Apostila de Analise de Riscos

NILTON STRINGASCI MOREIRA
ANLISE E GESTO DE RISCOS
So Paulo
2012
Anlise e Gesto de Riscos
Prof. Msc Nilton Stringasci Moreira
Pgina 2 de 115
APRESENTAO
Esta apostila foi elaborada com base em diversas pesquisas e na ABNT NBR ISO/ IEC 27005
com a adio de comentrios, produtos gerados em cada etapa e fatores crticos de sucesso.
Pgina 3 de 115
LISTA DE FIGURAS
Figura 1 - Modelo PDCA aplicado aos processos de um SGSI .............................................8

Figura 2- Total de incidentes reportados ao CERT.br por ano ......................................... 15
Figura 3 - Sistema de Informao ...................................................................................... 17
Figura 4 - Origens de ameaas Segurana das informaes ........................................... 25
Figura 5 - Dimenses da Segurana da Informao .......................................................... 35
Figura 6 - Processo de gesto de riscos de segurana da informao ............................... 57
Pgina 4 de 115
LISTA DE QUADROS
Quadro 1 - Objetivos e Processos de um Sistema de Gesto de Segurana da Informao

............................................................................................................................................ 10
Quadro 2 - Padres e Frameworks utilizados .................................................................... 12
Quadro 3 - Empresas certificadas na norma ISO/IEC 27001 ........................................... 14
Quadro 4 - Sees da Norma ISO/IEC 27002 em camadas ............................................. 34
Quadro 5 - Fontes de vantagem competitiva sustentvel e objetivos da segurana da
informao ..........................................................................................................................46
Quadro 6 - Alinhamento do processo do SGSI e do processo de gesto de riscos de
segurana da informao ................................................................................................... 59
Pgina 5 de 115
LISTA DE ABREVIATURAS
ABNT
Associao Brasileira de Normas Tcnicas
ENANPAD
Encontro da Associao Nacional de Ps-Graduao e Pesquisa em Administrao
TI
Tecnologia da Informao
IEC
International Electrotechnical Commitee
ISO
International Standards Organization
SGSI
Sistema de Gesto de Segurana da Informao
RAE
Revista de Administrao de Empresas da Fundao Getulio Vargas
RAUSP
Revista de Administrao da Universidade de So Paulo
RBV
Resource Based View
Pgina 6 de 115
SUMRIO
1.1
1.2
Gesto da segurana da informao .......................................................................................................... 8

Segurana da informao ........................................................................................................................ 22
1.2.1
Objetivos da segurana da informao .......................................................................................................................... 28
1.2.1.1
Confidencialidade ..................................................................................................................................................... 28
1.2.1.2
Integridade .......................................................................................................................................................... 29
1.2.1.3
Disponibilidade ................................................................................................................................................... 30
1.2.1.4
Legalidade ........................................................................................................................................................... 30
1.2.2
As dimenses da Segurana da Informao .................................................................................................................. 32
1.2.3
Informao como recurso estratgico .............................................................................................................................37
1.2.4
Segurana da Informao e Vantagem Competitiva ..................................................................................................... 40
1.2.5
A confidencialidade dos recursos estratgicos ............................................................................................................... 41
1.3
Riscos em Tecnologia da Informao ...................................................................................................... 47
1.4
Metodologia de Anlise de Riscos ............................................................................................................ 51
1.4.1
Termos e definies ......................................................................................................................................................... 51
1.4.2
Contextualizao ............................................................................................................................................................ 56
1.4.3
Viso geral do processo de gesto de riscos ....................................................................................................................57
1.4.4
Escopo e limites .............................................................................................................................................................. 60
1.4.5
Identificao de riscos .................................................................................................................................................... 62
1.4.6
Identificao dos ativos .................................................................................................................................................. 63
1.4.6.1
Tipos de ativos ..................................................................................................................................................... 63
1.4.6.2
Valorao dos ativos ............................................................................................................................................ 69
1.4.7
Identificao das ameaas ...............................................................................................................................................73
1.4.7.1
Agente de ameaa ..................................................................................................................................................... 74
1.4.7.2
Evento da ameaa................................................................................................................................................ 74
1.4.7.3
Fatores de identificao das ameaas ................................................................................................................. 74
1.4.8
Identificao dos controles existentes ........................................................................................................................... 76
1.4.9
Identificao de vulnerabilidades ................................................................................................................................... 77
1.4.9.1
Como surgem as vulnerabilidades ...................................................................................................................... 78
1.4.9.2
Gesto de vulnerabilidades ................................................................................................................................. 82
1.4.9.3
Relao entre Vulnerabilidade X Medidas de Proteo ..................................................................................... 82
1.4.10
Identificao das consequncias .............................................................................................................................. 82
1.5
Anlise de riscos ..................................................................................................................................... 85
1.5.1
Metodologias de anlise de riscos .................................................................................................................................. 85
1.5.2
Avaliao das consequncias.......................................................................................................................................... 86
1.5.3
Avaliao da probabilidade dos incidentes .................................................................................................................... 88
1.5.4
Determinao do nvel de risco ...................................................................................................................................... 89
1.6
Avaliao dos riscos ................................................................................................................................ 90
1.7
Tratamento dos riscos ............................................................................................................................. 92
1.8 Comunicao de riscos .......................................................................................................................... 100
1.8.1
Comunicao e consulta do risco de segurana da informao .................................................................................. 100
1.8.2
Comunicao externa ................................................................................................................................................... 102
1.9
Monitoramento dos riscos..................................................................................................................... 103
1.9.1
Monitoramento e anlise crtica dos fatores de riscos .................................................................................................103
1.9.2
Monitoramento, anlise crtica e melhoria do processo de gesto de riscos ...............................................................105
REFERNCIAS.................................................................................................................................................... 106
Pgina 7 de 115

1.1
Gesto da segurana da informao
Muitos trabalhos realizados sobre o tema segurana da informao possuem um

enfoque tcnico, mas em uma proporo muito menor, so os trabalhos que abordam o
assunto com um enfoque estratgico, ou seja, na Gesto da Segurana da Informao
(MARTINS; SANTOS, 2005).
A ISO 27001, uma norma publicada pela ISO Internacional, que possui como
objetivo, a elaborao de um Sistema de Gesto de Segurana da Informao que apresenta
uma viso gerencial, define um SGSI (Sistema de Gesto da Segurana da Informao)
como sendo parte de um sistema de gesto global, baseado na abordagem de riscos do
negcio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e
melhorar a segurana da informao de qualquer empresa, independente do seu porte.
Por ser uma norma ISO, tradicionalmente, adota o modelo de gesto PDCA (PlanDo-Check-Act), que caracterizado por um ciclo de aes, que se repete continuamente
sendo possvel a incorporao de mudanas no ambiente.
Todas essas aes esto diagramadas na figura 3, e contemplam a realizao de
uma srie de atividades que envolvem toda a organizao.
Figura 1 - Modelo PDCA aplicado aos processos de um SGSI

Fonte: ABNT, 2006, p.VI
Conforme podemos observar na figura 3, a alta direo como um dos integrantes

das partes interessadas, determina as expectativas da empresa e os requisitos de segurana
da informao.
Pgina 8 de 115
Sem a determinao das expectativas declaradas pela alta direo, a segurana da

informao pode ser estruturada e implantada de forma inferencial, uma vez que no se
sabe se os pressupostos bsicos, que so as premissas de negcio, sero atendidos.
O declarado comprometimento da alta direo neste processo deve acontecer de
maneira a apoiar ativamente a segurana da informao dentro da organizao, por meio
de um claro direcionamento, demonstrando o seu comprometimento, definindo
atribuies de forma explcita e conhecendo as responsabilidades pela segurana da
informao (ABNT, 2006).
Com base nesta abordagem inicial, a empresa possui o insumo mnimo necessrio
para iniciar o seu sistema de gesto. Tem-se, portanto, o insumo mnimo e fundamental
para alimentar todas as etapas do PDCA.
Os autores Solms B. e Solms R.(2004) corroboram com esta posio e, na viso
deles, a alta direo deve dar um direcionamento e suporte contnuo como exemplo de
entendimento e conscientizao, pois caso contrrio, a segurana da informao no
receber os cuidados ou no ser endereada de maneira satisfatria.
No quadro 3, tem-se os objetivos propostos pela ISO/IEC 27001, bem como os
processos necessrios para o atendimento de cada etapa do PDCA.
Objetivos
Processos
Plan
Estabelecer a poltica, objetivos, processos e
procedimentos do SGSI, relevantes para a
gesto de riscos e a melhoria da segurana
da informao para produzir resultados de
acordo com as polticas e objetivos globais
de uma organizao.
Especificao do escopo e poltica para o

SGSI;
Definio da anlise de riscos e aceitao
dos critrios da anlise dos riscos;
Realizao da anlise de riscos;
Gerenciamento da tomada de deciso
relativa ao tratamento dado ao risco de
identificao;
Seleo dos controles para o tratamento dos
riscos identificados;
Gerenciamento da aprovao do nvel de
risco residual;
Autorizao para a implementao dos
Pgina 9 de 115
controles selecionados pelo SGSI.

DO
Implementar e operar a poltica, controles, Criao de um plano para o tratamento dos
processos e procedimentos do SGSI.
riscos;
Implementao do plano de tratamento de
riscos;
Implementao dos controles de segurana;
Treinar os usurios em segurana da
informao e controles utilizados pela
organizao;
Gerenciar a operao e desenvolvimento do
sistema de gerenciamento da segurana da
informao.
Check
Avaliar e, quando aplicvel, medir o
desempenho de um processo frente
poltica, objetivos e experincia prtica do
SGSI e apresentar os resultados para a
anlise crtica pela direo.
Executar procedimentos operacionais para

monitorar e revisar o SGSI;
Realizao de mensurao da eficcia na
operao do SGSI;
Realizao de revises peridicas para
checar se o SGSI est sendo executado
corretamente;
Realizao de auditorias internas;
Registro de aes e eventos relativos ao
SGSI;
Realizao de revises de gerenciamento;
Identificao de qualquer aperfeioamento
necessrio para o SGSI.
Act
Executar as aes corretivas e preventivas,
com base nos resultados da auditoria
interna do SGSI e da anlise crtica pela
direo ou outra informao pertinente,
para alcanar a melhoria contnua do SGSI.
Execuo das melhorias identificadas no

SGSI;
Realizao
de
preventivas;
aes
corretivas
Comunicao a todas as partes interessadas

das aes que tenham sido implementadas
para a melhoria do SGSI;
Assegurar
que
todas
as
aes
implementadas para a melhoria do SGSI
sejam de fato voltadas para alcanar a sua
eficcia.
Quadro 1 - Objetivos e Processos de um Sistema de Gesto de Segurana da Informao

Fonte: ABNT, 2006, p.4
Pgina 10 de 115
Todos os processos descritos no quadro 3 tm a sua execuo necessria para que a

etapa seja concluda com xito.
Independente do uso de determinado padro ou norma, alguns segmentos de
mercado como o das instituies financeiras brasileiras, tendem a praticar segurana da
informao de forma mais estruturada que o de outros segmentos, uma vez que necessitam
atender a exigncias regulatrias de seu setor, como as do Banco Central, por exemplo.
As empresas multinacionais que possuem aes na Bolsa de Valores de Nova Iorque
necessitam atender a Lei Sarbanex-Oxley, que possui exigncias quanto segurana da
informao.
As micro e pequenas empresas, raramente possuem recursos destinados a proteger
informao, carecem de uma viso mais abrangente e maior esclarecimento a respeito do
assunto (GUPTA, 2005) e do apoio e participao ativa da alta direo da empresa.
Segundo uma pesquisa emprica realizada em 2004, (GUPTA, 2005) em 1.000
pequenas empresas de Lynchburg, Virgnia, nos Estados Unidos, com 138 respondentes,
observou-se no resultado desta pesquisa que 19% dos respondentes foram vtimas de
algum tipo de ataque que explorou a segurana implantada nos ltimos 12 meses.
Esse baixo ndice de ataques constatados na micro e pequena empresa, se
comparado aos ndices de ataques nas grandes empresas, pode estar vinculado ao valor da
informao armazenado nos computadores da pequena empresa (GUPTA, 2005).
Muito embora para a micro e pequena empresa, detentora de informaes valiosas
para o negcio em que opera, no suficientemente valioso e desafiador para os atacantes,
uma vez que a informao tem um valor diferente na viso de diferentes pessoas e
empresas.
Quando se insere as empresas rivais concorrentes nesta anlise, tem-se a sensao
de que determinadas informaes tem o mesmo valor para ambas as empresas, mas
quando estendemos para o universo de outras empresas e de setores diferentes, o valor
tende a ser diferente, ou seja, o valor de uma informao de negcio da indstria de
borracha, apesar de ser valiosa neste segmento, no tem necessariamente o mesmo valor
para empresas do segmento de cosmticos, por exemplo.
Pgina 11 de 115
Para a gesto das informaes de empresas de qualquer porte ou segmento, existem

diversos padres e guidelines publicados mundialmente. Na tentativa de saber quais so os
padres e guidelines mais utilizados no mundo, a Ernst & Young realizou a 12 Pesquisa
Anual (Global Information Security Survey), uma pesquisa realizada em 61 pases
envolvendo 1.865 empresas de diversos portes e segmento de atuao.
O quadro abaixo apresenta o resultado dos principais padres de segurana da
informao utilizados atualmente pelas empresas pesquisadas.
Information Security Standards & Frameworks
Primary
Standard
Secondary
ISO/IEC 27002:2005
15%
8%
ISO/IEC 27001:2006
27%
9%
usage
Information Security Forum (ISF) Standard of Good 3%

Practice
5%
Cobit
13%
14%
COSO
2%
3%
Information Technology Infrastructure Library (ITIL)
13%
16%
Capability Maturity Model Integration (CMMI)
1%
2%
Generally Accepted Privacy Principles
4%
4%
PCI DSS
4%
7%
Other Industry Specific standard
2%
2%
Other
5%
3%
Quadro 2 - Padres e Frameworks utilizados

Fonte: Ernst & Young 2010, p.18
Observa-se no quadro acima que a norma ISO/IEC 27001 a norma sobre gesto
de segurana da informao mais utilizada no universo pesquisado e, muito embora no
exista nenhuma obrigatoriedade, muitas empresas a utilizam. A segunda norma mais
utilizada, de acordo com a pesquisa realizada, a ISO/IEC 27002 que um cdigo de
prticas para a gesto da segurana da informao, oriunda da ISO Internacional.
Juntas, as duas normas somam 42% de empresas que utilizam algum padro de
segurana da informao com base na ISO.
Pgina 12 de 115
Como o processo de gesto de segurana da informao baseado na ISO/IEC 27001

possibilita a obteno de uma certificao, concedida por uma entidade devidamente
credenciada e isenta, milhares de empresas no mundo optaram por implantar um sistema
de gesto de segurana da informao e certific-lo, conforme observa-se no quadro a
seguir.
Japan
3657
Slovenia
17
Gibraltar
India
509
Philippines
15
Macau
China
495
Pakistan
14
Portugal
UK
454
Vietnam
14
Argentina
Taiwan
376
Iceland
13
Belgium
Germany
144
Netherlands
13
Bosnia
Herzegovina
Korea
106
Saudi Arabia
13
Cyprus
USA
96
Indonesia
11
Isle of Man
CzechRepublic
95
Kuwait
11
Kazakhstan
Hungary
71
Bulgaria
10
Morocco
Italy
60
Norway
10
Ukraine
Poland
56
Russian
Federation
10
Armenia
Spain
55
Sweden
Bangladesh
Malaysia
47
Colombia
Belarus
Ireland
37
Bahrain
Denmark
Thailand
36
Iran
Ecuador
Austria
35
Switzerland
Jersey
Hong Kong
33
Canada
Kyrgyzstan
Greece
30
Croatia
Lebanon
Romania
30
South Africa
Luxembourg
Romania
30
South Africa
Luxembourg
Australia
29
Sri Lanka
Macedonia
Singapore
29
Lithuania
Mauritius
Mexico
24
Oman
Moldova
Brazil
23
Peru
New Zealand
Slovakia
23
Qatar
Sudan
Pgina 13 de 115
Turkey
21
Chile
Uruguay
UAE
20
Dominican
Republic
Yemen
France
19
Egypt
Total
6942
Quadro 3 - Empresas certificadas na norma ISO/IEC 27001

Fonte: ISMS International User Group, 2010
Conforme pode-se observar no quadro 5, existem inmeras empresas certificadas
na norma NBR ISO IEC 27001 no mundo.
At a data da realizao desta consulta, o Japo liderava o ranking com 3.657
empresas com escopos certificados na referida norma. A ndia em segundo lugar com 509
empresas e a China com 495 empresas e no Brasil existem 23 empresas at a data da
realizao desta consulta, conforme se pode observar no quadro 5, estas empresas no
sero alvo de nossa pesquisa.
Muitos pases como Holanda, Austrlia e Nova Zelndia aceitaram esta norma
como um padro local, mas muitos outros pases tm aceitado esta norma de maneira
informal (SOLMS, 1999), ou seja, sem a pretenso de obter a certificao.
De acordo com o padro ISO, todo sistema de gesto certificado necessita a
realizao de uma auditoria peridica, sendo, no mnimo anual, o que de certa forma, fora
a empresa detentora do certificado, cumprir com as atividades mnimas necessrias.
Como muitas empresas no mundo possuem sistemas de gesto baseados na ISO
9001 (Gesto da Qualidade) e/ou na ISO 14001 (Gesto Ambiental), a adoo deste padro
para a gesto da segurana da informao tende a ser mais simples e natural, uma vez que
os instrumentos e as prticas relativas gesto so as mesmas.
O CERT.br o Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurana no Brasil. Desde 1997, responsvel por tratar incidentes de Segurana,
envolvendo redes conectadas Internet no Brasil.
A figura abaixo apresenta o nmero total de incidentes reportados ao CERT.br por
ano, o que demonstra uma preocupao muito grande por parte das empresas uma vez que
muitas delas no somente usam a Internet para hospedar o site institucional, mas para
acessar sistemas e at praticar o comrcio eletrnico.
Pgina 14 de 115
Figura 2- Total de incidentes reportados ao CERT.br por ano

Fonte: CERT.Br Centro de estudos, resposta e tratamento de incidentes de
segurana no Brasil, disponvel em 31 out 2010.
Podemos observar que em 2005 foram notificados 68.000 incidentes e, em 2006,
ocorreram 197.982 incidentes reportados, perfazendo um total de 198% de aumento de um
ano para o outro.
Em 2007, houve um decrscimo no nmero de incidentes reportados em relao ao
ano anterior, caindo para 160.080. Mas, o ano de 2008 voltou a apresentar um aumento
significativo de 39% em relao a 2007. Outro crescimento significativo de incidentes de
segurana reportados ao Cert.br ocorreu entre os anos 2008 e 2009, que registro um
aumento de 61% no nmero de incidentes de segurana da informao.
Observa-se, portanto, um nmero crescente e significativo de incidentes de
segurana em empresas brasileiras de porte e segmentos diversos.
O grfico 1 apresenta as ameaas mais presentes nas empresas pesquisadas.
Pgina 15 de 115
Grfico 1 - Ameaas do meio empresarial

Fonte:Ernst & Young, 2010, p5
Observa-se no grfico 1 que do universo de empresas pesquisadas, 41% informou
que sofreram ataques de origem externa. Um percentual de 25% empresas sofreram
ataques de origem interna na empresa, sendo cometidos por funcionrios e 13% das
empresas pesquisadas informaram que houve um aumento no nmero de fraudes
cometidas internamente.
Com resultados como esses, observa-se a importncia de se implementar um
processo de gesto de segurana da informao que envolva a criao de um slido
alicerce, constitudo de Pessoas, Processos e Tecnologias adequadas e organizadas de
forma a permitirem a elaborao de estratgias de proteo, que se proponham conduzir a
empresa a um patamar de vantagem competitiva e de forma sustentvel, com a
informao, como um recurso valioso, protegida adequadamente.
Como uma empresa necessita administrar diversas atividades, muitas delas
simultneas, para que consiga atuar efetivamente em seu mercado, se faz necessrio o
manuseio de diversos recursos de origem e valor para os negcios distintos, mas com
potencial para a transformao de entradas em sadas, com o emprego de pessoas,
processos e tecnologias.
Em consonncia a essa viso, tem-se a definio apresentada por (CASSARO, 2001, p.94)
sobre um sistema de qualquer magnitude: Um sistema constitudo de um conjunto de
funes logicamente estruturadas, com a finalidade de atender a determinados objetivos.
Pgina 16 de 115
Em consonncia com a viso sistmica apresentada por Cassaro (2001), tem-se a

figura 5 que se utiliza da informao como um recurso necessrio em todas as fases de seu
processo.
A figura 5 demonstra uma viso sistmica do sistema chamado empresa, e que se
utiliza da informao como um recurso necessrio em todas as fases de seu processo.
Objetivos
Sada
Entrada
PROCESSAMENTO
Retroalimentao
Figura 3 - Sistema de Informao

Fonte: Laudon e Laudon (1999)
A Gesto da Segurana da Informao permeia todas as fases apresentadas na
figura 5, uma vez que deve-se ter mecanismos de controle para garantir a segurana das
informaes em todas as fases previstas.
Inicialmente, nos processos de entrada, encontram-se diversas tecnologias e
processos distintos, variando de empresa para empresa. Alguns autores apresentam vises
distintas, mas no contrrias sobre as etapas de um processo de gesto da informao,
conforme veremos na prxima seo.
Prover proteo para as etapas que envolvem o estgio inicial que a captura das
informaes, independentemente se so pblicas, adquiridas ou ainda coletadas no dia-adia fundamental, pois agora fazem parte da base de conhecimento organizacional e,
portanto, tem valor e necessitam estar protegidas.
O processamento das informaes pode envolver tecnologias, processos e pessoas
distintas. Em processos mais complexos, podem-se envolver tecnologias e ambientes
heterogneos. Prover segurana em ambientes com essas caractersticas de extrema
Pgina 17 de 115
importncia, uma vez que se tem a necessidade de se fazer gesto de acessos autorizados,
alm de garantir a alta disponibilidade dos ambientes envolvidos (MOREIRA, 2001).
A etapa de sada requer uma ateno diferenciada, uma vez que o output desta
etapa a disponibilizao de uma informao agregada de conhecimento valioso para a
empresa e, necessariamente precisa ser protegida.
A gesto inadequada da segurana das informaes valiosas da empresa pode
contribuir para a perda de vantagem competitiva sustentvel, uma vez que as empresas
rivais concorrentes tero acesso s informaes como ativos estratgicos utilizados na
elaborao de estratgias da empresa.
Essa condio propicia que as competncias internas elaboradas com a experincia,
pesquisa, estudo, investimento e trabalho em equipe sejam conhecidas pelas demais
empresas, colaborando para que a posio alcanada seja ameaada. Tudo isso possvel,
mesmo
que
esses
recursos
estratgicos
no
sejam
comercializadas
livremente(DIERICKX; COOL, 1989, p.1509) no mercado de fator estratgico (BARNEY,

1986).
Se a concepo de estratgias similares entre empresas possvel quando ambas as
empresas esto de posse dos mesmos recursos ou quando um determinado recurso, na
condio de valioso, raro, imperfeitamente imitvel, pode ser substituda, logo a condio
sustentvel no ocorre ou ocorre por pouco tempo, pois a revelao no autorizada de
informaes estratgicas pode contribuir para que as empresas concorrentes tenham
acesso s informaes sobre determinado recursos importantes.
Por essa razo, muitas empresas implementam aes para coibir o vazamento de
informaes, conforme demonstra o grfico 2.
Pgina 18 de 115
Grfico 2 - Aes adotadas pelas empresas para controlar o vazamento de

informaes
Fonte: Ernst & Young, 2010, p.38
O grfico 2 demonstra que 61% das empresas pesquisadas definiram uma poltica
de segurana especfica que trata do assunto classificao e manipulao de informaes
confidenciais em suas organizaes.
As informaes organizacionais devem ser protegidas partindo da anlise do grau
de importncia da informao para a organizao e dos riscos a que est exposta. Muitos
desses riscos, oriundos da tecnologia, necessitam de proteo, muitas vezes tecnolgicas.
Observa-se no grfico 2, a existncia de um mix de estratgias de proteo nas
empresas, onde algumas medidas visam cobrir o criminoso virtual, que est outside, e o
empregado mal intencionado que est inside ao ambiente organizacional.
O crescimento em IT introduziu uma nova categoria de criminoso, o criminoso
virtual. Enquanto a maior ateno devotada a alcanar o criminoso externo outsider, o
mais oneroso e difcil de apanhar o insider. A segurana dos computadores tornou-se
um problema global e pesquisas indicam que est aumentando a preocupao com os
riscos da segurana.
O autor Cansian (2001) analisou o perfil desses atacantes por dois padres:
aqueles provenientes do meio interno, oriundos da prpria organizao, empresa ou
instituio, e os atacantes externos, normalmente provenientes da Internet. O autor
Pgina 19 de 115
afirma ainda que o atacante interno utiliza um comportamento mais complexo,

demonstrando na maioria das vezes a mesma motivao dos crimes regulares, ou seja:
cobia, obteno ilegal de dinheiro, lucro, riqueza, ou at mesmo ligados a revanches
pessoais ou vingana (CANSIAN, 2001, p.145).
Nos EUA, foi realizada uma pesquisa que descobriu que o roubo de informao, a
fraude financeira, o vrus, o abuso por empregados mal intencionados e a sabotagem
causaram os maiores prejuzos financeiros. Alm disso, a pesquisa revelou que no existia
muita diferena nos nveis de abuso por criminosos internos ou externos (WARREN,
2002).
Mas a Internet acabou por aumentar o nmero de processos relativos tecnologia e
ainda existe uma forte disputa na grande maioria dos pases, sobre a questo dos direitos
de propriedade intelectual (SMITH;RUPP, 2002).
A Gesto da Segurana das Informaes Organizacionais um processo
fundamentalmente essencial para as empresas, uma vez que se prope a criar um ambiente
propcio para que as informaes valiosas e estratgicas estejam salvaguardadas contra
qualquer evento ou acontecimento que possa amea-las.
Cada empresa est inserida em um contexto, sendo observada pelos seus rivais
concorrentes a cada movimento, a cada momento. Dependendo do mercado em que a
empresa atua, pode receber mais ou menos presso de seus concorrentes, ficando,
portanto, evidente a necessidade de impedir que os rivais concorrentes tenham acesso aos
segredos de negcio.
Este processo envolve o gerenciamento da implementao de polticas e prticas de
segurana, alinhadas s necessidades e estratgias do negcio. Essa a abordagem dos
autores Caruso e Steffen:
Segurana, mais do que estrutura hierrquica, homens e
equipamentos envolve uma postura gerencial, o que ultrapassa a
tradicional abordagem da maioria das empresas(CARUSO;
STEFFEN, 1999, p. 24).
No mbito do Governo Brasileiro, foi instituda a Agncia Brasileira de Inteligncia
(ABIN), que tem a misso de estabelecer proteo de conhecimentos sensveis que tenham
relao com os interesses do Estado e da Sociedade.
Pgina 20 de 115
Por essa razo, foi institudo o Programa Nacional de Proteo ao Conhecimento,

que tem como objetivo a sensibilizao dos diversos segmentos da sociedade brasileira
sobre as ameaas ao desenvolvimento e segurana nacional, representadas pelas aes de
espionagem em alvos econmicos, industriais e cientfico-tecnolgicos.
No setor privado, a Associao Brasileira de Normas Tcnicas ABNT uma
entidade sem fins lucrativos, fundada em 1940, sendo a nica entidade Nacional de
Normalizao representante de diversas entidades internacionais, como:
a) ISO - International Organization for Standardization;

b) IEC International Elecrotechnical Comission;
c) COPANT Comisso Panamericana de Normas Tcnicas;
d) AMN Associao Mercosul de Normalizao.
Por essa razo, as normas envolvidas com a Gesto da Segurana da Informao da

