Iso 2700-5

Curso On-Line
Segurana da Informao
Normas de Segurana da Informao 27005

Aula 6
Prof. M.Sc. Gleyson Azevedo
professor.gleyson@gmail.com
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
Roteiro
NBR 27005 Anlise/Avaliao de Riscos de Segurana da

Informao
NBR 27005 Tratamento do Risco de Segurana da
Informao
NBR 27005 Aceitao do Risco de Segurana da
Informao
NBR 27005 Comunicao do Risco de Segurana da
Informao
NBR 27005 Monitoramento e Anlise Crtica de Riscos de
Segurana da Informao
Prof. Gleyson
NBR ISO/IEC 27005

Anlise/Avaliao de Riscos
Avaliao de riscos
Entrada: uma lista de riscos com nveis de valores
designados e critrios para a avaliao de riscos.
Ao: convm que o nvel dos riscos seja comparado com
os critrios de avaliao de riscos e com os critrios para a
a aceitao do risco.
Diretrizes:
As decises tomadas durante a atividade de avaliao de

riscos so baseadas principalmente no nvel de risco
aceitvel.
Prof. Gleyson
NBR ISO/IEC 27005

Avaliao de riscos
Diretrizes:
No entanto, convm que as consequncias, a

probabilidade e o grau de confiana na identificao e
anlise de riscos tambm sejam considerados.
Convm que os seguintes itens sejam considerados:
propriedades da segurana da informao se um

critrio no for relevante para a organizao (por
exemplo, a perda de confidencialidade), logo, todos
os riscos que provocam esse tipo de impacto podem
ser considerados irrelevantes.
Prof. Gleyson
NBR ISO/IEC 27005

Avaliao de riscos
Diretrizes:
Convm que os seguintes itens sejam considerados

(cont.):
A importncia do processo de negcios ou da

atividade suportada por um determinado ativo ou
conjunto de ativos se o processo tiver sido julgado
de baixa importncia, convm que os riscos
associados a ele sejam menos considerados do que
os riscos que causam impactos em processos ou
atividades mais importantes.
Prof. Gleyson
NBR ISO/IEC 27005

Avaliao de riscos
Diretrizes:
A avaliao de riscos usa o entendimento do risco obtido

atravs da anlise de riscos para a tomada de decises
sobre aes futuras.
Sada: uma lista de riscos ordenados por prioridade (de

acordo com os critrios de avaliao de riscos) e associados
aos cenrios de incidentes que os provocam.
Prof. Gleyson
NBR ISO/IEC 27005 Tratamento do

Risco de Segurana da Informao
Descrio geral do processo de tratamento do risco

Entrada: uma lista de riscos ordenados por prioridade (de
acordo com os critrios de avaliao de riscos) e associados
aos cenrios de incidentes que o provocam.
Ao: convm que controles para reduzir, reter, evitar ou
transferir os riscos sejam selecionados e o plano de
tratamento do risco seja definido.
Diretrizes:
H quatro opes para o tratamento do risco: reduo

do risco, reteno do risco, evitar o risco e transferncia
do risco.
Prof. Gleyson
Prof. Gleyson

Diretrizes:
Convm que as opes do tratamento do risco sejam

selecionadas com base no resultado da anlise/avaliao
de riscos, no custo esperado para implementao dessas
opes e nos benefcios previstos.
Em geral, convm que as consequncias adversas sejam
reduzidas ao mnimo possvel, independentemente de
quaisquer critrios absolutos.
As quatro opes para o tratamento do risco no so
mutuamente exclusivas.
Prof. Gleyson


Diretrizes:
Algumas formas de tratamento do risco podem lidar com
mais de um risco de forma efetiva (por exemplo, o
treinamento e a conscientizao em segurana da
informao).
Se houver controles redundantes, e a remoo dos
mesmos for cogitada, convm que a segurana da
informao e os fatores de custo sejam levados em
considerao.
Devido influncia que os controles exercem uns sobre
os outros, a remoo pode reduzir a segurana com um
todo.
Prof. Gleyson
10


