Professional Documents
Culture Documents
So Paulo
2012
Pgina 2 de 115
APRESENTAO
Esta apostila foi elaborada com base em diversas pesquisas e na ABNT NBR ISO/ IEC 27005
com a adio de comentrios, produtos gerados em cada etapa e fatores crticos de sucesso.
Pgina 3 de 115
LISTA DE FIGURAS
Pgina 4 de 115
LISTA DE QUADROS
Pgina 5 de 115
LISTA DE ABREVIATURAS
ABNT
ENANPAD
TI
Tecnologia da Informao
IEC
ISO
SGSI
RAE
RAUSP
RBV
Pgina 6 de 115
SUMRIO
1.1
1.2
Pgina 7 de 115
Pgina 8 de 115
Objetivos
Processos
Plan
Estabelecer a poltica, objetivos, processos e
procedimentos do SGSI, relevantes para a
gesto de riscos e a melhoria da segurana
da informao para produzir resultados de
acordo com as polticas e objetivos globais
de uma organizao.
Pgina 9 de 115
Act
Executar as aes corretivas e preventivas,
com base nos resultados da auditoria
interna do SGSI e da anlise crtica pela
direo ou outra informao pertinente,
para alcanar a melhoria contnua do SGSI.
aes
corretivas
Pgina 10 de 115
Pgina 11 de 115
Primary
Standard
Secondary
ISO/IEC 27002:2005
15%
8%
ISO/IEC 27001:2006
27%
9%
usage
5%
Cobit
13%
14%
COSO
2%
3%
13%
16%
1%
2%
4%
4%
PCI DSS
4%
7%
2%
2%
Other
5%
3%
Pgina 12 de 115
Japan
3657
Slovenia
17
Gibraltar
India
509
Philippines
15
Macau
China
495
Pakistan
14
Portugal
UK
454
Vietnam
14
Argentina
Taiwan
376
Iceland
13
Belgium
Germany
144
Netherlands
13
Bosnia
Herzegovina
Korea
106
Saudi Arabia
13
Cyprus
USA
96
Indonesia
11
Isle of Man
CzechRepublic
95
Kuwait
11
Kazakhstan
Hungary
71
Bulgaria
10
Morocco
Italy
60
Norway
10
Ukraine
Poland
56
Russian
Federation
10
Armenia
Spain
55
Sweden
Bangladesh
Malaysia
47
Colombia
Belarus
Ireland
37
Bahrain
Denmark
Thailand
36
Iran
Ecuador
Austria
35
Switzerland
Jersey
Hong Kong
33
Canada
Kyrgyzstan
Greece
30
Croatia
Lebanon
Romania
30
South Africa
Luxembourg
Romania
30
South Africa
Luxembourg
Australia
29
Sri Lanka
Macedonia
Singapore
29
Lithuania
Mauritius
Mexico
24
Oman
Moldova
Brazil
23
Peru
New Zealand
Slovakia
23
Qatar
Sudan
Pgina 13 de 115
Turkey
21
Chile
Uruguay
UAE
20
Dominican
Republic
Yemen
France
19
Egypt
Total
6942
Pgina 14 de 115
Pgina 15 de 115
Pgina 16 de 115
Objetivos
Sada
Entrada
PROCESSAMENTO
Retroalimentao
Pgina 17 de 115
importncia, uma vez que se tem a necessidade de se fazer gesto de acessos autorizados,
alm de garantir a alta disponibilidade dos ambientes envolvidos (MOREIRA, 2001).
A etapa de sada requer uma ateno diferenciada, uma vez que o output desta
etapa a disponibilizao de uma informao agregada de conhecimento valioso para a
empresa e, necessariamente precisa ser protegida.
A gesto inadequada da segurana das informaes valiosas da empresa pode
contribuir para a perda de vantagem competitiva sustentvel, uma vez que as empresas
rivais concorrentes tero acesso s informaes como ativos estratgicos utilizados na
elaborao de estratgias da empresa.
Essa condio propicia que as competncias internas elaboradas com a experincia,
pesquisa, estudo, investimento e trabalho em equipe sejam conhecidas pelas demais
empresas, colaborando para que a posio alcanada seja ameaada. Tudo isso possvel,
mesmo
que
esses
recursos
estratgicos
no
sejam
comercializadas
Pgina 18 de 115
Pgina 19 de 115
Pgina 20 de 115
Pgina 21 de 115
Segurana da informao
Pgina 22 de 115
Pgina 23 de 115
Pgina 24 de 115
2%
3%
Outros
4%
4%
7%
9%
Corretor de informao
Provedor de servios de TI
12%
13%
Governo estrangeiro
10%
13%
15%
16%
Concorrentes
Clientes
Provedor de servios de processos de
17%
17%
11%
17%
2008
2009
15%
Crime organizado
22%
33%
28%
26%
30%
Usurios externos
Consultores/provedores de servios
39%
45%
57%
52%
Empregados
62%
59%
Hackers
62%
66%
Usurios/empregados autorizados
0%
20%
40%
60%
80%
Pgina 25 de 115
Pgina 26 de 115
segurana aos seus produtos e servios, resultando em uma satisfao maior por parte dos
clientes.
Por outro lado, apresenta-se o raciocnio de que a proteo dos sistemas crticos de
negcio pode ser obtida ao se examinar as conseqncias das perdas, a partir de falta de
segurana dos sistemas (GUPTA, 2005).
Essas perdas tambm podem ser obtidas, segundo quatro pontos de vista. So eles:
a) Perda Financeira;
b) Responsabilidade Legal e tica;
c) Interrupo de Servios;
d) Qualidade e Segurana.
Pgina 27 de 115
1.2.1.1 Confidencialidade
Pgina 28 de 115
1.2.1.2 Integridade
Pgina 29 de 115
1.2.1.3 Disponibilidade
1.2.1.4 Legalidade
Pgina 30 de 115
tcnica apenas disponvel para aquisio em uma loja, mas sim personalizada,
dependente do contexto do problema do cliente (CHANG; YEH, 2007), leis,
regulamentaes e normas aplicveis.
Pgina 31 de 115
a) Dimenso Governana;
b) Dimenso Organizacional;
c) Dimenso Poltica;
d) Dimenso melhores prticas;
e) Dimenso tica;
f) Dimenso Certificao;
g) Dimenso Legal;
h) Dimenso Humana;
i) Dimenso Conscientizao;
j) Dimenso Tcnica;
k) Dimenso Mtricas e Indicadores;
l) Dimenso Auditoria.
Os autores Adachi (2004) e Silva Netto (2007) apresentam as dimenses utilizadas
neste trabalho em uma abordagem de camadas para representar os 10 (dez) domnios da
norma ISO 27002, uma norma de boas prticas internacionais de segurana da
informao, que so:
Pgina 32 de 115
Camada fsica
a) Sistemas de controle de acesso;
b) Segurana e modelos de segurana;
c) Arquitetura e modelos de segurana;
d) Segurana fsica.
Camada lgica
a) Criptografia;
b) Desenvolvimento de sistemas e aplicativos.
Camada humana
a) Prticas de gerenciamento de segurana;
b) Segurana de operao;
c) Plano de Continuidade do negcio e plano de recuperao em caso de desastre;
d) Legislao, investigao e tica.