ISO foram traduzidas pela ABNT e disponveis para uso de empresas de diversos portes e
diferentes segmentos da sociedade.
Pgina 21 de 115

1.2
Segurana da informao
O termo segurana teve a sua importncia atribuda aps o surgimento dos

computadores, e tinha uma conotao tmida, pois no ultrapassava os limites do Centro
de Processamento de Dados. A associao que se fazia ao termo era o de armazenamento
seguro de materiais, equipamentos de tecnologia e dinheiro, ou seja, a segurana fsica era
importante e a principal preocupao das empresas (LOCH et al., 1992).
Com o ambiente fsico tecnolgico sendo a preocupao das organizaes uma vez
que ele automatiza seus processos e armazena grande parte de suas informaes, os
autores Smith (1989), Loch et al., (1992), Wilson; Turban; Zviran (1992), Mcgaughey et al.
(1994),Boran (1996), Alvim (1998), Stair (1998), Caruso e Steffen (1999), Spinellis et al.
(1999), com uma viso tcnica, definem o termo segurana como aquela que possui a
misso de proteger o ambiente computacional contra ameaas acidentais ou deliberadas.
Essa abordagem perdurou at o final da dcada de 90. A partir dessa dcada,
diversos autores comearam a incorporar outros elementos que a viso tcnica
unidimensional no contemplava, qual seja o negcio. Os autores nacionais Moreira
(2001), Smola(2003), Nakamura;Geus (2003), Beal(2004) e os internacionais
Humphreys et al.(1998), Peltier (2001), Thomson(2003), Posthumus;Solms (2004), Gupta
(2005), Tsiakis, Stephanides (2005), Alghathbar (2008), Chang; Yeh, (2007), Tsiakis,
(2010), Takemura, (2010) apresentam claramente em suas publicaes, a importncia de
proteger a informao, independentemente de onde ela esteja, seja nos recursos
tecnolgicos, em processos ou de posse das pessoas em forma de conhecimento. Solms
(2001) em seu artigo intitulado Information Security A Multidimensional discipline
afirma que a segurana da informao est sendo aceita amplamente pelas empresas e
cada vez mais distanciando-se da viso e imagem tcnica.
Essa viso transcende a viso inicial por englobar os elementos principais de
negcio, desconsiderados at ento pelos autores da dcada de 80.
Nessa direo, a ISO com membros em diversos pases industrializados, em
desenvolvimento e em transio, presentes em praticamente todas as regies do mundo,
produzem publicaes de normas internacionais de segurana como a ISO (2006) que
apresenta as bases fundamentais para a construo de um sistema de gesto de segurana
da informao.
Pgina 22 de 115
Muitas outras normas so produzidas por representantes de vrios pases, assim

como o Brasil que participa por meio de pessoas que fazem parte da ABNT, como o autor
deste trabalho, e que se interessam em contribuir com estudos e conhecimentos
produzidos e adquiridos, compartilhando-os com demais integrantes da ISO Internacional
para a produo de novas normas.
Como a micro e pequena empresa tem uma relevncia mundial, uma vez que
movimentam grande parte da economia de diversos pases e quebrando o paradigma de
que somente em grandes empresas encontram-se padres de gesto, qualidade e
segurana, a ISO produziu um documento intitulado ISO/IEC 27001 for Small Business
(ISO, 2010), justamente para possibilitar que empresas desse porte possam tambm
proteger suas informaes valiosas de negcio.
A preocupao de proteger as informaes estratgicas da empresa vem sendo
debatida por autores como Gabbay (2003), que ressalta a preocupao de empresas que
necessitam interligar seus sistemas de informao com o de outras empresas, por exemplo.
Por essa razo, se faz necessria a obteno de evidncias de que ambas empresas
garantam um nvel adequado de segurana, no mnimo, das informaes estratgicas,
como uma certificao ISO/IEC 27001 Sistema de Gesto de Segurana da Informao,
relatrio de auditoria por empresa isenta, entre outros.
De acordo com Menezes (2005), toda a cadeia necessita de segurana. De nada
adianta construir barreiras lgicas de segurana nos permetros da empresa, se ela possui
fornecedores e prestadores de servios que necessitam de acesso s informaes para a
realizao do servio contratado.
Outros autores demonstram que a preocupao de proteger as informaes, como
recursos estratgicos, vem aumentando. Laureano e Moraes (2005, p.41) afirmam que
evidente que os negcios esto cada vez mais dependentes das tecnologias e estas precisam
proporcionar confidencialidade, integridade e disponibilidade para as informaes.
Com a era da informao e do conhecimento tem a informao como base para a
elaborao de estratgias de negcio, como um recurso valioso, pode proporcionar
empresa que a detm, vantagem competitiva sustentvel.
Sob esta tica, consegue-se observar a importncia de prover proteo adequada
para as informaes, de acordo com o seu nvel de classificao Boran (1996), Wadlow
(2000), Caruso;Steffen (1999), Peltier (2001), ABNT (2005) e Nakamura; Geus (2003),
Pgina 23 de 115
independentemente de qual seja a fase do processo de gesto da informao Taylor (1980),

Mcgee; Prusak(1994), Davenport; Prusak (1998), Choo (2003), Kundu (2004).
No intuito de apresentar o conceito de segurana da informao, tem-se na viso de
alguns autores, certo consenso sobre o assunto.
O comprometimento da confidencialidade, da integridade e da disponibilidade dos
dados um objetivo a ser alcanado na viso de Smith (1989) que conceitua a segurana da
informao como sendo O objetivo principal da poltica de segurana proteger a
integridade, disponibilidade e confidencialidade dos dados eletrnicos mantidos no
sistema (SMITH, 1989, p.174).
Na viso desses autores mencionados anteriormente, os dados eletrnicos
armazenados em sistemas de computador de qualquer empresa, devem ser protegidos, por
serem utilizados como parte das estratgias de segurana da informao, demonstrando,
portanto, uma preocupao com a proteo dos recursos tecnolgicos que armazenam,
processam ou transmitam informaes das empresas.
Cada empresa possui o seu nvel de dependncia da tecnologia e vincula essa
dependncia ao negcio. Assim, as tecnologias utilizadas na empresa, independente do
porte dela, passam a ser um grande aliado por um lado e por outro, um grande vilo.
Diariamente so publicadas via internet, a existncia de vulnerabilidades descobertas
tanto pelos fabricantes dessas tecnologias quanto pelo mundo underground, ou seja, pelos
hackers. As tecnologias sem dvida alguma so o alvo das atenes de muitas pessoas
quando o assunto segurana.
Observa-se na figura 2, em pesquisa realizada pela InformationWeek: Analytics em
junho de 2009 com 593 empresas americanas que, as ameaas de origem interna so uma
presena constante e uma preocupao para muitas empresas. No ano de 2008, elas
representaram 57% e em 2009 foram 52% de empresas que atribuiram a responsabilidade
pela causa das brechas de segurana ou questes relacionadas espionagem interna, aos
seus prprios funcionrios.
Pgina 24 de 115
2%
3%
Outros
4%
4%
Grupo de interesse pblico
7%
9%
Corretor de informao
Provedor de servios de TI
12%
13%
Governo estrangeiro
10%
13%
15%
16%
Concorrentes
Clientes
Provedor de servios de processos de
17%
17%
11%
17%
2008
2009
15%
Crime organizado
22%
33%
28%
26%
30%
Usurios externos
Consultores/provedores de servios
39%
Programador de cdigos maliciosos
45%
57%
52%
Empregados
62%
59%
Hackers
62%
66%
Usurios/empregados autorizados
0%
20%
40%
60%
80%
Figura 4 - Origens de ameaas Segurana das informaes

Fonte: InformationWeek Analytics (2009, p.28)
Com uma viso menos tcnica e mais voltado para o negcio, alguns autores
comeam a envolver outros elementos alm da tecnologia, mas que proporcionam
impactos nos resultados e/ou performance da empresa.
Na viso de Alghathbar (2008), o objetivo da segurana proteger a informao
que est distribuda no Sistema de Informao da empresa contra qualquer tipo e origem
de ameaa. Essa ao movimenta investimentos por parte da empresa e a literatura atual
sobre o assunto impe a viso de que os custos da Segurana da Informao podem ser
medidos com base na anlise de riscos.Mas, essa medio pode estar distorcida uma vez
que no se consegue medir com preciso por se tratar de percepes e valores subjetivos
(ALGHATHBAR, 2008).
Pgina 25 de 115
Segundo Mcgaughey et al. (1994), as empresas protegem os sistemas e os dados

armazenados contra riscos existentes, com potencial de atingir a empresa. Sejam eles de
origem da natureza ou provocados pelo desafio de terceiros como a concorrncia, hackers,
entre outros.
A viso ainda mope por parte dos executivos com relao aos benefcios da
segurana da informao para os negcios compreendem o valor e a importncia desse
tema, quando algo grave ou um incidente de segurana ocorre em sua organizao. Com
esse entendimento, afirmam (SOLMS B.;SOLMS R, 2004):
Infelizmente, em muitos casos, executivos de empresas ainda
pensam que a tecnologia tudo, e ento, delegam o problema para
o departamento tcnico e, convenientemente, esquece o
ocorrido.(SOLMS B.; SOLMS R., 2004, p.372)
Na viso desses autores, os benefcios da prtica de segurana da informao para a

empresa no so considerados importantes e em geral, somente so valorizados quando
ocorre um incidente de segurana (SOLMS B.;SOLMS R., 2004).
Os autores Nakamura e Geus(2003) relacionam a segurana da informao com o
aumento de lucratividade e afirmam que quando realizada corretamente, pode
proporcionar a realizao de mais negcios, uma vez que diminui riscos. Na viso desses
autores, a segurana da informao extrapola o ambiente tcnico e vincula o tema com
oportunidades de novos negcios.
Sem a preocupao de olhar para uma necessidade tcnica especfica, apresenta-se
a viso de Moreira (2001) que define segurana da informao como sendo as prticas
necessrias para se alcanar a confidencialidade, a disponibilidade e a integridade dos
recursos valiosos de negcio.
Uma vez que a informao est presente no ambiente organizacional e em diversas
formas, seja armazenada em banco de dados, em documentos impressos, em correio
eletrnico, em dispositivos de armazenamento como CD/DVD, mdia de backup,
dispositivos mveis e at ser um conhecimento tcito estando, portanto, na mente das
pessoas. Tudo gira em torno do quo valiosa a informao, de quanto ela sensvel e o
quanto ela representa para o seu negcio.
Ressalta o autor que, prover proteo para os recursos da empresa tem a finalidade
de diminuir o nvel de exposio aos riscos existentes, para que a empresa possa estender a
Pgina 26 de 115
segurana aos seus produtos e servios, resultando em uma satisfao maior por parte dos
clientes.
Por outro lado, apresenta-se o raciocnio de que a proteo dos sistemas crticos de
negcio pode ser obtida ao se examinar as conseqncias das perdas, a partir de falta de
segurana dos sistemas (GUPTA, 2005).
Essas perdas tambm podem ser obtidas, segundo quatro pontos de vista. So eles:
a) Perda Financeira;
b) Responsabilidade Legal e tica;
c) Interrupo de Servios;
d) Qualidade e Segurana.
Definir segurana da informao , sem dvida alguma, um grande desafio, na

viso de (TSIAKIS, STEPHANIDES, 2005). Segundo a opinio desses autores, cabe
empresa definir as expectativas e os objetivos de segurana de como as informaes sero
comunicadas e manuseadas. (TSIAKIS, STEPHANIDES, 2005, p.106)
Os objetivos da segurana qual sejam a confidencialidade, a integridade, a
autenticao e o no repdio devem ser expressos e comunicado a todos, para que a
informao possa ser protegida alinhada com as expectativas e os objetivos da empresa
(TSIAKIS; STEPHANIDES, 2005).
A ISO Internacional com a norma ISO IEC 27002 que apresenta as boas prticas
internacionais de segurana da informao demonstra que a segurana da informao
obtida a partir da implementao de um conjunto de controles adequados, incluindo
polticas, processos, procedimentos, estruturas organizacionais e funes de software e
hardware.
A autora Beal(2004) compreende a segurana da informao alinhado com os
autores apresentados, porm ela entende que as normas ISO, em especial, a de segurana
da informao serve apenas como uma diretriz. Muitas empresas podem no conseguir ou
querer que seja implementado o que se sugere neste padro. Enfatiza a autora que o uso de
boas prticas internacionais como esta, por exemplo, deve ser feito quando se adiciona
valor percebido ao negcio.
Pgina 27 de 115
1.2.1 Objetivos da segurana da informao
A literatura de segurana, de modo consensual, apresenta a trade CID que

expressa a abreviatura para a Confidencialidade, a Integridade e a Disponibilidade. Essa
viso foi apresentada e abordada pelos autores destacados neste trabalho como
Pfleeger(1989), Smith (1993), Humphreys et al.., (1998), Lampson (2000), Thomson
(2003), Wang (2005), Gordon e Loeb (2006),Tsiakis (2010) em suas respectivas
publicaes.
Em conformidade com a essa viso, a ISO Internacional, define Segurana da
informao como sendo:
A segurana da informao a preservao da confidencialidade,
integridade e disponibilidade da informao; adicionalmente,
outras propriedades, tais como autenticidade, responsabilidade,
no repdio e confiabilidade, podem tambm estar envolvidas.
(ISO, 2006, p.2)
Alguns autores nacionais como Semola (2003), Nakamura;Geus (2003),

Caruso;Steffen (1999), visualizam algo mais abrangente, contemplando outros objetivos
como a Legalidade e o No repdio.
Ser apresentado a seguir, uma viso geral dos principais objetivos da segurana da
informao de acordo com a viso desses autores.
1.2.1.1 Confidencialidade
A confidencialidade, segundo a norma ABNT (2006), pressupe um conjunto de

prticas com a inteno de proteger a informao para que no esteja disponvel, ou que
no seja, revelada a indivduos, entidades ou processos no autorizados. Para Tsiakis
(2010), a confidencialidade um objetivo que vincula o acesso e a revelao de
determinadas informaes sensveis a somente pessoas autorizadas.
Essas informaes sensveis de negcio no podem ser divulgadas livremente para
qualquer pessoa, ficando acessvel a somente pessoas autorizadas (POSTHUMUS;SOLMS,
2004).
Pgina 28 de 115
Humphreys et al. (1998) define que a confidencialidade envolve a proteo de

informaes sensveis de divulgao no autorizadas ou interceptao de mensagens
enviadas por funcionrios.A proteo mencionada por Humphreys et al. (1998) anos
depois foi validada por Thomson (2003) que afirma que a confidencialidade das
informaes pode ser preservada se a empresa adotar 2 aes: a primeira restringir o
acesso s informaes confidenciais e/ou criptografar essas informaes.
A divulgao no autorizada de uma informao relevante para a empresa uma
ameaa, principalmente para pequenas empresas, afirma Spinellis et al. (1999).
1.2.1.2 Integridade
A integridade o objetivo de salvaguarda da exatido e completeza de ativos ABNT

(2006). Ou seja, a empresa deve possuir mecanismos para que a informao esteja integra
assim como do momento de seu armazenamento.
A empresa deve, necessariamente, precaver-se contra os acessos no autorizados e
evitar que dados sejam alterados, manipulados ou corrompidos por pessoas no
autorizadas. Essas aes so fundamentais para que a integridade dos dados das
informaes seja preservada (TSIAKIS, 2010).
Outro autor Humphreyset al., (1998) que acredita que a preservao da integridade
dos recursos de informao envolve a adoo de determinadas prticas, como manter a
completeza e a correta informao armazenada.
Por outro lado, salienta Thomson (2003), a falta de controles adequados pode
resultar em alteraes indevidas em informaes sigilosas e importantes da empresa, de
forma intencional ou no.
Problemas relacionados com a integridade das informaes podem afetar qualquer
tipo de empresa, especialmente as micro e pequenas, onde alteraes de dados sem
autorizao, pode provocar perdas financeiras, alertam Spinellis et al. (1999.
Alm do prejuzo financeiro, decises podem ser tomadas de forma equivocadas e
criar uma situao no desejada na empresa, por conta do descrdito no sistema de
informao (POSTHUMUS;SOLMS, 2004, p.640).
Pgina 29 de 115
1.2.1.3 Disponibilidade
A disponibilidade um objetivo da segurana da informao extremamente

importante, uma vez que a ausncia de informaes em um momento crucial pode resultar
em grandes prejuzos para qualquer empresa.
Tsiakis (2010) ao apresentara sua viso, descreve uma situao comercial, onde a
disponibilidade a garantia de que pessoas ou entidades autorizadas tm acesso contnuo
e ininterrupto dos servios.
A disponibilidade , segundo a ISO Internacional, a propriedade de estar acessvel e
utilizvel sob demanda por uma entidade autorizada (ABNT, 2006).
A alta dependncia de tecnologia, de alguma forma, remete a uma profunda
reflexo quanto o objetivo disponibilidade, pois sem os principais recursos ou parte deles,
comprometendo a capacidade de operar, acaba por refletir negativamente em empresas de
qualquer porte. Grandes empresas possuem recursos e investem em estratgias de
continuidade de negcios (SPINELLIS et al., 1999, p. 124), porm nas micro e pequenas
empresas faltam recursos e o impacto, portanto, da indisponibilidade de determinados
recursos crticos pode prejudicar e muito empresas que no possuem uma estratgia de
continuidade de suas operaes.
Alm dos trs objetivos Confidencialidade, Integridade e a Disponibilidade da
informao necessitam ser preservadas, o autor Smola (2003) recomenda a incluso de
mais um objetivo: a legalidade.
1.2.1.4 Legalidade
A Legalidade o objetivo que garante que a informao foi produzida em

conformidade com leis, regulamentaes e normas aplicveis ao negcio de uma empresa.
Existe, portanto, uma preocupao de aderncia Legislao vigente.
Aps uma pesquisa realizada nas 109 maiores empresas em Taiwan, abrangendo
no apenas uma ampla gama e atividades, mas tambm consistindo de grandes empresas,
que normalmente investem mais em Segurana da Informao e Tecnologia da
Informao, constatou-se que a prtica de Segurana da Informao no uma questo
Pgina 30 de 115
tcnica apenas disponvel para aquisio em uma loja, mas sim personalizada,
dependente do contexto do problema do cliente (CHANG; YEH, 2007), leis,
regulamentaes e normas aplicveis.
Mediante a essa diversidade de objetivos, cabe empresa observar o seu ambiente e

identificar as caractersticas de negcios que, se comprometidas, ocasionam impactos
significativos para o negcio.
Pgina 31 de 115
1.2.2 As dimenses da Segurana da Informao
A segurana da informao uma disciplina multidimensional e todas as

dimenses se preocupam em abranger o universo organizacional para proporcionar um
ambiente seguro e apropriado para os ativos valiosos da empresa.
A diversidade e a quantidade de ambientes no um fator com que a empresa se
deva preocupar, pois alm de ambientes, existem dimenses diferentes, portanto:
o fato de existirem diferentes dimenses e juntos poderem
contribuir na direo de alcanar um ambiente mais seguro o
pensamento mais importante(SOLMS, B.; SOLMS, R., 2004, p.
373).
Na viso desses autores, as seguintes dimenses podem ser identificadas sem

dificuldades nas empresas:
a) Dimenso Governana;
b) Dimenso Organizacional;
c) Dimenso Poltica;
d) Dimenso melhores prticas;
e) Dimenso tica;
f) Dimenso Certificao;
g) Dimenso Legal;
h) Dimenso Humana;
i) Dimenso Conscientizao;
j) Dimenso Tcnica;
k) Dimenso Mtricas e Indicadores;
l) Dimenso Auditoria.
Os autores Adachi (2004) e Silva Netto (2007) apresentam as dimenses utilizadas
neste trabalho em uma abordagem de camadas para representar os 10 (dez) domnios da
norma ISO 27002, uma norma de boas prticas internacionais de segurana da
informao, que so:
Pgina 32 de 115
Camada fsica
a) Sistemas de controle de acesso;
b) Segurana e modelos de segurana;
c) Arquitetura e modelos de segurana;
d) Segurana fsica.
Camada lgica
a) Criptografia;
b) Desenvolvimento de sistemas e aplicativos.
Camada humana
a) Prticas de gerenciamento de segurana;
b) Segurana de operao;
c) Plano de Continuidade do negcio e plano de recuperao em caso de desastre;
d) Legislao, investigao e tica.
Silva Netto (2007) em seu artigo intitulado Gesto da segurana da informao:

fatores que influenciam sua adoo em micro e pequenas empresas realizou um trabalho
de pesquisa e classificou as sees da Norma ISO IEC 27002:2005 nas trs camadas de
segurana da informao (fsica, lgica e humana), resultando na estrutura representada
no quadro 6, a seguir:
Camada Seo
Objetivos
Gesto
das Garantir a operao segura e correta dos recursos de
operaes
e processamento da informao.
comunicaes
Fsica
Segurana fsica Prevenir o acesso fsico no-autorizado, danos e

e do ambiente
interferncias com as instalaes e informaes da
organizao;
impedir
perdas,
danos,
furto
ou
comprometimento de ativos e interrupo das atividades da
organizao.
Controle
acesso
de Controlar acesso informao; assegurar acesso de usurio

autorizado e prevenir acesso no autorizado a sistemas de
Pgina 33 de 115
informao; prevenir o acesso no autorizado dos usurios

e evitar o comprometimento ou roubo da informao e dos
recursos de processamento da informao; prevenir acesso
no autorizado aos servios da rede.
Gesto
incidentes
segurana
informao
Lgica
de Assegurar que um enfoque consistente e efetivo seja

de aplicado gesto de incidentes da segurana da informao.
da
Aquisio,
desenvolvimento
e manuteno de
Sistemas
de
Informao
Garantir que segurana parte integrante de sistemas de

informao; prevenir a ocorrncia de erros, perdas,
modificao no autorizada ou mau uso de informaes em
aplicaes; proteger a confidencialidade, a autenticidade ou
a integridade das informaes por meios criptogrficos;
Garantir a segurana de arquivos de sistema; manter a
segurana de sistemas aplicativos e da informao.
Reduzir
riscos
resultantes
da
vulnerabilidades tcnicas conhecidas.
explorao
de
Organizando a Gerenciar a segurana de informao dentro da

segurana
da organizao; manter a segurana dos recursos de
informao
processamento da informao e da informao da
organizao, que so acessados, processados, comunicados
ou gerenciados por partes externas.
Humana
Gesto de Ativos
Segurana
recursos
humanos
Alcanar e manter a proteo adequada dos ativos da

organizao; assegurar que a informao receba um nvel
adequado de proteo.
em Assegurar que os funcionrios, fornecedores e terceiros

entendam suas responsabilidades e estejam de acordo com
seus papis e reduzir o risco de roubos, fraudes ou mau uso
de recursos.
Gesto
da No permitir a interrupo das atividades do negcio e
continuidade do proteger os processos crticos contra efeitos de falhas ou
negcio
desastres significativos e assegurar a sua retomada em
tempo hbil se for o caso.
Conformidade
Poltica
segurana
informao
Evitar violao de qualquer lei criminal ou civil, estatutos,

regulamentaes ou obrigaes contratuais e de quaisquer
requisitos de segurana da informao.
de Prover uma orientao e apoio da direo para a segurana
da da informao de acordo com os requisitos do negcio e
com as leis e regulamentaes relevantes.
Quadro 4 - Sees da Norma ISO/IEC 27002 em camadas

Fonte: Silva Netto (2007 p.48)
Pgina 34 de 115
A Gesto da Segurana da Informao, sob a tica da ISO 27001, pode ser

observada sob trs dimenses, conforme apresenta a figura 5.
Dimenso
Humana
Dimenso
Fsica
Dimenso
Lgica
Figura 5 - Dimenses da Segurana da Informao

