: 07 ago. 2008.

MARCONI, M. A., LAKATOS, E. M. Metodologia Científica. São Paulo: Atlas, 2000.

__________. Técnicas de Pesquisa. São Paulo: Atlas, 2002. MEIRELLES, H. L. Direito Administrativo Brasileiro. São Paulo: Malheiros, 2005.

NASCIMENTO, M. S. O. Proteção ao Conhecimento: uma proposta de fundamentação teórica. 2008. 181 f. Dissertação (mestrado) � Departamento de Ciência da Informação e Documentação, Universidade de Brasília (UnB), Brasília, 2008. PÁDUA, E. M. M. Metodologia da pesquisa: abordagem teórico-prática. Campinas: Papirus, 2007.

PARRA, D. F., SANTOS, J. A. Apresentação de trabalhos científicos: monografia, TCC, teses e dissertações. São Paulo: Futura, 2000. PEREIRA, J. C. R. Análise de dados qualitativos: estratégias para as ciências da saúde, humanas e sociais. São Paulo: Edusp, 2001. RAMOS, A. et al. Security Officer 1: guia oficial para a formação de gestores de segurança da informação. Porto Alegre: Zouk, 2006.

RAMPAZZO, L. Metodologia Científica. São Paulo: Loyola, 2002.

SCHAUER, H. ISO/CEI 27005: la norme du consensus. Global Security Mag. N°4, p. 52-55, Set. 2008. Disponível em: <http://www.hsc.fr/presse/globalsecuritymag/HS_iso27005.pdf>. Acesso em 15 nov. 2008.

SÊMOLA, M. Gestão da Segurança da Informação: uma visão executiva. Rio de Janeiro: Elsevier, 2003.

SPINK, Peter. Continuidade e Descontinuidade Administrativa. São Paulo: FGV, 2001.

TRIBUNAL DE CONTAS DA UNIÃO. Acórdão 1603/2008. Brasília, 2008.

71

VOLPE, Ricardo Alberto. Visão abrangente do processo político e institucional de planejamento e orçamento. Disponível em: <http://www.amefpp.org.mx/centrodoc/XXIXSemIPP/RicardoV.pdf>. Acesso em 10 out. 2008.

ZAMITH, J. L. C. Gestão de Riscos e Prevenção de Perdas. Rio de Janeiro: FGV, 2007.