Objetivos
Gesto
das Garantir a operao segura e correta dos recursos de
operaes
e processamento da informao.
comunicaes
Fsica
Pgina 33 de 115
Aquisio,
desenvolvimento
e manuteno de
Sistemas
de
Informao
explorao
de
Gesto de Ativos
Segurana
recursos
humanos
Gesto
da No permitir a interrupo das atividades do negcio e
continuidade do proteger os processos crticos contra efeitos de falhas ou
negcio
desastres significativos e assegurar a sua retomada em
tempo hbil se for o caso.
Conformidade
Poltica
segurana
informao
Pgina 34 de 115
Dimenso
Humana
Dimenso
Fsica
Dimenso
Lgica
Pgina 35 de 115
A Norma ISO 27002 aborda o tema, envolvendo todos os ativos relacionados com a
segurana para prevenir acessos fsicos no autorizados, danos e interferncias s
informaes e instalaes fsicas da empresa.
A dimenso lgica constituda por elementos lgicos de difcil controle, uma
vez que se prope em linhas gerais, a protegerem o contedo informacional (CARUSO;
STEFFEN, 1999).Todos os sistemas que necessitam de proteo esto envolvidos nesta
camada. Os sistemas que envolvem e so utilizados pela empresa so gerenciados e
protegidos no apenas pelos dispositivos previstos na dimenso fsica, mas so necessrias
medidas preventivas e procedimentos elaborados, atualizados e implementados
(LUCIANO; 2004).
Em adio a viso desses autores, Dias (2000) complementa essa viso enfatizando
a necessidade de existir em polticas de segurana que estabeleam as diretrizes de
segurana para o ambiente.
Nesta dimenso, pretende-se proteger as informaes crticas e relevantes da
organizao.
Cada empresa adota estratgias diferenciadas para proteger os seus recursos
valiosos por meio de estratgias de segurana contra ataques via cdigos maliciosos Lochet
al.(1992), Caruso; Steffen(1999), Gupta (2005); ABNT (2005), Takemura (2010), pelo
estabelecimento de Polticas de controle de acesso s informaes ABNT (2005), pelo
estabelecimento de Proteo de registros organizacionais (Proteo de registros
organizacionais Loch et al. (1992), Dias (2000), ABNT (2005).
A proteo das informaes para uso em situaes adversas prevista nesta
dimenso com a realizao de cpias de segurana das informaes Caruso; Steffen (1999),
Dias (2000), Beal (2004), ABNT (2005), Gupta (2005).
Outra estratgia a ser adotada e prevista nesta dimenso a de controle de
vulnerabilidades tcnicas dos recursos, uma vez que podem ser exploradas por pessoas mal
intencionadas e terem acesso s informaes crticas e sigilosas (ABNT, 2005).
A dimenso humana constituda dos recursos humanos existentes na empresa.
Ela trata, portanto de questes de difcil gesto, uma vez que esto envolvidos pessoas e
aspectos comportamentais, conscientizao e engenharia social (ADACHI, 2004). Os
autores Caruso; Steffen(1999) concordam que nesta dimenso so tratadas questes que
proporcionam maior risco para as empresas, uma vez que esto envolvidos e influenciam
Pgina 36 de 115
Pgina 37 de 115
Para os autores Mcgee e Prusak, (1994, p.24), a informao possui o seu valor
oriundo dos dados e, a ela, so acrescidos aspectos que as diferenciam, e a caracteriza
conforme descrito a seguir:informao um conjunto de dados coletados, organizados,
ordenados aos quais so atribudos significados e contexto.
Com uma viso mais abrangente, Laudon, K. e Laudon, J. (1999), apresentam uma
abordagem mais estratgica, uma vez que quando se referem informao, associam a um
recurso estratgico e como uma fonte de vantagem competitiva que, como tal, pode ser
usada de forma estratgica.
O autor Beuren (1998, p.52) sintetiza o seu entendimento sobre a informao da
seguinte forma:
a informao pode ser usada no sentido de identificar alternativas
para provocar mudanas no poder de barganha da empresa com o
ambiente externo, para remover ou criar barreiras entrada de
novos concorrentes,diferenciar uma empresa das demais que
atuam no mesmo segmento, para configurar novas cadeias de valor,
para penetrar em economias diferenciadas, dentre outros fatores.
Pgina 38 de 115
Pgina 39 de 115
Pgina 40 de 115
Recursos valiosos
As competncias internas construdas pelas pessoas de uma organizao ao longo
do tempo so exemplos de recursos valiosos. Muito embora sejam construdas com o uso
de metodologias difundidas amplamente e disponveis no mercado, o know-how passa a
ser um recurso organizacional valioso, pois no se conquista rapidamente e no podem ser
adquiridos, pois no so livremente comercializveis (DIERICKX; COOL, 1989).
O know-how que uma determinada empresa possui para desenvolver um
determinado servio ou produto um exemplo de uma competncia adquirida com muita
pesquisa, investimento, tempo e empenho de toda a empresa. O valor desse know-how
conquistado pela empresa pode, em alguns casos, significar o valor do prprio negcio.
No entanto, ainda que determinados recursos tangveis possam ser adquiridos no
mercado de fator estratgico, tem-se os recursos intangveis valiosos como sendo de difcil
aquisio.
Embora existam metodologias que auxiliem as empresas a determinar quais
atividades devem ser realizadas, no manter a confidencialidade sobre como e quais
recursos devem e quais no devem ser utilizados, contribui para que as empresas
Pgina 41 de 115
Pgina 42 de 115
Recursos Insubstituveis
A ausncia de informaes sobre um determinado recurso estratgico de negcio
dificulta no somente a possibilidade de imitao, mas a substituio Dierickx e Cool
(1989), Barney (1991), Peteraf(1993), uma vez que no se pode afirmar ao certo quais so
as caractersticas inerentes dos recursos estratgicos que conferem a sustentabilidade.
Pgina 43 de 115
Transparncia
A transparncia uma fonte de vantagem competitiva sustentvel, na viso de
Grant (1991), uma vez que a falta dela constri, naturalmente, uma barreira de entrada
para os potenciais entrantes.
As empresas rivais concorrentes visam seguir os mesmos passos das empresas
lderes, para compreender os fatores que levaram essas empresas a alcanarem o patamar
sustentvel.
Assim, a falta de transparncia dos recursos e estratgias adotadas pela empresa
uma forma de desacelerar a velocidade com que as empresas concorrentes conseguem
imit-la, alm de ser um fator inibidor para as empresas recm-chegadas GRANT (1991,
p. 125).
Pgina 44 de 115
Pgina 45 de 115
Fontes
Barney
(1991)
Valioso
Raro
Inimitvel/
X
No
Replicabilidade
Limitaes
ExPost
Insubstituvel/
X
Dierickx e Grant
Cool
(1991)
(1989)
(1993)
Objetivos
segurana
informao
da
da
Confidencialidade
Disponibilidade
Transparncia
No
Comercializvel
Peteraf
Confidencialidade
Confidencialidade
X
Confidencialidade
Disponibilidade
Durabilidade
Transferibilidade
/
Disponibilidade
Confidencialidade
Confidencialidade
Mobilidade
Imperfeita
Limitaes
Ante
Ex-
Pgina 46 de 115
Pgina 47 de 115
d) Confirmao do problema;
e) Definio de objetivos;
f) Desenvolvimento da Soluo e Seleo da forma de interveno;
g) Avaliao;
h) Entrega do produto final.