Fonte: Autor
Nota: Elaborado com base na teoria pesquisada
Na viso de (ADACHI, 2004), a camada fsica tem o seguinte significado e
abrangncia:
A camada fsica representa o ambiente em que encontram os

computadores e seus perifricos; bem como a rede de
telecomunicaes, com seus modems, cabos, memria fsica
(ADACHI, 2004, p. 5).
A dimenso fsica constituda por diversos ativos fsicos com caractersticas

semelhantes e abrange todo hardware e infraestrutura existentes na empresa. Como
exemplo de hardware, pode-se citar os desktops, notebooks, servidores. Na infraestrutura,
podem existir ativos como links de comunicao, elementos de rede entre outros.
Na viso de Dias (2000), a segurana fsica possui dois conjuntos: os que esto
envolvidos com a segurana de controle de acesso fsico e os que esto envolvidos com a
segurana ambiental, relacionados com a preveno de danos causados por aes da
natureza.
Pgina 35 de 115
A Norma ISO 27002 aborda o tema, envolvendo todos os ativos relacionados com a
segurana para prevenir acessos fsicos no autorizados, danos e interferncias s
informaes e instalaes fsicas da empresa.
A dimenso lgica constituda por elementos lgicos de difcil controle, uma
vez que se prope em linhas gerais, a protegerem o contedo informacional (CARUSO;
STEFFEN, 1999).Todos os sistemas que necessitam de proteo esto envolvidos nesta
camada. Os sistemas que envolvem e so utilizados pela empresa so gerenciados e
protegidos no apenas pelos dispositivos previstos na dimenso fsica, mas so necessrias
medidas preventivas e procedimentos elaborados, atualizados e implementados
(LUCIANO; 2004).
Em adio a viso desses autores, Dias (2000) complementa essa viso enfatizando
a necessidade de existir em polticas de segurana que estabeleam as diretrizes de
segurana para o ambiente.
Nesta dimenso, pretende-se proteger as informaes crticas e relevantes da
organizao.
Cada empresa adota estratgias diferenciadas para proteger os seus recursos
valiosos por meio de estratgias de segurana contra ataques via cdigos maliciosos Lochet
al.(1992), Caruso; Steffen(1999), Gupta (2005); ABNT (2005), Takemura (2010), pelo
estabelecimento de Polticas de controle de acesso s informaes ABNT (2005), pelo
estabelecimento de Proteo de registros organizacionais (Proteo de registros
organizacionais Loch et al. (1992), Dias (2000), ABNT (2005).
A proteo das informaes para uso em situaes adversas prevista nesta
dimenso com a realizao de cpias de segurana das informaes Caruso; Steffen (1999),
Dias (2000), Beal (2004), ABNT (2005), Gupta (2005).
Outra estratgia a ser adotada e prevista nesta dimenso a de controle de
vulnerabilidades tcnicas dos recursos, uma vez que podem ser exploradas por pessoas mal
intencionadas e terem acesso s informaes crticas e sigilosas (ABNT, 2005).
A dimenso humana constituda dos recursos humanos existentes na empresa.
Ela trata, portanto de questes de difcil gesto, uma vez que esto envolvidos pessoas e
aspectos comportamentais, conscientizao e engenharia social (ADACHI, 2004). Os
autores Caruso; Steffen(1999) concordam que nesta dimenso so tratadas questes que
proporcionam maior risco para as empresas, uma vez que esto envolvidos e influenciam
Pgina 36 de 115
diretamente os aspectos comportamentais das pessoas as caractersticas psicolgicas,

scio-culturais e emocionais.
A separao pelas dimenses Fsica, Lgica e Humana proposta inicialmente por
Adachi (2004) no universo de Internet Banking, tem agora no contexto da micro e pequena
empresa um universo muito mais amplo.
Das trs dimenses abordadas, a camada humana, conforme apresentado e
comentado pelos autores, a mais complexa de se gerenciar, uma vez que so requeridas
habilidades e competncias que caminham em outra direo que no a de documentar
procedimentos, configurar regras em algum software ou instalar determinada tecnologia
na empresa, por exemplo.
Aspectos relativos a treinamento e conscientizao comeam a fazer sentido no
momento em que se deseja mostrar para os usurios que cada informao tem o seu valor
e que a necessidade de ser, no somente protegida, mas adequadamente protegida e essa
tarefa no de responsabilidade de algum de segurana ou tecnologia, mas de todos os
empregados da empresa.
1.2.3 Informao como recurso estratgico

A informao perfeitamente capaz de proporcionar a empresa, os subsdios
fundamentais e necessrios para que decises sejam tomadas de forma mais assertiva
(ALVIM, 1998).
Estratgias podem ser mais precisas, se formuladas considerando o estoque de
recursos estratgicos acumulados pela empresa (GRANT, 1991). Neste contexto, a
informao como um recurso precioso e estratgico deve ser administrada de forma
condizente com seu valor estratgico.
Independentemente da era em que nos encontramos, seja a era da informao, do
conhecimento ou outra, a informao como um recurso estratgico a matria prima e a
fonte para a manuteno de vantagem competitiva sustentvel e vista por vrios autores
como um dos ativos mais valiosos de uma organizao (STAIR, 1998; CASSARO, 1999).
Existe um consenso entre autores sobre o significado, a importncia estratgica e as
fontes de informao, conforme pode-se observar a seguir.
Pgina 37 de 115
Na viso de Barreto (1996, p.2), a informao tem um valor incomensurvel e pode

ser interpretada, conforme a seguir.
A informao relevante, portanto, move pessoas, um grupo de

pessoas ou uma sociedade inteira, tamanho o valor e poder que
uma informao pode proporcionar a uma empresa de qualquer
porte.
Para os autores Mcgee e Prusak, (1994, p.24), a informao possui o seu valor
oriundo dos dados e, a ela, so acrescidos aspectos que as diferenciam, e a caracteriza
conforme descrito a seguir:informao um conjunto de dados coletados, organizados,
ordenados aos quais so atribudos significados e contexto.
Com uma viso mais abrangente, Laudon, K. e Laudon, J. (1999), apresentam uma
abordagem mais estratgica, uma vez que quando se referem informao, associam a um
recurso estratgico e como uma fonte de vantagem competitiva que, como tal, pode ser
usada de forma estratgica.
O autor Beuren (1998, p.52) sintetiza o seu entendimento sobre a informao da
seguinte forma:
a informao pode ser usada no sentido de identificar alternativas
para provocar mudanas no poder de barganha da empresa com o
ambiente externo, para remover ou criar barreiras entrada de
novos concorrentes,diferenciar uma empresa das demais que
atuam no mesmo segmento, para configurar novas cadeias de valor,
para penetrar em economias diferenciadas, dentre outros fatores.
Esse autor salienta que, de posse de informaes estratgicas, a empresa consegue

aprimorar a etapa de elaborao e execuo das estratgias a serem implantadas.
Com forte nfase na proteo da informao, a ISO(2005) conceitua informao da
seguinte forma:
Informao um ativo que, como qualquer outro ativo importante
para os negcios, tem um valor para a organizao e,
conseqentemente, necessita ser adequadamente protegido. (ISO,
2005, p. 2)
Pgina 38 de 115
A proteo ressaltada na definio da norma ISO refere-se principalmente a

questo da perda de vantagem competitiva, uma vez que se as informaes dos recursos
valiosos, raros, de difcil imitao e de difcil substituio (BARNEY, 1991) no forem
suficientemente protegidas e, portanto, reveladas para as empresas rivais concorrentes, a
vantagem competitiva alcanada at o momento, pode agora tambm ser alcanada pelas
empresas concorrentes.
Sem uma gesto efetiva, a informao considerada como um recurso estratgico
que, por um lado pode elevar o patamar de sustentabilidade da vantagem competitiva
alcanada pela empresa detentora de tal recurso valioso, por outro, pode colocar a empresa
em risco (DIAS 2000).
Em suma, esses autores estabelecem um vnculo com a linha de pensamento do
RBV e, principalmente, com a viso de (BARNEY, 1991) no tocante perspectiva de a
empresa poder ser vista como uma organizao distinta de recursos tangveis e intangveis
e competncias onde, seu uso efetivo possibilitar o alcance dos objetivos.
Pgina 39 de 115
1.2.4 Segurana da Informao e Vantagem Competitiva
A competitividade entre as empresas de um mesmo setor provoca, por si s, certa

instabilidade e incerteza no ambiente dessas empresas, uma vez que diminui a capacidade
de previsibilidade quanto ao futuro. Com isso, os administradores necessitam conhecer
cada vez mais o ambiente interno e os seus recursos valiosos (BARNEY, 1991).
Estar de posse de informaes valiosas de negcio coloca a empresa em uma
posio privilegiada perante as demais, uma vez que a base para a formulao de
estratgias organizacionais. Sem esse importante recurso, tais estratgias podem ser
formuladas sem uma fundamentao consistente.
Assume-se, portanto, que a informao um recurso valioso, estratgico e
fundamental para a tomada de deciso e formulao de estratgias que conduzem a
vantagem competitiva, devendo ser controlado de forma condizente para evitar a sua
revelao, impactando na sustentabilidade alcanada.
A explicao da influncia da segurana da informao no desempenho de uma
empresa ser efetuada por meio das fontes de vantagem competitiva sustentvel,
preconizada pela Viso Baseada em Recursos.
Conforme visto na reviso terica da Viso Baseada em Recursos, para que se possa
atingir nveis de excelncia de desempenho, preciso compreender como as empresas
lidam com os recursos, uma vez que so determinantes para a obteno ou no da referida
vantagem competitiva (WERNERFELT, 1984; BARNEY, 1991).
Muito embora a empresa esteja de posse de recursos valiosos, no significa que essa
situao lhe conferir sustentabilidade eterna em termos econmicos. H de se considerar,
portanto, a existncia das fontes de vantagem competitivas sustentveis indicadas na
literatura sobre RBV, conforme vimos neste trabalho.
Assim, uma vez obtido o alinhamento das condies impostas pelas fontes de
vantagem competitiva sustentvel, de acordo com o RBV, se a segurana da informao,
que se prope a proteger a informao dos recursos valiosos e estratgicos impedindo que
as empresas rivais concorrentes consigam qualquer informao a respeito, no estiverem
implementadas, aumenta-se a probabilidade de haver o vazamento das informaes
valiosas e estratgicas, comprometendo as condies impostas pelas fontes de vantagem
competitiva sustentvel.
Pgina 40 de 115
1.2.5 A confidencialidade dos recursos estratgicos

Na viso de alguns autores clssicos mais influentes de RBV, Penrose, Wernerfelt,
Dierickx e Cool, Grant, Conner, Peteraf e de alguns autores nacionais Vasconcelos e
Cyrino, Bandeira De Mello e Cunha, a sustentabilidade da vantagem competitiva pode ser
obtida para atender determinadas caractersticas que os recursos da firma devem
rigorosamente cumprir, conforme apresentado no quadro 2.
Observa-se na seo Segurana da Informao que, segundo os autores Smith
(1989), Humphreys et al. (1998), Moreira (2001), Tsiakis; Stephanides (2005), ABNT
(2006), a confidencialidade, a integridade e a disponibilidade so os objetivos da
segurana da informao que devem ser preservadas. Alguns objetivos podem ser mais
sensveis do que outros, conforme a necessidade e caractersticas do negcio.
As fontes de vantagem competitiva sustentvel, abordadas neste trabalho, com base
na opinio de diversos autores de RBV, sero confrontadas com os objetivos de segurana
da informao com o intuito de identificar e conhecer o relacionamento entre ambos.
Recursos valiosos
As competncias internas construdas pelas pessoas de uma organizao ao longo
do tempo so exemplos de recursos valiosos. Muito embora sejam construdas com o uso
de metodologias difundidas amplamente e disponveis no mercado, o know-how passa a
ser um recurso organizacional valioso, pois no se conquista rapidamente e no podem ser
adquiridos, pois no so livremente comercializveis (DIERICKX; COOL, 1989).
O know-how que uma determinada empresa possui para desenvolver um
determinado servio ou produto um exemplo de uma competncia adquirida com muita
pesquisa, investimento, tempo e empenho de toda a empresa. O valor desse know-how
conquistado pela empresa pode, em alguns casos, significar o valor do prprio negcio.
No entanto, ainda que determinados recursos tangveis possam ser adquiridos no
mercado de fator estratgico, tem-se os recursos intangveis valiosos como sendo de difcil
aquisio.
Embora existam metodologias que auxiliem as empresas a determinar quais
atividades devem ser realizadas, no manter a confidencialidade sobre como e quais
recursos devem e quais no devem ser utilizados, contribui para que as empresas
Pgina 41 de 115
concorrentes no tenham acesso aos segredos de negcio e no consigam adquirir ou

construir recursos valiosos.
Assim, na opinio dos autores com publicaes na rea de segurana da informao
Caruso; Steffen (1999), Beal (2004), Farn et al. (2004), Gupta (2005), ABNT (2005), as
informaes devem ser classificadas quanto ao sigilo, para que os empregados conheam e
passem a ter o comportamento esperado e condizente com o nvel de sigilo institudo.
De posse de recursos valiosos, tem-se a necessidade de se prover proteo com
mecanismos adequados e condizentes com a necessidade e valor do recurso em questo.
Por essa razo, tem-se a confidencialidade como o principal objetivo da segurana da
informao que pode afetar os recursos valiosos e causar impactos na vantagem
competitiva.
Quando uma empresa alcana um patamar de vantagem competitiva sustentvel,
assume-se que seus rivais concorrentes ainda no estejam de posse dos mesmos recursos
valiosos, estando impedidos, portanto, de implantarem a mesma estratgia com os
mesmos recursos.
As competncias internas construdas ao longo do tempo para o desenvolvimento
de determinado produto e o know-how so exemplos de recursos valiosos que no se
conseguem da noite para o dia e tampouco podem ser adquiridas no mercado de produtos
privilegiados, pois no so livremente comercializveis (DIERICKX; COOL, 1989, p.1506).
A elaborao de estratgias que proporcionam vantagem competitiva sustentvel e
que melhoram seu desempenho econmico ocorre quando a empresa est de posse de
recursos valiosos e que, segundo Barney (1991, p.106), determinados recursos podem ser
a fonte de vantagem competitiva somente se forem valiosos; essa condio independe se
so classificados como capital fsico, humano ou organizacional ou ambos.
Recursos Inimitveis / No Replicveis / Limitaes Ex-Post

A capacidade de imitao e replicao de determinados recursos valiosos, raros ou
insubstituveis que uma empresa possui uma competncia valiosa e pode ser
desenvolvida e aprimorada ao longo do tempo (GRANT, 1991).
Pgina 42 de 115
Determinadas empresas podem construir estratgias similares a das empresas que

dominam o mercado e juntamente com recursos perfeitamente imitados, alcanar
resultados semelhantes, em alguns casos.
Logo, tudo isso pode ocorrer, desde que a confidencialidade se faa presente no
ambiente organizacional da empresa que possui o recurso valioso, raro e de difcil
substituio.
Assim, a falta de confidencialidade afeta diretamente a capacidade de imitao
Barney (1991), Dierickx e Cool (1989) e a capacidade de replicao/reproduzir Grant
(1991), Peteraf (1993).Essa ausncia facilita o acesso aos recursos valiosos por parte da
concorrncia e contribui para que tal recurso seja imitado.
A capacidade de replicao de recursos ou capacidades diminui a possibilidade de
proporcionar sustentabilidade para a vantagem competitiva, ainda que esteja consolidada.
Por outro lado, a confidencialidade dificulta a imitao de um determinado recurso
estratgico por parte da concorrncia e isso acaba forando as empresas a buscarem
alternativas que nem sempre so as mais recomendadas. (DIERICKX; COOL, 1989,
p.1507).
Essa dificuldade imposta eleva a confidencialidade como o principal objetivo da
segurana afetado, uma vez que se a empresa no tiver a capacidade de proteger as
informaes adequadamente, o mercado concorrente pode beneficiar-se com informaes
privilegiadas e construir produtos semelhantes com a mesma capacidade ou superior, com
caractersticas equivalentes.
Por essas razes, a confidencialidade se torna um objetivo da segurana da
informao extremamente importante e que pode de alguma forma, afetar os recursos
valiosos e causar impactos.
Recursos Insubstituveis
A ausncia de informaes sobre um determinado recurso estratgico de negcio
dificulta no somente a possibilidade de imitao, mas a substituio Dierickx e Cool
(1989), Barney (1991), Peteraf(1993), uma vez que no se pode afirmar ao certo quais so
as caractersticas inerentes dos recursos estratgicos que conferem a sustentabilidade.
Pgina 43 de 115
Essa fonte de vantagem competitiva sustentvel est relacionada com a facilidade

ou a dificuldade que as empresas concorrentes se deparam, para substituir os recursos e
obterem iguais ou melhores resultados (VASCONCELOS; CYRINO, 2000). Logo, se as
caractersticas tcnicas e o detalhamento dos recursos valiosos so divulgados amplamente
ou se encontrem sem proteo adequada contra acessos no autorizados, a possibilidade
de haver o vazamento de informaes, por acessos no autorizados aos sistemas sem a
possibilidade de deteco. (ABNT, 2005).
A preservao da confidencialidade da informao de um determinado recurso ou
parte dele, usado para implantar uma estratgia, pode impedir que empresas concorrentes
obtenham o mesmo xito, pelo mesmo tempo.
Por essa razo, encontramos na confidencialidade, um objetivo que visa preservar
os segredos dos recursos valiosos em uso, como parte da estratgia da empresa detentora
de vantagem competitiva sustentvel.
Transparncia
A transparncia uma fonte de vantagem competitiva sustentvel, na viso de
Grant (1991), uma vez que a falta dela constri, naturalmente, uma barreira de entrada
para os potenciais entrantes.
As empresas rivais concorrentes visam seguir os mesmos passos das empresas
lderes, para compreender os fatores que levaram essas empresas a alcanarem o patamar
sustentvel.
Assim, a falta de transparncia dos recursos e estratgias adotadas pela empresa
uma forma de desacelerar a velocidade com que as empresas concorrentes conseguem
imit-la, alm de ser um fator inibidor para as empresas recm-chegadas GRANT (1991,
p. 125).
Pgina 44 de 115
Mobilidade Imperfeita / Transferibilidade

A facilidade de transferncia de um determinado recurso ou capacidade caminha
em direo contrria mobilidade imperfeita, uma vez que a partir desse momento, podese replicar a estratgia adotada pela descoberta das fontes que conferiram o desempenho
econmico superior da empresa rival (GRANT, 1991). Tal vantagem no ser sustentvel
uma vez que diferentes competidores podem tambm adquirir tais recursos. Do contrrio,
mobilizar os recursos estratgicos pode proporcionar vantagem competitiva, uma vez que
esto de posse e so mantidos na empresa e no podem ser negociados (PETERAF, 1993).
Nem todos os recursos e capacidades so transferveis ou facilmente transferveis
entre empresas. Mesmo que os recursos sejam facilmente transferveis, quanto mais a
confidencialidade for preservada, mais tempo a vantagem competitiva permanece.
Determinadas empresas podem estar de posse dos mesmos recursos, mas ao
realizar um movimento na tentativa de obter diferenciao, pela apropriao e uso de um
recurso inimitvel, as demais empresas concorrentes podem perceber e caminhar na
tentativa de imit-lo ou replic-lo (PETERAF, 1993).
Esse movimento afeta o sigilo da informao, com o objetivo confidencialidade
Humphreys et al. (1998), Tsiakis (2010), Posthumus;Solms (2004), Thomson (2003),
ABNT (2005)que, neste caso, indicam a importncia de a empresa refletir sobre a
necessidade de se implementar mecanismos para a proteo das informaes estratgicas.
O quadro 7 foi elaborado pelo autor com base no referencial terico, onde pode-se
constatar que cada objetivo de segurana da informao pode, de alguma forma, afetar
uma ou mais fontes de vantagem competitiva sustentvel.
Pgina 45 de 115
Fontes
Barney
(1991)
Valioso
Raro
Inimitvel/
X
No
Replicabilidade
Limitaes
ExPost
Insubstituvel/
X
Dierickx e Grant
Cool
(1991)
(1989)
(1993)
Objetivos
segurana
informao
da
da
Confidencialidade
Disponibilidade
Transparncia
No
Comercializvel
Peteraf
Confidencialidade
Confidencialidade
X
Confidencialidade
Disponibilidade
Durabilidade
Transferibilidade
/
Disponibilidade
Confidencialidade
Confidencialidade
Mobilidade
Imperfeita
Limitaes
Ante
Ex-
Quadro 5 - Fontes de vantagem competitiva sustentvel e objetivos da segurana da

informao
Fonte: Autor
Nota: Elaborado com base na teoria pesquisada
Como podemos observar no quadro 7, a Confidencialidade o objetivo da segurana

da informao mais presente e que possui uma frequncia maior com as fontes de
vantagem competitiva sustentvel apresentadas por alguns dos mais influentes autores de
RBV.
Pgina 46 de 115

1.3
Riscos em Tecnologia da Informao
A atividade de prestao de servios em Tecnologia da Informao tem uma

atuao bastante abrangente, alm de poder atuar em empresas de qualquer segmento de
mercado, porte de empresa, tecnologia e necessidades diferentes.
Cada segmento de mercado possui caractersticas distintas. Alguns so mais outros
so menos agressivos em relao concorrncia, mas independente do perfil do mercado
aonde se encontra o cliente, espera-se que a empresa e todos os envolvidos tenham noo
da relevncia da proteo adequada de seus recursos estratgicos.
Cada empresa utiliza uma metodologia de trabalho para a realizao da atividade
de prestao de servios. Algumas metodologias so consagradas, mas ainda existem
empresas que adaptam ou criam novas metodologias de trabalho com o intuito de alcanar
o estgio de fazer mais com menos recursos e em menor tempo.
O processo de consultoria, por exemplo, diverge de autor para autor, em termos de
etapas e abrangncia.
Os autores Bruckman e Iman (1980) criaram uma metodologia de trabalho que
possui 6 (seis) etapas descritas a seguir:
a) Contato;
b) Definio do problema;
c) Coleta de dados;
d) Anlise;
e) Desenvolvimento do plano de ao;
f) Implementao.
Kurpius et al.(1993) enfatizam em sua abordagem metodolgica que o processo de

consultoria ocorre de forma similar e no depende da consultoria a ser realizada, uma vez
que o processo a ser executado deve ser o mesmo. As 6 (seis) etapas necessrias segundo
eles so:
a) Pr-entrada;
b) Entrada, Explorao do problema e contratao;
c) Coleta de Dados;
Pgina 47 de 115
d) Confirmao do problema;
e) Definio de objetivos;
f) Desenvolvimento da Soluo e Seleo da forma de interveno;
g) Avaliao;
h) Entrega do produto final.
Os autores Cosier e Dalton (1993) construram um mtodo mais simples e dinmico

com 3 (trs) etapas:
a) Planejamento;
b) Entrada;
c) Performance,
O autor Oliveira (2005) apresenta um mix dos principais processos praticados

pelos autores e citados anteriormente.
As etapas definidas por ele so:
a) Pr entrada;
b) Entrada, explorao do problema e Contratao;
c) Coleta de Dados;
d) Anlise e Desenvolvimento da soluo;
e) Entrega do produto final e desenvolvimento do plano de ao;
f) Implementao.
Mediante a uma diversidade de autores e trabalhos acadmicos a respeito dos

modelos e etapas dos trabalhos de consultoria, alguns inclusive divergindo entre s at
mesmo em relao ao nmero de etapas existentes, no podemos afirmar a existncia de
mtodos mais corretos e outros menos corretos.
Trata-se apenas de encontrar a abordagem mais adequada para uma determinada
situao.
Logo, importante ressaltar que, independentemente da abordagem e do nmero
de etapas do modelo adotado, tem-se um processo em comum: o recebimento de
informaes para entendimento do processo analisado.
Pgina 48 de 115
Durante um processo de prestao de servios na rea de Tecnologia da

Informao, pressupe-se o recebimento e acesso a ambientes muitas vezes sigilosos, mas
necessrios para que a prestao de servios ocorra.
A confidencialidade das informaes nesse momento emerge como um dos
principais objetivos da segurana da informao e comea a ter uma relevncia muito
grande, sendo inerente a natureza desta modalidade de prestao de servios.
Os autores utilizados como referencial terico para este trabalho como Humphreys
et al. (1998), Spinellis et al. (1999), Thomson (2003), Posthumus;Solms (2004), Tsiakis
(2010) e a ABNT (2006) para micro e pequenas empresas retratam a confidencialidade
como um objetivo importantssimo e que deve ser preservado para que a informao
valiosa e estratgica dos clientes e das empresas prestadora de servios no sejam
divulgadas inadvertidamente.
Cabe a empresa o papel de definir os mecanismos necessrios de controle, para que
a fuga de informaes estratgicas no ocorra, uma vez que a falta de proteo apropriada
e a altura do nvel de importncia das informaes estratgicas de uma empresa pode
comprometer gravemente a sustentabilidade da vantagem competitiva conquistada.
O impacto para a empresa prestadora de servios quando do vazamento de
informaes confidenciais de algum cliente, pode ser to grandioso que, dependendo da
gravidade do caso, pode refletir em altas multas alm de denegrir a imagem da empresa
prestadora de servios no mercado. Como possvel vislumbrar, essa situao no propicia
uma relao comercial de longo prazo com o cliente, dificultando o alcance da vantagem
competitiva sustentvel.
A atividade de prestao de servios em tecnologia da informao no est isenta de
riscos. Estes, no so inerentes a grandes empresas, mas de empresas de qualquer porte,
inclusive as micro e pequenas empresas.
Como exemplo, o autor cita a alta rotatividade de funcionrios que ocorre com
maior frequncia na micro e pequena empresa. Essa situao causa enormes perdas para a
empresa, dado o cenrio atual, frente as condies deste ambiente.
A ausncia definitiva de um determinado recurso humano talentoso causa um alto
impacto para qualquer empresa. Nas micro e pequenas empresas o impacto multiplicado,
uma vez que em geral, encontra-se escassez de recursos humanos e financeiros e muitos
processos so conduzidos por poucas pessoas.
Pgina 49 de 115
Assim, o nvel de transferibilidade declarado por Grant (1991) de um recurso deve ser
uma preocupao constante das empresas desse porte, uma vez que alm de causar
impactos na capacidade de realizao da prestao de servios e do know-how, muito
conhecimento pode ser transferido para as empresas rivais concorrentes. Essa condio
favorece a perda de vantagem competitiva.
Pgina 50 de 115