Diretrizes:
Convm que as opes do tratamento do risco sejam
consideradas levando-se em conta:
como o risco percebido pelas partes afetadas;
as formas mais apropriadas de comunicao com as
partes.
Uma vez que o plano de tratamento do risco tenha sido
definido, os riscos residuais precisam ser determinados.
Isso envolve uma atualizao ou uma repetio da
anlise/avaliao de riscos, considerando-se os efeitos
previstos do tratamento do risco que foi proposto.
Prof. Gleyson
11

Diretrizes:
Caso o risco residual ainda no satisfaa os critrios

para a aceitao do risco da organizao, uma nova
iterao do tratamento do risco pode ser necessria
antes de se prosseguir aceitao do risco.
Sada: o plano de tratamento de risco e os riscos residuais,

sujeitos deciso de aceitao por parte dos gestores da
organizao.
Prof. Gleyson
12

Reduo do risco
Ao: convm que o nvel de risco seja reduzido atravs da
seleo de controles, para que o risco residual possa ser
reavaliado e ento considerado aceitvel.
Diretrizes:
conveniente que a escolha de controles leve em conta

os critrios para aceitao do risco assim como
requisitos legais, regulatrios e contratuais, bem como
custos e prazos para a implementao, alm de aspectos
tcnicos, culturais e ambientais.
Prof. Gleyson
13

Reduo do risco
Diretrizes:
Em geral, os controles podem fornecer um ou mais dos

seguintes tipos de proteo: correo, eliminao,
preveno, minimizao do impacto, dissuaso,
deteco, recuperao, monitoramento e
conscientizao.
Durante a seleo de controles, importante pesar o
custo de aquisio, implementao, administrao,
operao, monitoramento e manuteno dos controles
em relao ao valor dos ativos sendo protegidos.
Prof. Gleyson
14

Reduo do risco
Diretrizes:
Alm disso, convm que o retorno do investimento, na
forma de reduo de risco e da possibilidade de se
explorar novas oportunidades de negcio em funo da
existncia de certos controles, tambm seja
considerado.
Convm que vrias restries sejam levadas em
considerao durante a escolha e a implementao de
controles. So normalmente consideradas as seguintes:
temporais, financeiras, tcnicas, operacionais, culturais,
ticas, ambientais, legais, de uso, de recursos humanos,
ligadas integrao dos controles novos aos existentes.
Prof. Gleyson
15

Reteno do risco
Ao: convm que as decises sobre a reteno dos risco,
sem outras aes adicionais, sejam tomadas tendo como
base a avaliao de riscos.
Diretrizes:
Se o nvel de risco atender aos critrios para a aceitao

do risco, no h necessidade de implementar controles
adicionais e pode haver a reteno do risco.
Prof. Gleyson
16

Ao de evitar o risco
Ao: convm que a atividade ou condio que d origem a
um determinado risco seja evitada.
Diretrizes:
Quando os riscos identificados so considerados
demasiadamente elevados e quando os custos de
implementao de outras opes de tratamento do risco
excederem os benefcios, pode-se decidir que o risco
seja evitado completamente, seja atravs da eliminao
de uma atividade planejada ou existente (ou de um
conjunto de atividades), seja atravs de mudanas na
condies em que a operao da atividade ocorre.
Prof. Gleyson
17

Transferncia do risco
Ao: convm que um determinado risco seja transferido
para outra entidade que possa gerenci-lo de forma mais
eficaz, dependendo da avaliao de riscos.
Diretrizes:
A transferncia do risco envolve a deciso de se
compartilhar certos riscos com entidades externas.
A transferncia do risco pode tambm criar novos riscos
ou modificar riscos existentes e j identificados.
Portanto, um novo tratamento do risco pode vir a ser
necessrio.
Prof. Gleyson
18

Transferncia do risco
Diretrizes:
A transferncia pode ser feita por um seguro que cubra
as consequncias ou atravs da subcontratao de um
parceiro cujo papel seria o de monitorar o sistema de
informao e tomar medidas imediatas que impeam um
ataque antes que ele possa causar um determinado
nvel de dano ou prejuzo.
Note-se que, apesar de ser possvel transferir a
responsabilidade pelo gerenciamento do risco, no
normalmente possvel transferir a responsabilidade legal
pelas consequncias.
Prof. Gleyson
19
NBR ISO/IEC 27005 Aceitao do