Pgina 48 de 115
Pgina 49 de 115
Assim, o nvel de transferibilidade declarado por Grant (1991) de um recurso deve ser
uma preocupao constante das empresas desse porte, uma vez que alm de causar
impactos na capacidade de realizao da prestao de servios e do know-how, muito
conhecimento pode ser transferido para as empresas rivais concorrentes. Essa condio
favorece a perda de vantagem competitiva.
Pgina 50 de 115
consequncia -> resultado de um evento que afeta os objetivos [ABNT ISO GUIA
73:2009]
NOTA 1 Um evento pode levar a uma srie de consequncias.
NOTA 2 Uma consequncia pode ser certa ou incerta e, no contexto da segurana da
informao, , normalmente, negativa.
NOTA 3 As consequncias podem ser expressas qualitativa ou quantitativamente.
NOTA 4 As consequncias iniciais podem desencadear reaes em cadeia.
controle -> medida que est modificando o risco [ABNT ISO GUIA 73:2009]
NOTA 1 Os controles da segurana da informao incluem qualquer processo, poltica,
procedimento, diretriz, prtica ou estrutura organizacional, que podem ser de natureza
administrativa, tcnica, gerencial ou legal, que modificam o risco da segurana da
informao.
NOTA 2 Os controles nem sempre conseguem exercer o efeito de modificao pretendido
ou presumido.
NOTA 3 O controle tambm usado como um sinnimo de salvaguarda ou contramedida.
contexto externo -> ambiente externo no qual a organizao busca atingir seus objetivos
[ABNT ISO GUIA 73:2009]
NOTA O contexto externo pode incluir:
Pgina 51 de 115
contexto interno -> ambiente interno no qual a organizao busca atingir seus objetivos
[ABNT ISO GUIA 73:2009]
NOTA O contexto interno pode incluir:
governana, estrutura organizacional, funes e responsabilidades;
polticas, objetivos e estratgias implementadas para atingi-los;
capacidades compreendidas em termos de recursos e conhecimento (por exemplo,
capital, tempo, pessoas, processos, sistemas e tecnologias);
sistemas de informao, fluxos de informao e processos de tomada de deciso (tanto
formais como informais);
relaes com partes interessadas internas e suas percepes e valores;
cultura da organizao;
normas, diretrizes e modelos adotados pela organizao; e
forma e extenso das relaes contratuais.
nvel de risco -> magnitude de um risco, expressa em termos da combinao das
consequncias (3.1) e de suas probabilidades (likelihood) (3.7) [ABNT ISO GUIA 73:2009]
probabilidade (likelihood) -> chance de algo acontecer [ABNT ISO GUIA 73:2009]
NOTA 1 Na terminologia de gesto de riscos, a palavra probabilidade utilizada para
referir-se chance de algo acontecer, no importando se, de forma definida, medida ou
determinada, objetiva ou subjetivamente, qualitativa ou quantitativamente, ou se descrita
utilizando-se termos gerais ou matemticos (como probabilidade ou frequncia durante
um determinado perodo de tempo).
NOTA 2 O termo em Ingls "likelihood" no tm um equivalente direto em algumas
lnguas; em vez disso, o termo equivalente "probability" frequentemente utilizado.
Entretanto, em Ingls, "probability" muitas vezes interpretado estritamente como uma
expresso matemtica. Portanto, na terminologia de gesto de riscos, likelihood"
utilizado com a mesma interpretao ampla que o termo "probability" tem em muitos
outros idiomas alm do Ingls.
Pgina 52 de 115
risco residual -> risco remanescente aps o tratamento do risco [ABNT ISO GUIA
73:2009]
NOTA 1 O risco residual pode conter riscos no identificados.
NOTA 2 O risco residual tambm pode ser conhecido como "risco retido".
risco -> efeito da incerteza nos objetivos [ABNT ISO GUIA 73:2009]
NOTA 1 Um efeito um desvio em relao ao esperado positivo e/ou negativo.
NOTA 2 Os objetivos podem ter diferentes aspectos (como metas financeiras, de sade e
segurana e ambientais) e podem ser aplicadas em diferentes nveis (como estratgico, em
toda a organizao, de projeto, de produto e de processo).
NOTA 3 O risco muitas vezes caracterizado pela referncia aos eventos (3.3) potenciais e
s consequncias (3.1), ou uma combinao destes.
NOTA 4 O risco em segurana da informao muitas vezes expresso em termos de uma
combinao de consequncias de um evento (incluindo mudanas nas circunstncias) e a
probabilidade (likelihood) (3.7) associada de ocorrncia.
NOTA 5 A incerteza o estado, mesmo que parcial, de deficincia das informaes
relacionadas a um evento, sua compreenso, seu conhecimento, sua consequncia ou sua
probabilidade.
NOTA 6 O risco de segurana da informao est associado com o potencial de que
ameaas possam explorar vulnerabilidades de um ativo de informao ou grupo de ativos
de informao e, consequentemente, causar dano a uma organizao.
Pgina 53 de 115
gesto de riscos -> atividades coordenadas para dirigir e controlar uma organizao no
que se refere a riscos [ABNT ISO GUIA 73:2009]
NOTA Esta Norma usa o termo processo para descrever toda a gesto de riscos. Os
elementos contidos no processo de gesto de riscos foram chamados de atividades.
Pgina 54 de 115
tratamento de riscos -> processo para modificar o risco [ABNT ISO GUIA 73:2009]
NOTA 1 O tratamento de riscos pode envolver:
risco;
parte interessada -> pessoa ou organizao que pode afetar, ser afetada, ou perceber-se
afetada por uma deciso ou atividade [ABNT ISO GUIA 73:2009]
Pgina 55 de 115
1.4.2 Contextualizao
Uma abordagem sistemtica de gesto de riscos de segurana da informao
necessria para identificar as necessidades da organizao em relao aos requisitos de
segurana da informao e para criar um sistema de gesto de segurana da informao
(SGSI) que seja eficaz. Convm que essa abordagem seja adequada ao ambiente da
organizao e, em particular, esteja alinhada com o processo maior de gesto de riscos
corporativos. Convm que os esforos de segurana lidem com os riscos de maneira efetiva
e no tempo apropriado, onde e quando forem necessrios. Convm que a gesto de riscos
de segurana da informao seja parte integrante das atividades de gesto de segurana da
informao e que seja aplicada tanto implementao quanto operao cotidiana de um
SGSI.
Convm que a gesto de riscos de segurana da informao seja um processo
contnuo. Convm que o processo defina os contextos interno e externo, avalie os riscos e
trate os riscos usando um plano de tratamento a fim de implementar as recomendaes e
decises. A gesto de riscos analisa os possveis acontecimentos e suas consequncias,
antes de decidir o que ser feito e quando ser feito, a fim de reduzir os riscos a um nvel
aceitvel.