1.4
Metodologia de Anlise de Riscos
1.4.1 Termos e definies

Apresentamos os seguintes termos e definies teis para o correto entendimento da
metodologia a ser apresentada a seguir.
consequncia -> resultado de um evento que afeta os objetivos [ABNT ISO GUIA
73:2009]
NOTA 1 Um evento pode levar a uma srie de consequncias.
NOTA 2 Uma consequncia pode ser certa ou incerta e, no contexto da segurana da
informao, , normalmente, negativa.
NOTA 3 As consequncias podem ser expressas qualitativa ou quantitativamente.
NOTA 4 As consequncias iniciais podem desencadear reaes em cadeia.
controle -> medida que est modificando o risco [ABNT ISO GUIA 73:2009]
NOTA 1 Os controles da segurana da informao incluem qualquer processo, poltica,
procedimento, diretriz, prtica ou estrutura organizacional, que podem ser de natureza
administrativa, tcnica, gerencial ou legal, que modificam o risco da segurana da
informao.
NOTA 2 Os controles nem sempre conseguem exercer o efeito de modificao pretendido
ou presumido.
NOTA 3 O controle tambm usado como um sinnimo de salvaguarda ou contramedida.
evento ->ocorrncia ou mudana em um conjunto especfico de circunstncias [ABNT

ISO GUIA 73:2009]
NOTA 1 Um evento pode consistir em uma ou mais ocorrncias e pode ter vrias causas.
NOTA 2 Um evento pode consistir em alguma coisa no acontecer.
NOTA 3 Um evento pode algumas vezes ser referido como um "incidente" ou um
"acidente".
contexto externo -> ambiente externo no qual a organizao busca atingir seus objetivos
[ABNT ISO GUIA 73:2009]
NOTA O contexto externo pode incluir:
Pgina 51 de 115
o ambiente cultural, social, poltico, legal, regulatrio, financeiro, tecnolgico,

econmico, natural e competitivo, seja internacional, nacional, regional ou local;
os fatoreschave e as tendncias que tenham impacto sobre os objetivos da organizao;
e
as relaes com partes interessadas externas e suas percepes e valores.
contexto interno -> ambiente interno no qual a organizao busca atingir seus objetivos
NOTA O contexto interno pode incluir:
governana, estrutura organizacional, funes e responsabilidades;
polticas, objetivos e estratgias implementadas para atingi-los;
capacidades compreendidas em termos de recursos e conhecimento (por exemplo,
capital, tempo, pessoas, processos, sistemas e tecnologias);
sistemas de informao, fluxos de informao e processos de tomada de deciso (tanto
formais como informais);
relaes com partes interessadas internas e suas percepes e valores;
cultura da organizao;
normas, diretrizes e modelos adotados pela organizao; e
forma e extenso das relaes contratuais.
nvel de risco -> magnitude de um risco, expressa em termos da combinao das
consequncias (3.1) e de suas probabilidades (likelihood) (3.7) [ABNT ISO GUIA 73:2009]
probabilidade (likelihood) -> chance de algo acontecer [ABNT ISO GUIA 73:2009]
NOTA 1 Na terminologia de gesto de riscos, a palavra probabilidade utilizada para
referir-se chance de algo acontecer, no importando se, de forma definida, medida ou
determinada, objetiva ou subjetivamente, qualitativa ou quantitativamente, ou se descrita
utilizando-se termos gerais ou matemticos (como probabilidade ou frequncia durante
um determinado perodo de tempo).
NOTA 2 O termo em Ingls "likelihood" no tm um equivalente direto em algumas
lnguas; em vez disso, o termo equivalente "probability" frequentemente utilizado.
Entretanto, em Ingls, "probability" muitas vezes interpretado estritamente como uma
expresso matemtica. Portanto, na terminologia de gesto de riscos, likelihood"
utilizado com a mesma interpretao ampla que o termo "probability" tem em muitos
outros idiomas alm do Ingls.
Pgina 52 de 115
risco residual -> risco remanescente aps o tratamento do risco [ABNT ISO GUIA
73:2009]
NOTA 1 O risco residual pode conter riscos no identificados.
NOTA 2 O risco residual tambm pode ser conhecido como "risco retido".
risco -> efeito da incerteza nos objetivos [ABNT ISO GUIA 73:2009]
NOTA 1 Um efeito um desvio em relao ao esperado positivo e/ou negativo.
NOTA 2 Os objetivos podem ter diferentes aspectos (como metas financeiras, de sade e
segurana e ambientais) e podem ser aplicadas em diferentes nveis (como estratgico, em
toda a organizao, de projeto, de produto e de processo).
NOTA 3 O risco muitas vezes caracterizado pela referncia aos eventos (3.3) potenciais e
s consequncias (3.1), ou uma combinao destes.
NOTA 4 O risco em segurana da informao muitas vezes expresso em termos de uma
combinao de consequncias de um evento (incluindo mudanas nas circunstncias) e a
probabilidade (likelihood) (3.7) associada de ocorrncia.
NOTA 5 A incerteza o estado, mesmo que parcial, de deficincia das informaes
relacionadas a um evento, sua compreenso, seu conhecimento, sua consequncia ou sua
probabilidade.
NOTA 6 O risco de segurana da informao est associado com o potencial de que
ameaas possam explorar vulnerabilidades de um ativo de informao ou grupo de ativos
de informao e, consequentemente, causar dano a uma organizao.
anlise de riscos -> processo de compreender a natureza do risco e determinar o nvel

de risco [ABNT ISO GUIA 73:2009]
NOTA 1 A anlise de riscos fornece a base para a avaliao de riscos e para as decises
sobre o tratamento de riscos.
NOTA 2 A anlise de riscos inclui a estimativa de riscos.
processo de avaliao de riscos -> processo global de identificao de riscos (3.15),

anlise de riscos e avaliao de riscos [ABNT ISO GUIA 73:2009]
Para os efeitos deste documento o termo risk assessment foi traduzido como processo de
avaliao de riscos para evitar conflito com o termo risk evaluation, que foi traduzido na
ABNT NBR ISO 31000 como avaliao de riscos Na ABNT NBR ISO/IEC 27001:2006,
este termo est traduzido como anlise/avaliao de riscos.
Pgina 53 de 115
Comunicao e consulta -> processos contnuos e iterativos que uma organizao

conduz para fornecer, compartilhar ou obter informaes, e se envolver no dilogo com as
partes interessadas, com relao a gesto de risco [ABNT ISO GUIA 73:2009]
NOTA 1 As informaes podem referir-se existncia, natureza, forma, probabilidade
(likelihood), severidade, avaliao, aceitao e tratamento de riscos.
NOTA 2 A consulta um processo bidirecional de comunicao sistematizada entre uma
organizao e suas partes interessadas ou outros, antes de tomar uma deciso ou
direcionar uma questo especfica. A consulta :
um processo que impacta uma deciso atravs da influncia em vez do poder; e
uma entrada para o processo de tomada de deciso, e no uma tomada de deciso em
conjunto.
critrios de risco -> termos de referncia com base nos quais a significncia de um risco
avaliada [ABNT ISO GUIA 73:2009]
NOTA 1 Os critrios de risco so baseados nos objetivos organizacionais e nos contextos
externo e interno.
NOTA 2 Os critrios de risco podem ser derivados de normas, leis, polticas e outros
requisitos.
avaliao de riscos -> processo de comparar os resultados da anlise de riscos (3.10)

com os critrios de risco para determinar se o risco e/ou sua magnitude aceitvel ou
tolervel
NOTA A avaliao de riscos auxilia na deciso sobre o tratamento de riscos.
identificao de riscos -> processo de busca, reconhecimento e descrio de riscos

NOTA 1 A identificao de riscos envolve a identificao das fontes de risco, eventos, suas
causas e suas consequncias potenciais.
NOTA 2 A identificao de riscos pode envolver dados histricos, anlises tericas,
opinies de pessoas informadas e especialistas, e as necessidades das partes interessadas.
gesto de riscos -> atividades coordenadas para dirigir e controlar uma organizao no
que se refere a riscos [ABNT ISO GUIA 73:2009]
NOTA Esta Norma usa o termo processo para descrever toda a gesto de riscos. Os
elementos contidos no processo de gesto de riscos foram chamados de atividades.
Pgina 54 de 115
tratamento de riscos -> processo para modificar o risco [ABNT ISO GUIA 73:2009]
NOTA 1 O tratamento de riscos pode envolver:
risco;
ou descontinuar a atividade que d origem ao
es [incluindo contratos e financiamento do risco]; e
NOTA 2 Os tratamentos de riscos relativos a consequncias negativas so muitas vezes

referidos como "mitigao de riscos", "eliminao de riscos", "preveno de riscos" e
"reduo de riscos".
NOTA 3 O tratamento de riscos pode criar novos riscos ou modificar riscos existentes.
parte interessada -> pessoa ou organizao que pode afetar, ser afetada, ou perceber-se
afetada por uma deciso ou atividade [ABNT ISO GUIA 73:2009]
Pgina 55 de 115
1.4.2 Contextualizao
Uma abordagem sistemtica de gesto de riscos de segurana da informao
necessria para identificar as necessidades da organizao em relao aos requisitos de
segurana da informao e para criar um sistema de gesto de segurana da informao
(SGSI) que seja eficaz. Convm que essa abordagem seja adequada ao ambiente da
organizao e, em particular, esteja alinhada com o processo maior de gesto de riscos
corporativos. Convm que os esforos de segurana lidem com os riscos de maneira efetiva
e no tempo apropriado, onde e quando forem necessrios. Convm que a gesto de riscos
de segurana da informao seja parte integrante das atividades de gesto de segurana da
informao e que seja aplicada tanto implementao quanto operao cotidiana de um
SGSI.
Convm que a gesto de riscos de segurana da informao seja um processo
contnuo. Convm que o processo defina os contextos interno e externo, avalie os riscos e
trate os riscos usando um plano de tratamento a fim de implementar as recomendaes e
decises. A gesto de riscos analisa os possveis acontecimentos e suas consequncias,
antes de decidir o que ser feito e quando ser feito, a fim de reduzir os riscos a um nvel
aceitvel.
Convm que a gesto de riscos de segurana da informao contribua para:
A identificao de riscos
O processo de avaliao de riscos em funo das consequncias ao negcio e da
probabilidade de sua ocorrncia
A comunicao e entendimento da probabilidade e das consequncias destes riscos
O estabelecimento da ordem prioritria para tratamento do risco
A priorizao das aes para reduzir a ocorrncia dos riscos
O envolvimento das partes interessadas quando as decises de gesto de riscos so
tomadas e para que elas sejam mantidas informadas sobre a situao da gesto de riscos
A eficcia do monitoramento do tratamento dos riscos
O monitoramento e a anlise crtica peridica dos riscos e do processo de gesto de
riscos
A coleta de informaes de forma a melhorar a abordagem da gesto de riscos
O treinamento de gestores e pessoal a respeito dos riscos e das aes para mitig-los
O processo de gesto de riscos de segurana da informao pode ser aplicado
organizao como um todo, a uma rea especfica da organizao (por exemplo, um
departamento, um local fsico, um servio), a qualquer sistema de informaes, a controles
j existentes, planejados ou apenas a aspectos particulares de um controle (por exemplo, o
plano de continuidade de negcios).
Pgina 56 de 115
1.4.3 Viso geral do processo de gesto de riscos

Uma viso de alto nvel do processo de gesto de riscos especificada na ABNT NBR ISO
31000:2009 e apresentada na figura a seguir.
Figura 6 - Processo de gesto de riscos de segurana da informao

Fonte: NBR ISO/IEC 27005
Como mostra a Figura 6, o processo de gesto de riscos de segurana da informao

pode ser iterativo para o processo de avaliao de riscos e/ou para as atividades de
tratamento do risco. Um enfoque iterativo na execuo do processo de avaliao de riscos
torna possvel aprofundar e detalhar a avaliao em cada repetio. O enfoque iterativo
permite minimizar o tempo e o esforo despendidos na identificao de controles e, ainda
assim, assegura que riscos de alto impacto ou de alta probabilidade possam ser
adequadamente avaliados. Primeiramente, o contexto estabelecido. Em seguida, executase um processo de avaliao de riscos. Se ele fornecer informaes suficientes para que se
determinem de forma eficaz as aes necessrias para reduzir os riscos a um nvel
aceitvel, ento a tarefa est completa e o tratamento do risco pode continuar. Por outro
lado, se as informaes forem insuficientes, executa-se outra iterao do processo de
avaliao de riscos, revisando-se o contexto (por exemplo, os critrios de avaliao de
riscos, de aceitao do risco ou de impacto), possivelmente em partes limitadas do escopo
(ver Figura 6, Ponto de Deciso 1).
A eficcia do tratamento do risco depende dos resultados do processo de avaliao
de riscos.
Notar que o tratamento de riscos envolve um processo cclico para:
Pgina 57 de 115
possvel que o tratamento do risco no resulte em um nvel de risco residual que

seja aceitvel. Nessa situao, pode ser necessria uma outra iterao do processo de
avaliao de riscos, com mudanas nas variveis do contexto (por exemplo, os critrios
para o processo de avaliao de riscos, de aceitao do risco e de impacto), seguida por
uma fase adicional de tratamento do risco (ver Figura 6, Ponto de Deciso 2).
A atividade de aceitao do risco tem de assegurar que os riscos residuais sejam
explicitamente aceitos pelos gestores da organizao. Isso especialmente importante em
uma situao em que a implementao de controles omitida ou adiada, por exemplo,
devido aos custos.
Durante o processo de gesto de riscos de segurana da informao, importante
que os riscos e a forma com que so tratados sejam comunicados ao pessoal das reas
operacionais e gestores apropriados. Mesmo antes do tratamento do risco, informaes
sobre riscos identificados podem ser muito teis para o gerenciamento de incidentes e
pode ajudar a reduzir possveis prejuzos. A conscientizao dos gestores e pessoal no que
diz respeito aos riscos, natureza dos controles aplicados para mitig-los e s reas
definidas como de interesse pela organizao, auxilia a lidar com os incidentes e eventos
no previstos da maneira mais efetiva. Convm que os resultados detalhados de cada
atividade do processo de gesto de riscos de segurana da informao, assim como as
decises sobre o processo de avaliao de riscos e sobre o tratamento do risco
(representadas pelos dois pontos de deciso na Figura 6) sejam documentados.
A ABNT NBR ISO/IEC 27001:2006 especifica que os controles implementados no
escopo, limites e contexto do SGSI devem ser baseados no risco. A aplicao de um
processo de gesto de riscos de segurana da informao pode satisfazer esse requisito. H
vrios mtodos atravs dos quais o processo pode ser implementado com sucesso em uma
organizao. Convm que s organizao use o mtodo que melhor se adeque a suas
circunstncias, para cada aplicao especfica do processo.
Em um SGSI, a definio do contexto, o processo de avaliao de riscos, o
desenvolvimento do plano de tratamento do risco e a aceitao do risco fazem parte da fase
"planejar". Na fase "executar" do SGSI, as aes e controles necessrios para reduzir os
riscos a um nvel aceitvel so implementados de acordo com o plano de tratamento do
risco. Na fase verificar do SGSI, os gestores determinaro a necessidade de reviso da
avaliao e tratamento do risco luz dos incidentes e mudanas nas circunstncias. Na fase
agir, as aes necessrias so executadas, incluindo a reaplicao do processo de gesto
de riscos de segurana da informao.
O Quadro 5 resume as atividades relevantes de gesto de riscos de segurana da
informao para as quatro fases do processo do SGSI:
Pgina 58 de 115
Quadro 6 - Alinhamento do processo do SGSI e do processo de gesto de riscos de

segurana da informao
Fonte: NBR ISO/IEC 27005
Pgina 59 de 115
1.4.4 Escopo e limites

Convm que a organizao defina o escopo e os limites da gesto de riscos de
segurana da informao.
O escopo do processo de gesto de riscos de segurana da informao precisa ser
definido para assegurar que todos os ativos relevantes sejam considerados no processo de
avaliao de riscos. Alm disso, os limites precisam ser identificados para permitir o
reconhecimento dos riscos que possam transpor esses limites.
Convm que as informaes sobre a organizao sejam reunidas para que seja
possvel determinar o ambiente em que ela opera e a relevncia desse ambiente para o
processo de gesto de riscos de segurana da informao.
Ao definir o escopo e os limites, convm que a organizao considere as seguintes
informaes:
Os objetivos estratgicos, polticas e estratgias da organizao

Processos de negcio
As funes e estrutura da organizao
Requisitos legais, regulatrios e contratuais aplicveis organizao
A poltica de segurana da informao da organizao
A abordagem da organizao gesto de riscos
Ativos de informao
Localidades em que a organizao se encontra e suas caractersticas
geogrficas
Restries que afetam a organizao
Expectativas das partes interessadas
Ambiente sociocultural
Interfaces (ou seja, a troca de informao com o ambiente)
Alm disso, convm que a organizao fornea justificativa para quaisquer

excluses do escopo.
Exemplos do escopo da gesto de riscos pode ser uma aplicao de TI, a
infraestrutura de TI, um processo de negcios ou uma parte definida da organizao.
Temos como exemplo de escopo, o seguinte:
Processo de negcio
Aplicao de TI
Infra-estrutura de TI
Sistema de informao
rea especfica da organizao
Unidade de negcio
Linha de servio ou produto
Outros
Pgina 60 de 115
Como a empresa realiza diversas anlises de riscos, independentemente de qual seja o

escopo, logo, tem-se, portanto, a possibilidade de se gerenciar diversos escopos. Para os
casos onde a empresa possui um SGSI (Sistema de Gesto da Segurana da Informao)
certificado, o escopo da gesto de riscos o mesmo escopo certificado.
Alguns fatores crticos de sucesso devem ser gerenciados:
Definir um escopo que atinja os objetivos de negcio.

Aprovar o escopo definido com as partes interessadas.
Abranger todas as reas, tecnologias, processos e pessoas envolvidas.
Comunicar todas as reas envolvidas neste processo.
Documentar o escopo definido.
Pgina 61 de 115
1.4.5 Identificao de riscos

O propsito da identificao de riscos determinar eventos que possam causar uma
perda potencial e deixar claro como, onde e por que a perda pode acontecer. Ele
pressupe compreender onde, quando, por que e como os eventos podem prevenir,
degradar, atrasar ou potencializar o alcance dos objetivos.
Esse processo deve ser sistemtico, compreensivo e bem estruturado, pois se algum deles
for esquecido nessa fase, provavelmente no ser lembrado em fases posteriores. O fato de
serem controlados ou no pela organizao irrelevante no processo.
O produto desta etapa uma lista de riscos e eventos que podem produzir impacto no
alcance dos objetivos identificados no contexto. Os eventos considerados devem ser
capazes de impedir, atrasar ou potencializar o alcance dos objetivos. Identificado o que
pode ocorrer, necessrio considerar suas possveis causas e cenrios.
A identificao dos riscos tem como objetivo, a identificao da exposio de uma
organizao ao elemento de incerteza.
Pgina 62 de 115
1.4.6 Identificao dos ativos

Segundo a ABNT NBR ISO/IEC 27005, um ativo algo que tem valor para a
organizao e que, portanto, requer proteo. Para a identificao dos ativos convm que
se tenha em mente que um sistema de informao compreende mais do que hardware e
software.
Convm que a identificao dos ativos seja executada com um detalhamento
adequado que fornea informaes suficientes para o processo de avaliao de riscos. O
nvel de detalhe usado na identificao dos ativos influenciar a quantidade geral de
informaes reunidas durante o processo de avaliao de riscos. O detalhamento pode ser
aprofundado em cada iterao do processo de avaliao de riscos.
Convm que um responsvel seja identificado para cada ativo, a fim de oficializar
sua responsabilidade e garantir a possibilidade da respectiva prestao de contas. O
responsvel pelo ativo pode no ter direitos de propriedade sobre ele, mas tem
responsabilidade sobre sua produo, desenvolvimento, manuteno, utilizao e
segurana, conforme apropriado. O responsvel pelo ativo frequentemente a pessoa mais
adequada para determinar o seu valor para a organizao.
O limite da anlise crtica o permetro dos ativos da organizao a serem
considerados pelo processo de gesto de riscos de segurana da informao.
1.4.6.1
Tipos de ativos
Segundo a NBR ISO/IEC 27005, para estabelecer o valor de seus ativos, uma organizao
precisa primeiro identific-los (em um nvel de detalhamento adequado). Dois tipos de
ativos podem ser distinguidos:
Ativos primrios:
Processos e atividades do negcio
Informao
Ativos de suporte e infraestrutura (sobre os quais os elementos primrios do escopo se
apoiam), de todos os tipos:
Hardware
Software
Rede
Recursos humanos
Instalaes fsicas
Estrutura da organizao
Pgina 63 de 115
Identificao dos ativos primrios

Para permitir a descrio do escopo de forma precisa, essa atividade consiste na
identificao dos ativos primrios (processos e atividades do negcio, informao). A
identificao conduzida por um grupo misto de trabalho que represente o processo
(gestores, especialistas nos sistemas de informao e usurios).
Os ativos primrios normalmente consistem nos principais processos e informaes das
atividades includas no escopo. Outros ativos primrios, como os processos da organizao,
podem tambm ser considerados, os quais sero teis para a elaborao da poltica de
segurana da informao ou do plano de continuidade de negcios.
Dependendo de seus propsitos, alguns estudos no iro demandar uma anlise exaustiva
de todos os elementos presentes no escopo. Nesses casos, o estudo pode ser limitado aos
elementos-chave includos no escopo.
Os ativos primrios so de dois tipos:
1- Processos (ou subprocessos) e atividades do negcio, por exemplo:
Processos cuja interrupo, mesmo que parcial, torna impossvel cumprir a
misso da organizao
Processos que contm procedimentos secretos ou processos envolvendo
tecnologia proprietria
Processos que, se modificados, podem afetar significativamente o cumprimento
da misso da organizao
Processos necessrios para que a organizao fique em conformidade com
requisitos contratuais, legais ou regulatrios
2 Informao
Genericamente, informao primria compreende:
Informao vital para o cumprimento da misso de uma organizao ou para o
desempenho de seu negcio
Informao de carter pessoal, da forma em que definida nas leis nacionais
referentes privacidade
Informao estratgica necessria para o alcance dos objetivos determinados
pelo direcionamento estratgico
Informao de alto custo, cuja coleta, armazenamento, processamento e
transmisso demandam um longo tempo ou incorrem em um alto custo de
aquisio
Processos e informao que no so identificados como sensveis aps essa atividade no
recebero uma classificao especfica durante o restante do estudo. Isso significa que a
organizao ir cumprir sua misso com sucesso mesmo no caso desses processos e
informao terem sido comprometidos.
Entretanto, eles iro frequentemente herdar controles implementados para a proteo de
processos e informao identificados como sensveis.
Pgina 64 de 115
Lista e descrio de ativos de suporte

Convm que o escopo consista em ativos que podem ser identificados e descritos. Esses
ativos apresentam vulnerabilidades que podem ser exploradas por ameaas cujo objetivo
comprometer os ativos primrios do escopo (processos e informao). Eles so de vrios
tipos:
Hardware
O tipo hardware compreende os elementos fsicos que do suporte aos processos.
Equipamento de processamento de dados (ativo)
Equipamento automtico de processamento de dados incluindo os itens necessrios para
sua operao independente.
Equipamento mvel
Computadores portteis.
Exemplos: laptops, agendas eletrnicas (Personal Digital Assistants - PDAs).
Equipamento fixo
Computadores utilizados nas instalaes da organizao.
Exemplos: servidores, microcomputadores utilizados como estaes de trabalho.
Perifricos de processamento
Equipamento conectado a um computador atravs de uma porta de comunicao (serial,
paralela etc.) para a entrada, o transporte ou a transmisso de dados.
Exemplos: impressoras, unidades de disco removvel.
Mdia de dados (passiva)
Este tipo compreende a mdia para o armazenamento de dados ou funes.
Mdia eletrnica
Uma mdia com informaes que pode ser conectada a um computador ou a uma rede de
computadores para o armazenamento de dados. Apesar de seu tamanho reduzido, esse tipo
de mdia pode conter um grande volume de dados e pode ser utilizada com equipamentos
computadorizados comuns.
Exemplos: disco flexvel, CD ROM, cartucho de back-up, unidade de disco removvel,
carto de memria, fita.
Outros tipos de mdia
Mdia esttica, noeletrnica, contendo dados.
Exemplos: papel, slides, transparncias, documentao, fax.
Software
O tipo software compreende todos os programas que contribuem para a operao de um
sistema de processamento de dados.
Sistema operacional
Este tipo inclui os programas que fornecem as operaes bsicas de um computador, a
partir das quais os outros programas (servios e aplicaes) so executados. Nele so
encontrados um ncleo kernel e as funes ou servios bsicos. Dependendo de sua
Pgina 65 de 115
arquitetura, um sistema operacional pode ser monoltico ou formado por um micro-kernel

e um conjunto de servios do sistema. Os principais elementos de um sistema operacional
so os servios de gerenciamento do equipamento (CPU, memria, disco e interfaces de
rede), os de gerenciamento de tarefas ou processos e os servios de gerenciamento de
direitos de usurio.
Software de servio, manuteno ou administrao
Software caracterizado pelo fato de servir como complemento dos servios do sistema
operacional e no estar diretamente a servio dos usurios ou aplicaes (apesar de ser,
normalmente, essencial e at mesmo indispensvel para a operao do sistema de
informao como um todo).
Software de pacote ou de prateleira
Software de pacote ou software-padro aquele que comercializado como um produto
completo (e no como um servio de desenvolvimento especfico) com mdia, verso e
manuteno. Ele fornece servios para usurios e aplicaes, mas no personalizado ou
especfico como, por exemplo, aplicaes de negcio so.
Exemplos: software para o gerenciamento de bases de dados, software de mensagens
eletrnicas, "groupware" (software de gerenciamento de fluxo de trabalho), software de
diretrio, servidores web etc.
Aplicaes de negcio
Aplicaes de negcio padronizadas
Este tipo de software comercial projetado para dar aos usurios acesso direto a servios e
funes que eles demandam de seus sistemas de informao, em funo das reas em que
atuam profissionalmente. Existe uma gama enorme, teoricamente ilimitada, de campos de
atuao.
Exemplos: software de contabilidade, software para o controle de maquinrio, software
para administrao do relacionamento com clientes, software para gesto de competncias
dos recursos humanos, software administrativo etc.
Aplicaes de negcio especficas
Vrios aspectos desse tipo de software (principalmente o suporte, a manuteno e a
atualizao de verses etc.) so desenvolvidos especificamente para dar aos usurios
acesso direto aos servios e funes que eles demandam de seus sistemas de informao.
Existe uma gama enorme, teoricamente ilimitada, de reas em que esse tipo de software
encontrado.
Exemplos: Administrao das notas fiscais de clientes para as operadoras de
telecomunicao, aplicao para monitoramento em tempo real do lanamento de
foguetes.
Rede
O tipo de rede compreende os dispositivos de telecomunicao utilizados para
interconectar computadores ou quaisquer outros elementos remotos de um sistema de
informao.
O meio fsico e a infraestrutura
Os equipamentos de comunicao ou de telecomunicao so identificados principalmente
pelas suas caractersticas fsicas e tcnicas (ponto a ponto, de broadcast) e pelos protocolos
de comunicao utilizados (na camada de enlace de dados ou na camada de rede - nveis 2
e 3 do modelo OSI de 7 camadas).
Pgina 66 de 115
Exemplos: Rede telefnica pblica comutada (Public Switching Telephone Network ou