Entrada: o plano de tratamento do risco e a

anlise/avaliao dos risco residual sujeito deciso dos
gestores da organizao relativa aceitao do mesmo.
Ao: convm que a deciso de aceitar os riscos seja feita
e formalmente registrada, juntamente com a
responsabilidade pela deciso (4.2.1 h da ABNT NBR
ISO/IEC 27001).
Diretrizes:
Convm que os planos de tratamento do risco
descrevam como os riscos avaliados sero tratados para
que os critrios de aceitao do risco sejam atendidos.
Prof. Gleyson
20

Diretrizes:
importante que gestores responsveis faam um
anlise crtica e aprovem, se for o caso, os planos
propostos de tratamento de risco, os riscos residuais
resultantes e que registrem as condies as condies
associadas a essa aprovao.
Os critrios para a aceitao do risco podem ser mais
complexos do que somente a determinao se o risco
residual est, ou no, abaixo ou acima de um limite bem
definido.
H casos em que os tomadores de deciso podem ter
que aceitar riscos que no satisfaam os critrios
normais.
Prof. Gleyson
21

Diretrizes:
Nesses casos, convm que o tomador de deciso

comente explicitamente sobre os riscos e inclua uma
justificativa para a sua deciso de passar por cima dos
critrios normais para a aceitao do risco.
Sada: uma lista de riscos aceitos, incluindo uma

justificativa para aqueles que no satisfaam os critrios
normais para aceitao do risco.
Prof. Gleyson
22
NBR ISO/IEC 27005 Comunicao do

Entrada: todas as informaes sobre os riscos obtidas

atravs das atividades de gesto de riscos.
Ao: convm que as informaes sobre riscos sejam
trocadas e/ou compartilhadas entre o tomador de deciso e
as outras partes interessadas.
Diretrizes:
A comunicao do risco uma atividade que objetiva

alcanar um consenso sobre como os riscos devem ser
gerenciados, fazendo uso para tal da troca e/ou partilha
das informaes sobre o risco entre os tomadores de
deciso e as outras partes interessadas.
Prof. Gleyson
23

Diretrizes:
A comunicao do risco uma atividade que objetiva

alcanar um consenso sobre como os riscos devem ser
gerenciados, fazendo uso para tal da troca e/ou partilha
das informaes sobre o risco entre os tomadores de
deciso e as outras partes interessadas.
Convm que a organizao desenvolva planos de
comunicao dos riscos tanto para as operaes
rotineiras como tambm para situaes emergenciais.
Portanto, convm que essa atividade seja realizada
continuamente.
Prof. Gleyson
24

Diretrizes:
A coordenao entre os principais tomadores de deciso

e as partes interessadas pode ser obtida mediante a
formao de uma comisso em que os riscos, a sua
priorizao, as formas adequadas de trat-los e a sua
aceitao possam ser amplamente discutidos.
Sada: entendimento contnuo do processo de gesto de

riscos de segurana da informao da organizao e dos
resultados obtidos.
Prof. Gleyson
25
NBR ISO/IEC 27005 Monitoramento e

Anlise Crtica de Riscos de Segurana da
Informao
Monitoramento e Anlise Crtica dos Fatores de

Risco
atravs de gesto de riscos.
Ao: convm que os riscos e seus fatores (isto , valores
dos ativos, impactos, ameaas, vulnerabilidades,
probabilidade de ocorrncias) sejam monitorados e
analisados criticamente, a fim de se identificar, o mais
rapidamente possvel, eventuais mudanas no contexto da
organizao e de se manter uma viso geral dos riscos.
Prof. Gleyson
26

