Upload
doduong
View
215
Download
0
Embed Size (px)
Citation preview
Curso de Tecnologia de Segurança da Informação
Análise de Riscos e Plano de Contingência para a Gerência de
Suporte Tecnológico – GESUT da Empresa Bancorbrás
Ramon dos Santos Maia de Oliveira
Guará – DF
2015
II
Ramon dos Santos Maia de Oliveira
Análise de Riscos e Plano de Contingência para a Gerência de
Suporte Tecnológico – GESUT da Empresa Bancorbrás
Trabalho de Conclusão de Curso apresentado às Faculdades Integradas Promove de Brasília como requisito parcial para obtenção do título de tecnólogo em Segurança da Informação.
Orientadora: Profa. Dra. Maria José de Oliveira.
Guará – DF
2015
III
Dados Internacionais de Catalogação na Publicação (CIP)
_______________________________________________________________
Oliveira, Ramon dos Santos Maia de.
Análise de riscos e plano de contingência para a gerência de suporte tecnológico: GESUT/ Ramon dos Santos Maia de Oliveira: Professora orientadora Maria José de Oliveira. – [S.l]: [s.n.], 2015.
55f.: il. Monografia (Graduação em Tecnologia em Segurança da
Informação) – Faculdade Icesp, 2015.
I. Oliveira, Maria José de. II. Título.
_______________________________________________________________
Bibliotecário: Luís Sérgio de Rezende Moura – CRB1/DF-1929
IV
Autor: Ramon dos Santos Maia de Oliveira
Título do trabalho: Análise de Riscos e Plano de Contingência para a Gerência de Suporte Tecnológico – GESUT da Empresa Bancorbrás
Trabalho de Conclusão de Curso apresentado a banca examinadora das Faculdades Integradas Promove de Brasília na área de tecnologia em Segurança da Informação
Data da defesa:
Resultado: __________________________
Aprovado por:
Prof. (a), Dra. Maria José de Oliveira
Faculdades Integradas Promove de Brasília
Orientadora
________________________________________
Prof. MSc. Cid Bendahan Coelho Cintra
Faculdades Integradas Promove de Brasília
Avaliador
Prof. MSc. Fernando Antônio Brito Fernandes
Miranda
Faculdades Integradas Promove de Brasília
Avaliador
V
RESUMO
Este trabalho tem por objetivo apresentar uma gestão de riscos de segurança da
informação capaz de identificar os riscos com um grande potencial de atingir a
Gerência de Suporte Tecnológico – GESUT, da Empresa Bancorbrás, e propõe a
criação de um plano de contingência para tratar de forma rápida e emergencial algum
problema que venha acontecer. Como base para a construção do trabalho, foram
utilizadas duas normas: ABNT NBR ISO/IEC 27005 (2008) que trata do processo de
gestão de riscos, e a ABNT NBR ISO/IEC 31010 (2009) que demonstra técnicas de
análise/avaliação de riscos. Ambas recomendam começar o processo de gestão de
riscos identificando os principais ativos da empresa para realizar a análise/avaliação
de riscos. Com os primeiros resultados desta análise/avaliação foi possível definir
quais ativos tem a prioridade de tratamento. Como produto para esta atividade foi
elaborado o plano de contingência para os ativos identificados, sugerindo soluções
rápidas e eficazes para implantá-los.
Palavras-chave: gestão de riscos, segurança da informação, plano de contingência.
VI
ABSTRACT
This paper presents a management of information security risks, able to identify risks
with a great potential to reach the Technological Support Management - GESUT of
Bancorbrás Company and the creation of a contingency plan to deal quickly and
emergency basis a problem that will happen. As a basis for the construction work, two
standards will be used: ISO / IEC 27005, which addresses the risk management
process, and the ISO / IEC 31010, which demonstrates techniques of analysis / risk
assessment. Both standards recommend starting the risk management process by
identifying the main assets of the company and perform the analysis / risk assessment.
With the first results of this analysis/evaluation is possible to define which assets have
priority treatment. Thus, the contingency plan with the identified assets is prepared,
creating quick and effective solutions to deploy.
Keywords: risk management, information security, contingency plan.
VII
LISTA DE ILUSTRAÇÕES
Figuras
Figura 1 - Visão geral do processo de gestão de risco .................................................................. 8
Figura 2 - Atividade de tratamento de risco ................................................................................... 19
Figura 3 - Planilha da Análise Preliminar de Risco ....................................................................... 27
Figura 4 - Categorias de Frequência dos Cenários Usadas na APR ......................................... 28
Figura 5 - Categorias de Severidade dos Cenários da APR ....................................................... 29
Figura 6 - Matriz de Classificação de Risco da APR .................................................................... 29
Quadro
Quadro 1 – Análise preliminar dos riscos ………………………………………………..............34
VIII
LISTA DE ABREVIAÇÕES
ABNT – Associação Brasileira de Normas Técnicas
APR – Análise Preliminar de Risco
CELEPAR – Companhia de Tecnologia da Informação e Comunicação do Paraná
GESUT – Gerência de Suporte Tecnológico
TCU – Tribunal de Contas da União
UFAL – Universidade Federal de Alagoas
IX
SUMÁRIO
CAPITULO 1 ............................................................................................................... 1
INTRODUÇÃO ................................................................................................................... 1
1.1. Apresentação ....................................................................................................... 1
1.2. Objetivos ................................................................................................................. 2
1.2.1. Objetivo Geral ................................................................................................... 2
1.2.2. Objetivos Específicos ....................................................................................... 2
1.3. Justificativa .............................................................................................................. 2
1.4. Procedimentos metodológicos ................................................................................. 3
CAPÍTULO 2 ............................................................................................................... 5
REFERENCIAL TEÓRICO ................................................................................................. 5
2.1. Conceitos ............................................................................................................. 5
2.2. O processo de gestão de riscos ........................................................................... 7
2.3. Definição do contexto ........................................................................................... 8
2.4. Análise/avaliação de risco ..................................................................................... 10
2.4.1. Análise de risco .............................................................................................. 10
2.4.2. Identificação do risco ...................................................................................... 11
2.4.3. Identificação de ativos .................................................................................... 11
2.4.4. Identificação de ameaças ............................................................................... 12
2.4.5. Identificação de controles ............................................................................... 12
2.4.6. Identificação das vulnerabilidades .................................................................. 13
2.4.7. Identificação das consequências .................................................................... 13
2.4.8. Estimativa de riscos ........................................................................................ 14
2.4.9. Avaliação das consequências ......................................................................... 15
2.4.10. Avaliação da probabilidade de incidente ......................................................... 15
2.4.11. Estimativa de nível de risco ............................................................................ 16
2.4.12. Avaliação de risco .......................................................................................... 16
2.5. Tratamento do risco ............................................................................................... 17
2.5.1. Redução do risco ............................................................................................ 19
2.5.2. Retenção do risco ........................................................................................... 20
2.5.3. Ação de evitar o risco ..................................................................................... 21
2.5.4. Transferência do risco .................................................................................... 21
2.6. Aceitação do risco ................................................................................................. 22
2.7. Comunicação do risco ........................................................................................... 22
X
2.8. Monitoramento e análise crítica de risco ................................................................ 23
2.8.1. Monitoramento e análise dos fatores de risco ................................................. 23
2.8.2. Monitoramento, análise crítica e melhoria do processo de gestão de riscos ... 24
2.9. Análise Preliminar de Risco – APR ........................................................................ 25
2.9.1. Reunir os dados necessários .......................................................................... 26
2.9.2. Realizar a análise preliminar de riscos............................................................ 26
2.9.3. Registro dos resultados .................................................................................. 27
2.9.4. Categorias de Frequências dos Cenários Usadas na APR ............................. 28
2.9.5. Categoria de Severidade dos Cenários da APR ............................................. 29
2.9.6. Matriz de Classificação de Riscos Usada em APR ......................................... 29
2.10. Plano de Contingência ....................................................................................... 30
CAPÍTULO 3 ............................................................................................................. 31
ESTUDO DE CASO ......................................................................................................... 31
3.1. Identificação da organização ................................................................................. 31
Missão .......................................................................................................................... 31
Valores ......................................................................................................................... 31
Gerência de Suporte Tecnológico – GESUT .................................................................... 32
3.2. Análise Preliminar dos Riscos e Plano de Contingência da Gerência de Suporte
Tecnológico – GESUT ...................................................................................................... 32
3.2.1. Ativos da GESUT ........................................................................................... 32
3.2.2. Análise Preliminar dos Riscos da GESUT ...................................................... 33
CAPÍTULO 4 ............................................................................................................. 38
PLANO DE CONTINGÊNCIA DA GESUT ........................................................................ 38
4.1. Objetivo .............................................................................................................. 38
4.2. Diretrizes do plano ............................................................................................. 38
4.3. Validade do plano .............................................................................................. 46
4.4. Responsabilidades ............................................................................................. 46
4.5. Disposições gerais ............................................................................................. 46
CAPÍTULO 5 ............................................................................................................. 47
CONCLUSÃO .................................................................................................................. 47
REFERÊNCIAS ......................................................................................................... 48
1
CAPITULO 1
Introdução
1.1. Apresentação
Independentemente da empresa ou do ramo que ela atue, é fundamental a
implementação e execução de um conjunto de medidas que visam planejar, organizar,
dirigir e controlar os recursos humanos e materiais de uma organização, no sentido
de diminuir os efeitos dos riscos sobre a mesma, o mínimo possível.
Com a ausência de técnicas, brechas são abertas na empresa para eventuais
situações que podem acontecer como forma de vulnerabilidades ou ameaças. A
gestão de riscos é sempre bem-vinda, desde que a empresa esteja preparada para
recebê-la e saiba como tirar proveito dela. Quando afetada negativamente, a
instituição se torna vulnerável a prejuízos físicos, lógicos, pessoais, danos ao meio
ambiente e até com a própria imagem, que contraria a missão e objetivos da mesma.
Há vários métodos de se aplicar a Gestão de Risco e cabe a própria empresa
definir a forma mais conveniente de aplicá-la: um planejamento para cada setor ou um
projeto unificado para toda a instituição.
Neste trabalho, primou-se pela exploração da Gerência de Suporte Tecnológico
– GESUT da empresa Bancorbrás, realizando uma análise de riscos baseada nas
normas ABNT NBR ISO/IEC 27005 e 31010 que tratam de gestão de riscos e técnicas
de avaliação dos riscos, respectivamente. Com isso, criou-se um plano de
contingência que nada mais é que um conjunto de estratégias e “procedimentos que
devem ser adotados quando a instituição ou uma área depara-se com problemas que
comprometem o andamento normal dos processos e a consequente prestação dos
serviços” (BRASIL, TCU, 2007, p.33).