PSTN), Ethernet, GigabitEthernet, Linha digital assimtrica para assinante (Asymmetric
Digital Subscriber Line ou ADSL), especificaes de protocolo para comunicao sem fio
(por exemplo, o WiFi 802.11), Bluetooth", "FireWire.
Pontes (relays) passivas ou ativas
Este subtipo no compreende os dispositivos que ficam nas extremidades lgicas da
conexo (na perspectiva do sistema de informao), mas sim os que so intermedirios no
processo de comunicao, repassando o trfego. Pontes so caracterizadas pelos protocolos
de comunicao de rede com os quais funcionam. Alm da funo bsica de repasse do
trfego, elas frequentemente so dotadas da capacidade de roteamento e/ou de servios de
filtragem, com o emprego de comutadores de comunicao (switches) e roteadores com
filtros. Com frequncia, elas podem ser administradas remotamente e so normalmente
capazes de gerar arquivos de auditoria (logs).
Exemplos: pontes (bridges), roteadores, hubs, comutadores (switches), centrais telefnicas
automticas.
Interface de comunicao
As interfaces de comunicao conectadas s unidades de processamento so, porm,
caracterizadas pela mdia e protocolos com os quais funcionam; pelos servios de
filtragem, de auditoria e de alerta instalados, se houver, e por suas funcionalidades; e pela
possibilidade e requisitos de administrao remota.
Exemplos: Servio Geral de Pacotes por Rdio (General Packet Radio Service ou GPRS),
adaptador Ethernet.
Recursos humanos
O tipo de recursos humanos compreende todas as classes de pessoas envolvidas com os
sistemas de informao.
Tomador de deciso
Tomadores de deciso so aqueles responsveis pelos ativos primrios (informao e
processos) e os gestores da organizao ou, se for o caso, de um projeto especfico.
Exemplos: alta direo, lderes de projeto.
Usurios
Usurios so recursos humanos que manipulam material sensvel no curso de suas
atividades e que, portanto, possuem uma responsabilidade especial nesse contexto. Eles
podem ter direitos especiais de acesso aos sistemas de informao para desempenhar suas
atividades rotineiras.
Exemplos: gestores da rea de recursos humanos, gerentes financeiros, gestores dos riscos.
Pessoal de produo/manuteno
Estes so os recursos humanos responsveis pela operao e manuteno dos sistemas de
informao. Eles possuem direitos especiais de acesso aos sistemas de informao para
desempenhar suas atividades rotineiras.
Exemplos: administradores de sistema; administradores de dados; operadores de back-up,
Help Desk e de instalao de aplicativos; especialistas em segurana.
Pgina 67 de 115
Desenvolvedores
Desenvolvedores so responsveis pelo desenvolvimento dos sistemas aplicativos da
organizao. Eles possuem acesso com alto privilgio a uma parte dos sistemas de
informao, mas no interferem com os dados de produo.
Exemplos: Desenvolvedores de aplicaes de negcio
Instalaes fsicas
O tipo de instalaes compreende os lugares onde so encontrados o escopo (ou parte dele)
e os meios fsicos necessrios para as operaes nele contidas.
Localidade
Ambiente externo
Compreende as localidades em que as medidas de segurana de uma organizao no
podem ser aplicadas.
Exemplos: os lares das pessoas, as instalaes de outra organizao, o ambiente externo ao
local da organizao (reas urbanas, zonas perigosas).
Edificaes
Esse lugar limitado pelo permetro externo da organizao, isto por aquilo que fica em
contato direto com o exterior.
Isso pode ser uma linha de proteo fsica formada por barreiras ou por mecanismos de
vigilncia ao redor dos prdios.
Exemplos: estabelecimentos, prdios.
Zona
Uma zona limitada por linhas de proteo fsica que criam parties dentro das
instalaes da organizao. obtida por meio da criao de barreiras fsicas ao redor das
reas com a infraestrutura de processamento de informaes da organizao.
Exemplos: escritrios, reas de acesso restrito, zonas de segurana.
Servios essenciais
Todos os servios necessrios para que os equipamentos da organizao possam operar
normalmente.
Comunicao
Servios de telecomunicao e equipamento fornecido por uma operadora.
Exemplos: linha telefnica, PABX, redes internas de telefonia.
Servios de infraestrutura
Servios e os meios (alimentao e fiao) necessrios para o fornecimento de energia
eltrica aos equipamentos de tecnologia da informao e aos seus perifricos.
Exemplos: fonte de alimentao de baixa tenso, inversor, central de circuitos eltricos.
Fornecimento de gua
Saneamento e esgoto
Servios e os meios (equipamento, controle) para refrigerao e purificao do ares.
Exemplos: tubulao de gua refrigerada, ar condicionados.
Pgina 68 de 115
Organizao
O tipo de organizao descreve a estrutura da organizao, compreendendo as hierarquias
de pessoas voltadas para a execuo de uma tarefa e os procedimentos que controlam essas
hierarquias.
Autoridades
Essas so as organizaes de onde a organizao em questo obtm sua autoridade. Elas
podem ser legalmente afiliadas ou ter um carter mais externo. Isso impe restries
organizao em questo, com relao a regulamentos, decises e aes.
Exemplos: corpo administrativo, sede da organizao.
A estrutura da organizao
Compreende os vrios ramos da organizao, incluindo suas atividades multidisciplinares,
sob controle de sua direo.
Exemplos: gesto de recursos humanos, gesto de TI, gesto de compras, gerenciamento
de unidade de negcio, servio de segurana predial, servio de combate a incndios,
gerenciamento da auditoria.
Organizao de projeto ou servio
Compreende a organizao montada para um projeto ou servio especfico.
Exemplos: projeto de desenvolvimento de uma nova aplicao, projeto de migrao de
sistema de informao.
Subcontratados / Fornecedores / Fabricantes
Essas so organizaes que fornecem servios ou recursos para a organizao em questo
segundo os termos de um contrato.
Exemplos: empresa de gerenciamento de instalaes, empresa prestadora de servios
terceirizados, empresas de consultoria.
1.4.6.2
Valorao dos ativos
O passo seguinte, aps a identificao do ativo, determinar a escala de medida a ser

usada e os critrios que permitam posicionar um ativo no seu correto lugar nessa escala,
em funo de seu valor. Devido diversidade de ativos encontrados em uma organizao,
provvel que alguns deles, aqueles que possuem um valor monetrio conhecido, possam
ser avaliados atravs da moeda corrente local, enquanto outros ativos, aqueles com um
valor expresso em termos qualitativos, talvez precisem ser avaliados atravs de uma lista
de valores a serem selecionados, por exemplo: "muito baixo", "muito alto" etc. A deciso de
se usar uma escala quantitativa em vez de uma qualitativa (ou vice-versa) depende da
preferncia da organizao, porm convm que seja pertinente aos ativos em avaliao.
Ambos os tipos de avaliao podem ser utilizados para se determinar o valor de um mesmo
ativo.
Termos comuns usados em avaliaes qualitativas do valor de ativos incluem expresses
como as seguintes: insignificante, muito pequeno, pequeno, mdio, alto, muito alto e
crtico. A escolha e o leque de termos adequados a uma organizao dependem muito da
sua necessidade de segurana, do seu tamanho e de outros aspectos especficos da
organizao.
Pgina 69 de 115
Critrios
Convm que os critrios utilizados como base para atribuio do valor para cada ativo
sejam redigidos de forma objetiva e sem ambiguidades. Esse um dos aspectos mais
difceis da valorao dos ativos, j que o valor de alguns deles talvez precise ser
determinado de forma subjetiva e tambm porque provavelmente vrias pessoas
participaro do processo. Entre os possveis critrios utilizados para determinar o valor de
um ativo esto o seu custo original e o custo de sua substituio ou de sua recriao. Por
outro lado, seu valor pode ser abstrato, por exemplo, o valor da reputao de uma
organizao.
Um outro enfoque para a valorao dos ativos considerar os custos decorridos da perda
da confidencialidade, integridade e disponibilidade resultante de um incidente. Convm
que a garantia de norepdio e de responsabilizao, a autenticidade e a confiabilidade, se
apropriadas, tambm sejam consideradas. Tal enfoque acrescenta uma dimenso muito
importante atribuio do valor de um ativo, alm do custo de sua substituio, pois
considera as consequncias adversas ao negcio causadas por incidentes de segurana,
tendo como premissa um conjunto determinado de circunstncias. Convm ressaltar
tambm que as consequncias que esse enfoque identifica precisaro ser consideradas
durante o processo de avaliao de riscos.
Muitos ativos, durante o curso da avaliao, podem acabar recebendo vrios valores. Por
exemplo, um plano de negcios pode ser avaliado em funo do esforo despendido no seu
desenvolvimento, pode ter seu valor atribudo em funo do trabalho de entrar com os
dados e pode ainda ser valorado de acordo com seu valor para um competidor.
Provavelmente, os valores atribudos sero consideravelmente diferentes. O valor atribudo
pode ser o maior valor encontrado, a soma de alguns ou mesmo de todos os possveis
valores. Em ltima anlise, convm pensar cuidadosamente qual(is) valor(es) (so)
associado(s) a um ativo, pois o valor final atribudo far parte do processo de determinao
dos recursos a serem investidos na proteo do ativo.
Definio de um denominador comum
Ao final do processo, a valorao dos ativos precisa ter como base um denominador
comum. Isso pode ser feito com a ajuda de critrios como os a seguir. Critrios que podem
ser utilizados para estimar as possveis consequncias resultantes da perda de
confidencialidade, integridade, disponibilidade, assim como da capacidade de garantir o
norepdio, a responsabilizao, a autenticidade e a confiabilidade, so os seguintes:
Violao da legislao e/ou das regulamentaes
Reduo do desempenho do negcio
Perda de valor de mercado/efeito negativo sobre a imagem e a reputao
Violao de segurana relacionada a informaes pessoais
O perigo ocasionado segurana fsica das pessoas
Efeitos negativos relacionados execuo da lei
Violao de confidencialidade
Violao da ordem pblica
Perda financeira
Interrupo de atividades do negcio
O perigo ocasionado segurana ambiental
Um outro mtodo para avaliar as consequncias poderia levar em conta o seguinte:
Pgina 70 de 115
Interrupo dos servios

incapacidade de prestar os servios
Perda da confiana do cliente
perda da credibilidade no sistema interno de informao
dano reputao
Interrupo de operao interna
descontinuidade dentro da prpria organizao
custo interno adicional
Interrupo da operao de terceiros
descontinuidade das transaes entre a organizao e terceiros
vrios tipos de prejuzos ou danos
Infrao de leis/regulamentaes
incapacidade de cumprir obrigaes legais
Violao de clusulas contratuais
incapacidade de cumprir obrigaes contratuais
Perigo ocasionado segurana fsica dos recursos humanos/usurios
perigo para os recursos humanos e usurios da organizao
Ataque vida privada de usurios
Perda financeira
Custos financeiros para emergncias, reposio e consertos
em termos de recursos humanos,
em termos de equipamentos,
em termos de estudo, relatrios de especialistas
Perda de bens/fundos/ativos
Perda de clientes, perda de fornecedores
Procedimentos e penalidades judiciais
Perda de vantagem competitiva
Perda da liderana tecnolgica/tcnica
Perda de eficcia/confiana
Perda da reputao tcnica
Enfraquecimento da capacidade de negociao
Crise industrial (greves)
Crise governamental
Rejeio
Dano material
Esses critrios exemplificam os temas a serem considerados durante a valorao de ativos.
Para a execuo desse tipo de avaliao, uma organizao precisa selecionar os critrios
que sejam relevantes para o seu tipo de negcio e para os seus requisitos de segurana. Isso
pode significar que alguns dos critrios listados acima no so aplicveis e que outros
talvez precisem ser adicionados lista.
Escala
Aps estabelecer os critrios a serem considerados, convm que a organizao adote uma
escala de medio para ser utilizada em todas as suas reas. O primeiro passo definir a
quantidade de nveis da escala. No existem regras a respeito de qual seria o nmero de
nveis mais adequado. Quanto mais nveis, maior a granularidade da medio, porm
uma diferenciao muito tnue torna difcil garantir a consistncia das avaliaes
realizadas nas diversas reas da organizao. Normalmente, qualquer quantidade de nveis
entre 3 (por exemplo, baixo, mdio e alto) e 10 pode ser utilizada, desde que ela seja
Pgina 71 de 115
consistente com a abordagem que a organizao esteja usando para o processo de avaliao
de riscos como um todo.
Uma organizao pode definir seus prprios limites para os valores de seus ativos, como
'baixo', 'mdio' e 'alto'. Convm que esses limites sejam estimados de acordo com o critrio
selecionado (por exemplo, para possveis perdas financeiras, convm que eles sejam
estabelecidos atravs de valores monetrios; porm, para outros tipos de fatores, como o
perigo ocasionado segurana fsica das pessoas, uma estimativa monetria pode ser por
demais complexa e no apropriada a muitas organizaes). Por ltimo, cabe inteiramente
organizao a deciso a respeito do que considerado 'pequena', 'mdia' ou 'grande'
consequncia. Uma consequncia desastrosa para uma pequena organizao pode ser
pequena ou mesmo insignificante para uma grande organizao.
Dependncias
Quanto mais relevantes e numerosos os processos de negcio apoiados por um ativo, maior
o seu valor. Convm que a dependncia de ativos a processos de negcio e a outros ativos
tambm seja identificada, pois ela pode influenciar os valores dos ativos. Por exemplo,
convm garantir a confidencialidade dos dados durante todo o seu ciclo de vida, inclusive
durante o seu armazenamento e processamento. Em outras palavras, convm que os
requisitos de segurana para o armazenamento de dados e para os programas que fazem o
processamento correspondam ao valor da confidencialidade dos dados armazenados e
processados. Da mesma forma, se um processo de negcios depender da integridade dos
dados gerados por um programa, convm que os dados de entrada passados para o
programa sejam confiveis. Mais importante do que isso, a integridade da informao
depender do hardware e software utilizados para seu armazenamento e processamento.
Adicionalmente, o hardware depender do suprimento de energia e, possivelmente, do arcondicionado. Assim, informaes sobre dependncias sero de grande ajuda na
identificao de ameaas e, em particular, de vulnerabilidades. Alm disso, ajudaro a
assegurar que o real valor dos ativos (considerando as relaes de dependncia) ser
atribudo, dessa forma indicando o nvel de proteo apropriado.
Convm que os valores dos ativos dos quais outros ativos dependem sejam modificados da
seguinte maneira:
Se os valores dos ativos dependentes (por exemplo, os dados) forem menores ou
iguais ao valor do ativo em questo (por exemplo, o software), o valor deste ltimo
permanece o mesmo
Se os valores dos ativos dependentes (por exemplo, os dados) forem maiores do
que o valor do ativo em questo (por exemplo, o software), convm que o valor
desse ltimo aumente de acordo com:
Uma organizao pode possuir alguns ativos que so disponibilizados mais de uma vez,
como cpias de programas de software ou o tipo de computador usado na maioria dos
escritrios. importante levar em conta este fato quando estiver sendo executada a
valorao dos ativos. Por um lado, esses ativos so facilmente ignorados e, por isso,
convm que se tenha um cuidado especial em identificar todos. Por outro lado, eles podem
ser usados para minimizar problemas ligados falta de disponibilidade.
Pgina 72 de 115
Sada
O resultado final dessa etapa a lista de ativos e respectivos valores relativos divulgao
indevida de informaes (preservao da confidencialidade), a modificaes no
autorizadas (garantia de integridade, autenticidade, no repdio e responsabilizao),
indisponibilidade e destruio do ativo (preservao de sua disponibilidade e
confiabilidade) e ao custo de sua reposio.
1.4.7 Identificao das ameaas

Uma ameaa tem o potencial de comprometer ativos (como informaes, processos
e sistemas) e, por isso, tambm as organizaes. Ameaas podem ser de origem natural ou
humana e podem ser acidentais ou intencionais. Convm que tanto as fontes das ameaas
acidentais quanto as das intencionais, sejam identificadas. Uma ameaa pode surgir de
dentro ou de fora da organizao. Convm que as ameaas sejam identificadas
genericamente e por classe (por exemplo, aes no autorizadas, danos fsicos, falhas
tcnicas) e, quando apropriado, que ameaas especficas sejam identificadas dentro das
classes genricas. Isso significa que nenhuma ameaa ignorada, incluindo as no
previstas, mas que o volume de trabalho exigido limitado.
Algumas ameaas podem afetar mais de um ativo. Nesses casos, elas podem
provocar impactos diferentes dependendo de quais ativos so afetados.
Dados de entrada para a identificao das ameaas e anlise da probabilidade de
ocorrncia podem ser obtidos dos responsveis pelos ativos ou dos usurios, do pessoal,
dos administradores das instalaes e dos especialistas em segurana da informao, de
peritos em segurana fsica, do departamento jurdico e de outras organizaes, incluindo
organismos legais, autoridades climticas, companhias de seguros e autoridades
governamentais nacionais. Aspectos culturais e relacionados ao ambiente precisam ser
considerados quando se examinam as ameaas.
Convm que experincias internas de incidentes e avaliaes anteriores das
ameaas sejam consideradas na avaliao atual. Pode ser til a consulta a outros catlogos
de ameaas (talvez mais especficos a uma organizao ou negcio) a fim de completar a
lista de ameaas genricas, quando relevante. Catlogos de ameaas e estatsticas so
disponibilizados por organismos setoriais, governos nacionais, organismos legais,
companhias de seguro etc.
Quando forem usados catlogos de ameaas ou os resultados de uma avaliao
anterior das ameaas, convm que se tenha conscincia de que as ameaas relevantes esto
sempre mudando, especialmente se o ambiente de negcio ou se os sistemas de
informaes mudarem.
Pgina 73 de 115

1.4.7.1
Agente de ameaa
Um agente de ameaa uma entidade que pode agir para causar um evento de ameaa
acontecer pela explorao de uma vulnerabilidade dentro de um sistema. Fonte TRA
Canad
uma entidade que pode iniciar a ocorrncia de ameaa. David J. Shang, PhD
A person, organization, thing or entity that desires to or is able to trigger an event which
can compromise the security of an asset or information.
Fonte Guide to Risk Assessment and Safeguard Selection for Information Technology
Systems
1.4.7.2
Evento da ameaa
Eventos de ameaa so aes pelas quais os agentes de ameaa atingem os ativos.
Um evento para cuja ocorrncia causaria dano a um Sistema na forma de revelao,

modificao de dados, destruio, e /ou negao de servio Fonte: TRA Canad
An event or occurrence that has the potential to compromise the security of an asset or
information. Fonte: Guide to Risk Assessment and Safeguard Selection for Information
Technology Systems
1.4.7.3
Fatores de identificao das ameaas
Existem alguns fatores que contribuem na identificao das ameaas, mas no so

limitadas a elas:
Catlogo de ameaas
Resultado de avaliaes anteriores
Estatsticas disponibilizadas por organismos setoriais
Governos nacionais
Organismos legais
Companhias de seguro
Incidentes de segurana j ocorridos internamente
Brainstorming
Pgina 74 de 115
Estudos que analisem cada processo da atividade e descrevam os fatores

internos
e externos que possam influenciar os referidos processos
Anlises de cenrios
Oficinas de avaliao de riscos (workshops)
Investigao de incidentes
Auditorias e inspees
Etc.
Pgina 75 de 115
1.4.8 Identificao dos controles existentes

Convm que a identificao dos controles existentes seja realizada para evitar
custos e trabalho desnecessrios, por exemplo, na duplicao de controles. Alm disso,
enquanto os controles existentes esto sendo identificados, convm que seja feita uma
verificao para assegurar que eles esto funcionando corretamente uma referncia aos
relatrios j existentes de auditoria do SGSI pode reduzir o tempo gasto nesta tarefa. Um
controle que no funcione como esperado pode provocar o surgimento de
vulnerabilidades. Convm que seja levada em considerao a possibilidade de um controle
selecionado (ou estratgia) falhar durante sua operao. Sendo assim, controles
complementares so necessrios para tratar efetivamente o risco identificado. Em um
SGSI, de acordo com a ABNT NBR ISO/IEC 27001, isso auxiliado pela medio da
eficcia dos controles. Uma maneira para estimar o efeito do controle ver o quanto ele
reduz, por um lado, a probabilidade da ameaa e a facilidade com que uma vulnerabilidade
pode ser explorada ou, por outro lado, o impacto do incidente. A anlise crtica pela
direo e relatrios de auditoria tambm fornecem informaes sobre a eficcia dos
controles existentes.
Convm que os controles que esto planejados para serem implementados de
acordo com os planos de implementao de tratamento do risco tambm sejam
considerados, juntamente com aqueles que j esto implementados.
Controles existentes ou planejados podem ser considerados ineficazes, insuficientes
ou no justificados. Convm que um controle insuficiente ou no justificado seja verificado
para determinar se convm que ele seja removido, substitudo por outro controle mais
adequado ou se convm que o controle permanea em vigor, por exemplo, em funo dos
custos.
Para a identificao dos controles existentes ou planejados, as seguintes atividades
podem ser teis:
Analisar de forma crtica os documentos contendo informaes sobre os controles (por
exemplo, os planos de implementao de tratamento do risco). Se os processos de gesto
da segurana da informao estiverem bem documentados, convm que todos os controles
existentes ou planejados e a situao de sua implementao estejam disponveis;
Verificar com as pessoas responsveis pela segurana da informao (por exemplo, o
responsvel pela segurana da informao, o responsvel pela segurana do sistema da
informao, o gerente das instalaes prediais, o gerente de operaes) e com os usurios
quais controles, relacionados ao processo de informao ou ao sistema de informao sob
considerao, esto realmente implementados;
Revisar, no local, os controles fsicos, comparando os controles implementados com a
lista de quais controles convm que estejam presentes, e verificar se aqueles
implementados esto funcionando efetiva e corretamente, ou
Analisar criticamente os resultados de auditorias.
Pgina 76 de 115
1.4.9 Identificao de vulnerabilidades

A vulnerabilidade uma condio encontrada muitas vezes pela ausncia ou
ineficincia de controles e medidas de proteo, utilizadas com o intuito de salvaguardar os
ativos de uma empresa. (MOREIRA, 2001)
Todos os ambientes so vulnerveis, partindo do pressuposto de que no existem
ambientes totalmente seguros. Muitas vezes, as medidas de segurana implementadas
pelas empresas possuem vulnerabilidades. Neste caso, a ineficincia das medidas de
proteo em funo de configuraes inadequadas so algumas das causas.
Identificar as vulnerabilidades que podem contribuir para a ocorrncia de
incidentes de segurana um aspecto importante na identificao de medidas adequadas
de segurana.
Os riscos no podem ser determinados sem o conhecimento de at onde um
sistema vulnervel, contribuindo ento para a ao das ameaas.
O nvel de vulnerabilidade decai a medida em que so implementados controles e
medidas de proteo adequadas, diminuindo tambm os riscos para o negcio, conforme
demonstra a figura a seguir. Podemos dizer que os riscos esto ligados ao nvel de
vulnerabilidade que o ambiente analisado possui, pois para se determinar os riscos, as
vulnerabilidades precisam ser identificadas.
Figura: Relao Vulnerabilidade X Medidas de proteo