Convm que a gesto de riscos de segurana da informao contribua para:
A identificao de riscos
O processo de avaliao de riscos em funo das consequncias ao negcio e da
probabilidade de sua ocorrncia
A comunicao e entendimento da probabilidade e das consequncias destes riscos
O estabelecimento da ordem prioritria para tratamento do risco
A priorizao das aes para reduzir a ocorrncia dos riscos
O envolvimento das partes interessadas quando as decises de gesto de riscos so
tomadas e para que elas sejam mantidas informadas sobre a situao da gesto de riscos
A eficcia do monitoramento do tratamento dos riscos
O monitoramento e a anlise crtica peridica dos riscos e do processo de gesto de
riscos
A coleta de informaes de forma a melhorar a abordagem da gesto de riscos
O treinamento de gestores e pessoal a respeito dos riscos e das aes para mitig-los
O processo de gesto de riscos de segurana da informao pode ser aplicado
organizao como um todo, a uma rea especfica da organizao (por exemplo, um
departamento, um local fsico, um servio), a qualquer sistema de informaes, a controles
j existentes, planejados ou apenas a aspectos particulares de um controle (por exemplo, o
plano de continuidade de negcios).
Pgina 56 de 115
Pgina 57 de 115
Pgina 58 de 115
Pgina 59 de 115
Processo de negcio
Aplicao de TI
Infra-estrutura de TI
Sistema de informao
rea especfica da organizao
Unidade de negcio
Linha de servio ou produto
Outros
Pgina 60 de 115
Pgina 61 de 115
Pgina 62 de 115
1.4.6.1
Tipos de ativos
Segundo a NBR ISO/IEC 27005, para estabelecer o valor de seus ativos, uma organizao
precisa primeiro identific-los (em um nvel de detalhamento adequado). Dois tipos de
ativos podem ser distinguidos:
Ativos primrios:
Processos e atividades do negcio
Informao
Ativos de suporte e infraestrutura (sobre os quais os elementos primrios do escopo se
apoiam), de todos os tipos:
Hardware
Software
Rede
Recursos humanos
Instalaes fsicas
Estrutura da organizao
Pgina 63 de 115
Pgina 64 de 115
Pgina 65 de 115
Pgina 66 de 115
Pgina 67 de 115
Desenvolvedores
Desenvolvedores so responsveis pelo desenvolvimento dos sistemas aplicativos da
organizao. Eles possuem acesso com alto privilgio a uma parte dos sistemas de
informao, mas no interferem com os dados de produo.
Exemplos: Desenvolvedores de aplicaes de negcio
Instalaes fsicas
O tipo de instalaes compreende os lugares onde so encontrados o escopo (ou parte dele)
e os meios fsicos necessrios para as operaes nele contidas.
Localidade
Ambiente externo
Compreende as localidades em que as medidas de segurana de uma organizao no
podem ser aplicadas.
Exemplos: os lares das pessoas, as instalaes de outra organizao, o ambiente externo ao
local da organizao (reas urbanas, zonas perigosas).
Edificaes
Esse lugar limitado pelo permetro externo da organizao, isto por aquilo que fica em
contato direto com o exterior.
Isso pode ser uma linha de proteo fsica formada por barreiras ou por mecanismos de
vigilncia ao redor dos prdios.
Exemplos: estabelecimentos, prdios.
Zona
Uma zona limitada por linhas de proteo fsica que criam parties dentro das
instalaes da organizao. obtida por meio da criao de barreiras fsicas ao redor das
reas com a infraestrutura de processamento de informaes da organizao.
Exemplos: escritrios, reas de acesso restrito, zonas de segurana.
Servios essenciais
Todos os servios necessrios para que os equipamentos da organizao possam operar
normalmente.
Comunicao
Servios de telecomunicao e equipamento fornecido por uma operadora.
Exemplos: linha telefnica, PABX, redes internas de telefonia.
Servios de infraestrutura
Servios e os meios (alimentao e fiao) necessrios para o fornecimento de energia
eltrica aos equipamentos de tecnologia da informao e aos seus perifricos.
Exemplos: fonte de alimentao de baixa tenso, inversor, central de circuitos eltricos.
Fornecimento de gua
Saneamento e esgoto
Servios e os meios (equipamento, controle) para refrigerao e purificao do ares.
Exemplos: tubulao de gua refrigerada, ar condicionados.
Pgina 68 de 115
Organizao
O tipo de organizao descreve a estrutura da organizao, compreendendo as hierarquias
de pessoas voltadas para a execuo de uma tarefa e os procedimentos que controlam essas
hierarquias.
Autoridades
Essas so as organizaes de onde a organizao em questo obtm sua autoridade. Elas
podem ser legalmente afiliadas ou ter um carter mais externo. Isso impe restries
organizao em questo, com relao a regulamentos, decises e aes.
Exemplos: corpo administrativo, sede da organizao.
A estrutura da organizao
Compreende os vrios ramos da organizao, incluindo suas atividades multidisciplinares,
sob controle de sua direo.
Exemplos: gesto de recursos humanos, gesto de TI, gesto de compras, gerenciamento
de unidade de negcio, servio de segurana predial, servio de combate a incndios,
gerenciamento da auditoria.
Organizao de projeto ou servio
Compreende a organizao montada para um projeto ou servio especfico.
Exemplos: projeto de desenvolvimento de uma nova aplicao, projeto de migrao de
sistema de informao.
Subcontratados / Fornecedores / Fabricantes
Essas so organizaes que fornecem servios ou recursos para a organizao em questo
segundo os termos de um contrato.
Exemplos: empresa de gerenciamento de instalaes, empresa prestadora de servios
terceirizados, empresas de consultoria.
1.4.6.2
Pgina 69 de 115
Critrios
Convm que os critrios utilizados como base para atribuio do valor para cada ativo
sejam redigidos de forma objetiva e sem ambiguidades. Esse um dos aspectos mais
difceis da valorao dos ativos, j que o valor de alguns deles talvez precise ser
determinado de forma subjetiva e tambm porque provavelmente vrias pessoas
participaro do processo. Entre os possveis critrios utilizados para determinar o valor de
um ativo esto o seu custo original e o custo de sua substituio ou de sua recriao. Por
outro lado, seu valor pode ser abstrato, por exemplo, o valor da reputao de uma
organizao.
Um outro enfoque para a valorao dos ativos considerar os custos decorridos da perda
da confidencialidade, integridade e disponibilidade resultante de um incidente. Convm
que a garantia de norepdio e de responsabilizao, a autenticidade e a confiabilidade, se
apropriadas, tambm sejam consideradas. Tal enfoque acrescenta uma dimenso muito
importante atribuio do valor de um ativo, alm do custo de sua substituio, pois
considera as consequncias adversas ao negcio causadas por incidentes de segurana,
tendo como premissa um conjunto determinado de circunstncias. Convm ressaltar
tambm que as consequncias que esse enfoque identifica precisaro ser consideradas
durante o processo de avaliao de riscos.
Muitos ativos, durante o curso da avaliao, podem acabar recebendo vrios valores. Por
exemplo, um plano de negcios pode ser avaliado em funo do esforo despendido no seu
desenvolvimento, pode ter seu valor atribudo em funo do trabalho de entrar com os
dados e pode ainda ser valorado de acordo com seu valor para um competidor.