O trabalho inicia-se com a literatura que trata de gestão de riscos e técnicas de
análise/avaliação de riscos. Em seguida, é realizado o estudo sobre a Análise
Preliminar dos Riscos – APR e sobre plano de contingência para que possa ser feito
o estudo de caso.
2
Após a revisão literária, é criado o plano de contingência para a GESUT
baseado, sempre, nos estudos realizados sobre gestão de riscos e plano de
contingência.
1.2. Objetivos
1.2.1. Objetivo Geral
Realizar análise de riscos com base nas normas ABNT NBR ISO/IEC 27005
(2008) e ABNT NBR ISO/IEC 31010 (2009) sobre os ativos da Gerência de Suporte
Tecnológico – GESUT da Empresa Bancorbrás visando a criação de um plano de
contingência para a melhoria da segurança da informação nos sistemas administrados
pela GESUT.
1.2.2. Objetivos Específicos
a) Identificar os ativos físicos e lógicos da GESUT;
b) Analisar os riscos para os ativos utilizando a técnica conhecida como Análise
Preliminar de Riscos – APR;
c) Elaborar um plano de contingência para as atividades de gerenciamento dos
sistemas administrados pela GESUT, com base nas normas ABNT NBR
ISO/IEC 27005 (2008) e ABNT NBR ISO/IEC 31010 (2009).
1.3. Justificativa
Com a evolução tecnológica que vem acontecendo a cada ano por todo o
mundo, as empresas buscam melhorias nas formas de administração do seu
conhecimento. As informações contidas nas organizações necessitam, cada vez mais,
de proteção adequada para evitar possíveis transtornos, por isso, faz-se necessário a
inclusão de mecanismos voltados para a segurança da informação nas empresas.
3
Para que as empresas pudessem realizar a proteção dos seus ativos de
informações de uma forma uniforme, foram criadas diversas normas para padronizar
os conceitos de segurança da informação e viabilizar métodos mais simples e de fácil
compreensão na elaboração de soluções para os problemas. Para a elaboração do
trabalho, foram escolhidas as normas: ABNT NBR ISO/IEC 27005(2008), que trata da
gestão de riscos de segurança da informação; e a ABNT NBR ISO/IEC 31010(2009)
que disserta sobre técnicas de análise/avaliação de riscos.
Uma das primeiras coisas as serem feitas segundo as normas é a elaboração
de uma análise de riscos. Que nada mais é do que um conjunto de técnicas de
abordagem, com vistas à análise qualitativa e quantitativa dos eventos, por meio das
quais busca-se identificar, avaliar e tratar os riscos que sejam emergenciais e/ou
latentes, capazes de provocar perdas de informações preciosas para a organização.
O processo de avaliação de riscos, ou o conjunto de métodos empregados no
Gerenciamento de Riscos possibilita o surgimento de meios de identificação e análise
prematura que atenuam as perdas ameaçadoras dos patrimônios das empresas,
reduzindo suas severidades ou gravidades, através da eliminação dos riscos ou do
controle dos eventos e de suas consequências (NAVARRO, 2015).
Com a elaboração da análise/avaliação de riscos, o planejamento estratégico
da empresa é facilitado, pois passa-se a conhecer melhor os ativos da organização
melhorando os métodos de trabalho.
1.4. Procedimentos metodológicos
Para e elaboração do trabalho foi utilizado, inicialmente, a pesquisa
bibliográfica com o objetivo de conhecer mais sobre o assunto proposto para que
pudesse haver a discussão e a análise sobre o tema. Com isso, propicia a análise do
tema sob uma nova abordagem, chegando a conclusões diversificadas e inovadoras.
A princípio foi realizado um estudo sobre as normas ABNT NBR ISO/IEC 27005
(2008) e 31010 (2009) que tratam sobre gestão de risco de segurança da informação
e técnicas de análise/avaliação de riscos, respectivamente.
4
Em seguida foi realizado o estudo das literaturas que falam sobre a Análise
Preliminar de Risco – APR e sobre Plano de Contingência para serem aplicados na
GESUT da Empresa Bancorbrás.
Após a análise literária, foi elaborada a APR, com base no modelo da UFAL
(s.d.), nos ativos identificados na GESUT e foi criado um plano de contingência,
baseado no guia de elaboração de plano de contingência da CELEPAR (2009),
propondo soluções rápidas para as ameaças que foram analisadas.
5
CAPÍTULO 2
REFERENCIAL TEÓRICO
2.1. Conceitos
Para começar o projeto de gestão, é necessário conhecer alguns conceitos
relacionados a essa matéria para o melhor entendimento do assunto, destacando o
conceito de risco de segurança da informação e os demais conceitos dos elementos
integrantes da gestão.
Informação é um conjunto organizado de dados, que constitui uma mensagem
sobre um determinado fenômeno ou evento. A informação permite resolver problemas
e tomar decisões, tendo em conta que o seu uso racional é a base do conhecimento
(CONCEITO, 2015).
Segurança da informação é a proteção da informação de inúmeros tipos de
ameaças para garantir a evolução do negócio, diminuir o risco ao negócio, aumentar
o retorno sobre os investimentos e as oportunidades de negócio (ABNT NBR ISO/IEC
27002, 2005).
Risco de segurança da informação: a chance de uma concreta” ameaça
aproveitar vulnerabilidades de um ativo ou de um grupo de ativos, causando danos à
organização. É medido em função da combinação da probabilidade de um evento e
de sua consequência” (ABNT NBR ISO/IEC 27005, 2008, p.3).
Com base neste conceito, pode-se concluir que há quatro componentes
importantes para a gestão de riscos, que são: ativo, ameaça, vulnerabilidade e
impacto.
Ativo é determinado como qualquer coisa que tenha valor para a organização
(ABNT NBR ISO/IEC 27002, 2005). Na ABNT NBR ISO/IEC 27005 (2008, p.34), os
ativos são divididos em duas categorias:
Ativos primários que são os principais processos e informações das atividades incluídas no escopo. Outros ativos primários, tais como os processos da organização, podem também ser considerados, os quais serão úteis para a elaboração da política de segurança da informação ou do plano de continuidade de negócios; e os ativos de suporte e infraestrutura que são aqueles que os ativos primários se amparam, eles podem ser
6
organizados desta forma: hardware, software, rede, recursos humanos, instalações físicas e estrutura da organização.
Ameaça é a possibilidade de um agente ou fonte de ameaça explorar uma
vulnerabilidade específica, que pode resultar em dano para um sistema ou
organização (ABNT NBR ISO/IEC 27002, 2005). As ameaças podem ser de origem
humana, de natureza acidental ou intencional ou, ainda, de origem ambiental. A ABNT
NBR ISO/IEC 27005 (2008) classifica as ameaças nas categorias: dano físico, eventos
naturais, paralisação de serviços essenciais, distúrbio causado por radiação,
comprometimento da informação, falhas técnicas, ações não autorizadas,
comprometimento de funções. A norma solicita atenção especial às fontes de
ameaças representadas por seres humanos como: Hacker, Criminoso digital,
Espionagem industrial, Pessoal interno.
Vulnerabilidade é a falta de proteção de um ou mais ativos que pode ser
invadida por ameaças. A ABNT NBR ISO/IEC 27005 (2008) fornece exemplos de
vulnerabilidades em: Hardware, Software, Rede, Local ou instalações e Organização.
Impacto é o resultado decorrente da verificação de um determinado evento de
segurança sobre um ou mais recursos, evento este que se traduz normalmente em
consequências nocivas para os recursos mencionados (GAIVÉO, 2007).
Segundo a norma ABNT NBR ISO/IEC 27005 (2008, p. 44), o impacto pode ser
dividido em:
direto: valor financeiro de reposição do ativo perdido; custo de aquisição,
configuração e instalação do novo ativo ou do back up; custo das operações
suspensas devido ao incidente até que o serviço prestado pelos ativos
afetados seja restaurado; consequências resultantes de violações da
segurança da informação; e indireto: custo de oportunidade; custos das
operações interrompidas; mau uso das informações obtidas através da
violação da segurança; violação de obrigações estatutárias ou regulatórias;
violação dos códigos éticos de conduta.
7
2.2. O processo de gestão de riscos
A norma ABNT NBR ISO/IEC 27005 (2008) trata das diretrizes do processo de
gestão de risco de segurança da informação e das suas atividades (Figura 1).
A gestão de risco inicia-se com a definição do contexto. A seguir, é realizada a
análise/avaliação de riscos, onde os riscos são encontrados, calculados e
classificados segundo critérios estabelecidos no momento da definição do contexto.
Terminada esta fase, começa o primeiro ponto de decisão onde é analisado se a
avaliação foi aceitável ou não, caso não tenha sido, é repetido o processo. Mas, caso
a avaliação for aceitável passa-se para o tratamento do risco, fase que os riscos
podem ser reduzidos, retidos, evitados ou transferidos.
A aceitação do risco é de suma importância porque os gestores da organização
registram formalmente a aceitação do risco residual, que segundo a ABNT NBR
ISO/IEC 27005 (2008) é o risco remanescente após o tratamento de riscos. A
comunicação do risco deverá ser feita no decorrer de todo o processo porque dados
relacionados aos riscos e como serão realizados os tratamentos podem ter muita
utilidade para os gestores e para os setores responsáveis pelo gerenciamento do
incidente. O monitoramento diário e a análise crítica são necessários para ter a certeza
que o contexto, a análise/avaliação de riscos e do tratamento do risco, bem como os
planos de gestão, continuem importantes e apropriados às circunstâncias.
8
Figura 1 - Visão geral do processo de gestão de risco
Fonte: ABNT NBR ISO/IEC 27005 (2008, p.6).
As ações do processo de gestão de riscos de segurança da informação, de
acordo com o apresentado acima, são: definição do contexto, análise/avaliação de
riscos, tratamento do risco, aceitação do risco, comunicação do risco e monitoramento
e análise crítica de riscos. Todas serão descritas a seguir.
2.3. Definição do contexto
Segundo a ABNT NBR ISO/IEC 31010 (2006, p.6), “estabelece os parâmetros
básicos para a gestão de riscos e define o escopo e os critérios para o resto do
processo”. Isso inclui considerar os parâmetros internos e externos relevantes para a
9
organização como um todo, bem como o conhecimento dos riscos específicos a serem
avaliados.
Estabelecendo o contexto, os objetivos do processo de avaliação de riscos, os
critérios de risco e o programa para o processo de avaliação de riscos são
determinados e acordados.
Para um processo de avaliação de riscos específico, convém incluir a definição
de contexto interno, externo e de gestão de riscos.