Fonte: Segurana Mnima, 2001
Segundo a NBR ISO IEC 27005, as vulnerabilidades que podem se exploradas por
ameaas para comprometer os ativos ou a organizao devem ser identificadas.
As vulnerabilidades podem ser identificadas nas seguintes reas:
Pgina 77 de 115
A presena de uma vulnerabilidade no causa prejuzo por si s, pois precisa haver

uma ameaa presente para explor-la. Uma vulnerabilidade que no tem uma ameaa
correspondente pode no requerer a implementao de um controle no presente momento,
mas convm que ela seja reconhecida como tal e monitorada, no caso de haver mudanas.
Convm notar que um controle implementado incorretamente, com mau
funcionamento ou sendo usado de forma errada pode, por si s, representar uma
vulnerabilidade. Um controle pode ser eficaz ou no, dependendo do ambiente no qual ele
opera. Inversamente, uma ameaa que no tenha uma vulnerabilidade correspondente
pode no resultar em um risco.
As vulnerabilidades podem estar ligadas a propriedades do ativo, as quais podem
ser usadas de uma forma ou para um propsito diferente daquele para o qual o ativo foi
adquirido ou desenvolvido. Vulnerabilidades decorrentes de diferentes fontes precisam ser
consideradas, por exemplo, as intrnsecas e as extrnsecas ao ativo.
As vulnerabilidades podem ser:
ativo.
Vulnerabilidade intrnseca
So vulnerabilidades existentes nos ativos. Elas esto presentes dada a natureza do
Ex.: Vulnerabilidades em um Sistema Operacional, vulnerabilidades existentes em

uma aplicao.
ativos.
Vulnerabilidade extrnseca
So vulnerabilidades produzidas nos ativos, independentes de quais sejam os
Ex.: Vulnerabilidade em um processo de pagamento que permite a realizao de

fraudes.
1.4.9.1 Como surgem as vulnerabilidades

As vulnerabilidades esto presentes no dia-a-dia das empresas e se apresentam nas
mais diversas reas de uma Organizao.
No existe uma nica causa para o surgimento de vulnerabilidades. Elas podem surgir
tanto do ambiente interno quanto do ambiente externo.
Motivao externa
No ambiente externo, podemos considerar algumas motivaes para o surgimento
de vulnerabilidades tecnolgicas:
Pgina 78 de 115
Ineditismo
Quando o produto novo, o foco das atenes, sob o ponto de vista dos benefcios,
passam a ser percebidos pelas pessoas e empresas. Assim, com o foco da ateno para a
tecnologia, comea-se a intensificar a adoo pelas pessoas e empresas e da mesma forma
acontece com o surgimento de vulnerabilidades.
Plataforma tecnolgica
A plataforma tecnolgica pode facilitar o surgimento de vulnerabilidades. Muitos
hackers, crackers e pessoas mal intencionadas, para terem sucesso, necessitam conhecer a
tecnologia utilizada pelas empresas e explor-las.
Assim, desconhecer determinadas plataformas tecnolgicas pode dificultar a
identificao de vulnerabilidades, uma vez que se estabelece como premissa, que o
conhecimento tanto da plataforma quanto da prpria tecnologia
Maturidade do produto
Algumas tecnologias utilizadas atualmente possuem poucas vulnerabilidades
divulgadas. Uma explicao possvel pode ser o nvel de maturidade do produto. Muitas
correes feitas no passado podem contribuir para diminuir o surgimento de novas
vulnerabilidades. Pode-se citar o banco de dados DB2 da IBM e demais sistemas
descontinuados.
Frias escolares
A poca do ano pode influenciar no aumento ou na diminuio do surgimento de
vulnerabilidades. Segundo David C. Chang e Sylvia Moon, as vulnerabilidades aumentam
nos meses de frias escolares. Assume-se, portanto, que grande parte dos hackers so
estudantes e esto em frias.
Os feriados ou as vsperas de feriados importantes podem influenciar no aumento
ou na diminuio do surgimento de vulnerabilidades.
Popularidade do sistema
Sistemas que possuem maior popularidade so mais suscetveis ao aumento de
vulnerabilidades, uma vez que esto em evidncia.
Motivao Interna
No ambiente interno da empresa, as vulnerabilidades podem surgir, a partir de duas
Pgina 79 de 115
formas:
por desconhecimento
propositalmente
A negligncia por parte de alguns profissionais e a falta de conhecimento tcnico, so

exemplos tpicos, porm esta relao pode ser entendida como sendo de n para n, ou seja,
cada ambiente operacional pode possuir diversas vulnerabilidades e por outro lado, cada
vulnerabilidade pode estar presente em diversos ambientes computacionais, conforme
demonstra a figura a seguir.
Figura: Relao Ambiente Computacional x Vulnerabilidades
Algumas vulnerabilidades esto presentes nos Sistemas Operacionais que

acabamos de instalar. isso mesmo! Alguns produtos chegam s prateleiras e pouco
tempo depois so encontradas vulnerabilidades e divulgadas para o mundo inteiro pela
Internet.
Normalmente os hackers so os primeiros a explorarem as vulnerabilidades. E isso
muito preocupante. Pouco tempo depois, esta informao divulgada na Internet para
que o mundo inteiro fique sabendo. Em muitos casos, as empresas produtoras do software
s ficam sabendo desta situao neste momento.
Obviamente estas empresas disponibilizam as correes destas vulnerabilidades para que
os usurios possam atualizar os seus sistemas.
O
SANS
Institute
(http://www.sans.org)
disponibiliza
em
http://www.sans.org/topten.htm uma relao das 10 maiores vulnerabilidades do
momento e informa os boletins com a correo.
de fundamental importncia que os administradores de rede apliquem as
correes para que seja removida a vulnerabilidade, uma vez que existem ferramentas
disponveis capazes de explor-las.
Uma alternativa para que sejam identificadas vulnerabilidades na rede de sua
empresa recorrer a empresas especializadas neste tipo de servio.
Pgina 80 de 115
A seguir, alguns exemplos de vulnerabilidades que normalmente se fazem presentes

em muitas empresas:
Vulnerabilidades Fsicas
Falta de extintores
Salas de CPD mal projetadas
Falta de detectores de fumaa e de outros recursos para combate a incndio
Instalaes prediais fora do padro
Instalao eltrica antiga e/ou em conjunto com a dos computadores
Vulnerabilidades Naturais
Ausncia de estratgias de combate incndios, enchentes, raios, tempestades
Vulnerabilidade de Hardware
Falha nos recursos tecnolgicos como desgaste, obsolescncia, mal uso
Vulnerabilidade de Software
Falhas e bugs nos Sistemas Operacionais
Falhas em programas que implementam servios de rede
Vulnerabilidade Humana
Falta de treinamento
Falta de comprometimento dos empregados
A seguir, outros exemplos de vulnerabilidades tambm presentes em muitos ambientes

e que muitas empresas no atentam para determinadas situaes:
Senhas fracas
Falhas de implementao de segurana
Deficincia na poltica de segurana
Pgina 81 de 115

1.4.9.2
Gesto de vulnerabilidades
O processo de gesto de vulnerabilidades consiste em estabelecer um processo para

gerenciar a identificao, anlise, tratamento, comunicao e a gesto das
vulnerabilidades, independentemente se elas esto presentes no mbito tecnolgico, se
ligada a processos ou a pessoas.
1.4.9.3
Relao entre Vulnerabilidade X Medidas de Proteo
As medidas de proteo tambm esto sujeitas a terem vulnerabilidades. Enquanto

que para um conjunto de vulnerabilidades, determinadas medidas de proteo so
adequadas, para outras no.
Independentemente das medidas de proteo adotadas pela empresa, certamente
encontraremos medidas adequadas para determinadas situaes e inadequadas para
outras. O que importante salientar que a empresa precisa buscar a melhor relao
custo/benefcio no momento da definio de sua estratgia de segurana.
O nvel de vulnerabilidade do ambiente decai na medida em que so
implementados controles e medidas de protees adequadas, diminuindo tambm os
riscos para o negcio.
Podemos dizer que a exposio aos riscos est ligada ao nvel de vulnerabilidade e
ao grau de eficincia da proteo implementada atualmente na empresa.
1.4.10 Identificao das consequncias

Convm que as consequncias que a perda de confidencialidade, de integridade e de
disponibilidade podem ter sobre os ativos sejam identificadas (ver ABNT NBR ISO/IEC
27001:2006 4.2.1 d) 4)).
Uma consequncia pode ser, por exemplo, a perda da eficcia, condies adversas
de operao, a perda de oportunidades de negcio, reputao afetada, prejuzo etc.
Essa atividade identifica o prejuzo e as consequncias para a organizao que
podem decorrer de um cenrio de incidente. Um cenrio de incidente a descrio de uma
ameaa explorando uma certa vulnerabilidade ou um conjunto vulnerabilidades em um
incidente de segurana da informao (ver ABNT NBR ISO/IEC 27002:2005, Seo 13). O
impacto dos cenrios de incidentes determinado considerando-se os critrios de impacto
definidos durante a atividade de definio do contexto. Ele pode afetar um ou mais ativos
ou apenas parte de um ativo. Assim, aos ativos podem ser atribudos valores
correspondendo tanto aos seus custos financeiros, quanto s consequncias ao negcio se
Pgina 82 de 115
forem danificados ou comprometidos. Consequncias podem ser de natureza temporria

ou permanente como no caso da destruio de um ativo.
Convm que as organizaes identifiquem as consequncias operacionais de
cenrios de incidentes em funo de (mas no limitado a):
prejuzo
o e valor de mercado
Convm que o impacto sobre o negcio da organizao, que pode ser causado por
incidentes (possveis ou reais) relacionados segurana da informao, seja avaliado
levando-se em conta as consequncias de uma violao da segurana da informao, como
por exemplo: a perda da confidencialidade, da integridade ou da disponibilidade dos ativos
(refere-se ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1 e) 1)).
Depois de identificar todos os ativos relevantes, convm que os valores atribudos a
esses ativos sejam levados em considerao durante a avaliao das consequncias.
O valor do impacto ao negcio pode ser expresso de forma qualitativa ou
quantitativa, porm um mtodo para designar valores monetrios geralmente pode
fornecer mais informaes teis para a tomada de decises e, consequentemente, permitir
que o processo de tomada de deciso seja mais eficiente.
A valorao dos ativos comea com a sua classificao de acordo com a criticidade,
em funo da importncia dos ativos para a realizao dos objetivos de negcios da
organizao. A valorao ento determinada de duas maneiras:
for possvel), e
como as possveis consequncias adversas de carter empresarial, legal ou regulatrias
causadas pela divulgao indevida, modificao, indisponibilidade e/ou destruio de
informaes ou de outros ativos de informao.
Essa valorao pode ser determinada a partir de uma anlise de impacto no
negcio.
O valor, determinado em funo da consequncia para o negcio, normalmente
significativamente mais elevado do que o simples custo de reposio, dependendo da
importncia do ativo para a organizao na realizao dos objetivos de negcios.
A valorao dos ativos representa um dos aspectos mais importantes na avaliao
do impacto de um cenrio de incidente, pois o incidente pode afetar mais de um ativo (por
Pgina 83 de 115
exemplo, os ativos dependentes) ou somente parte de um ativo. Diferentes ameaas e

vulnerabilidades causaro diferentes impactos sobre os ativos, como perda da
confidencialidade, da integridade ou da disponibilidade. A avaliao das consequncias
est, portanto, relacionada valorao dos ativos baseada na anlise de impacto no
negcio.
As consequncias ou o impacto ao negcio podem ser determinados por meio da
criao de modelos com os resultados de um evento, um conjunto de eventos ou atravs da
extrapolao a partir de estudos experimentais ou dados passados.
As consequncias podem ser expressas em funo dos critrios de impacto
monetrios, tcnicos ou humanos, ou de outro critrio relevante para a organizao. Em
alguns casos, mais de um valor numrico necessrio para especificar as consequncias
para os diferentes momentos, lugares, grupos ou situaes.
Convm que as consequncias expressas em tempo e valor financeiro sejam
medidas com a mesma abordagem utilizada para a probabilidade da ameaa e as
vulnerabilidades. A consistncia deve ser mantida com respeito abordagem quantitativa
ou qualitativa.
Existe uma diferena entre o valor do ativo e o impacto resultante do incidente. O
impacto tem efeito imediato (operacional) ou consequencia futura (relativa ao negcio
como um todo), a qual inclui aspecto financeiros e de mercado.
A seguir, descreve-se alguns tipos de incidentes:
Impacto direto
Valor financeiro de reposio do ativo perdido

Custo de aquisio, configurao e instalao do novo ativo ou do back-up.
Consequncias resultantes de violaes da segurana da informao
Custo das operaes suspensas(faturamento, mo de obra)
Impacto indireto
Imagem
Violao de obrigaes estatutrias ou regulatrias
Etc.
A avaliao de impactos um elemento importante na avaliao de riscos e a seleo de

protees.
Pgina 84 de 115
1.5 Anlise de riscos

1.5.1
Metodologias de anlise de riscos
A anlise de riscos pode ser empreendida com diferentes graus de detalhamento,

dependendo da criticidade dos ativos, da extenso das vulnerabilidades conhecidas e dos
incidentes anteriores envolvendo a organizao. Uma metodologia para a anlise de riscos
pode ser qualitativa ou quantitativa ou uma combinao de ambas, dependendo das
circunstncias. Na prtica, a anlise qualitativa frequentemente utilizada em primeiro
lugar para obter uma indicao geral do nvel de risco e para revelar os grandes riscos.
Depois, podem ser necessrio efetuar uma anlise quantitativa ou mais especfica nos
grandes riscos. Isso ocorre porque normalmente menos complexo e menos oneroso
realizar anlises qualitativas do que quantitativas.
Convm que a forma da anlise seja coerente com o critrio de avaliao de riscos
desenvolvido como parte da definio do contexto.
Detalhes adicionais a respeito das metodologias para a anlise esto descritos a seguir:
(a) Anlise qualitativa de riscos:
A anlise qualitativa de riscos utiliza uma escala com atributos qualificadores que
descrevem a magnitude das consequncias potenciais (por exemplo, pequena, mdia e
grande) e a probabilidade dessas consequncias ocorrerem. Uma vantagem da anlise
qualitativa sua facilidade de compreenso por todas as pessoas envolvidas, enquanto que
uma desvantagem a dependncia da escolha subjetiva da escala.
Essas escalas podem ser adaptadas ou ajustadas para se adequarem s circunstncias, e
descries diferentes podem ser usadas para riscos diferentes. A anlise qualitativa pode
ser utilizada:
detalhada
ndo os dados numricos ou recursos so insuficientes para uma anlise quantitativa
Convm que a anlise qualitativa utilize informaes e dados factuais quando disponveis.
(b) Anlise quantitativa de riscos:
A anlise quantitativa utiliza uma escala com valores numricos (e no as escalas
descritivas usadas na anlise qualitativa) tanto para as consequncias quanto para a
probabilidade, usando dados de diversas fontes. A qualidade da anlise depende da
exatido e da integralidade dos valores numricos e da validade dos modelos utilizados. A
anlise quantitativa, na maioria dos casos, utiliza dados histricos dos incidentes,
proporcionando a vantagem de poder ser relacionada diretamente aos objetivos da
segurana da informao e interesses da organizao. Uma desvantagem a falta de tais
Pgina 85 de 115
dados sobre novos riscos ou sobre fragilidades da segurana da informao. Uma

desvantagem da abordagem quantitativa ocorre quando dados factuais e auditveis no
esto disponveis. Nesse caso, a exatido do processo de avaliao de riscos e os valores
associados tornam-se ilusrios.
A forma na qual as consequncias e a probabilidade so expressas e a forma em que elas
so combinadas para fornecer um nvel de risco iro variar de acordo com o tipo de risco e
do propsito para o qual os resultados do processo de avaliao de riscos sero usados.
Convm que a incerteza e a variabilidade tanto das consequncias, quanto da
probabilidade, sejam consideradas na anlise e comunicadas de forma eficaz.
1.5.2 Avaliao das consequncias

O impacto sobre o negcio da organizao, que pode ser causado por incidentes
(possveis ou reais) relacionados segurana da informao, convm que seja avaliado
levando-se em conta as consequncias de uma violao da segurana da informao, como
por exemplo: a perda da confidencialidade, da integridade ou da disponibilidade dos
ativos.
Depois de identificar todos os ativos relevantes, convm que os valores atribudos a
esses ativos sejam levados em considerao durante a avaliao das consequncias.
O valor do impacto ao negcio pode ser expresso de forma qualitativa ou
quantitativa, porm um mtodo para designar valores monetrios geralmente pode
fornecer mais informaes teis para a tomada de decises e, consequentemente, permitir
que o processo de tomada de deciso seja mais eficiente.
A valorao dos ativos comea com a sua classificao de acordo com a criticidade,
em funo da importncia dos ativos para a realizao dos objetivos de negcios da
organizao. A valorao ento determinada de duas maneiras:
for possvel), e
como as possveis consequncias adversas de carter empresarial, legal ou regulatrias
causadas pela divulgao indevida, modificao, indisponibilidade e/ou destruio de
informaes ou de outros ativos de informao.
Essa valorao pode ser determinada a partir de uma anlise de impacto no
negcio. O valor, determinado em funo da consequncia para o negcio, normalmente
significativamente mais elevado do que o simples custo de reposio, dependendo da
importncia do ativo para a organizao na realizao dos objetivos de negcios.
Pgina 86 de 115
A valorao dos ativos representa um dos aspectos mais importantes na avaliao

do impacto de um cenrio de incidente, pois o incidente pode afetar mais de um ativo (por
exemplo, os ativos dependentes) ou somente parte de um ativo. Diferentes ameaas e
vulnerabilidades causaro diferentes impactos sobre os ativos, como perda da
confidencialidade, da integridade ou da disponibilidade. A avaliao das consequncias
est, portanto, relacionada valorao dos ativos baseada na anlise de impacto no
negcio.
As consequncias ou o impacto ao negcio podem ser determinados por meio da
criao de modelos com os resultados de um evento, um conjunto de eventos ou atravs da
extrapolao a partir de estudos experimentais ou dados passados.
As consequncias podem ser expressas em funo dos critrios de impacto
monetrios, tcnicos ou humanos, ou de outro critrio relevante para a organizao. Em
alguns casos, mais de um valor numrico necessrio para especificar as consequncias
para os diferentes momentos, lugares, grupos ou situaes.
Convm que as consequncias expressas em tempo e valor financeiro sejam
medidas com a mesma abordagem utilizada para a probabilidade da ameaa e as
vulnerabilidades. A consistncia deve ser mantida com respeito abordagem quantitativa
ou qualitativa.
Pgina 87 de 115
1.5.3 Avaliao da probabilidade dos incidentes

Convm que a probabilidade dos cenrios de incidentes seja avaliada (refere-se
ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1 e) 2)).
Depois de identificar os cenrios de incidentes, necessrio avaliar a probabilidade
de cada cenrio e do impacto correspondente, usando tcnicas de anlise qualitativas ou
quantitativas. Convm levar em conta a frequncia da ocorrncia das ameaas e a
facilidade com que as vulnerabilidades podem ser exploradas, considerando o seguinte:
ameaa
ao longo do tempo, os recursos disponveis para possveis atacantes, bem como a
percepo da vulnerabilidade e o poder da atrao dos ativos para um possvel atacante
proximidade a fbricas e refinarias de produtos qumicos e petrleo), a possibilidade de
eventos climticos extremos e fatores que poderiam acarretar erros humanos e o mau
funcionamento de equipamentos
Por exemplo, um sistema de informao pode ter uma vulnerabilidade relacionada

s ameaas de forjar a identidade de um usurio e de fazer mau uso de recursos. A
vulnerabilidade relacionada ao uso forjado da identidade de um usurio pode ser alta
devido, por exemplo, falta de um mecanismo de autenticao de usurio. Por outro lado,
a probabilidade de utilizao indevida dos recursos pode ser baixa, apesar da falta de
autenticao, pois os meios disponveis para que isso pudesse acontecer so limitados.
Dependendo da necessidade de exatido, ativos podem ser agrupados ou pode ser
necessrio dividir um ativo em seus componentes e relacionar estes aos cenrios. Por
exemplo, conforme a localidade geogrfica, a natureza das ameaas a um mesmo tipo de
ativo ou a eficcia dos controles existentes podem variar.
As ameaas existem independente da estratgia ou investimento de segurana
efetuado por qualquer empresa. Isso no significa que uma empresa estar sujeita ou
exposta a determinados ataques e/ou contaminao por um determinado vrus, por
exemplo. As medidas de segurana existentes atualmente em uma empresa existem para
diminuir a probabilidade do sucesso da ao de uma ameaa. Logo, de fundamental
importncia sabermos qual a probabilidade de ocorrncia de uma determinada ameaa em
funo do nvel de eficincia das medidas de segurana implementada.
Dessa forma, conseguimos visualizar se as medidas atualmente implementadas so
suficientemente capazes de impedir ou diminuir a probabilidade da ocorrncia de uma
determinada ameaa e, por conseguinte um incidente de segurana.
Pgina 88 de 115
1.5.4 Determinao do nvel de risco

Convm que o nvel de risco seja estimado para todos os cenrios de incidentes
considerados relevantes (refere-se ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1 e) 4)).
A anlise de riscos designa valores para a probabilidade e para as consequncias de
um risco. Esses valores podem ser de natureza quantitativa ou qualitativa. A anlise de
riscos baseada nas consequncias e na probabilidade estimadas. Alm disso, ela pode
considerar o custo-benefcio, as preocupaes das partes interessadas e outras variveis,
conforme apropriado para a avaliao de riscos. O risco estimado uma combinao da
probabilidade de um cenrio de incidente e suas consequncias.
Segundo Florence (2005), a estimativa das falhas pode ser quantitativa ou qualitativa. Na
estimativa quantitativa, a freqncia calculada em funo de dados estatsticos. Na
estimativa de risco qualitativa, a freqncia calculada com base em dados subjetivos.
Estes dados so extrados a partir de relatos de profissionais com larga experincia na
atividade analisada.
A expectativa de ocorrncia do evento e a magnitude de suas conseqncias so
estimadas em relao ao contexto considerado. Esses fatores so combinados para
produzir um nvel de risco. Quando no se dispe de dados estatsticos confiveis, pode ser
feita uma estimativa subjetiva.
A anlise pode ser qualitativa, semi-quantitativa ou quantitativa. Na prtica, a
anlise qualitativa freqentemente empregada de incio para se obter uma indicao
geral do nvel de risco, para depois se conduzir anlise quantitativa, caso seja possvel. O
modo qualitativo emprega palavras para descrever a magnitude da expectativa de
ocorrncia do evento (probabilidades, freqncias ou descritores) e das conseqncias.
Em alguns casos, esse tipo j apropriado ao processo de deciso.
Em outros, a nica alternativa, em funo da baixa representatividade dos dados
disponveis.
No modo semi-quantitativo, atribuem-se valores a uma escala qualitativa, ou
descritiva, tomando-se o cuidado de empregar esses nmeros em frmulas que
reconheam as limitaes do mtodo. Os valores relativos atribudos nesta escala podem
resultar em inconsistncias, produzindo resultados no apropriados.
O modo quantitativo utiliza valores numricos tanto para a expectativa de
ocorrncia do evento quanto para a conseqncia. A ltima pode apresentar naturezas
diversas e ser expressa em termos monetrios por parmetros tcnicos ou pelo impacto
produzido nos seres humanos.
O modo de combinar a expectativa de ocorrncia e as conseqncias depende do
tipo de risco e da forma como so utilizados os resultados.
Como as estimativas so imprecisas, uma anlise de sensibilidade pode ser feita para
testar o efeito da incerteza ao se assumir determinados dados no estudo. Tal anlise
tambm pode ser utilizada para testar a eficcia dos controles e das opes de tratamento
de riscos.
Pgina 89 de 115

1.6
Avaliao dos riscos
Convm que o nvel dos riscos seja comparado com os critrios de avaliao de
riscos e com os critrios para a aceitao do risco (refere-se ABNT NBR ISO/IEC
27001:2006, Seo 4.2.1 e) 4)).
A natureza das decises relativas avaliao de riscos e os critrios de avaliao de
riscos que iro ser usados para tomar essas decises teriam sido decididos durante a
definio do contexto. Convm que essas decises e o contexto sejam revisados
detalhadamente nesse estgio em que se conhece mais sobre os riscos identificados. Para
avaliar os riscos, convm que as organizaes comparem os riscos estimados (usando os
mtodos ou abordagens selecionadas como abordado no Anexo E) com os critrios de
avaliao de riscos definidos durante a definio do contexto.
Convm que os critrios de avaliao de riscos utilizados na tomada de decises
sejam consistentes com o contexto definido, externo e interno, relativo gesto de riscos
de segurana da informao e levem em conta os objetivos da organizao, o ponto de vista
das partes interessadas etc. As decises tomadas durante a atividade de avaliao de riscos
so baseadas principalmente no nvel de risco aceitvel. No entanto, convm que as
consequncias, a probabilidade e o grau de confiana na identificao e anlise de riscos
tambm sejam considerados. A agregao de vrios pequenos ou mdios riscos pode
resultar em um risco total bem mais significativo e precisa ser tratada adequadamente.
Convm que os seguintes itens sejam considerados:
organizao (por exemplo, a perda da confidencialidade), logo todos os riscos que
provocam esse tipo de impacto podem ser considerados irrelevantes
ativo ou conjunto de ativos: se o processo for considerado de baixa importncia, convm
que os riscos associados a ele sejam menos considerados do que os riscos que causam
impactos em processos ou atividades mais importantes
A avaliao de riscos usa o entendimento do risco obtido atravs da anlise de
riscos para a tomada de decises sobre aes futuras. Convm que as decises incluam:
risco
-se em conta os nveis estimados de
Durante a etapa de avaliao de riscos, alm dos riscos estimados, convm que
requisitos contratuais, legais e regulatrios tambm sejam considerados.
Em suma, quando o processo de anlise de riscos estiver concludo, necessrio
comparar os riscos estimados com os critrios de riscos definidos pela organizao.
Os critrios de riscos podem englobar os custos e receitas associados, exigncias
legais, fatores socio-econmicos e ambientais, preocupaes dos intervenientes, etc. Desta
Pgina 90 de 115
forma, a estimativa de riscos e subsequente comparao apia na tomada de decises sobre

a importncia dos riscos para a organizao e sobre a possibilidade de cada risco especfico
ser aceite ou corrigido.
Pgina 91 de 115

1.7
Tratamento dos riscos
O elemento principal do processo de tratamento de riscos o controle e a diminuio

dos riscos a patamares aceitveis. Para tanto, necessrio realizao das seguintes
atividades:
Identificao das opes de tratamento