Informao

Risco
Diretrizes:
O monitoramento constante necessrio para a que se

detectem as mudanas no risco e em seus fatores.
Convm que as organizaes assegurem que os
seguintes itens sejam monitorados constantemente:
novos ativos que tenham sido includos no escopo da

gesto de riscos;
Prof. Gleyson
27

Informao

Risco
Diretrizes:

seguintes itens sejam monitorados constantemente
(cont.):
modificaes necessrias dos valores dos ativos;
novas ameaas que no tenham sido avaliadas;
vulnerabilidades novas ou ampliadas;
vulnerabilidades j identificadas, expostas a ameaas
novas ou ressurgentes;
Prof. Gleyson
28

Informao

Risco
Diretrizes:

seguintes itens sejam monitorados constantemente
(cont.):
conseqncias ou impacto ampliado;
incidentes relacionados segurana da informao.
Prof. Gleyson
29

Informao

Risco
Diretrizes:
O resultado da atividade de monitoramento de riscos

pode fornecer os dados de entrada para a anlise crtica.
Sada: alinhamento contnuo da gesto de riscos com os

objetivos de negcios da organizao e com os critrios
para aceitao do risco.
Prof. Gleyson
30

Informao
Monitoramento, Anlise Crtica e Melhoria do

Processo de Gesto de Risco
atravs das atividades de gesto de riscos.
Ao: convm que o processo de gesto de riscos de
segurana da informao seja continuamente monitorado,
analisado criticamente e melhorado.
Diretrizes:
Convm que a organizao se certifique que o processo
de gesto de riscos de segurana da informao e as
atividades relacionadas permaneam apropriadas nas
circunstncias presentes.
Prof. Gleyson
31

Informao

Diretrizes:
O monitoramento da gesto de riscos pode resultar em

modificao ou acrscimo da abordagem, metodologia
ou ferramentas utilizadas, dependendo:
das mudanas identificadas;
da iterao da anlise/avaliao de riscos;
do objetivo do processo de gesto de riscos de

segurana da informao;
Prof. Gleyson
32

Informao

Diretrizes:
O monitoramento da gesto de riscos pode resultar em
modificao ou acrscimo da abordagem, metodologia
ou ferramentas utilizadas, dependendo (cont.):
do objeto de interesse do processo de gesto de
riscos de segurana da informao.
Sada: garantia permanente da relevncia do processo de
gesto de riscos de segurana da informao para os
objetivos de negcios da organizao ou a atualizao do
processo.
Prof. Gleyson
33
Exerccios
1. (Analista Administrativo Tecnologia da Informao Anlise de
Negcios ANATEL/2009 CESPE) Julgue o item subsequente acerca
dos conceitos de segurana da informao.
1 [84] A anlise de vulnerabilidades aplicvel no contexto da figura emprega
tcnicas automatizadas e manuais, que variam amplamente, sendo o tipo de
ameaa sob anlise um fator mais correlacionado a essa variao que o tipo do
ativo sob anlise.
2. (Analista Administrativo Informtica ANTAQ/2009 - CESPE) Julgue
o item abaixo.
1 [76] A anlise de vulnerabilidades, quando realizada no arcabouo de uma
atividade de anlise de riscos, precedida, usualmente, da anlise de ameaas,
mas antecede a anlise de controles, podendo cada controle inexistente ser
traduzido em uma vulnerabilidade existente.
Prof. Gleyson
34
Exerccios
3. (Analista de Sistemas Suporte de Processos de Negcios IPEA/2008
- CESPE) Com relao segurana em redes de computadores, julgue
os itens a seguir.
1 [66] As ameaas e vulnerabilidades mais freqentes e controles implementados
so insumos para o clculo das probabilidades de ocorrncia das falhas de
segurana expressas em fatores exgenos sem levar em conta as potenciais
conseqncias da perda de confidencialidade, integridade ou disponibilidade da
informao ou de outros ativos.
4. (Informtica Anlise de Sistemas MC/2008 CESPE) Acerca de
segurana da informao, julgue os itens subseqentes.
1 [52] A anlise de riscos parte da gerncia de riscos e nela podem ser realizadas
as seguintes atividades: identificar os recursos (assets), determinar os valores
dos recursos, identificar vulnerabilidades e ameaas (threat), quantificar a
probabilidade de cada ameaa ocorrer, estimar as perdas associadas s
ameaas, estimar a freqncia de ocorrncia das ameaas, reduzir, transferir ou
aceitar riscos.
Prof. Gleyson
35
Exerccios
5. (Analista Desenvolvimento de Sistemas SERPRO/2008 CESPE)
Acerca dos conceitos de gerncia de riscos, julgue os itens que se
seguem.
1 [55] Para que haja segurana da informao, as ameaas devem ser identificadas
e devem ser tomadas medidas de segurana para se reduzir o risco ou a
probabilidade de ocorrerem incidentes.
2 [57] O impacto causado por um incidente de segurana proporcional ao tipo de
vulnerabilidade encontrada em um ativo, ou seja, quanto maior a
vulnerabilidade, maior o impacto, e vice-versa.
Prof. Gleyson
36
Gabarito das Questes