Provavelmente, os valores atribudos sero consideravelmente diferentes. O valor atribudo
pode ser o maior valor encontrado, a soma de alguns ou mesmo de todos os possveis
valores. Em ltima anlise, convm pensar cuidadosamente qual(is) valor(es) (so)
associado(s) a um ativo, pois o valor final atribudo far parte do processo de determinao
dos recursos a serem investidos na proteo do ativo.
Definio de um denominador comum
Ao final do processo, a valorao dos ativos precisa ter como base um denominador
comum. Isso pode ser feito com a ajuda de critrios como os a seguir. Critrios que podem
ser utilizados para estimar as possveis consequncias resultantes da perda de
confidencialidade, integridade, disponibilidade, assim como da capacidade de garantir o
norepdio, a responsabilizao, a autenticidade e a confiabilidade, so os seguintes:
Violao da legislao e/ou das regulamentaes
Reduo do desempenho do negcio
Perda de valor de mercado/efeito negativo sobre a imagem e a reputao
Violao de segurana relacionada a informaes pessoais
O perigo ocasionado segurana fsica das pessoas
Efeitos negativos relacionados execuo da lei
Violao de confidencialidade
Violao da ordem pblica
Perda financeira
Interrupo de atividades do negcio
O perigo ocasionado segurana ambiental
Um outro mtodo para avaliar as consequncias poderia levar em conta o seguinte:
Pgina 70 de 115
Pgina 71 de 115
consistente com a abordagem que a organizao esteja usando para o processo de avaliao
de riscos como um todo.
Uma organizao pode definir seus prprios limites para os valores de seus ativos, como
'baixo', 'mdio' e 'alto'. Convm que esses limites sejam estimados de acordo com o critrio
selecionado (por exemplo, para possveis perdas financeiras, convm que eles sejam
estabelecidos atravs de valores monetrios; porm, para outros tipos de fatores, como o
perigo ocasionado segurana fsica das pessoas, uma estimativa monetria pode ser por
demais complexa e no apropriada a muitas organizaes). Por ltimo, cabe inteiramente
organizao a deciso a respeito do que considerado 'pequena', 'mdia' ou 'grande'
consequncia. Uma consequncia desastrosa para uma pequena organizao pode ser
pequena ou mesmo insignificante para uma grande organizao.
Dependncias
Quanto mais relevantes e numerosos os processos de negcio apoiados por um ativo, maior
o seu valor. Convm que a dependncia de ativos a processos de negcio e a outros ativos
tambm seja identificada, pois ela pode influenciar os valores dos ativos. Por exemplo,
convm garantir a confidencialidade dos dados durante todo o seu ciclo de vida, inclusive
durante o seu armazenamento e processamento. Em outras palavras, convm que os
requisitos de segurana para o armazenamento de dados e para os programas que fazem o
processamento correspondam ao valor da confidencialidade dos dados armazenados e
processados. Da mesma forma, se um processo de negcios depender da integridade dos
dados gerados por um programa, convm que os dados de entrada passados para o
programa sejam confiveis. Mais importante do que isso, a integridade da informao
depender do hardware e software utilizados para seu armazenamento e processamento.
Adicionalmente, o hardware depender do suprimento de energia e, possivelmente, do arcondicionado. Assim, informaes sobre dependncias sero de grande ajuda na
identificao de ameaas e, em particular, de vulnerabilidades. Alm disso, ajudaro a
assegurar que o real valor dos ativos (considerando as relaes de dependncia) ser
atribudo, dessa forma indicando o nvel de proteo apropriado.
Convm que os valores dos ativos dos quais outros ativos dependem sejam modificados da
seguinte maneira:
Se os valores dos ativos dependentes (por exemplo, os dados) forem menores ou
iguais ao valor do ativo em questo (por exemplo, o software), o valor deste ltimo
permanece o mesmo
Se os valores dos ativos dependentes (por exemplo, os dados) forem maiores do
que o valor do ativo em questo (por exemplo, o software), convm que o valor
desse ltimo aumente de acordo com:
Uma organizao pode possuir alguns ativos que so disponibilizados mais de uma vez,
como cpias de programas de software ou o tipo de computador usado na maioria dos
escritrios. importante levar em conta este fato quando estiver sendo executada a
valorao dos ativos. Por um lado, esses ativos so facilmente ignorados e, por isso,
convm que se tenha um cuidado especial em identificar todos. Por outro lado, eles podem
ser usados para minimizar problemas ligados falta de disponibilidade.
Pgina 72 de 115
Sada
O resultado final dessa etapa a lista de ativos e respectivos valores relativos divulgao
indevida de informaes (preservao da confidencialidade), a modificaes no
autorizadas (garantia de integridade, autenticidade, no repdio e responsabilizao),
indisponibilidade e destruio do ativo (preservao de sua disponibilidade e
confiabilidade) e ao custo de sua reposio.
Pgina 73 de 115
Agente de ameaa
Um agente de ameaa uma entidade que pode agir para causar um evento de ameaa
acontecer pela explorao de uma vulnerabilidade dentro de um sistema. Fonte TRA
Canad
uma entidade que pode iniciar a ocorrncia de ameaa. David J. Shang, PhD
A person, organization, thing or entity that desires to or is able to trigger an event which
can compromise the security of an asset or information.
Fonte Guide to Risk Assessment and Safeguard Selection for Information Technology
Systems
1.4.7.2
Evento da ameaa
An event or occurrence that has the potential to compromise the security of an asset or
information. Fonte: Guide to Risk Assessment and Safeguard Selection for Information
Technology Systems
1.4.7.3
Catlogo de ameaas
Resultado de avaliaes anteriores
Estatsticas disponibilizadas por organismos setoriais
Governos nacionais
Organismos legais
Companhias de seguro
Incidentes de segurana j ocorridos internamente
Brainstorming
Pgina 74 de 115
Pgina 75 de 115
Pgina 76 de 115
Segundo a NBR ISO IEC 27005, as vulnerabilidades que podem se exploradas por
ameaas para comprometer os ativos ou a organizao devem ser identificadas.
As vulnerabilidades podem ser identificadas nas seguintes reas:
Pgina 77 de 115
ativo.
Vulnerabilidade intrnseca
So vulnerabilidades existentes nos ativos. Elas esto presentes dada a natureza do
ativos.
Vulnerabilidade extrnseca
So vulnerabilidades produzidas nos ativos, independentes de quais sejam os
Motivao externa
No ambiente externo, podemos considerar algumas motivaes para o surgimento
de vulnerabilidades tecnolgicas:
Pgina 78 de 115
Ineditismo
Quando o produto novo, o foco das atenes, sob o ponto de vista dos benefcios,
passam a ser percebidos pelas pessoas e empresas. Assim, com o foco da ateno para a
tecnologia, comea-se a intensificar a adoo pelas pessoas e empresas e da mesma forma
acontece com o surgimento de vulnerabilidades.