Avaliao das opes
Seleo das opes
Implementao de plano de tratamento dos riscos
Esse processo permite a empresa selecionar e implementar medidas de segurana para

modificar um risco.
Segundo a norma FERMA Federation of European Risk Management Associations, o
tratamento de riscos o processo de selecionar e implementar medidas para modificar um
risco.
O elemento principal do tratamento de riscos o controle/diminuio dos riscos.
No mnimo, qualquer sistema de tratamento de riscos deve:
cumprir com leis e regulamentaes
proporcionar um funcionamento eficaz e eficiente da organizao
garantir controles internos eficazes
O processo de anlise de riscos apia o funcionamento eficaz e eficiente da
organizao atravs da identificao dos riscos aos qual a gesto deve prestar maior
ateno.
Assim devem ser definidas prioridades nas aes de controle em termos do seu
potencial para benefcio da organizao. A eficcia do controle interno mede-se pelo grau
de eliminao ou reduo do risco atravs das medidas propostas.
A eficcia em termos de custos dos controles internos est relacionada com os
custos da sua implementao quando comparados com os benefcios esperados pela
reduo dos riscos.
Para avaliar os mecanismos de controle propostos necessrio medir e comparar:
potencial efeito econmico se estes no forem implementados
custos da implementao destes mecanismos
Invariavelmente so necessrias informaes e pressupostos com maior detalhe do
que aqueles que esto disponveis no imediato.
Em primeiro lugar, devem ser determinados os custos da implementao com rigor
e preciso, uma vez que se tornar a base para a medio da eficcia em termos de custos.
As perdas esperadas, caso no sejam tomadas aes, devem ser estimadas, para, atravs da
Pgina 92 de 115
comparao dos resultados, a gesto pode decidir se deve ou no implementar as medidas

de controle dos riscos.
O cumprimento de leis e regulamentaes aplicveis no so opcionais. Uma
organizao deve entender as leis aplicveis e implementar um sistema de controle para
estar em conformidade. S pode haver alguma flexibilidade ocasional quando os custos da
reduo de um risco forem totalmente desproporcionais aos seus impactos.
Um dos mtodos para a proteo financeira contra o impacto dos riscos o
financiamento atravs da contratao de seguros. Contudo, deve reconhecer-se que
algumas perdas ou elementos de perdas podem no ser segurveis, como por exemplo,
certos custos relacionados com a sade, segurana e incidentes ambientais, que englobem
danos morais a empregados e reputao da organizao.
De acordo com
a UCAR Internal Auditing, um controle interno pode ser de
natureza preventiva, detectiva ou corretiva, sendo:

Controle Preventivo: o projetado com a finalidade de evitar a ocorrncia de erros,
desperdcios ou irregularidades. Exemplo: o fechamento da porta de seu carro e da sua
casa, controles de aquecimento, ventilao e ar condicionado, Permetros de segurana
(muros, grades, portas trancadas), guardas, cachorros, ganos, etc.
Controle Detectivo: o projetado para detectar erros, desperdcios ou

irregularidades, no momento em que eles ocorrem, permitindo a adoo de medidas
tempestivas de correo. Exemplo: o alarme de seu carro ou residncia disparando,
Sensores de movimentos , Cmeras, Sensores ambientais (detectar fumaa, calor, fogo),
Reports de violao, Logs, Monitoramento de rede e deteco de intruso (IDS).
Permite tomar cincia do fato no momento da ocorrncia.
Controle Corretivo: O enfoque desta estratgia propor mecanismos para a

continuidade das operaes. Exemplo: Plano de Contingncia, estratgia de recuperao
das operaes, Plano de Continuidade de Negcios, Plano de Recuperao de Desastres.
Neste momento, o fato em questo j ocorreu e, portanto, o pensamento deve se
concentrar na adoo de medidas corretivas. Eventualmente se faz necessrio a
identificao de uma estratgia de ao imediata, reativa, para que aps, sejam adotadas
medidas que privilegiam a identificao da causa raiz.
Pgina 93 de 115
A seguir, tem-se a viso da norma NBR ISO IEC 27005 norma de Gesto de riscos
em segurana da informao, sobre o processo de tratamento de riscos:
Segundo a norma, convm que controles para modificar, reter, evitar ou
compartilhar os riscos sejam selecionados e o plano de tratamento do risco seja definido.
H quatro opes disponveis para o tratamento do risco: modificao do risco,
reteno do risco, ao de evitar o risco e compartilhamento do risco. NOTA A ABNT NBR
ISO/IEC 27001:2006 4.2.1 f) 2) usa o termo aceitao do risco em vez de reteno do
risco. A Figura 3 ilustra a atividade de tratamento do risco dentro do processo de gesto
de riscos de segurana da informao.
Pgina 94 de 115
Convm que as opes de tratamento do risco sejam selecionadas com base no

resultado do processo de avaliao de riscos, no custo esperado para implementao
dessas opes e nos benefcios previstos.
Quando uma grande modificao do risco pode ser obtida com uma despesa
relativamente pequena, convm que essas opes sejam implementadas. Outras opes
para melhorias podem ser muito dispendiosas e uma anlise precisa ser feita para verificar
suas justificativas.
Em geral, convm que as consequncias adversas do risco sejam reduzidas ao
mnimo possvel, independentemente de quaisquer critrios absolutos. Convm que os
gestores considerem os riscos improvveis porm graves. Nesse caso, controles que no
so justificveis do ponto de vista estritamente econmico podem precisar ser
implementados (por exemplo, controles de continuidade de negcios concebidos para
tratar riscos de alto impacto especficos).
As quatro opes para o tratamento do risco no so mutuamente exclusivas. s
vezes, a organizao pode beneficiar-se substancialmente de uma combinao de opes,
como a reduo da probabilidade do risco, a reduo de suas consequncias e o
compartilhamento ou reteno dos riscos residuais.
Algumas formas de tratamento do risco podem lidar com mais de um risco de
forma efetiva (por exemplo, o treinamento e a conscientizao em segurana da
informao). Convm que um plano de tratamento do risco seja definido, identificando
claramente a ordem de prioridade em que convm que as formas especficas de tratamento
do risco sejam implementadas, assim como os seus prazos de execuo. Prioridades podem
ser estabelecidas usando vrias tcnicas, incluindo a ordenao dos riscos e a anlise de
custo-benefcio. de responsabilidade dos gestores da organizao equilibrar os custos da
implementao dos controles e o oramento.
A identificao de controles existentes pode determinar concluir que eles excedem
as necessidades atuais em funo da comparao de custos, incluindo a manuteno. Se a
remoo de controles redundantes e desnecessrios tiver que ser considerada
(especialmente se os controles tm altos custos de manuteno), convm que a segurana
da informao e os fatores de custo sejam levados em conta. Devido influncia que os
controles exercem uns sobres os outros, a remoo de controles redundantes pode reduzir
a segurana em vigor como um todo. Alm disso, talvez seja menos dispendioso deixar
controles redundantes ou desnecessrios em vigor do que remov-los.
conta:
Convm que as opes de tratamento do risco sejam consideradas levando-se em
A definio do contexto (ver 7.2 - Critrios de avaliao de riscos) fornece

informaes sobre requisitos legais e regulatrios com os quais a organizao precisa estar
em conformidade. Nesse caso, o risco para a organizao no estar em conformidade e
convm que sejam implementadas opes de tratamento para limitar essa possibilidade.
Convm que todas as restries organizacionais, tcnicas, estruturais etc. identificadas
durante a atividade de definio do contexto sejam levadas em conta durante o tratamento
do risco.
Pgina 95 de 115
Uma vez que o plano de tratamento do risco tenha sido definido, os riscos residuais
precisam ser determinados. Isso envolve uma atualizao ou uma repetio do processo de
avaliao de riscos, considerando-se os efeitos previstos do tratamento do risco que foi
proposto. Caso o risco residual ainda no satisfaa os critrios para a aceitao do risco da
organizao, uma nova iterao do tratamento do risco pode ser necessria antes de se
prosseguir aceitao do risco.
Pgina 96 de 115
Modificao do risco
Convm que o nvel de risco seja gerenciado atravs da incluso, excluso ou
alterao de controles, para que o risco residual possa ser reavaliado e ento considerado
aceitvel.
Convm que controles apropriados e devidamente justificados sejam selecionados
para satisfazer os requisitos identificados atravs do processo de avaliao de riscos e do
tratamento dos riscos. Convm que essa escolha leve em conta os critrios para a aceitao
do risco assim como requisitos legais, regulatrios e contratuais. Convm que essa seleo
tambm leve em conta custos e prazos para a implementao de controles, alm de
aspectos tcnicos, culturais e ambientais. Com frequncia, possvel diminuir o custo total
de propriedade de um sistema por meio de controles de segurana da informao
apropriadamente selecionados.
Em geral, os controles podem fornecer um ou mais dos seguintes tipos de proteo:
correo, eliminao, preveno, minimizao do impacto, dissuaso, deteco,
recuperao, monitoramento e conscientizao. Durante a seleo de controles,
importante pesar o custo da aquisio, implementao, administrao, operao,
monitoramento e manuteno dos controles em relao ao valor dos ativos sendo
protegidos. Alm disso, convm que o retorno do investimento, na forma da modificao
do risco e da possibilidade de se explorar em novas oportunidades de negcio em funo
da existncia de certos controles, tambm seja considerado. Adicionalmente, convm
considerar as competncias especializadas que possam ser necessrias para definir e
implementar novos controles ou modificar os existentes.
A ABNT NBR ISO/IEC 27002 fornece informaes detalhadas sobre controles.
H muitas restries que podem afetar a seleo de controles. Restries tcnicas,
como requisitos de desempenho, capacidade de gerenciamento (requisitos de apoio
operacional) e questes de compatibilidade, podem dificultar a utilizao de certos
controles ou induzir erros humanos, chegando mesmo a anular o controle, a dar uma falsa
sensao de segurana ou a tornar o risco ainda maior do que seria se o controle no
existisse (por exemplo, exigir senhas complexas sem treinamento adequado leva os
usurios a anotar as senhas por escrito). importante lembrar tambm que um controle
pode vir a afetar o desempenho sobremaneira. Convm que os gestores tentem encontrar
uma soluo que satisfaa os requisitos de desempenho e que possa, ao mesmo tempo,
garantir um nvel suficiente de segurana da informao. O resultado dessa etapa uma
lista de controles possveis, com seu custo, benefcio e prioridade de implementao.
Convm que vrias restries sejam levadas em considerao durante a escolha e a
implementao de controles. Normalmente, so consideradas as seguintes:
Pgina 97 de 115
Reteno do risco
Convm que as decises sobre a reteno do risco, sem outras aes adicionais,
sejam tomadas tendo como base a avaliao de riscos.
NOTA: Na ABNT NBR ISO/IEC 27001:2006 4.2.1 f 2), o tpico "aceitao do risco,
consciente e objetivamente, desde que claramente satisfazendo as polticas da organizao
e os critrios para aceitao do risco descreve a mesma atividade.
Se o nvel de risco atender aos critrios para a aceitao do risco, no h
necessidade de se implementarem controles adicionais e pode haver a reteno do risco.
Ao de evitar o risco
Convm que a atividade ou condio que d origem a um determinado risco seja
evitada.
Quando os riscos identificados so considerados demasiadamente elevados e
quando os custos da implementao de outras opes de tratamento do risco excederem os
benefcios, pode-se decidir que o risco seja evitado completamente, seja atravs da
eliminao de uma atividade planejada ou existente (ou de um conjunto de atividades),
seja atravs de mudanas nas condies em que a operao da atividade ocorre. Por
exemplo, para riscos causados por fenmenos naturais, pode ser uma alternativa mais
rentvel mover fisicamente as instalaes de processamento de informaes para um local
onde o risco no existe ou est sob controle.
A deciso de evitar o risco pode significar descontinuar a atividade que deu origem
ao risco ou no iniciar, se for o caso.
Compartilhamento do risco
Convm que um determinado risco seja compartilhado com outra entidade que
possa gerenci-lo de forma mais eficaz, dependendo da avaliao de riscos.
Pgina 98 de 115
O compartilhamento do risco envolve a deciso de se compartilharem certos riscos

com entidades externas. O compartilhamento do risco pode criar novos riscos ou modificar
riscos existentes e identificados. Portanto, um novo tratamento do risco pode ser
necessrio.
O compartilhamento pode ser feito por um seguro que cubra as consequncias ou
atravs da subcontratao de um parceiro cujo papel seria o de monitorar o sistema de
informao e tomar medidas imediatas que impeam um ataque antes que ele possa causar
um determinado nvel de dano ou prejuzo.
Convm notar que possvel compartilhar a responsabilidade de gerenciar riscos,
entretanto no normalmente possvel compartilhar a responsabilidade legal por um
impacto. Os clientes provavelmente iro atribuir um impacto adverso como sendo falha da
organizao.
Aceitao do risco de segurana da informao
O plano de tratamento do risco e o processo de avaliao do risco residual sujeito
deciso dos gestores da organizao relativa aceitao do risco.
Convm que a deciso de aceitar os riscos seja feita e formalmente registrada,
juntamente com a responsabilidade pela deciso (isso se refere a 4.2.1 h) da ABNT NBR
IEC 27001:2006).
Convm que os planos de tratamento do risco descrevam como os riscos avaliados
sero tratados para que os critrios de aceitao do risco sejam atendidos (ver Seo 7.2
Critrios para a aceitao do risco). importante que gestores responsveis faam uma
anlise crtica e aprovem, se for o caso, os planos propostos de tratamento do risco e os
riscos residuais resultantes e que registrem as condies associadas a essa aprovao.
Os critrios para a aceitao do risco podem ser mais complexos do que somente a
determinar se o risco residual est ou no abaixo ou acima de um limite bem definido.
Em alguns casos, o nvel de risco residual pode no satisfazer os critrios de
aceitao do risco, pois os critrios aplicados no esto levando em conta as circunstncias
predominantes no momento. Por exemplo, pode ser vlido argumentar que preciso que
se aceite o risco, pois os benefcios que o acompanham so muito atraentes ou porque os
custos de sua modificao so demasiadamente elevados. Tais circunstncias indicam que
os critrios para a aceitao do risco so inadequados e convm que sejam revistos, se
possvel. No entanto, nem sempre possvel rever os critrios para a aceitao do risco no
tempo apropriado. Nesses casos, os tomadores de deciso podem ter que aceitar riscos que
no satisfaam os critrios normais para o aceite. Se isso for necessrio, convm que o
tomador de deciso comente explicitamente sobre os riscos e inclua uma justificativa para
a sua deciso de passar por cima dos critrios normais para a aceitao do risco.
A reteno de riscos acima do nvel de risco aceitvel implica na aceitao das
perdas previstas na anlise do impacto.
Pgina 99 de 115
Os riscos identificados podem ser aceitos por omisso ou ausncia da completude

das informaes que propicia um entendimento inadequado da real situao do risco.
1.8
Comunicao de riscos
1.8.1 Comunicao e consulta do risco de segurana da informao

Convm que as informaes sobre riscos sejam trocadas e/ou compartilhadas entre
o tomador de deciso e as outras partes interessadas.
A comunicao do risco uma atividade que objetiva alcanar um consenso sobre
como os riscos devem ser gerenciados, fazendo uso para tal da troca e/ou partilha das
informaes sobre o risco entre os tomadores de deciso e as outras partes interessadas. A
informao inclui, entre outros possveis fatores, a existncia, natureza, forma,
probabilidade, severidade, tratamento e aceitabilidade dos riscos.
A comunicao eficaz entre as partes interessadas importante, uma vez que isso
pode ter um impacto significativo sobre as decises que devem ser tomadas. A
comunicao assegurar que os responsveis pela implementao da gesto de riscos, e
aqueles com interesses reais de direito, tenham um bom entendimento do por que as
decises so tomadas e dos motivos que tornam certas aes necessrias. A comunicao
bidirecional.
A percepo do risco pode variar devido a diferenas de suposies, conceitos,
necessidades, interesses e preocupaes das partes interessadas quando lidam com o risco
ou quando tratam das questes em discusso. As partes interessadas provavelmente iro
fazer julgamentos sobre a aceitabilidade do risco tendo como base sua prpria percepo
do risco. Assim, particularmente importante garantir que a percepo do risco das partes
interessadas, bem como a sua percepo dos benefcios, seja identificada e documentada e
que as razes subjacentes sejam claramente entendidas e consideradas.
Convm que a comunicao do risco seja realizada a fim de:
tratamento do risco
da informao que aconteam devido falta de entendimento mtuo entre os tomadores
de deciso e as partes interessadas
incidente
sobre riscos
Pgina 100 de 115
Gesto de Riscos
Convm que a organizao desenvolva planos de comunicao dos riscos tanto para as
operaes rotineiras tambm para situaes emergenciais. Portanto, convm que a atividade de
comunicao do risco seja realizada continuamente.
A coordenao entre os principais tomadores de deciso e as partes interessadas pode ser
obtida mediante a formao de uma comisso em que os riscos, a sua priorizao, as formas
adequadas de trat-los e a sua aceitao possam ser amplamente discutidos.
importante cooperar com o escritrio de relaes pblicas ou com o grupo de
comunicao apropriado dentro da organizao para coordenar as tarefas relacionadas com a
comunicao e consulta do risco. Isso vital no caso de aes de comunicao durante crises, por
exemplo, em resposta a incidentes especficos.
Dentro de uma organizao os vrios nveis necessitam de diferentes tipos de

informaes que sero obtidos atravs do processo de gesto de riscos.
O Conselho de Administrao deve:
conhecer os riscos mais importantes que a organizao enfrenta
conhecer os possveis efeitos no valor acionista provocados pelos desvios relativamente aos
nveis de desempenho esperados
garantir nveis adequados de sensibilizao aos riscos em toda a organizao
saber de que forma a organizao vai gerir uma crise
conhecer o nvel de confiana dos intervenientes na organizao
saber como gerir as comunicaes com os investidores, quando aplicvel
ter a certeza de que o processo de gesto de riscos eficaz
publicar uma poltica de gesto de riscos clara que abranja a abordagem geral e as
responsabilidades da gesto de riscos
As Unidades de Negcio devem:
estar conscientes dos riscos inerentes s respectivas reas de responsabilidade, dos possveis
impactos que estes podem ter noutras unidades e das consequncias que outras unidades lhes
podem provocar
dispor de indicadores de desempenho que lhes permitam monitorizar nas atividades chave,
quer financeiras quer operacionais,os progressos para o cumprimento dos objetivos.
identificar intervenes necessrias correo de desvios (por exemplo, previses e
oramentos)
dispor de sistemas que informem sobre variaes oramentais e de previses, com uma
frequncia adequada, que permitam reaes apropriadas
comunicar, sistemtica e imediatamente, direo de topo todos os riscos novos ou falhas
constatadas nas medidas de controle existentes
Cada indivduo deve:
Gesto de Riscos
compreender o seu nvel de responsabilizao relativamente a riscos individuais

compreender de que forma podem contribuir para a melhoria contnua da gesto de riscos
compreender que a gesto de riscos e a sensibilizao para a existncia de riscos so elementos
chave da cultura da organizao
comunicar, sistemtica e imediatamente, direo de topo todos os riscos novos ou falhas
constatadas nas medidas de controles existentes
1.8.2 Comunicao externa
Regularmente, uma empresa precisa de prestar contas aos intervenientes, definindo as
respectivas polticas de gesto de riscos e a eficcia na obteno de objetivos.
Cada vez mais, os intervenientes pretendem que as organizaes apresentem provas de
uma gesto eficaz do desempenho no financeiro, em reas como assuntos da comunidade,
direitos humanos, legislao laboral, sade e segurana e meio ambiente.
Boa gesto empresarial exige que as empresas adotem uma abordagem metodolgica
para a gesto de riscos que :
proteja os interesses dos intervenientes
garanta que o Conselho de Administrao cumpre os seus deveres relativamente direo da
estratgia, construa valor e monitoriza o desempenho da organizao
garanta que os controles de gesto esto implementados e funcionam corretamente
As disposies relativas comunicao formal da gesto de riscos devem ser claramente
definidas e estar disponveis para os intervenientes.
A comunicao formal deve tratar de :
mtodos de controle em particular, responsabilidades de gesto relativas gesto de riscos
processos utilizados para identificar riscos e a forma como estes so tratados pelos sistemas de
gesto
principais sistemas de controle implementados para gerir os riscos mais significativos
sistema de monitorao e reviso implementado
Todas as deficincias significativas no abrangidas pelo sistema, ou do prprio sistema,
devem ser comunicadas em conjunto com os passos dados para corrigi-las.
Pgina 102 de 115
Gesto de Riscos
1.9
Monitoramento dos riscos
1.9.1 Monitoramento e anlise crtica dos fatores de riscos

Convm que os riscos e seus fatores (isto , valores dos ativos, impactos, ameaas,
vulnerabilidades, probabilidade de ocorrncia) sejam monitorados e analisados criticamente, a
fim de identificar, o mais rapidamente possvel, eventuais mudanas no contexto da organizao
e de manter uma viso geral dos riscos.
Os riscos no so estticos. As ameaas, as vulnerabilidades, a probabilidade ou as
consequncias podem mudar abruptamente, sem qualquer indicao. Portanto, o
monitoramento constante necessrio para que se detectem essas mudanas. Servios de
terceiros que forneam informaes sobre novas ameaas ou vulnerabilidades podem prestar um
auxlio valioso.
Convm que as organizaes assegurem que os seguintes itens sejam monitorados
continuamente:
Novos ativos que tenham sido includos no escopo da gesto de riscos
requisitos de negcio
tenham sido avaliadas
o e que no
ameaa as explore
ameaas novas ou ressurgentes
conjunto, em um todo agregado, resultando em um nvel inaceitvel de risco
Novas ameaas, novas vulnerabilidades e mudanas na probabilidade ou nas

consequncias podem vir a ampliar os riscos anteriormente avaliados como pequenos. Convm
que a anlise crtica dos riscos pequenos e aceitos considere cada risco separadamente e tambm
em conjunto, a fim de avaliar seu impacto potencial agregado. Se os riscos no estiverem dentro
da categoria "baixo" ou "aceitvel", convm que eles sejam tratados utilizando-se uma ou mais de
uma das opes consideradas na Seo 9.
Fatores que afetam a probabilidade ou as consequncias das ameaas j ocorridas podem
mudar, assim como os fatores que afetam a adequao ou o custo das vrias opes de
tratamento. Convm que qualquer grande mudana que afete a organizao seja seguida por
uma anlise crtica mais especfica. Assim sendo, convm que no s as atividades de
monitoramento de riscos sejam repetidas regularmente, mas tambm que as opes
selecionadas para o tratamento do risco sejam periodicamente revistas.
Pgina 103 de 115
Gesto de Riscos
O resultado da atividade de monitoramento de riscos pode fornecer os dados de entrada

para as atividades de anlise crtica. Convm que a organizao analise todos os riscos
regularmente e tambm quando grandes mudanas ocorrerem.
Aspectos
A gesto de riscos eficaz necessita de uma estrutura de comunicao e reviso que
assegure que os riscos so identificados e avaliados de forma eficaz e que os controles e respostas
adequados so implementados.
Devem ser executadas auditorias regulares ao cumprimento de polticas e normas e o
desempenho, de acordo com as mesmas, deve ser revisto para identificar oportunidades de
melhoria. preciso no esquecer que as organizaes so dinmicas e funcionam em ambientes
dinmicos. As alteraes organizao e ao ambiente no qual aquela funciona devem ser
identificadas, para que sejam efetuadas as modificaes adequadas aos sistemas.
O processo de monitorao deve garantir que esto implementados os controles
adequados para as atividades da organizao e que os procedimentos so compreendidos e
seguidos.
As alteraes organizao e ao ambiente no qual se insere devem ser identificadas, para
que sejam efetuadas as mudanas adequadas aos sistemas.
Qualquer processo de monitorao e reviso deve determinar se:
as medidas adotadas alcanaram os resultados pretendidos
os procedimentos adotados e as informaes recolhidas para a realizao da avaliao foram os
adequados
um melhor nvel de conhecimento teria ajudado a tomar melhores decises e a identificar a
possibilidade de tirar ilaes para futuras avaliaes.
Pgina 104 de 115
Gesto de Riscos
1.9.2 Monitoramento, anlise crtica e melhoria do processo de gesto de riscos

Convm que o processo de gesto de riscos de segurana da informao seja
continuamente monitorado, analisado criticamente e melhorado, quando necessrio e
apropriado.
O monitoramento cotidiano e a anlise crtica so necessrios para assegurar que o
contexto, o resultado do processo de avaliao de riscos e do tratamento do risco, assim como os
planos de gesto, permaneam relevantes e adequados s circunstncias.
Convm que a organizao se certifique de que o processo de gesto de riscos de
segurana da informao e as atividades relacionadas permaneam apropriados nas
circunstncias presentes e que sejam acompanhados. Convm que quaisquer melhorias do
processo ou quaisquer aes necessrias para melhorar a conformidade com o processo sejam
comunicadas aos gestores apropriados, para que se possa ter certeza que nenhum risco ou
elemento do risco ser ignorado ou subestimado, que as aes necessrias esto sendo
executadas e que as decises corretas esto sendo tomadas a fim de garantir uma compreenso
realista do risco e a capacidade de reao.
Alm disso, convm que a organizao verifique regularmente se os critrios utilizados
para medir o risco e os seus elementos ainda so vlidos e consistentes com os objetivos de
negcios, estratgias e polticas e se as mudanas no contexto do negcio so adequadamente
consideradas durante o processo de gesto de riscos de segurana da informao. Convm que
essa atividade de monitoramento e anlise crtica lide com (mas no seja limitada a):
Convm que a organizao assegure que os recursos necessrios para o processo de

avaliao de riscos e o tratamento dos riscos estejam sempre disponveis para rever os riscos,
lidar com ameaas ou vulnerabilidades novas ou alteradas e aconselhar a direo da melhor
forma possvel.
O monitoramento da gesto de riscos pode resultar em modificao ou acrscimo da
abordagem, metodologia ou ferramentas utilizadas, dependendo:
continuidade de negcios, a resilincia diante dos incidentes, a conformidade)

exemplo, a organizao, a unidade de negcios, o sistema de informao, a sua implementao
tcnica, a aplicao, a conexo Internet)
Pgina 105 de 115
Gesto de Riscos
REFERNCIAS
ABIN AGNCIA BRASILEIRA DE INTELIGNCIA. Programa Nacional de Proteo ao

conhecimento. Disponvel em www.abin.gov.br. Acesso em: 15 out. 2010
ABNT NBR ISO/IEC 27005. Tecnologia da informao Tcnicas de segurana