De acordo com a ABNT NBR ISO/IEC 31010 (2006, p.6), determinar o contexto
interno envolve:
O entendimento das capacidades da organização em termos de conhecimento e recursos; dos fluxos de informação e processos de tomada de decisão; das partes interessadas internas; dos objetivos e das estratégias que estão em vigor a fim de atingi-los; das percepções, valores e cultura; das políticas e processos; de normas e modelos de referência adotados pela organização; e das estruturas (por exemplo, governança, papéis e responsabilizações).
Estabelecer o contexto externo envolve a familiarização com o ambiente em
que a organização e o sistema operam incluindo:
Os fatores culturais, políticos, legais, regulatórios, financeiros, econômicos e ambientais competitivos, seja em nível internacional, nacional, regional ou local; fatores-chave e tendências que tenham impacto sobre os objetivos da organização; e percepções e valores das partes interessadas externas (ABNT NBR ISO/IEC 31010, 2006, p.6).
Definir o contexto do processo de gestão de riscos engloba:
a definição de responsabilizações e reponsabilidade; a definição da extensão das atividades de gestão de risco a serem conduzidas, contemplando inclusões e exclusões específicas; a definição da extensão do projeto, processo, função ou atividade em termos de tempo e local; a definição das relações entre um projeto ou atividade específicos e outros projetos ou atividades da organização; a definição das metodologias do processo de avaliação de riscos; a definição dos critérios de risco; a definição e a especificação das decisões e ações que precisam ser tomadas; identificação dos estudos necessários para escopo ou enquadramento, sua extensão e objetivos; e os recursos requeridos para tais estudos (ABNT NBR ISO/IEC 31010, 2006, p.7).
10
2.4. Análise/avaliação de risco
A análise/avaliação de riscos determina o valor dos ativos de informação,
identifica as ameaças e vulnerabilidades aplicáveis existentes (ou que poderiam
existir), identifica os controles existentes e seus efeitos no risco identificado, determina
as consequências possíveis e, finalmente, prioriza os riscos derivados e ordena-os de
acordo com os critérios de avaliação de riscos estabelecidos na definição do contexto
(ABNT NBR ISO/IEC 27005, 2008, p.12).
O processo de análise/avaliação dos riscos possibilita um entendimento dos
riscos, suas causas, consequências e probabilidades. Isto proporciona uma entrada
para decisões sobre:
Se convém que uma atividade seja realizada; como maximizar oportunidades;
se os riscos necessitam ser tratados; a escolha entre opções com diferentes
riscos; a priorização das opções de tratamento de riscos; e a seleção mais
apropriada de estratégias de tratamento de riscos que trará riscos adversos
a um nível tolerável (ABNT NBR ISO/IEC 31010, 2006, p.8).
A análise/avaliação de riscos é executada frequentemente em duas (ou mais)
iterações.
Primeiramente, uma avaliação de alto nível é realizada para identificar os
riscos com potencial de alto impacto, os quais merecem uma avaliação mais
aprofundada. A segunda iteração pode considerar com mais profundidade os
riscos de alto impacto potencial revelados na primeira iteração. Se ela não
fornecer informações suficientes para avaliar o risco, então análises
adicionais detalhadas precisarão ser executadas, provavelmente em apenas
partes do escopo total e possivelmente usando um outro método (ABNT NBR
ISO/IEC 27005, 2008, p.12-13).
2.4.1. Análise de risco
A Análise do Risco é a composição dos processos de Identificação do Risco e
de Estimativa do Risco. A identificação do risco é o processo de encontrar, listar e
caracterizar os elementos ou fatores do risco. O propósito da Avaliação do Risco é
priorizar os riscos contra critérios de avaliação e objetivos relevantes para a
organização (FERNANDES, 2011, p.35).
11
2.4.2. Identificação do risco
“O propósito da identificação de riscos é determinar eventos que possam
causar uma perda potencial e deixar claro como, onde e por que a perda pode
acontecer” (ABNT NBR ISO/IEC 27005, 2008, p.13). A identificação do risco divide o
risco em cinco partes e os analisa individualmente. De acordo com a ABNT NBR
ISO/IEC 27005 (2008), as atividades são:
1. Identificação de ativos;
2. Identificação de ameaças;
3. Identificação de controles;
4. Identificação de vulnerabilidades;
5. Identificação de consequências.
2.4.3. Identificação de ativos
O processo visa identificar os ativos dentro do escopo que precisa ter os seus
riscos gerenciados. Recebe como entradas: “Escopo e limites para a análise/avaliação
de riscos a ser executada; lista de componentes com responsáveis, localidade, função
e outros dados dos ativos” (ABNT NBR ISO/IEC 27005, 2008, p.13). E como saída:
“Uma lista de ativos cujos riscos-controlados, e uma lista de processos do negócio
relacionados aos ativos e suas relevâncias” (ABNT NBR ISO/IEC 27005, 2008, p.13).
Convém que a identificação dos ativos seja executada com um detalhamento
adequado que forneça informações suficientes para a análise/avaliação de
riscos. O nível de detalhe usado na identificação dos ativos influenciará na
quantidade geral de informações reunidas durante a análise/avaliação de
riscos. O detalhamento pode ser aprofundado em cada iteração da
análise/avaliação de riscos. Convém que um responsável seja identificado
para cada ativo, a fim de oficializar sua responsabilidade e garantir a
possibilidade da respectiva prestação de contas. O responsável pelo ativo
pode não ter direitos de propriedade sobre o mesmo, mas tem
responsabilidade sobre sua produção, desenvolvimento, manutenção,
utilização e segurança, conforme apropriado. O responsável pelo ativo é
frequentemente a pessoa mais adequada para determinar o valor do mesmo
para a organização (ABNT NBR ISO/IEC 27005, 2008, p.13).
12
2.4.4. Identificação de ameaças
A identificação de ameaças recebe como entrada: “informações sobre ameaças
obtidas a partir da análise crítica de incidentes, dos responsáveis pelos ativos, de
usuários e de outras fontes, incluindo catálogos externos de ameaças” (ABNT NBR
ISO/IEC 27005, 2008, p.14). E recebe como saída: “Uma lista de ameaças com a
identificação do tipo e da fonte das ameaças” (ABNT NBR ISO/IEC 27005, 2008, p.14).
Uma ameaça tem o potencial de comprometer ativos (tais como, informações,
processos e sistemas) e, por isso, também as organizações. Ameaças podem
ser de origem natural ou humana e podem ser acidentais ou intencionais.
Convém que tanto as fontes das ameaças acidentais, quanto as intencionais,
sejam identificadas. É indicado as ameaças sejam identificadas
genericamente e por classe (por exemplo: ações não autorizadas, danos
físicos, falhas técnicas) e, quando apropriado, ameaças específicas
identificadas dentro das classes genéricas. Algumas ameaças podem afetar
mais de um ativo. Nesses casos, elas podem provocar impactos diferentes,
dependendo de quais ativos são afetados (ABNT NBR ISO/IEC 27005, 2008,
p.14).
2.4.5. Identificação de controles
Esta fase recebe como entrada: “documentação dos controles, planos de
implementação do tratamento do risco. E como saída: Uma lista de todos os controles
existentes e planejados, sua implementação e status de utilização” (ABNT NBR
ISO/IEC 27005, 2008, p.14).
Conforme a ABNT NBR ISO/IEC 27005 (2008, p.14), “Convém que a
identificação dos controles existentes seja realizada para evitar custos e trabalho
desnecessários”. Um controle que não funcione como esperado pode provocar o
surgimento de vulnerabilidades.
Para a identificação dos controles existentes ou planejados, as seguintes
atividades podem ser úteis:
Analisar de forma crítica os documentos contendo informações sobre os
controles (por exemplo: os planos de implementação de tratamento do risco).
Se os processos de gestão da segurança da informação estão bem
documentados, convém que todos os controles existentes ou planejados e a
situação de sua implementação estejam disponíveis; Verificar com as
pessoas responsáveis pela segurança da informação (por exemplo: o
responsável pela segurança da informação, o responsável pela segurança do
13
sistema da informação, o gerente das instalações prediais, o gerente de
operações) e com os usuários quais controles, relacionados ao processo de
informação ou ao sistema de informação sob consideração, estão realmente
implementados; Revisar, no local, os controles físicos, comparando os
controles implementados com a lista de quais convém que estejam presentes;
e verificar se aqueles implementados estão funcionando efetiva e
corretamente, ou Analisar criticamente os resultados de auditorias internas
(ABNT NBR ISO/IEC 27005, 2008, p.15).
2.4.6. Identificação das vulnerabilidades
A identificação de vulnerabilidades tem como entrada: “Uma lista de ameaças
conhecidas, listas de ativos e controles existentes” (ABNT NBR ISO/IEC 27005, 2008, p.15).
E como saída: “Uma lista de vulnerabilidades associadas aos ativos, às ameaças e aos
controles; uma lista de vulnerabilidades que não se refere a nenhuma ameaça identificada
para análise” (ABNT NBR ISO/IEC 27005, 2008, p.16).
As vulnerabilidades podem ser identificadas nas seguintes áreas:
Organização; Processos e procedimentos; Rotinas de gestão; Recursos humanos; Ambiente físico; Configuração do sistema de informação; Hardware, software ou equipamentos de comunicação; Dependência de entidades externas (ABNT NBR ISO/IEC 27005, 2008, p.15).
A presença de uma vulnerabilidade não causa prejuízo por si só, pois precisa haver uma ameaça presente para explorá-la. Uma vulnerabilidade que não tem uma ameaça correspondente pode não requerer a implementação de um controle no presente momento, mas convém que ela seja reconhecida como tal e monitorada, no caso de haver mudanças. Inversamente, uma ameaça que não tenha uma vulnerabilidade correspondente pode não resultar em um risco (ABNT NBR ISO/IEC 27005, 2008, p.16).
2.4.7. Identificação das consequências
Esta identificação “determina a natureza e o tipo de impacto que pode ocorrer
assumindo que uma particular situação, evento ou circunstancia ocorreu” (ABNT NBR
ISO/IEC 31010, 2009, p.12). Tem como entrada: “uma lista de ativos, uma lista de
processos do negócio e uma lista de ameaças e vulnerabilidades, quando aplicável,
relacionadas aos ativos e sua relevância” (ABNT NBR ISO/IEC 27005, 2008, p.16). E
como saída: “uma lista de cenários de incidentes com suas consequências associadas
aos ativos e processos do negócio” (ABNT NBR ISO/IEC 27005, 2008, p.17).