Plataforma tecnolgica
A plataforma tecnolgica pode facilitar o surgimento de vulnerabilidades. Muitos
hackers, crackers e pessoas mal intencionadas, para terem sucesso, necessitam conhecer a
tecnologia utilizada pelas empresas e explor-las.
Assim, desconhecer determinadas plataformas tecnolgicas pode dificultar a
identificao de vulnerabilidades, uma vez que se estabelece como premissa, que o
conhecimento tanto da plataforma quanto da prpria tecnologia
Maturidade do produto
Algumas tecnologias utilizadas atualmente possuem poucas vulnerabilidades
divulgadas. Uma explicao possvel pode ser o nvel de maturidade do produto. Muitas
correes feitas no passado podem contribuir para diminuir o surgimento de novas
vulnerabilidades. Pode-se citar o banco de dados DB2 da IBM e demais sistemas
descontinuados.
Frias escolares
A poca do ano pode influenciar no aumento ou na diminuio do surgimento de
vulnerabilidades. Segundo David C. Chang e Sylvia Moon, as vulnerabilidades aumentam
nos meses de frias escolares. Assume-se, portanto, que grande parte dos hackers so
estudantes e esto em frias.
Os feriados ou as vsperas de feriados importantes podem influenciar no aumento
ou na diminuio do surgimento de vulnerabilidades.
Popularidade do sistema
Sistemas que possuem maior popularidade so mais suscetveis ao aumento de
vulnerabilidades, uma vez que esto em evidncia.
Motivao Interna
Pgina 79 de 115
formas:
por desconhecimento
propositalmente
Pgina 80 de 115
Vulnerabilidades Fsicas
Falta de extintores
Salas de CPD mal projetadas
Falta de detectores de fumaa e de outros recursos para combate a incndio
Instalaes prediais fora do padro
Instalao eltrica antiga e/ou em conjunto com a dos computadores
Vulnerabilidades Naturais
Ausncia de estratgias de combate incndios, enchentes, raios, tempestades
Vulnerabilidade de Hardware
Falha nos recursos tecnolgicos como desgaste, obsolescncia, mal uso
Vulnerabilidade de Software
Falhas e bugs nos Sistemas Operacionais
Falhas em programas que implementam servios de rede
Vulnerabilidade Humana
Falta de treinamento
Falta de comprometimento dos empregados
Senhas fracas
Falhas de implementao de segurana
Deficincia na poltica de segurana
Pgina 81 de 115
Gesto de vulnerabilidades
1.4.9.3
Pgina 82 de 115
prejuzo
o e valor de mercado
Convm que o impacto sobre o negcio da organizao, que pode ser causado por
incidentes (possveis ou reais) relacionados segurana da informao, seja avaliado
levando-se em conta as consequncias de uma violao da segurana da informao, como
por exemplo: a perda da confidencialidade, da integridade ou da disponibilidade dos ativos
(refere-se ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1 e) 1)).
Depois de identificar todos os ativos relevantes, convm que os valores atribudos a
esses ativos sejam levados em considerao durante a avaliao das consequncias.
O valor do impacto ao negcio pode ser expresso de forma qualitativa ou
quantitativa, porm um mtodo para designar valores monetrios geralmente pode
fornecer mais informaes teis para a tomada de decises e, consequentemente, permitir
que o processo de tomada de deciso seja mais eficiente.
A valorao dos ativos comea com a sua classificao de acordo com a criticidade,
em funo da importncia dos ativos para a realizao dos objetivos de negcios da
organizao. A valorao ento determinada de duas maneiras:
for possvel), e
como as possveis consequncias adversas de carter empresarial, legal ou regulatrias
causadas pela divulgao indevida, modificao, indisponibilidade e/ou destruio de
informaes ou de outros ativos de informao.
Essa valorao pode ser determinada a partir de uma anlise de impacto no
negcio.
O valor, determinado em funo da consequncia para o negcio, normalmente
significativamente mais elevado do que o simples custo de reposio, dependendo da
importncia do ativo para a organizao na realizao dos objetivos de negcios.
A valorao dos ativos representa um dos aspectos mais importantes na avaliao
do impacto de um cenrio de incidente, pois o incidente pode afetar mais de um ativo (por
Pgina 83 de 115
Impacto direto
Impacto indireto
Imagem
Violao de obrigaes estatutrias ou regulatrias
Etc.
Pgina 84 de 115
Pgina 85 de 115
for possvel), e
como as possveis consequncias adversas de carter empresarial, legal ou regulatrias
causadas pela divulgao indevida, modificao, indisponibilidade e/ou destruio de
informaes ou de outros ativos de informao.
Essa valorao pode ser determinada a partir de uma anlise de impacto no
negcio. O valor, determinado em funo da consequncia para o negcio, normalmente
significativamente mais elevado do que o simples custo de reposio, dependendo da
importncia do ativo para a organizao na realizao dos objetivos de negcios.
Pgina 86 de 115
Pgina 87 de 115
Pgina 88 de 115
Pgina 89 de 115
Convm que o nvel dos riscos seja comparado com os critrios de avaliao de
riscos e com os critrios para a aceitao do risco (refere-se ABNT NBR ISO/IEC
27001:2006, Seo 4.2.1 e) 4)).
A natureza das decises relativas avaliao de riscos e os critrios de avaliao de
riscos que iro ser usados para tomar essas decises teriam sido decididos durante a
definio do contexto. Convm que essas decises e o contexto sejam revisados
detalhadamente nesse estgio em que se conhece mais sobre os riscos identificados. Para
avaliar os riscos, convm que as organizaes comparem os riscos estimados (usando os
mtodos ou abordagens selecionadas como abordado no Anexo E) com os critrios de
avaliao de riscos definidos durante a definio do contexto.
Convm que os critrios de avaliao de riscos utilizados na tomada de decises
sejam consistentes com o contexto definido, externo e interno, relativo gesto de riscos
de segurana da informao e levem em conta os objetivos da organizao, o ponto de vista
das partes interessadas etc. As decises tomadas durante a atividade de avaliao de riscos
so baseadas principalmente no nvel de risco aceitvel. No entanto, convm que as
consequncias, a probabilidade e o grau de confiana na identificao e anlise de riscos
tambm sejam considerados. A agregao de vrios pequenos ou mdios riscos pode
resultar em um risco total bem mais significativo e precisa ser tratada adequadamente.
Convm que os seguintes itens sejam considerados:
organizao (por exemplo, a perda da confidencialidade), logo todos os riscos que
provocam esse tipo de impacto podem ser considerados irrelevantes
ativo ou conjunto de ativos: se o processo for considerado de baixa importncia, convm
que os riscos associados a ele sejam menos considerados do que os riscos que causam
impactos em processos ou atividades mais importantes
A avaliao de riscos usa o entendimento do risco obtido atravs da anlise de
riscos para a tomada de decises sobre aes futuras. Convm que as decises incluam:
risco
Durante a etapa de avaliao de riscos, alm dos riscos estimados, convm que
requisitos contratuais, legais e regulatrios tambm sejam considerados.
Em suma, quando o processo de anlise de riscos estiver concludo, necessrio
comparar os riscos estimados com os critrios de riscos definidos pela organizao.