Gesto de riscos de segurana da informao. NBR ISO/IEC 27005:2011. Rio
de Janeiro: ABNT, 2011.
ABNT ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Tecnologia da Informao
Cdigo de prtica para gesto de segurana da informao. NBR ISO/IEC 27002:
2005. Rio de Janeiro: ABNT, 2005.
_________ ISO/IEC 27001:2006, Information Technology - Security Techniques Information Security Management Systems - Requirements, Rio de Janeiro: ABNT, 2006.
ADACHI, Tomi. Gesto de Segurana em Internet Banking. 2004. 121 f. Dissertao
(Mestrado em Administrao). Fundao Getlio Vargas, So Paulo, 2004.
ALGHATHBAR, Khaled. An approach to establish a Center of excellence in information security.
InternationalJournal of Computer Science and Network Security, USA, v.8 n.3, p. 112, Mar. 2008.
ALVIM, P. C. R. C. O papel da informao no processo de capacitao tecnolgica das micro e
pequenas empresas. Revista Cincia da Informao, Braslia, v. 27, n. 1, p. 28-35, jan./abr.
1998.
AMIT, R. ; SHOEMAKER, P.J. Strategic assets and organizational rent. Strategic
Management Journal, USA, v.14, n.1, p.33-46, Jan. 1993.
ARANHA, F. ; ZAMBALDI, F. Anlise fatorial em administrao. So Paulo: Cengage
Learning, 2008.
BANDEIRA-DE-MELLO, R.; CUNHA, C. A natureza e a dinmica das capacidades
organizacionais no contexto brasileiro: uma agenda para pesquisas sobre a vantagem
competitiva das empresas brasileiras. In: ENCONTRO ANUAL DA ASSOCIAO NACIONAL
DOS PROGRAMAS DE PS-GRADUAO EM ADMINISTRAO, 25. 2001, Campinas,
Anais... So Paulo, 2001, 1 CD-ROM
Pgina 106 de 115
Gesto de Riscos
BARNEY, Jay B. Strategic factor Markets: expectations, luck and business strategy.
Management Science, USA, v.32, n.10, p.1231-1241, Oct. 1986.
_________. Firm resources and sustained competitive advantage. Journal of
Management, USA, v.17 n.1, p.99-120, Mar.1991.
_________. Gaining and sustaining competitive advantage. New York: AddisonWesley Publishing Company, 1997.
BARRETO, Aldo de Albuquerque. A eficincia tcnica e econmica e a viabilidade de produtos e
servios de informao. Cincia da Informao, Braslia, v. 25, n. 3, p. 405-414, 1996.
BEAL, Adriana. Gesto estratgica da informao; 1 ed.; So Paulo: Atlas. 2004
BERALDI, L. C. ; FILHO E. E.. Impacto da tecnologia de informao na gesto de pequenas
empresas. CI. Inf, Brasilia, v.29, n.1, p. 46-50, jan abr. 2000.
BEUREN, Ilse M. Gerenciamento da Informao: um recurso estratgico no processo de
gesto empresarial. So Paulo: Atlas, 1998.
BNDES. Circulares n 10/2010 e 11/2010, Maro/2010. Disponvel em
<http://www.bndes.gov.br/SiteBNDES/bndes/bndes_pt/Navegacao_Suplementar/Perfil/port
e.html>, Acesso em: 10 ago. 2010.
BORAN, Sean. IT Security Cookbook.
USA,
<http://boran.com/security/>. Acesso em: 15 nov. 2010.
v1.
dec.1996.
Disponvel
em
BRASIL. Decreto N 5.028, de 31 de maro de 2004. Publicada no DOU de 1 de abril de

2004. Altera os valores dos limites fixados nos incisos I e II do art. 2 da Lei n 9.841 de 5 de
outubro de 1999, que instituiu o Estatuto da Microempresa e da Empresa de Pequeno Porte.
Disponvel em: <http://www.trt02.gov.br/geral/Tribunal2/LEGIS/Decreto/5028_04.html>.
Acesso em: 14 jun.2010.
BRUCKMAN, John Charles ; IMAN, Steve. Consulting with Small Business: a process model.
Journal of Small Business Management, Milwaukee, v. 18, n.2, p.41-47, Apr. 1980.
CAMERON, K. Effectiveness as paradox: consensus and conflict in conceptions of organizational
effectiveness. Management Science, USA, v.32, n.5, p.539-553, May 1986.
Pgina 107 de 115
Gesto de Riscos
CANSIAN, Adriano M. Conceitos para percia forense computacional. Anais VI Escola Regional
de Informtica da SBC, Instituto de Cincias Matemticas e Computao de So Carlos, USP
(ICMC/USP), So Carlos, SP, p.141-156, 2001.
CARNEIRO, Jorge Manoel Teixeira et al.Building a better measure of business performance.
RAC-Eletrnica, Rio de Janeiro, v.1, n. 2, art.8, p. 114-135, maio/ago. 2007. Disponvel em:
<http://www.anpad.org.br/periodicos/arq_pdf/a_639.pdf>. Acesso em: 15 mai. 2010.
CARUSO, Carlos A. A.; STEFFEN, Flvio Deny. Segurana em informtica e de
informaes. So Paulo: Senac, 1999.
CASSARO, A.C. Sistemas de informaes para tomada de decises. 3a. ed. So Paulo:Pioneira
Thomson Learning, 2001.
CERT.Br Centro de estudos, resposta e tratamento de incidentes de segurana no Brasil,

Disponvel em <http://www.cert.br/stats/incidentes>/ acesso em 31/10/2010
CHANG, Arthur Jung-Ting; YEH, Quey-Jen.Threats and countermeasures for information

system security: A cross-industry study. Information & Management,USA, v.44, n.5, p.480
491, Jun. 2007.
CHOO, C. W. A organizao do conhecimento. So Paulo, Senac, 2003.
COCURULLO, Antonio Gesto de Riscos Corporativos Riscos alinhados com algumas
ferramentas de gesto Um estudo de caso. 2. Ed. So Paulo. Ed. Scortecci, 2003
CONNER, Kathleen R. A historical comparison of resource-based theory and five schools of
thought within industrial organisation economics: Do we have a new theory of the firm?.
Journalof Management, USA, v.17 n.1, p.121-154, Mar.1991.
CORRAR, L.J.; PAULO, E.; DIAS FILHO, J.M. Anlise multivariada para os cursos de
administrao, cincias contbeis e economia. So Paulo:Atlas. 2007.
COSIER, Richard; DALTON, Dan. Management Consulting: planning, entry and performance.
Journal of counseling and development, Alexandria; v.72, n2, p.191-198, nov/dec 1993.
Pgina 108 de 115
Gesto de Riscos
DAVENPORT, Thomas H., PRUSAK, Laurence. Ecologia da informao: por que s a

tecnologia no basta para o sucesso na era da informao. So Paulo: Futura, 1998.
DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro:
Axcel Books, 2000.
DIERICKX, Ingemar ; COOL, Karel. Asset stock accumulation and sustainability of competitive
advantage. Management Science, USA, v.35 n.12, p.1504-1511, dec. 1989.
ERNST & YOUNG, 12 PesquisaAnual Ernst & Young Global Information Security
Survey.USA, Ernst & Young , 2010.
FARN, Jean-Kwo; LIN, Shu-Kuo; FUNG, Andrew Ren-Wei. A study on information security
Management System evaluation assets, threat and vulnerability. Computer Standards &
Interfaces, USA, v.26 n.1, p.501-513, Apr. 2004.
FLORENCE, G.; CALIL, S. J. Uma nova perspectiva no controle dos riscos da utilizao de
tecnologia mdico-hospitalar. Tecnologia para Sade, 2005.
GABBAY, Max Simon. Fatores influenciadores da implementao de aes de gesto
de segurana da Informao: um estudo com executivos e gerentes de tecnologia da
informao em empresas do Rio Grande do Norte. 2003. 170f. Dissertao (Mestrado em
Engenharia de Produo) - Universidade Federal do Rio Grande do Norte, Rio Grande do Norte,
2003.
GIL, Antnio Carlos. Como elaborar projetos de pesquisa. 3. ed. So Paulo: Atlas, 1991.
_________. Mtodos e tcnicas de pesquisa social. So Paulo: Atlas, 2006.
GONALVES, Jos Ernesto Lima. Os impactos das novas tecnologias nas empresas prestadoras
de servios. Revista de Administrao de Empresas, So Paulo, v. 34, n.1, p.63-81, jan-fev.
1994.
GORDON L.A., LOEB M.P. The Economics of Information Security Investment. USA,
Transactions on Information and System Security, USA, v.5,n.4, p.438457, nov.2002.
GRANT, Robert M.. The resource-based theory of competitive advantage: implications for
strategy formulation. California Management Review, USA, v.33, n.3, p.114-135, spring
1991.
Pgina 109 de 115
Gesto de Riscos
GUPTA, Atul. Information systems security issues and decisions for small businesses - an
empirical examination. Information Management & Computer Security, USA, v.13, n.4,
p. 297-310, 2005.
HAIR, JR Joseph F.; BABIN, Barry; MONEY Arthur H.; SAMOUEL, Phillip. Fundamentos de
Mtodos de Pesquisa em Administrao. Porto Alegre: Bookman, 2005.
HUMPHREYS E.J. Guide to BS7799 Risk Assessment and Management. London,British
Standards Institution, 1998.
ISMS,
International
User
Group.
International
register
of
ISMS
certificates.Disponvelem: <http://www.iso27001certificates.com>acessoem 31 out 2010.
ISO, ISO ISO/IEC 27001 For Small Business Practical advice, International
Organization for Standardization. Geneva, 2010
ISO Guide 73 Risk Management Vocabulary Guidelines for use in standards
KIM, J.; MUELLER, C. W. Introduction to factor analisys: what it is and how to do it.
Beverly Hill, CA: Sage Publications, 1978. 79p.
KOTLER, Phillip et al.Marketing de servios profissionais. 2. ed. So Paulo: Manole, 2002.
KURPIUS, DeWayne J.; FUQUA, Dale R. Fundamental issues in defining consulation; Journal
of Counseling and Development, Alexandria, v.71, n.6, p.598-600, Jul/Aug. 1993.
LAMPSON, Butler W. Computer Security in Real World, New Orleans, Louisiana, 16 th
Annual
Computer
Security
Application
Conference,
2000.
Disponvel
em:
<http://www.acsac.org/invited-essay/essays/2000-lampson.pdf>. Acesso em 03 Jan 2011.
LAUDON, Keneth C; LAUDON, Jane Price. Sistemas de informao com Internet, 4.ed.
Rio de Janeiro: LTC, 1999.
LAUREANO Marcos Aurelio Pchek; MORAES, Paulo Eduardo Sobreira. Segurana como
estratgia de gesto da informao. Revista Economia & Tecnologia. v.8, n.3, p.38-44, 2005
LEONE, N.M.C.P.G. As especificidades das pequenas e mdias empresas. Revista de
Administrao, So Paulo, v. 34, n. 2, p.91-94, Abr/Jun. 1999.
Pgina 110 de 115
Gesto de Riscos
LOCH, Karen D. ; CARR, Houston H.; WARKENTIN, Merril E., Threats to Information Systems:
todays reality, yesterdays understanding, Computer Security, p 173-186, MIS Quarterly,
Jun, 1992,
LUCIANO, Edimara M.; ABDALA, Elisabeth, LUCAS, Igor S. A.. Segurana de informaes e
governana em pequenas empresas. In: CONGRESSO ANUAL DE TECNOLOGIA DA
INFORMAO/CATI, 2004, So Paulo. Anais... So Paulo: FGV-EAESP,2004.
LUNARDI, Guilherme Lerch; DOLCI, Pietro Cunha; MAADA A.C.G.. Adoo de tecnologia de
informao e seu impacto no desempenho organizacional: um estudo realizado com micro e
pequenas empresas. Revista de Administrao, So Paulo, v.45, n1, p5-17, jan-mar. 2010.
MALHOTRA, Naresh K. Pesquisa de marketing: uma orientao aplicada 4.ed. Porto
Alegre: Bookman, 2006.
MARCONI, M.A., LAKATOS, E.M. Tcnicas de pesquisa: planejamento e execuo de
pesquisas, amostragens e tcnicas de pesquisa, elaborao, anlise e interpretao de dados. 6.
ed. So Paulo: Atlas, 2007.
MARTINS, Alade Barbosa; SANTOS, Celso Alberto Saibel. Uma Metodologia para implantao
de um sistema de gesto de segurana da informao. Revista de Gesto da Tecnologia e
Sistemas de Informao, So Paulo, v.2, n.2, p.121-136. 2005.
MAZZALI L.; SOUZA, M.C. A. F. Conceito e espao da pequena empresa na estrutura industrial:
heterogeneidade e formas de insero. Gesto & Produo, So Carlos, v. 15, n. 3, p. 591-603,
set.-dez. 2008
MCGAUGHEY, J.R.E. et al. Implementing information technology for competitive advantage:
risk management issues. Information & Management, USA, v.26, n5, p. 273-280, may 1994.
MCGEE, J. V.; PRUSAK, L. Gerenciamento estratgico da informao. Rio de Janeiro: Campus,
1994.
MCKENNA, Christopher. The origens of modern management Consulting. Business
andeconomichistory,Williamsburg, v.24, n.1, p.51-59, Fall 1995.
MCT, MINISTRIO DA CINCIA E TECNOLOGIA. Associativismo sada para o
desenvolvimento. 16 ago. 2004. Disponvel em: <200.130.9.6/index.php?action
=/content/view&cod_objeto=19754>. Acesso em: 19 nov. 2010.
Pgina 111 de 115
Gesto de Riscos
MDIC. MINISTRIO DO DESENVOLVIMENTO, INDSTRIA E COMRCIO EXTERIOR. A

micro e pequena empresa no Brasil. Dados. Braslia. Disponvel em:
<http:/www.mdic.gov.br/progacoes-Mpme/Dados/hm>. Acesso em:10 set. 2010.
MEMRIA, Carlos Augusto Silva. A influncia do ERP nos ativos intangveis de
organizaes de TI de pequeno e mdio porte: um estudo de caso no Distrito Federal.
2010. 96f. Dissertao (Mestrado profissional executivo em gesto empresarial). Fundao
Getlio Vargas, Rio de Janeiro, 2010.
MENEZES, Josu das Chagas. Gesto da Segurana da Informao: anlise em trs
organizaes brasileiras. 2005. 104 f. Dissertao (Mestrado em Administrao). Universidade
Federal da Bahia, Bahia, 2005.
MORAES, Giseli Diniz de Almeida; FILHO, Edmundo Escrivo. A gesto da informao diante
das especificidades das pequenas empresas, CI. Inf, Brasilia, v.35, n.3, p. 124-132, set/dez 2006.
MOREIRA, Nilton Stringasci. Segurana Mnima. Rio de Janeiro:Axcel Books, 2001. 276 p.
NAKAMURA, Emilio Tissato; GEUS, Paulo Lcio de. Segurana de Redes em Ambientes
Cooperativos. So Paulo: Futura 2003. 472 p.
OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation
OECD, Organizao de Cooperao e de Desenvolvimento Econmico. Sites da Internet de
micro e pequenas empresas no mundo. Disponvel em: <http://www.oecd.org > acesso
em 01 Jul. 2010
OLIVEIRA, Eduardo Sampaio de. Critrios de deciso relevantes na escolha e
contratao de servios de consultoria de gesto: A perspectiva dos clientes. 2005. 213 f.
Dissertao (Mestrado em Administrao). Universidade de So Paulo, So Paulo, 2005.
OLIVEIRA, M.A.L.
Qualitymark, 1994.
Qualidade: o desafio da pequena e mdia empresa. Rio de Janeiro:
PELTIER, Thomas R. Information security policies, procedures, and standards:

guidelines for effective information security management. USA, Auerbach Publications, 2001.
PENROSE, Edith T. The theory of growth of the firm, London: Basil Blackwell,1959.
Pgina 112 de 115
Gesto de Riscos
PETERAF, Margaret A., The cornerstones of competitive advantage: a resource-based view,

Strategic Management Journal, USA, v.14, n3, p.179-191, Mar. 1993.
PFLEEGER, Charles P. Security in Computing. London , 1 ed., Prentice-Hall International,
1989.
POSTHUMUS, Shaun; SOLMS, Rossouw Von. A framework for the governance of information
security. Information Management & Computer Security, v.23, n.8, p.638-646, dec.
2004.
RATTNER, H. Inovao tecnolgica e pequenas empresas: uma questo de sobrevivncia.
Revista de Administrao de Empresas (RAE), Rio de Janeiro, v.24, n.3, p.70-73,
jul./ago./ set. 1984.
RICCI, Gysele L. Desempenho e controle em pequenas e mdias empresas: estudo do
setor hoteleiro da regial central do Estado de So Paulo. 2010. 223f. Dissertao (Mestrado em
Engenharia de Produo). Escola de Engenharia de So Carlos da Universidade de So Paulo,
So Paulo, 2010.
RUMELT, R. P. Toward a strategic theory of the firm. In R. B. LAMB. Competitive strategic
management. EnglewoodCliffs, NJ: Prentice-Hall, p.557-570, 1984.
SEBRAE SERVIO BRASILEIRO DE APOIO S MICRO E PEQUENAS EMPRESAS. Fatores
condicionantes e taxas de sobrevivncia e mortalidade das micro e pequenas
empresas no Brasil 20032005. Relatrio de Pesquisa. Brasilia: SEBRAE, 2007.
_________. Fatores condicionantes e taxa de mortalidade de empresas no Brasil.
Braslia: SEBRAE/NA, Ago. 2004.
_________.Classificao
Empresarial.
Disponvel
http://www.sebrae.com.br/uf/goias/indicadores-das-mpe/classificacaoempresarial/integra_bia?ident_unico=97. Acesso em: 15 mai 2010.
em
SMOLA, Marcos. Gesto da Segurana da Informao: uma viso executiva. Rio de

Janeiro. Campus, 2003.
SILVA NETTO, Abner da. Gesto da Segurana da Informao: fatores que influenciam
sua adoo em pequenas e mdias empresas. 2007. 107f. Dissertao (Mestrado em
Administrao). Universidade Municipal de So Caetano do Sul-IMES, So Paulo, 2007.
Pgina 113 de 115
Gesto de Riscos
SMITH, A.D.; RUPP, W.T. Issues in cybersecurity; understanding the potential risksassociated
with hackers/crackers. Information Management & Computer Security, USA, v.10, n.4,
p.178-83, 2002.
SMITH, M. Computer security threats, vulnerabilities and countermeasures. Information
Age(IK), v.11, n4, p.205-210, Oct. 1989.
_________.Commonsense Computer Security - Your Practical Guide to Information
Protection. London, McGraw-Hill, 1 ed., 1993.
SOLMS, Basie Von, SOLMS Rossouw Von, The 10 deadly sins of information security
management.Computers and Security, USA, v.23, n.5, p. 371376, May 2004.
SOLMS, Rossouw Von. Information security management: why standards are important.
Information Management & Computer Security, USA, v.7 n.1, p.50-57, Aug. 1999.
_________. Information Security - A Multidimensional Discipline. Computers & Security,
v.20, n.6, p. 504-508, 2001.
SOLOMON, S. A grande importncia da pequena empresa: a pequena empresa nos
Estados Unidos no Brasil e no mundo. Rio de Janeiro: Editorial Nrdica, 1986.
SPINELLIS, D., Kokolakis, S. and Gritzalis, S., Security requirements, risks and
recommendations for small enterprise and home-office environments, Information
Management & Computer Security, USA, v.7, n. 3, p. 121-128. 1999.
STAIR, R. M. Princpios de sistemas de informao: uma abordagem gerencial. 2. ed. Rio de
Janeiro: LTC Livros Tcnicos e Cientficos,1998.
TAKEMURA, Toshihiko. A quantitative study on Japanese workers awareness to information
security using the data collected by web-based survey. American Journal of Economics and
Business Administration, v.2 n.1, p. 20-26, 2010.
TEIXEIRA, Rivanda Meira e BARBOSA, Jenny Dantas. Gesto de pequenas e mdias indstrias:
o foco em marketing. In: EGEPE Encontro de estudos sobre empreendedorismo e
gesto de pequenas empresas. 2003, Braslia. Anais... Braslia: UEM/UEL/UnB, 2003, p.
994-1022.
Pgina 114 de 115
Gesto de Riscos
THOMSON K. L. Integrating information security into corporate culture. 2003.151f.

Masters dissertation(Information Technology) Port Elizabeth Technikon, 2003.
THONG, J. Y. L. Resource constraints and information systems implementation in Singaporean
small businesses. The International Journal of Management Science,USA, n.29, p.143156, Jul. 2001.
TORRES, O.; JULIEN, P. A. Specificity and denaturing of small business. International Small
Business Journal, v. 23, n. 4, p. 355-377, dez 2005.
TSIAKIS, Theodosios. Information security expenditures: a techno-economic analysis.
International Journal of Computer Science and Network Security, v.10, n.4, p.7-11,
Apr. 2010.
TSIAKIS, Theodosios; STEPHANIDES, George. The economic approach of information
security.Computers& Security, USA, v.24, p.105-108, Feb. 2005.
VASCONCELLOS, F.C.; CYRINO, A.B. Vantagem competitiva: os modelos tericos atuais e a
convergncia entre estratgia e teoria organizacional. Revista de Administrao de
Empresas, So Paulo, v. 40, n. 4, p. 20-37, out/dez. 2000.
WADLOW, T. Segurana de Redes - Projeto e gerenciamento de redes seguras. Rio de Janeiro:
Editora Campus, 2000.
WAKEFIELD, R. IT security issues. The CPA Journal, v.72, n.11, p.55-60, 2002.
WANG, Andy Ju An. Information Security Models and Metrics. USA, 43rd ACM
Southeast Conference, Kennesaw , 2005.
WARREN, M. J.. Security practice: survey evidence from three countries. Logistics
Information Management, v.15, n.5, p.347-351, 2002.
WERNERFELT, Birger. A resource-based view of the firm, Strategic Management Journal,
USA, v.5, n2, p.171-180, Apr-Jun.1984.
WILSON, Jonh L. ; TURBAN, Efrain ; ZVIRAN, Moshe. Information systems security: a
managerial perspective. International Journal Information Management. v.12, n2,
p.105-119, jun. 1992.
Pgina 115 de 115

Apostila de Analise de Riscos

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Apostila de Analise de Riscos

Uploaded by

Copyright:

Available Formats

NILTON STRINGASCI MOREIRA

ANLISE E GESTO DE RISCOS

Anlise e Gesto de Riscos

Prof. Msc Nilton Stringasci Moreira

Anlise e Gesto de Riscos

Prof. Msc Nilton Stringasci Moreira

Anlise e Gesto de Riscos

Prof. Msc Nilton Stringasci Moreira

Figura 1 - Modelo PDCA aplicado aos processos de um SGSI .............................................8

Anlise e Gesto de Riscos

Prof. Msc Nilton Stringasci Moreira

Quadro 1 - Objetivos e Processos de um Sistema de Gesto de Segurana da Informao

Anlise e Gesto de Riscos

Prof. Msc Nilton Stringasci Moreira

Associao Brasileira de Normas Tcnicas

Encontro da Associao Nacional de Ps-Graduao e Pesquisa em Administrao

International Electrotechnical Commitee

International Standards Organization

Sistema de Gesto de Segurana da Informao

Revista de Administrao de Empresas da Fundao Getulio Vargas

Revista de Administrao da Universidade de So Paulo

Resource Based View

Anlise e Gesto de Riscos

Prof. Msc Nilton Stringasci Moreira

Gesto da segurana da informao .......................................................................................................... 8

Anlise e Gesto de Riscos

Prof. Msc Nilton Stringasci Moreira

Gesto da segurana da informao

Muitos trabalhos realizados sobre o tema segurana da informao possuem um

Figura 1 - Modelo PDCA aplicado aos processos de um SGSI

Conforme podemos observar na figura 3, a alta direo como um dos integrantes

Anlise e Gesto de Riscos

Prof. Msc Nilton Stringasci Moreira

Sem a determinao das expectativas declaradas pela alta direo, a segurana da

Especificao do escopo e poltica para o

Anlise e Gesto de Riscos

Prof. Msc Nilton Stringasci Moreira

controles selecionados pelo SGSI.

Executar procedimentos operacionais para

Execuo das melhorias identificadas no

Comunicao a todas as partes interessadas

Quadro 1 - Objetivos e Processos de um Sistema de Gesto de Segurana da Informao

Anlise e Gesto de Riscos

Prof. Msc Nilton Stringasci Moreira

Todos os processos descritos no quadro 3 tm a sua execuo necessria para que a

Anlise e Gesto de Riscos

Prof. Msc Nilton Stringasci Moreira

Para a gesto das informaes de empresas de qualquer porte ou segmento, existem

Information Security Standards & Frameworks

Information Security Forum (ISF) Standard of Good 3%

Information Technology Infrastructure Library (ITIL)

Capability Maturity Model Integration (CMMI)

Generally Accepted Privacy Principles

Other Industry Specific standard

Quadro 2 - Padres e Frameworks utilizados

Anlise e Gesto de Riscos

Prof. Msc Nilton Stringasci Moreira

Como o processo de gesto de segurana da informao baseado na ISO/IEC 27001

Anlise e Gesto de Riscos

Prof. Msc Nilton Stringasci Moreira

Quadro 3 - Empresas certificadas na norma ISO/IEC 27001

Anlise e Gesto de Riscos

Prof. Msc Nilton Stringasci Moreira

Figura 2- Total de incidentes reportados ao CERT.br por ano