Essa atividade identifica o prejuízo ou as consequências para a organização que podem decorrer de um cenário de incidente. Um cenário de incidente é a
14
descrição de uma ameaça explorando uma certa vulnerabilidade ou um conjunto delas em um incidente de segurança da informação. O impacto dos cenários de incidentes é determinado considerando-se os critérios de impacto definidos durante a atividade de definição do contexto. Ele pode afetar um ou mais ativos ou apenas parte de um ativo. Assim, aos ativos podem ser atribuídos valores correspondendo tanto aos seus custos financeiros, quanto às consequências ao negócio se forem danificados ou comprometidos. Consequências podem ser de natureza temporária ou permanente como no caso da destruição de um ativo (ABNT NBR ISO/IEC 27005, 2008, p.16).
2.4.8. Estimativa de riscos
Segundo Fernandes (2011, p. 35), a Estimativa do Risco é a última etapa da
fase de análise do risco, e seu objetivo é atribuir valores para as probabilidades e
consequências de cada risco, usando escalas qualitativas e (ou) quantitativas.
A estimativa qualitativa é muito utilizada para obter uma indicação geral do nível
de risco e para revelar os grandes riscos. Depois, poderá ser necessário realizar uma
análise quantitativa ou mais específica, nos grandes riscos (ABNT NBR ISO/IEC
27005, 2008).
Detalhes adicionais a respeito das metodologias para a estimativa estão
descritos a seguir:
Estimativa qualitativo: A estimativa qualitativa utiliza uma escala com atributos qualificadores que descrevem a magnitude das consequências potenciais e a probabilidade dessas consequências ocorrerem. A estimativa qualitativa pode ser utilizada: Como uma verificação inicial a fim de identificar riscos que exigirão uma análise mais detalhada; quando esse tipo de análise é suficiente para a tomada de decisões; quando os dados numéricos ou recursos são insuficientes para uma estimativa quantitativa. Convém que a análise qualitativa utilize informações e dados factuais quando disponíveis (ABNT NBR ISO/IEC 27005, 2008, p.17).
Estimativa quantitativa: A estimativa quantitativa utiliza uma escala com valores numéricos tanto para consequências quanto para a probabilidade, usando dados de diversas fontes. A qualidade da análise depende da exatidão e da integralidade dos valores numéricos e da validade dos modelos utilizados. A estimativa quantitativa, na maioria dos casos, utiliza dados históricos dos incidentes, proporcionando a vantagem de poder ser relacionada diretamente aos objetivos da segurança da informação e interesses da organização. Uma desvantagem é a falta de tais dados sobre novos riscos ou sobre fragilidades da segurança da informação (ABNT NBR ISO/IEC 27005, 2008, p.17).
15
2.4.9. Avaliação das consequências
A estimativa das consequências recebe de entrada “uma lista de cenários de
incidente identificados como relevantes, incluindo identificação de ameaças,
vulnerabilidades, ativos afetados, consequências para ativos e processos de negócio”
(ABNT NBR ISO/IEC 27005, 2008, p.18). E como saída: “uma lista de consequências
avaliadas referentes a um cenário de incidente, relacionadas aos ativos e critérios de
impacto” (ABNT NBR ISO/IEC 27005, 2008, p.18).
Segundo Fernandes (2011, p.40), são aspectos importantes que devem ser
considerados na estimativa de consequências:
Valorar todos os ativos no escopo e considerar o valor desses ativos quando estimando as consequências; Valorar impactos sobre os negócios de forma quantitativa ou qualitativa (valores monetários facilitam tomada de decisão); Ordenar os ativos quanto à criticidade, isto é, a importância dos ativos para alcance dos objetivos de negócios da organização; Analisar na ordem dos mais críticos para os menos críticos; Realizar uma análise de impacto sobre negócios – BIA; Considerar que incidentes podem afetar mais de um ativo; Expressar consequências usando critérios de impacto em termos monetários, técnicos ou humanos, ou outros.
2.4.10. Avaliação da probabilidade de incidente
Recebe como entrada: “uma lista de cenários de incidentes identificados como
relevantes, incluindo a identificação de ameaças, ativos afetados, vulnerabilidades
exploradas e consequências para os ativos e processos do negócio” (ABNT NBR
ISO/IEC 27005, 2008, p.19). E como saída: “probabilidade dos cenários de incidentes
(no método quantitativo ou no qualitativo) ” (ABNT NBR ISO/IEC 27005, 2008, p.19).
“Depois de identificar os cenários de incidentes, é necessário avaliar a
probabilidade de cada cenário e do impacto correspondente, usando técnicas de
estimativa qualitativas ou quantitativas” (ABNT NBR ISO/IEC 27005, 2008, p.19).
Convém levar em conta a frequência da ocorrência das ameaças e a facilidade com
que as vulnerabilidades podem ser exploradas, considerando o seguinte (ABNT NBR
ISO/IEC 27005, 2008, p.19):
16
A experiência passada e estatísticas aplicáveis referentes à probabilidade da
ameaça; Para fontes de ameaças intencionais: a motivação e as
competências, que mudam ao longo do tempo, os recursos disponíveis para
possíveis atacantes, bem como a percepção da vulnerabilidade e o poder da
atração dos ativos para um possível atacante; Para fontes de ameaças
acidentais: fatores geográficos (como por exemplo: proximidade a fábricas e
refinarias de produtos químicos e petróleo), a possibilidade de eventos
climáticos extremos e fatores que poderiam acarretar erros humanos e o mau
funcionamento de equipamentos; Vulnerabilidades, tanto individualmente
como em conjunto; Os controles existentes e a eficácia com que eles
reduzem as vulnerabilidades.
2.4.11. Estimativa de nível de risco
Recebe como entrada: “uma lista de cenários de incidentes com suas
consequências associadas aos ativos, processos de negócio e suas probabilidades
(no método quantitativo ou no qualitativo)” (ABNT NBR ISO/IEC 27005, 2008, p.19).
E como saída: “Uma lista de riscos com níveis de valores designados” (ABNT NBR
ISO/IEC 27005, 2008, p.20).
Para a realização da estimativa das consequências, probabilidades e nível do
risco, podem ser usadas abordagens qualitativas, quantitativas ou mistas. A
abordagem qualitativa é usualmente realizada, em primeiro lugar, para
indicação geral do nível de risco e para revelar os maiores riscos. A
abordagem quantitativa é mais complexa e custosa, e demora a produzir
resultados satisfatoriamente precisos. Apenas os riscos de maior impacto
podem ser estimados com maior detalhamento por meio de abordagem
quantitativa. Independentemente da abordagem, as estimativas devem ser
baseadas em informação factual e todos os dados disponíveis
(FERNANDES, 2011, p.41).
Durante a Estimativa do Nível do Risco, “deve-se considerar antecipadamente
os custos e benefícios do tratamento dos riscos e as preocupações dos intervenientes”
(FERNANDES, 2011, p.41).
2.4.12. Avaliação de risco
Segundo a Fernandes (2011, p. 43), “o propósito da Avaliação do Risco é
priorizar os riscos contra critérios de avaliação (definidos na Definição do Contexto) e
objetivos relevantes para a organização”. São entradas para a Avaliação do Risco,
segundo Fernandes (2011, p.43):
17
Lista de riscos com valorações de níveis;
Critérios de avaliação de riscos (declarados na Definição do Contexto);
Critérios de aceitação do risco (declarados na Definição do Contexto).
A saída da atividade é “uma lista de riscos priorizados, conforme critérios de
avaliação, em relação aos cenários de incidente que levam a esses riscos” (ABNT
NBR ISO/IEC 27005, 2008, p.20).
Convém que os critérios de avaliação de riscos utilizados na tomada de
decisões sejam consistentes com o contexto definido, externo e interno,
relativo à gestão de riscos de segurança da informação e levem em conta os
objetivos da organização, o ponto de vista das partes interessadas etc. As
decisões tomadas durante a atividade de avaliação de riscos são baseadas
principalmente no nível de risco aceitável. No entanto, convém que as
consequências, a probabilidade e o grau de confiança na identificação e
análise de riscos também sejam considerados. A agregação de vários
pequenos ou médios riscos pode resultar em um risco total bem mais
significativo e precisa ser tratada adequadamente (ABNT NBR ISO/IEC
27005, 2008, p.20).
Segundo a ABNT NBR ISO/IEC 27005 (2008, p. 20), os seguintes itens devem
ser considerados:
Propriedades da segurança da informação: se um critério não for relevante
para a organização (por exemplo: a perda da confidencialidade), logo, todos
os riscos que provocam esse tipo de impacto podem ser considerados
irrelevantes;
A importância do processo de negócios ou da atividade suportada por
um determinado ativo ou conjunto de ativos: se o processo tiver sido
julgado de baixa importância, convém que os riscos associados a ele sejam
menos considerados do que os riscos que causam impactos em processos
ou atividades mais importantes.
Com a avaliação de riscos, a fase de análise/avaliação de riscos chega ao
fim. Caso os resultados não tenham sido satisfatórios deverá retornar a definição do
contexto. Mas, se forem satisfatórios, passa-se ao tratamento do risco.
2.5. Tratamento do risco
O Tratamento do Risco é a “fase da gestão de riscos que envolve a decisão
entre reter, evitar, transferir (compartilhar) ou reduzir os riscos” (FERNANDES, 2011,
18
p.44). “A entrada para o Tratamento dos Riscos é uma lista de riscos priorizados
conforme critérios de avaliação em relação aos cenários de incidente que levaram a
tais riscos” (ABNT NBR ISO/IEC 27005, 2008, p.21).
Os objetivos a serem alcançados com o tratamento dos riscos são
(FERNANDES, 2011, p.44):
A definição de quais controles serão empregados para reduzir alguns destes riscos; A retenção ou aceitação de outros riscos; A ação de evitar outros riscos; A transferência de alguns desses riscos a outros agentes; A definição de um plano de tratamento do risco.
A saída é o “plano de tratamento do risco e os riscos residuais, sujeitos à
decisão de aceitação por parte dos gestores da organização” (ABNT NBR ISO/IEC
27005, 2008, p.21).
Convém que “as opções do tratamento do risco sejam selecionadas com base
no resultado da análise/avaliação de riscos, no custo esperado para implementação
dessas opções e nos benefícios previstos” (ABNT NBR ISO/IEC 27005, 2008, p.22).
Convém que as consequências adversas do risco sejam reduzidas ao mínimo
possível, independentemente de quaisquer critérios absolutos. Convém que
os gestores considerem os riscos improváveis, porém graves. Nesse caso,
controles que não são justificáveis do ponto de vista estritamente econômico
podem precisar ser implementados (por exemplo: controles de continuidade
de negócios concebidos para tratar riscos de alto impacto específicos).
Convém que um plano de tratamento do risco seja definido, identificando
claramente a ordem de prioridade em que as formas específicas de
tratamento do risco convêm ser implementadas, assim como os seus prazos
de execução (ABNT NBR ISO/IEC 27005, 2008, p.22).