Os critrios de riscos podem englobar os custos e receitas associados, exigncias
legais, fatores socio-econmicos e ambientais, preocupaes dos intervenientes, etc. Desta
Pgina 90 de 115
Pgina 91 de 115
Pgina 92 de 115
Pgina 93 de 115
A seguir, tem-se a viso da norma NBR ISO IEC 27005 norma de Gesto de riscos
em segurana da informao, sobre o processo de tratamento de riscos:
Segundo a norma, convm que controles para modificar, reter, evitar ou
compartilhar os riscos sejam selecionados e o plano de tratamento do risco seja definido.
H quatro opes disponveis para o tratamento do risco: modificao do risco,
reteno do risco, ao de evitar o risco e compartilhamento do risco. NOTA A ABNT NBR
ISO/IEC 27001:2006 4.2.1 f) 2) usa o termo aceitao do risco em vez de reteno do
risco. A Figura 3 ilustra a atividade de tratamento do risco dentro do processo de gesto
de riscos de segurana da informao.
Pgina 94 de 115
Pgina 95 de 115
Uma vez que o plano de tratamento do risco tenha sido definido, os riscos residuais
precisam ser determinados. Isso envolve uma atualizao ou uma repetio do processo de
avaliao de riscos, considerando-se os efeitos previstos do tratamento do risco que foi
proposto. Caso o risco residual ainda no satisfaa os critrios para a aceitao do risco da
organizao, uma nova iterao do tratamento do risco pode ser necessria antes de se
prosseguir aceitao do risco.
Pgina 96 de 115
Modificao do risco
Convm que o nvel de risco seja gerenciado atravs da incluso, excluso ou
alterao de controles, para que o risco residual possa ser reavaliado e ento considerado
aceitvel.
Convm que controles apropriados e devidamente justificados sejam selecionados
para satisfazer os requisitos identificados atravs do processo de avaliao de riscos e do
tratamento dos riscos. Convm que essa escolha leve em conta os critrios para a aceitao
do risco assim como requisitos legais, regulatrios e contratuais. Convm que essa seleo
tambm leve em conta custos e prazos para a implementao de controles, alm de
aspectos tcnicos, culturais e ambientais. Com frequncia, possvel diminuir o custo total
de propriedade de um sistema por meio de controles de segurana da informao
apropriadamente selecionados.
Em geral, os controles podem fornecer um ou mais dos seguintes tipos de proteo:
correo, eliminao, preveno, minimizao do impacto, dissuaso, deteco,
recuperao, monitoramento e conscientizao. Durante a seleo de controles,
importante pesar o custo da aquisio, implementao, administrao, operao,
monitoramento e manuteno dos controles em relao ao valor dos ativos sendo
protegidos. Alm disso, convm que o retorno do investimento, na forma da modificao
do risco e da possibilidade de se explorar em novas oportunidades de negcio em funo
da existncia de certos controles, tambm seja considerado. Adicionalmente, convm
considerar as competncias especializadas que possam ser necessrias para definir e
implementar novos controles ou modificar os existentes.
A ABNT NBR ISO/IEC 27002 fornece informaes detalhadas sobre controles.
H muitas restries que podem afetar a seleo de controles. Restries tcnicas,
como requisitos de desempenho, capacidade de gerenciamento (requisitos de apoio
operacional) e questes de compatibilidade, podem dificultar a utilizao de certos
controles ou induzir erros humanos, chegando mesmo a anular o controle, a dar uma falsa
sensao de segurana ou a tornar o risco ainda maior do que seria se o controle no
existisse (por exemplo, exigir senhas complexas sem treinamento adequado leva os
usurios a anotar as senhas por escrito). importante lembrar tambm que um controle
pode vir a afetar o desempenho sobremaneira. Convm que os gestores tentem encontrar
uma soluo que satisfaa os requisitos de desempenho e que possa, ao mesmo tempo,
garantir um nvel suficiente de segurana da informao. O resultado dessa etapa uma
lista de controles possveis, com seu custo, benefcio e prioridade de implementao.
Convm que vrias restries sejam levadas em considerao durante a escolha e a
implementao de controles. Normalmente, so consideradas as seguintes:
Pgina 97 de 115
Reteno do risco
Convm que as decises sobre a reteno do risco, sem outras aes adicionais,
sejam tomadas tendo como base a avaliao de riscos.
NOTA: Na ABNT NBR ISO/IEC 27001:2006 4.2.1 f 2), o tpico "aceitao do risco,
consciente e objetivamente, desde que claramente satisfazendo as polticas da organizao
e os critrios para aceitao do risco descreve a mesma atividade.
Se o nvel de risco atender aos critrios para a aceitao do risco, no h
necessidade de se implementarem controles adicionais e pode haver a reteno do risco.
Ao de evitar o risco
Convm que a atividade ou condio que d origem a um determinado risco seja
evitada.
Quando os riscos identificados so considerados demasiadamente elevados e
quando os custos da implementao de outras opes de tratamento do risco excederem os
benefcios, pode-se decidir que o risco seja evitado completamente, seja atravs da
eliminao de uma atividade planejada ou existente (ou de um conjunto de atividades),
seja atravs de mudanas nas condies em que a operao da atividade ocorre. Por
exemplo, para riscos causados por fenmenos naturais, pode ser uma alternativa mais
rentvel mover fisicamente as instalaes de processamento de informaes para um local
onde o risco no existe ou est sob controle.
A deciso de evitar o risco pode significar descontinuar a atividade que deu origem
ao risco ou no iniciar, se for o caso.
Compartilhamento do risco
Convm que um determinado risco seja compartilhado com outra entidade que
possa gerenci-lo de forma mais eficaz, dependendo da avaliao de riscos.
Pgina 98 de 115
Pgina 99 de 115
1.8
Comunicao de riscos
tratamento do risco
da informao que aconteam devido falta de entendimento mtuo entre os tomadores
de deciso e as partes interessadas
incidente
sobre riscos
Gesto de Riscos
Convm que a organizao desenvolva planos de comunicao dos riscos tanto para as
operaes rotineiras tambm para situaes emergenciais. Portanto, convm que a atividade de
comunicao do risco seja realizada continuamente.
A coordenao entre os principais tomadores de deciso e as partes interessadas pode ser
obtida mediante a formao de uma comisso em que os riscos, a sua priorizao, as formas
adequadas de trat-los e a sua aceitao possam ser amplamente discutidos.
importante cooperar com o escritrio de relaes pblicas ou com o grupo de
comunicao apropriado dentro da organizao para coordenar as tarefas relacionadas com a
comunicao e consulta do risco. Isso vital no caso de aes de comunicao durante crises, por
exemplo, em resposta a incidentes especficos.
Gesto de Riscos
Gesto de Riscos
1.9
o e que no
ameaa as explore
ameaas novas ou ressurgentes
conjunto, em um todo agregado, resultando em um nvel inaceitvel de risco
Gesto de Riscos
Gesto de Riscos
Gesto de Riscos
REFERNCIAS
Gesto de Riscos
BARNEY, Jay B. Strategic factor Markets: expectations, luck and business strategy.
Management Science, USA, v.32, n.10, p.1231-1241, Oct. 1986.
_________. Firm resources and sustained competitive advantage. Journal of
Management, USA, v.17 n.1, p.99-120, Mar.1991.