1. 1E
2. 1C
3. 1E
4. 1C*
5. 1C-2E
Prof. Gleyson
37

Iso 2700-5

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Iso 2700-5

Uploaded by

Copyright:

Available Formats

Curso On-Line

Normas de Segurana da Informao 27005

NBR 27005 Anlise/Avaliao de Riscos de Segurana da

NBR ISO/IEC 27005

As decises tomadas durante a atividade de avaliao de

NBR ISO/IEC 27005

No entanto, convm que as consequncias, a

propriedades da segurana da informao se um

NBR ISO/IEC 27005

Convm que os seguintes itens sejam considerados

A importncia do processo de negcios ou da

NBR ISO/IEC 27005

A avaliao de riscos usa o entendimento do risco obtido

Sada: uma lista de riscos ordenados por prioridade (de

NBR ISO/IEC 27005 Tratamento do

Descrio geral do processo de tratamento do risco

H quatro opes para o tratamento do risco: reduo

NBR ISO/IEC 27005 Tratamento do

Descrio geral do processo de tratamento do risco

Convm que as opes do tratamento do risco sejam

NBR ISO/IEC 27005 Tratamento do

Descrio geral do processo de tratamento do risco

NBR ISO/IEC 27005 Tratamento do

Descrio geral do processo de tratamento do risco

NBR ISO/IEC 27005 Tratamento do

Descrio geral do processo de tratamento do risco

Caso o risco residual ainda no satisfaa os critrios

Sada: o plano de tratamento de risco e os riscos residuais,

NBR ISO/IEC 27005 Tratamento do

conveniente que a escolha de controles leve em conta

NBR ISO/IEC 27005 Tratamento do

Em geral, os controles podem fornecer um ou mais dos

NBR ISO/IEC 27005 Tratamento do

NBR ISO/IEC 27005 Tratamento do

Se o nvel de risco atender aos critrios para a aceitao

NBR ISO/IEC 27005 Tratamento do

NBR ISO/IEC 27005 Tratamento do

NBR ISO/IEC 27005 Tratamento do

NBR ISO/IEC 27005 Aceitao do

Entrada: o plano de tratamento do risco e a

NBR ISO/IEC 27005 Aceitao do

NBR ISO/IEC 27005 Aceitao do

Nesses casos, convm que o tomador de deciso

Sada: uma lista de riscos aceitos, incluindo uma

NBR ISO/IEC 27005 Comunicao do

Entrada: todas as informaes sobre os riscos obtidas

A comunicao do risco uma atividade que objetiva

NBR ISO/IEC 27005 Comunicao do

A comunicao do risco uma atividade que objetiva

NBR ISO/IEC 27005 Comunicao do

A coordenao entre os principais tomadores de deciso

Sada: entendimento contnuo do processo de gesto de

NBR ISO/IEC 27005 Monitoramento e

Monitoramento e Anlise Crtica dos Fatores de

NBR ISO/IEC 27005 Monitoramento e

Monitoramento e Anlise Crtica dos Fatores de

O monitoramento constante necessrio para a que se

novos ativos que tenham sido includos no escopo da

NBR ISO/IEC 27005 Monitoramento e

Monitoramento e Anlise Crtica dos Fatores de

Convm que as organizaes assegurem que os

NBR ISO/IEC 27005 Monitoramento e

Monitoramento e Anlise Crtica dos Fatores de