Segundo a ABNT NBR ISO/IEC 27005 (2008, p.22), convém que as opções
de tratamento do risco sejam consideradas levando-se em conta:
Como o risco é percebido pelas partes afetadas;
As formas mais apropriadas de comunicação com as partes.
Uma vez que o plano de tratamento do risco tenha sido definido, os riscos
residuais precisam ser determinados. Isso envolve uma atualização ou uma
repetição da análise/avaliação de riscos, considerando-se os efeitos previstos
do tratamento do risco que foi proposto. Caso o risco residual ainda não
satisfaça os critérios para a aceitação do risco da organização, uma nova
19
iteração do tratamento do risco pode ser necessária antes de se prosseguir à
aceitação do risco (ABNT NBR ISO/IEC 27005, 2008, p.22).
A Figura 2 ilustra a atividade de tratamento do risco dentro do processo de
gestão de riscos de segurança da informação como apresentado na Figura 1.
Figura 2 - Atividade de tratamento de risco
Fonte: ABNT NBR ISO/IEC 27005 (2008, p.21).
A seguir as opções de tratamento do risco são detalhadas.
2.5.1. Redução do risco
A Redução do Risco consiste em tomar ações “para reduzir a probabilidade, as
consequências negativas, ou ambas, associadas a um risco” (FERNANDES, 2011, p.
45).
20
De acordo com a ABNT NBR ISO/IEC 27005 (2008, p.21), convém que “o nível
de risco seja reduzido através da seleção de controles, para que o risco residual possa
ser reavaliado e então considerado aceitável”.
É importante que controles apropriados e devidamente justificados sejam
selecionados para satisfazer os requisitos identificados através da
análise/avaliação de riscos e do tratamento dos mesmos. Essa escolha tem
que levar em conta os critérios para a aceitação do risco assim como
requisitos legais, regulatórios e contratuais. Convém que essa seleção
também leve em conta custos e prazos para a implementação de controles,
além de aspectos técnicos, culturais e ambientais. Com frequência, é possível
diminuir o custo total de propriedade de um sistema por meio de controles de
segurança da informação apropriadamente selecionados (ABNT NBR
ISO/IEC 27005, 2008, p.23).
Em geral, “os controles podem fornecer um ou mais dos seguintes tipos de
proteção: correção, eliminação, prevenção, minimização do impacto, dissuasão,
detecção, recuperação, monitoramento e conscientização” (ABNT NBR ISO/IEC
27005, 2008, p.23). Além disso, é importante que “o retorno do investimento, na forma
da redução do risco e da possibilidade de se explorar novas oportunidades de negócio
em função da existência de certos controles, também seja considerado” (ABNT NBR
ISO/IEC 27005, 2008, p.23).
Segundo a norma ABNT NBR ISO/IEC 27005 (2008, p.21), é necessário
considerar restrições que podem afetar a seleção de controles, as quais podem ser
da seguinte natureza: temporais, financeiras, técnicas, operacionais, culturais, éticas,
ambientais, legais, facilidade de uso, restrições de recursos humanos e restrições
ligadas à integração dos controles novos aos já existentes.
2.5.2. Retenção do risco
A Retenção do Risco é a “decisão de reter ou aceitar o risco sem ações
subsequentes” (FERNANDES, 2011, p. 47). Deve-se, no entanto, “evitar uso da
palavra aceitar o risco, para evitar confusão com a fase de Aceitação do Risco, que
envolve aceitar o plano de tratamento do risco” (FERNANDES, 2011, p. 47).
Para retenção do risco, deve-se considerar que, se os níveis de risco são compatíveis com os critérios de aceitação do risco, não há necessidade de
21
implementar mais controles. Nesse caso, o risco deve ser retido. O registro do risco retido permite o seu monitoramento futuro, uma vez que mudanças no ambiente organizacional podem modificar o perfil do risco. Se o custo do atacante é menor que o ganho que ele pode ter, e, adicionalmente, se a perda estimada é maior que um limite de tolerância indicado, então o risco é inaceitável. Caso contrário, o risco é retido (aceito) (FERNANDES, 2011, p. 48).
2.5.3. Ação de evitar o risco
Na ação de “evitar o risco, a atividade, condição, ação ou processo que permite
a existência do risco deve ser evitada. A organização abstém-se de realizá-la”
(FERNANDES, 2011, p. 48).
Quando os riscos identificados são considerados demasiadamente elevados
e quando os custos da implementação de outras opções de tratamento do
risco excederem os benefícios, pode-se decidir que o risco seja evitado
completamente, seja através da eliminação de uma atividade planejada ou
existente (ou de um conjunto de atividades), seja através de mudanças nas
condições em que a operação da atividade ocorre. Por exemplo: para riscos
causados por fenômenos naturais, pode ser uma alternativa mais rentável
mover fisicamente as instalações de processamento de informações para um
local onde o risco não existe ou está sob controle (ABNT NBR ISO/IEC
27005/2008, p.24).
2.5.4. Transferência do risco
A “transferência do risco é o compartilhamento com uma outra entidade do ônus
da perda ou do benefício do ganho associado a um risco” (FERNANDES, 2011, p. 48).
A transferência do risco pode também “criar novos riscos ou modificar riscos
existentes e já identificados. Portanto, um novo tratamento do risco pode vir a ser
necessário” (ABNT NBR ISO/IEC 27005, 2008, p.24).
A transferência pode ser feita por um seguro que cubra as consequências ou
através da subcontratação de um parceiro cujo papel seria o de monitorar o
sistema de informação e tomar medidas imediatas que impeçam um ataque
antes que ele possa causar um determinado nível de dano ou prejuízo. Note-
se que, apesar de ser possível transferir a responsabilidade pelo
gerenciamento do risco, não é normalmente possível transferir a
responsabilidade legal pelas consequências. Os clientes provavelmente irão
atribuir a culpa por um efeito adverso à organização (ABNT NBR ISO/IEC
27005, 2008, p.24).
22
2.6. Aceitação do risco
A Aceitação do Risco é a fase da gestão de riscos que “compreende o registro
formal da decisão pelo aceite dos riscos residuais existentes na organização. Essa
decisão é tomada pelo gestor responsável pelo escopo de risco” (FERNANDES, 2011,
p.49).
As entradas para a aceitação do risco são: “o plano de tratamento do risco e a
análise/avaliação do risco residual sujeito à decisão dos gestores da organização
relativa à aceitação do mesmo” (ABNT NBR ISO/IEC 27005, 2008, p.24).
Segundo Fernandes (2011), o objetivo da aceitação do risco é realizar a
decisão e formalizar o registro da aceitação dos riscos e responsabilidades pela
decisão. A saída da aceitação de risco é uma “lista de riscos aceitos, incluindo uma
justificativa para aqueles que não satisfaçam os critérios normais para aceitação do
risco” (ABNT NBR ISO/IEC 27005, 2008, p.25).
2.7. Comunicação do risco
A comunicação do risco é um “conjunto de atividades continuamente
executadas e que envolve a troca de informações sobre riscos entre os tomadores de
decisão e todos os envolvidos na organização” (FERNANDES, 2011, p.50). A
comunicação recebe de entrada “todas as informações sobre os riscos obtidas através
das atividades de gestão de riscos” (ABNT NBR ISO/IEC 27005, 2008, p.25).
A comunicação do risco é uma atividade que objetiva alcançar um consenso sobre como os riscos devem ser gerenciados, fazendo uso para tal da troca e/ou partilha das informações sobre o risco entre os tomadores de decisão e as outras partes interessadas. A informação inclui, entre outros possíveis fatores, a existência, natureza, forma, probabilidade, severidade, tratamento e aceitabilidade dos riscos. A comunicação do risco é realizada com a finalidade de: Fornecer garantia do resultado da gestão de riscos da organização; Coletar informações sobre os riscos; Compartilhar os resultados da análise/avaliação de riscos e apresentar o plano de tratamento do risco; Evitar ou reduzir tanto a ocorrência quanto as consequências das violações da segurança da informação que aconteçam devido à falta de entendimento mútuo entre os tomadores de decisão e as partes interessadas; Dar suporte ao processo decisório; Obter novo conhecimento sobre a segurança da informação; Coordenar com outras partes e planejar respostas para reduzir as consequências de um incidente; Dar aos tomadores de decisão e as partes
23
interessadas um senso de responsabilidade sobre riscos; Melhorar a conscientização.
A coordenação entre os principais tomadores de decisão e as partes
interessadas pode ser obtida mediante a “formação de uma comissão em que os
riscos, a sua priorização, as formas adequadas de tratá-los e a sua aceitação possam
ser amplamente discutidos” (ABNT NBR ISO/IEC 27005, 2008, p.26).
A comunicação recebe como saída: o “entendimento contínuo do processo de
gestão de riscos de segurança da informação da organização e dos resultados
obtidos” (ABNT NBR ISO/IEC 27005, 2008, p.26).
2.8. Monitoramento e análise crítica de risco
O monitoramento e análise crítica de risco é um grupo de atividades executadas
de forma contínua e que engloba o monitoramento dos vários elementos de
caracterização do risco, para identificar quaisquer mudanças no contexto da
organização, atualizar o quadro de riscos da organização e melhorar o processo de
gestão de riscos da organização (FERNANDES, 2011).
Segundo a ABNT NBR ISO/IEC 27005 (2008), o monitoramento e análise
crítica de risco é dividido em duas partes: o monitoramento e análise crítica dos fatores
de risco; e monitoramento, análise crítica e melhoria do processo de gestão de riscos.
2.8.1. Monitoramento e análise dos fatores de risco
O monitoramento e análise crítica dos fatores de risco recebe como entrada
“todas as informações sobre os riscos obtidas através das atividades de gestão de
riscos” (ABNT NBR ISO/IEC 27005, 2008, p.26). O objetivo é o “monitoramento e
revisão dos riscos e seus fatores, a fim de identificar qualquer início de mudanças
significativas no contexto organizacional” (FERNANDES, 2011, p.51).
O monitoramento e análise crítica dos fatores de risco tem como saída o
“alinhamento contínuo da gestão de riscos com os objetivos de negócios da
24
organização e com os critérios para a aceitação do risco” (ABNT NBR ISO/IEC 27005,
2008, p.26).
Os riscos não são estáticos. As ameaças, as vulnerabilidades, a probabilidade ou as consequências podem mudar abruptamente, sem qualquer indicação. Portanto, o monitoramento constante é necessário para que se detectem essas mudanças. Serviços de terceiros que forneçam informações sobre novas ameaças ou vulnerabilidades podem prestar um auxílio valioso. Os seguintes itens devem ser monitorados: Novos ativos que tenham sido incluídos no escopo da gestão de riscos; Modificações necessárias dos valores dos ativos, por exemplo: devido à mudança nos requisitos de negócio; Novas ameaças que podem estar ativas tanto fora quanto dentro da organização e que não tenham sido avaliadas; A possibilidade de que vulnerabilidades novas ou ampliadas venham a permitir que alguma ameaça as explore; As vulnerabilidades já identificadas, para determinar aquelas que estão se tornando expostas a ameaças novas ou as que voltam a acontecer; As consequências ou o impacto ampliado de ameaças, vulnerabilidades e riscos avaliados em conjunto – em um todo agregado, resultando em um nível inaceitável de risco; Incidentes relacionados à segurança da informação (ABNT NBR ISO/IEC 27005, 2008, p.26).
2.8.2. Monitoramento, análise crítica e melhoria do processo de
gestão de riscos
Segundo a ABNT NBR ISO/IEC 27005 (2008), o processo de gestão de riscos
de segurança da informação deve ter o monitoramento contínuo, analisando-o
criticamente e melhorá-lo, quando necessário e apropriado. O monitoramento recebe
de entrada “Todas as informações sobre os riscos obtidas através das atividades de
gestão de riscos” (ABNT NBR ISO/IEC 27005, 2008, p.27). E como saída a “garantia
permanente da relevância do processo de gestão de riscos de segurança da
informação para os objetivos de negócios da organização ou a atualização do
processo” (ABNT NBR ISO/IEC 27005, 2008, p.28).
Convém que a organização se certifique que o processo de gestão de riscos de segurança da informação e as atividades relacionadas permaneçam apropriadas nas circunstâncias presentes. Convém também assegurar que as atividades sejam acompanhadas. Convém que quaisquer melhorias ao processo ou quaisquer ações necessárias para melhorar a conformidade com o processo sejam comunicadas aos gestores apropriados, para que se possa ter certeza que nenhum risco ou elemento do risco será ignorado ou subestimado, que as ações necessárias estão sendo executadas e que as decisões corretas estão sendo tomadas a fim de se garantir uma compreensão realista do risco e a capacidade de reação (ABNT ISO/IEC 27005, 2008, p.27).
25
De acordo com a ABNT NBR ISO/IEC 27005 (2008, p.27) a atividade de
monitoramento e análise crítica deve ligar com:
Contexto legal e do ambiente; Contexto da concorrência; Método de análise/avaliação de riscos; Valor e as categorias dos ativos; Critérios de impacto; Critérios para avaliação de riscos; Critérios para aceitação do risco; Custo total de propriedade; Recursos necessários.
Segundo a ABNT NBR ISO/IEC 27005 (2008, p.28), o monitoramento da gestão
de riscos pode ter como resultado a modificação ou aumento da abordagem,
metodologia ou ferramentas utilizadas, dependendo:
Das mudanças identificadas; da iteração da análise/avaliação de riscos; do objetivo do processo de gestão de riscos de segurança da informação; do objeto de interesse do processo de gestão de riscos de segurança da informação.
2.9. Análise Preliminar de Risco – APR
Trata-se de uma técnica de avaliação prévia dos riscos encontrados e
envolvidos na realização de um certo trabalho. Resume-se no detalhamento rigoroso
de cada etapa do trabalho, bem como, dos riscos envolvidos (BLOG, 2015).
A análise preliminar de riscos (APR) consiste na técnica criada e usada pelos
militares nos programas de proteção em seus sistemas. Esta análise tornou-se muito
eficaz com relação ao custo, e por ser possível usar a análise em questão para
anteceder outros modos mais aprofundados de identificação de riscos a serem
utilizados no decorrer da análise proposta (UFAL, s.d.).
A APR é própria para ser empregada na fase inicial de concepção e desenvolvimento das plantas de processo, na determinação dos riscos que possam existir. Ela não exclui a necessidade de outros tipos de avaliações de riscos. Ao contrário, é uma precursora de outras análises. As principais vantagens da APR são: identificação com antecedência e conscientização dos perigos em potencial por parte da equipe de projeto e identificação e/ou desenvolvimento de diretrizes e critérios para a equipe de desenvolvimento do processo seguir. Assim, à medida que o projeto se desenvolve, os perigos principais podem ser eliminados, minimizados ou controlados logo de início (UFAL, s.d.).
Segundo a UFAL (s.d.), a análise preliminar de riscos compõe-se dos seguintes
passos básicos:
- Reunir os dados necessários;
26
- Efetuar a análise preliminar de riscos;
- Registrar os resultados.
2.9.1. Reunir os dados necessários
A APR necessita da reunião dos dados acessíveis sobre o sistema em análise,
informações relevantes adquiridas pela experiência anterior com outro sistema similar,
ou ainda, com um sistema que tenha processo diferente, mas utilize equipamentos e
materiais similares (UFAL, s.d.).
Como a APR é voltada para a identificação antecipada dos riscos, os dados do
sistema podem ser poucos. “Quaisquer problemas que venham a ser identificados
pela experiência prévia, poderão auxiliar na APR da planta em estudo” (UFAL, s.d., p.
5).
2.9.2. Realizar a análise preliminar de riscos
O processo de execução da APR consiste em “identificar os perigos, eventos
iniciadores em potencial, e outros eventos capazes de gerar consequências
indesejáveis” (UFAL, s.d.). Os analistas devem identificar os critérios de projeto ou
alternativas com possibilidades de acabar ou reduzir os perigos capazes de
determinar um nível de riscos extremamente alto para a organização (UFAL, s.d.,
p.5.).
Na realização da APR, devem ser considerados os seguintes elementos:
(a) equipamentos e materiais perigosos da planta como, por exemplo, combustíveis, sistemas de alta pressão e outros sistemas de armazenamento de energia; (b) interfaces entre equipamentos e substâncias da planta associadas à segurança como, por exemplo, interações de materiais, início de propagação de incêndios ou explosões e sistemas de controle ou parada; (c) fatores ambientais susceptíveis de influenciar o equipamento e os materiais da planta como, por exemplo, terremotos, vibração, temperaturas extremas, descargas eletrostáticas e umidade; (d) procedimentos de operação, teste, manutenção e atendimento à situações de emergência, importância dos erros humanos, funções a serem desempenhadas pelos operadores, disposição (ergonomia) dos controles de equipamentos e proteção contra acidentes com o pessoal; (e) elementos de apoio das
27
instalações como, por exemplo, armazenamento, equipamentos de teste, treinamento e utilidades; (f) equipamentos relacionados com a segurança: sistemas de atenuação, redundância, extintores de incêndio e equipamentos de proteção pessoal (UFAL, s.d., p. 5-6.).
2.9.3. Registro dos resultados
É conveniente que os resultados da APR sejam registrados num formulário que
mostra “os perigos identificados, as causas, o modo de detecção, efeitos potenciais,
categorias de frequência e severidade e risco, as medidas corretivas/preventivas e o
número do cenário” (UFAL, s.d., p. 7) conforme a Figura 3 abaixo.
Figura 3 - Planilha da Análise Preliminar de Risco
Fonte: Universidade Federal de Alagoas (s.d., p. 7)
Na coluna Risco ficam os perigos que foram identificados na análise. “São
eventos acidentais que têm potencial para causar danos às instalações” (UFAL, s.d.,
p. 7), aos colaboradores ou ao sistema.
Na coluna Causa ficam os motivos que causaram o risco.
Na coluna Modo de Detecção, os métodos disponíveis na empresa para a
descoberta do risco devem ser colocados nessa coluna.
Na coluna Efeito, ficam listados os danos causados pelo risco identificados.
Um risco pode ter um ou mais efeitos.
28
Na coluna Frequência, é fornecido uma “indicação qualitativa da frequência
esperada de ocorrência para cada um dos cenários identificados” (UFAL, s.d., p. 8).
Na coluna Severidade será fornecido “indicação qualitativa do grau de
severidade das consequências de cada um dos cenários identificados” (UFAL, s.d., p.
8).
Na Categoria de Risco faz-se a junção das “categorias de frequência com as
de severidade obtendo, assim, a Matriz de Risco, que fornece uma indicação
qualitativa do nível de risco de cada cenário identificado na análise” (UFAL, s.d., p. 8).
Na coluna Medidas/Observações “contém as medidas que devem ser
tomadas diminuir a frequência ou severidade do acidente ou quaisquer observações
pertinentes ao cenário de acidente em estudo” (UFAL, s.d., p. 8).
Na coluna Nº do Cenário “contém um número de identificação do cenário de
acidente. Foi preenchida sequencialmente para facilitar a consulta a qualquer cenário
de interesse” (UFAL, s.d., p. 8). A figura 4 mostra a frequência nos cenários da APR.
2.9.4. Categorias de Frequências dos Cenários Usadas na APR
Figura 4 - Categorias de Frequência dos Cenários Usadas na APR
Fonte: Universidade Federal de Alagoas (s.d., p. 9)
29
2.9.5. Categoria de Severidade dos Cenários da APR
Figura 5 - Categorias de Severidade dos Cenários da APR
Fonte: Universidade Federal de Alagoas (s.d., p. 9)
2.9.6. Matriz de Classificação de Riscos Usada em APR
Figura 6 - Matriz de Classificação de Risco da APR
30
Fonte: Universidade Federal de Alagoas (s.d., p. 10)
2.10. Plano de Contingência
Qualquer empresa com potencial de gerar um problema anormal, cujas
consequências possam provocar sérios danos a pessoas, aos dados e a bens
patrimoniais, inclusive de terceiros, devem ter, como atitude preventiva, um Plano de
Contingência (ou Emergência) (CELEPAR, 2009).
A operação em contingência é uma atividade de tempo real que “mitiga os
riscos para a segurança do sistema e contribui para a manutenção da qualidade do
negócio, em casos de indisponibilidade de funcionalidades dos sistemas” (CELEPAR,
2009, p.4).
O Plano de Contingência é um documento onde estão definidas as
“responsabilidades estabelecida em uma organização, para atender a uma
emergência e também contêm informações detalhadas sobre as características da
área ou sistemas envolvidos” (CELEPAR, 2009, p.4).
31
As informações da empresa foram retiradas do site da empresa: www.bancorbras.com.br.
CAPÍTULO 3
ESTUDO DE CASO
3.1. Identificação da organização
Fundada em 1984, a Companhia Bancorbrás de Administração e Negócios
– CBAN é responsável por administrar, promover, mediar ou participar de negócios
ou empreendimentos, direta ou indiretamente; praticar a administração e a prestação
de serviços em geral; comercializar bens; exercer as atividades pertinentes ou
contratá-las com terceiros; criar e administrar Clubes de Turismo; administrar
empreendimentos hoteleiros próprios ou de terceiros; constituir outras empresas ou
participar do capital de outras sociedades como cotista ou acionista; editorar jornais,
revistas, publicações periódicas em geral, cuidar da comunicação mercadológica das
unidades de negócios; cuidar das atividades inerentes aos recursos tecnológicos das
Empresas Bancorbrás – sempre a partir das diretrizes fixadas pela Bancorbrás
Empreendimentos e Participações – BEP.
Missão
Ser uma empresa rentável, que atua com ética e responsabilidade
socioambiental para oferecer comodidade, tranquilidade e segurança na realização
dos projetos de vida de seus clientes.
Valores
Honestidade e respeito com os diversos públicos;
Compromisso com a ética e com a responsabilidade socioambiental;
Profissionalismo e transparência nos negócios;
32
Comprometimento com a qualidade dos produtos e dos serviços ofertados;
Confidencialidade e segurança da informação;
Obediência às leis e às normas que regulamentam os negócios da Empresa;
Compromisso com a qualidade de vida e com o desenvolvimento de nossos
colaboradores;
Respeito à diversidade.
Gerência de Suporte Tecnológico – GESUT
Setor responsável por realizar suporte dos equipamentos computacionais da
empresa, fazendo manutenção, atualização e compras de computadores da empresa.
3.2. Análise Preliminar dos Riscos e Plano de
Contingência da Gerência de Suporte Tecnológico –
GESUT
3.2.1. Ativos da GESUT
a) Service Desk Bancorbrás – SDB: sistema de gerenciamento de incidente que
serve para centralizar as necessidades da empresa em um único lugar,
registrando entrada e saída de pedidos de suporte e manutenção, para ter um
maior controle sobre o que foi feito. Restabelecendo a operação normal dos
serviços dos usuários o mais rápido possível, minimizando o impacto nos
negócios causados por falhas de TI. Este sistema é utilizado, principalmente
pelos técnicos da GESUT;
b) Sistema de Requisição de Materiais – SRM: sistema utilizado para a
realização de pedidos de material de expediente (papel, caneta, grampeador e
etc.) e outros tipos de materiais que completam a estrutura física dos setores
da empresa (cadeiras, mesas, quadros, tomadas, armários e etc.);
33
c) Servidores de Dados: servidores dedicados ao armazenamento e distribuição
de arquivos na rede da empresa;
d) Computadores desktops/laptops: Computadores distribuídos na
presidência, nas diretorias, nas superintendências, e nas gerências da
Empresa Bancorbrás;
e) Recursos Humanos: usuários, técnicos de suporte e gestores dos sistemas.
3.2.2. Análise Preliminar dos Riscos da GESUT
Abaixo, serão demonstrados no Quadro 1 os ativos da GESUT, juntamente com
as ameaças, a causa da ameaça, modo de detecção realizado para encontrar a
ameaça, os efeitos que podem causar à GESUT e a escala de frequência, severidade
e nível de risco qualificados por meio da Matriz de Classificação de Riscos
demonstrada, anteriormente, no item 2.9.6.
34
Quadro 1 – Análise preliminar de riscos
35
Quadro 1 – Análise preliminar de riscos (cont.)
36
Diagnóstico dos ativos de acordo com o Quadro 1 acima:
a) Ativos com o nível de risco considerado sério
Com a APR realizada, foi diagnosticado por meio da utilização do software que
o SDB apresenta constante quedas causando muita instabilidade no sistema. Por ser
um sistema recém-criado para a GESUT, necessita de muitos reparos até que se torne
o sistema ideal para o trabalho.
No caso do SRM, por não haver muita manutenção no sistema, recebe-se uma
quantidade alta de chamados informando que o sistema está inoperante. Com isso,
há a paralização das requisições necessárias atrasando o andamento normal e
correto dos setores da empresa.
b) Ativos com o nível de risco considerado moderado
O SDB tem uma pequena possibilidade de apresentar falhas no sistema
ocasionando o comprometimento dos dados dos chamados, podendo causar alguma
perda de informação. Com isso, a resolução dos chamados recebidos pode demorar
mais do que o imaginado.
No caso dos servidores de dados houve uma preocupação em analisar
possíveis deteriorações nos equipamentos por falta de manutenção. Se não houver
uma manutenção periódica dos servidores, a empresa pode perder dados cruciais
para seu desenvolvimento.
A GESUT recebe alguns chamados para verificar danificações nos
computadores. Após a verificação, é constatado que os colaboradores não têm muito
zelo com o equipamento. Assim, ficam sem trabalhar por um determinado tempo,
acumulando os serviços do setor em que trabalha.
37
c) Ativos com o nível de risco considerado menor
Após testes no SDB e no SRM, foi detectado que eles possuem uma interface
complicada que pode causar uma certa demora no atendimento dos chamados, pois
os técnicos que não tenham muito conhecimento do software podem cometer alguns
erros durante o uso.
Ainda sobre o Service Desk Bancorbrás, foi diagnosticado que não há um
controle de acesso eficaz no sistema graças a uma verificação nos perfis autorizados
a acessar o SDB. Caso o usuário do sistema esteja com um nível de acesso além do
que deveria, poderá ter acessos indevidos comprometendo o bom andamento dos
atendimentos aos colaboradores.
Fazendo a análise dos chamados recebidos dentro do SDB, verificou-se que
há uma boa quantidade de solicitações de auxílio para manusear o computador e
alguns chamados sobre defeitos no computador por falta de manutenção. Essas
ameaças acabam fazendo com que o colaborador para de trabalhar por um
determinado período, prejudicando seu desempenho na empresa.
O furto, também, está presente na lista de chamados recebidos pelo SDB.
Normalmente, estes furtos acontecem com os colaboradores que trabalham utilizando
notebooks e, em muitos momentos, fora da empresa. Acabam impossibilitados de
realizar as suas funções até que seja comprado um outro computador.
Em alguns momentos notava-se que os computadores da GESUT estavam um
pouco lentos na hora do trabalho. Com a análise, foi verificado que há uma incidência
alta de vírus nos computadores graças ao uso inadequado. Isso faz com que danifique
o computador e cause demora nos afazeres da Bancorbrás.
Analisando alguns hábitos dos colaboradores da GESUT, foi constatado que
alguns ainda cometem alguns erros durante o manuseio dos softwares utilizados pela
gerência. Muitas vezes por falta de treinamento anterior ao começo do trabalho.
Assim, o colaborador acaba levando um pouco mais de tempo para realizar as suas
funções de maneira correta.
38
CAPÍTULO 4
Plano de Contingência da GESUT
4.1. Objetivo
Este documento tem como objetivo auxiliar os colaboradores lotados na
Gerência de Suporte Tecnológico – GESUT na contenção de problemas que possam
vir a acontecer e necessitam de solução rápida para que não atrapalhe o andamento
da gerência.
Além disso, este plano tem como objetivo designar responsabilidades, atribuir
conceitos, estabelecer diretrizes e critérios para que os colaboradores do setor,
possam dar continuidade aos processos de negócio em regime de contingência dos
sistemas utilizados na GESUT.
A estrutura do plano utilizou como base o modelo proposto pela CELEPAR
(2009) e apresentada ao setor de Tecnologia da Informação, a partir das
contingencias funcionais (CF). As 13 contingências funcionais analisadas foram as
levantadas na análise de risco e as diretrizes tiveram como base as normas ABNT
NBR ISO/IEC 27005 (2008) e a ABNT NBR ISO/IEC 31010 (2009).
4.2. Diretrizes do plano
A) CF001
Nome do ativo: Service Desk Bancorbrás – SDB.
Funcionalidade: centralizar as solicitações relacionadas à tecnologia da informação
da empresa em um único ponto de contato, registrando entrada e saída de pedidos
de suporte e manutenção, para ter um maior controle sobre o que foi feito.
Objetivo: Minimizar os problemas relacionados à instabilidade do sistema.
39
Identificação da contingência
Ativo: SDB Procedimento
Evento Ação Responsável
(Ação)
Solução Responsável
(Solução)
Defeito de
software.
Sistema
inoperante
Comunicar o
Analista de
Sistema.
Analista de
Sistema da
Gerência de
Desenvolvimento.
Disponibilizar
um e-mail para o
envio de
problemas
Coordenador da
GESUT.
Pré-condições: Lista de informações sobre o que está causando o defeito do
software.
Pós-condições: Lista de ameaças encontradas após a análise para minimizar as
chances de o defeito voltar.
B) CF002
Nome do ativo: SDB.
Funcionalidade: Citado na CF001.
Objetivo: Evitar a falta de informação nos chamados recebidos.
Identificação da Contingência e Procedimentos:
Ativo: SDB Procedimento
Evento Ação Responsável
(Ação)
Solução Responsável
(Solução)
- Dados
comprometidos
por queda de
sistema
Comunicar
imediatamente o
Técnico de
Sistemas
responsável
pelo software
Técnico de
Sistema da
Gerência de
Desenvolvimento.
Solicitar ao
requerente,
todos os dados
necessários
para melhorar o
atendimento de
seu pedido.
Técnico de
informática da
GESUT
Pré-condições: Realizar análise minuciosa para que possa identificar o que está
causando a perda de informações no chamado.
Pós-condições: Lista de falhas encontradas que não foram tratadas anteriormente.
40
C) CF003
Nome do ativo: SDB.
Funcionalidade: Citado na CF001.
Objetivo: Evitar que pessoas não autorizadas acessem configurações não
autorizadas.
Identificação da Contingência e Procedimentos:
Ativo: SDB Procedimento
Evento Ação Responsável
(Ação)
Solução Responsável
(Solução)
Abuso de
direitos de
acesso.
Realizar a
verificação dos
perfis que tem
acesso ao
sistema
Coordenador de
informática da
GESUT.
Bloquear o
acesso ao
sistema.
Coordenador de
informática da
GESUT.
Pré-condições: Lista de colaboradores com acesso ao sistema.
Pós-condições: Lista de colaboradores com acesso restrito as suas funções.
D) CF004
Nomes dos ativos: SDB e SRM.
Funcionalidade: Citado na CF001.
Objetivo: Evitar a demora nos atendimentos dos chamados.
Identificação da Contingência e Procedimentos:
Ativos: SDB e SRM Procedimento
Evento Ação Responsável
(Ação)
Solução Responsável
(Solução)
Erro durante o
uso do software
Analisar quais
erros são
cometidos com
mais frequência.
Coordenador de
informática da
GESUT.
Corrigir os erros
do software.
Coordenador de
informática.
Pré-condições: Verificar quais são as dificuldades encontradas com mais frequência.
Pós-condições: Leiaute mais dinâmico e rápido para a realização das demandas.
41
E) CF005
Nome do ativo: Sistema de Requisição de Materiais.
Funcionalidade: sistema utilizado para a realização de pedidos de material de
expediente (papel, caneta, grampeador e etc.) e outros tipos de materiais que
completam a estrutura física dos setores da empresa (cadeiras, mesas, quadros,
tomadas, armários e etc.).
Objetivo: diminuir ao máximo as chances de paralização das requisições.
Identificação da Contingência e Procedimentos
Ativo: SRM Procedimento
Evento Ação Responsável
(Ação)
Solução Responsável
(Solução)
- Defeito de
software.
Sistema
Travando.
Comunicar
imediatamente o
Analista de
Sistema
responsável
pelo software
Analista de
Sistema da
Gerência de
Desenvolvimento.
Disponibilizar
um e-mail para o
envio das
solicitações de
materiais.
Coordenador da
GESUT.
Pré-condições: Identificar a(s) causa(s) dos travamentos no sistema.
Pós-condições: Lista de riscos encontrados para possível correção.
F) CF006
Nome do ativo: Servidores de dados.
Funcionalidade: armazenamento e distribuição de arquivos na rede da empresa;
Objetivo: Evitar a perda de dados cruciais da empresa.
Identificação da Contingência e Procedimentos:
Ativo: Servidores de Dados Procedimento
Evento Ação Responsável
(Ação)
Solução Responsável
(Solução)
Deterioração de
equipamento.
Verificar a causa
da deterioração.
Analista de Rede
responsável
pelos servidores.
Restaurar
backup das
informações.
Técnico ou
Analista de
Rede.
Pré-condições: Uma lista de arquivos identificados como relevantes.
42
Pós-condições: Uma lista de arquivos ordenados por prioridade para realização de
backup.
G) CF007
Nomes dos ativos: Desktop/Laptop
Funcionalidade: Computadores utilizados pelos colaboradores da empresa.
Objetivo: Evitar que o colaborador fique ocioso por motivo de danificação do
equipamento.
Identificação da Contingência e Procedimentos:
Ativo: Desktop/Laptop Procedimento
Evento Ação Responsável
(Ação)
Solução Responsável
(Solução)
Danificação dos
computadores.
Falta de
cuidado e zelo
com os
computadores.
Analisar o que
causou a dano.
Técnico de
informática da
GESUT
Consertar os
computadores
danificados.
Técnico de
informática da
GESUT.
Pré-condições: Analisar o que está ocasionando as danificações.
Pós-condições: Elaboração de um guia para melhor utilização dos bens
tecnológicos.
H) CF008
Nome do ativo: Desktop/Laptop.
Funcionalidade: Citado na CF007.
Objetivo: Evitar que o colaborador fique sem poder exercer suas funções.
43
Identificação da Contingência e Procedimentos:
Ativo: Desktop/Laptop Procedimento
Evento Ação Responsável
(Ação)
Solução Responsável
(Solução)
Defeito nos
computadores
Verificar qual o
tipo de defeito
encontrado no
computador
Técnicos de
informática da
GESUT.
Preparar
computadores
reservas para
os
colaboradores.
Gerente
Executivo da
GESUT
Pré-condições: Analisar a frequência e quais defeitos que mais ocorrem.
Pós-condições: Computadores reservas para serem utilizados enquanto o danificado
está em manutenção.
I) CF009
Nome do ativo: Desktop/Laptop
Funcionalidade: Citado na CF007.
Objetivo: Evitar a demora nas execuções das funções dos colaboradores.
Identificação da Contingência e Procedimentos:
Ativo: Desktop/Laptop Procedimento
Evento Ação Responsável
(Ação)
Solução Responsável
(Solução)
Mau uso dos
computadores
Analisar o
motivo do mau
uso dos
computadores.
Técnicos de
informática da
GESUT.
Realizar
treinamento
com os
colaboradores
da empresa.
Gerente
executivo da
GESUT.
Pré-condições: Uma lista de cenários de incidentes identificados como relevantes.
Pós-condições: Probabilidade dos cenários de incidentes (no método quantitativo ou
no qualitativo).
J) CF010
Nome do ativo: Laptop.
Funcionalidade: Citado em CF005.
44
Objetivo: Evitar o índice de furtos dos equipamentos da empresa.
Identificação da Contingência e Procedimentos:
Ativo: Laptop Procedimento
Evento Ação Responsável
(Ação)
Solução Responsável
(Solução)
Furto de
Laptop.
Comunicar o
gerente da
GESUT sobre o
ocorrido.
Técnicos de
informática da
GESUT.
Providenciar um
computador
reserva para a
utilização do
colaborador.
Gerente
executivo da
GESUT.
Pré-condições: Lista de vulnerabilidades encontradas nos colaboradores em relação
aos cuidados de seus bens.
Pós-condições: Elaboração, junto com outros setores, de um guia que auxilie a
cuidar dos próprios bens e os da empresa.
K) CF011
Nome do ativo: Recursos Humanos.
Funcionalidade: Executar os trabalhos necessários na GESUT.
Objetivo: Evitar a danificação dos computadores.
Identificação da Contingência e Procedimentos:
Ativo: RH Procedimento
Evento Ação Responsável
(Ação)
Solução Responsável
(Solução)
Uso
inapropriado de
recurso
computacional.
Verificar os
motivos que
ocasionaram a
danificação.
Técnicos de
informática da
GESUT.
Utilizar o
antivírus para
sanar danos nos
softwares
Técnico de
informática da
GESUT.
Pré-condições: Analisar as atividades dos colaboradores durante o trabalho.
Pós-condições: A criação de restrições de acesso a sites não utilizados para a
realização dos trabalhos da empresa.
45
L) CF012
Nome do ativo: Recursos Humanos.
Funcionalidade: Citado na CF011.
Objetivo: Evitar a perda de informações importantes.
Identificação da Contingência e Procedimentos:
Ativo: RH Procedimento
Evento Ação Responsável
(Ação)
Solução Responsável
(Solução)
Acesso não
autorizado a
dados.
Analisar quais
acessos o
colaborador
deve possuir.
Técnicos de
informática da
GESUT.
Bloquear o
acesso.
Coordenador da
GESUT.
Pré-condições: Lista de colaboradores com direito a acessar determinado arquivo.
Pós-condições: Lista de colaboradores com direito de acesso a somente os arquivos
liberados por seu gestor.
M) CF013
Nome do ativo: Recursos Humanos.
Funcionalidade: Citado em CF011.
Objetivo: Demora na execução de suas funções.
Identificação da Contingência e Procedimentos:
Ativo: RH Procedimento
Evento Ação Responsável
(Ação)
Solução Responsável
(Solução)
Erro durante o
uso de
software.
Verificar quais
são os erros
cometidos
durante o
manuseio dos
softwares.
Técnicos de
informática da
GESUT.
Auxiliar os
colaboradores
no manuseio
dos softwares a
até a criação de
um manual.
Técnicos de
informática da
GESUT.
Pré-condições: Análise dos erros cometidos durante a utilização dos programas.
Pós-condições: Criação de manuais dos softwares utilizados pela empresa para
ajudar os colaboradores na execução de suas funções.
46
4.3. Validade do plano
O Plano deverá ter validade inicial de dois anos, podendo ser revisto antes do período
estabelecido.
4.4. Responsabilidades
A execução do plano será de responsabilidade do Gerente Executivo da GESUT.
4.5. Disposições gerais
Após a identificação dos ativos, ameaças, vulnerabilidades, consequências e após a
estimativa do impacto e da probabilidade dos cenários de incidentes, os riscos foram
avaliados segundo os critérios das normas ABNT NBR ISO/IEC 27005 (2008) e ABNT
NBR ISO/IEC 31010 (2009). O resultado dessa análise é uma lista de contingências
funcionais ordenadas por prioridade de tratamento. Assim, o plano de contingência
aponta para os principais problemas de segurança da informação da gerência.
47
CAPÍTULO 5
CONCLUSÃO
A Gerência de Suporte Tecnológico – GESUT é o setor da Bancorbrás
responsável por toda infraestrutura tecnológica, cuidando da área computacional e
prestando suporte para todos os setores da empresa.
Por isso, a GESUT necessita de muitos cuidados, uma boa administração dos
ativos que possui utilizando-se de uma gestão de riscos bem elaborada para que se
evite, ao máximo, que os demais setores sofram alguma perda de informação ou
demora na realização de suas funções.
A elaboração desse plano de contingência veio com intuito de preservar as
informações e os serviços da GESUT, analisando os principais ativos da gerência e
criando soluções rápidas, simples e eficazes que diminuam o tempo das resoluções
de problemas encontrados no restante da empresa.
Espera-se que com a adoção do plano de contingência na GESUT, os outros
setores da empresa, também, elaborem planos de contingência para que toda a
Bancorbrás esteja apta a enfrentar ameaças que possam aparecer e tratá-las o mais
rápido possível e com bastante eficiência.
48
REFERÊNCIAS
Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002: Código de Prática para a gestão da segurança da informação. Rio de Janeiro, 2005.
________________________ NBR ISO/IEC 27005: Gestão de risco de segurança da informação. Rio de Janeiro, 2008.
________________________. NBR ISO/IEC 31010: Técnicas para o processo de avaliação de riscos. Rio de Janeiro, 2009.
BRASIL. Tribunal de Contas da União. Boas Práticas em Segurança da Informação. Brasília, 2007.
CELEPAR Informática do Paraná. Guia para Elaboração de Plano de Contingência Metodologia CELEPAR. Curitiba: Paraná, 2009.
CONCEITO de informação. Disponível em: <conceito.de/informacao>. Acesso em: 21, nov. 2015.
FERNANDES, Jorge Fernando Cabral. Introdução à gestão de riscos de segurança da informação. Brasília: Universidade de Brasília, 2011.
GAIVÉO, Manuela. Análise e Gestão do Risco em Segurança da Informação. 2007.Disponível em: <http://www.sinfic.pt/SinficWeb/displayconteudo.do2?numero=24868>. Acesso em: 27, out. 2015.
NAVARRO, Antônio Fernando. Gerenciamento de Riscos – conceitos básicos. Disponível em: <http://www.ebah.com.br/content/ABAAAfdmsAH/gerenciamento-riscos-conceitos-basicos>. Acesso em: 4, nov. 2015.
O QUE é APR (Análise Preliminar de Risco)?. Disponível em: <http://www.blogsegurancadotrabalho.com.br/2013/05/o-que-e-apr-analise-preliminar-de-risco.html>. Acesso em: 23, nov. 2015.
UNIVERSIDADE FEDERAL DE ALAGOAS. Apostila de Ferramentas de Análise de Risco. Maceió, s.d.