_________. Gaining and sustaining competitive advantage. New York: AddisonWesley Publishing Company, 1997.
BARRETO, Aldo de Albuquerque. A eficincia tcnica e econmica e a viabilidade de produtos e
servios de informao. Cincia da Informao, Braslia, v. 25, n. 3, p. 405-414, 1996.
BEAL, Adriana. Gesto estratgica da informao; 1 ed.; So Paulo: Atlas. 2004
BERALDI, L. C. ; FILHO E. E.. Impacto da tecnologia de informao na gesto de pequenas
empresas. CI. Inf, Brasilia, v.29, n.1, p. 46-50, jan abr. 2000.
BEUREN, Ilse M. Gerenciamento da Informao: um recurso estratgico no processo de
gesto empresarial. So Paulo: Atlas, 1998.
BNDES. Circulares n 10/2010 e 11/2010, Maro/2010. Disponvel em
<http://www.bndes.gov.br/SiteBNDES/bndes/bndes_pt/Navegacao_Suplementar/Perfil/port
e.html>, Acesso em: 10 ago. 2010.
BORAN, Sean. IT Security Cookbook.
USA,
<http://boran.com/security/>. Acesso em: 15 nov. 2010.
v1.
dec.1996.
Disponvel
em
Gesto de Riscos
CANSIAN, Adriano M. Conceitos para percia forense computacional. Anais VI Escola Regional
de Informtica da SBC, Instituto de Cincias Matemticas e Computao de So Carlos, USP
(ICMC/USP), So Carlos, SP, p.141-156, 2001.
CARNEIRO, Jorge Manoel Teixeira et al.Building a better measure of business performance.
RAC-Eletrnica, Rio de Janeiro, v.1, n. 2, art.8, p. 114-135, maio/ago. 2007. Disponvel em:
<http://www.anpad.org.br/periodicos/arq_pdf/a_639.pdf>. Acesso em: 15 mai. 2010.
CARUSO, Carlos A. A.; STEFFEN, Flvio Deny. Segurana em informtica e de
informaes. So Paulo: Senac, 1999.
CASSARO, A.C. Sistemas de informaes para tomada de decises. 3a. ed. So Paulo:Pioneira
Thomson Learning, 2001.
Gesto de Riscos
Gesto de Riscos
GUPTA, Atul. Information systems security issues and decisions for small businesses - an
empirical examination. Information Management & Computer Security, USA, v.13, n.4,
p. 297-310, 2005.
HAIR, JR Joseph F.; BABIN, Barry; MONEY Arthur H.; SAMOUEL, Phillip. Fundamentos de
Mtodos de Pesquisa em Administrao. Porto Alegre: Bookman, 2005.
HUMPHREYS E.J. Guide to BS7799 Risk Assessment and Management. London,British
Standards Institution, 1998.
ISMS,
International
User
Group.
International
register
of
ISMS
certificates.Disponvelem: <http://www.iso27001certificates.com>acessoem 31 out 2010.
ISO, ISO ISO/IEC 27001 For Small Business Practical advice, International
Organization for Standardization. Geneva, 2010
ISO Guide 73 Risk Management Vocabulary Guidelines for use in standards
KIM, J.; MUELLER, C. W. Introduction to factor analisys: what it is and how to do it.
Beverly Hill, CA: Sage Publications, 1978. 79p.
KOTLER, Phillip et al.Marketing de servios profissionais. 2. ed. So Paulo: Manole, 2002.
KURPIUS, DeWayne J.; FUQUA, Dale R. Fundamental issues in defining consulation; Journal
of Counseling and Development, Alexandria, v.71, n.6, p.598-600, Jul/Aug. 1993.
LAMPSON, Butler W. Computer Security in Real World, New Orleans, Louisiana, 16 th
Annual
Computer
Security
Application
Conference,
2000.
Disponvel
em:
<http://www.acsac.org/invited-essay/essays/2000-lampson.pdf>. Acesso em 03 Jan 2011.
LAUDON, Keneth C; LAUDON, Jane Price. Sistemas de informao com Internet, 4.ed.
Rio de Janeiro: LTC, 1999.
LAUREANO Marcos Aurelio Pchek; MORAES, Paulo Eduardo Sobreira. Segurana como
estratgia de gesto da informao. Revista Economia & Tecnologia. v.8, n.3, p.38-44, 2005
LEONE, N.M.C.P.G. As especificidades das pequenas e mdias empresas. Revista de
Administrao, So Paulo, v. 34, n. 2, p.91-94, Abr/Jun. 1999.
Pgina 110 de 115
Gesto de Riscos
LOCH, Karen D. ; CARR, Houston H.; WARKENTIN, Merril E., Threats to Information Systems:
todays reality, yesterdays understanding, Computer Security, p 173-186, MIS Quarterly,
Jun, 1992,
LUCIANO, Edimara M.; ABDALA, Elisabeth, LUCAS, Igor S. A.. Segurana de informaes e
governana em pequenas empresas. In: CONGRESSO ANUAL DE TECNOLOGIA DA
INFORMAO/CATI, 2004, So Paulo. Anais... So Paulo: FGV-EAESP,2004.
LUNARDI, Guilherme Lerch; DOLCI, Pietro Cunha; MAADA A.C.G.. Adoo de tecnologia de
informao e seu impacto no desempenho organizacional: um estudo realizado com micro e
pequenas empresas. Revista de Administrao, So Paulo, v.45, n1, p5-17, jan-mar. 2010.
MALHOTRA, Naresh K. Pesquisa de marketing: uma orientao aplicada 4.ed. Porto
Alegre: Bookman, 2006.
MARCONI, M.A., LAKATOS, E.M. Tcnicas de pesquisa: planejamento e execuo de
pesquisas, amostragens e tcnicas de pesquisa, elaborao, anlise e interpretao de dados. 6.
ed. So Paulo: Atlas, 2007.
MARTINS, Alade Barbosa; SANTOS, Celso Alberto Saibel. Uma Metodologia para implantao
de um sistema de gesto de segurana da informao. Revista de Gesto da Tecnologia e
Sistemas de Informao, So Paulo, v.2, n.2, p.121-136. 2005.
MAZZALI L.; SOUZA, M.C. A. F. Conceito e espao da pequena empresa na estrutura industrial:
heterogeneidade e formas de insero. Gesto & Produo, So Carlos, v. 15, n. 3, p. 591-603,
set.-dez. 2008
MCGAUGHEY, J.R.E. et al. Implementing information technology for competitive advantage:
risk management issues. Information & Management, USA, v.26, n5, p. 273-280, may 1994.
MCGEE, J. V.; PRUSAK, L. Gerenciamento estratgico da informao. Rio de Janeiro: Campus,
1994.
MCKENNA, Christopher. The origens of modern management Consulting. Business
andeconomichistory,Williamsburg, v.24, n.1, p.51-59, Fall 1995.
MCT, MINISTRIO DA CINCIA E TECNOLOGIA. Associativismo sada para o
desenvolvimento. 16 ago. 2004. Disponvel em: <200.130.9.6/index.php?action
=/content/view&cod_objeto=19754>. Acesso em: 19 nov. 2010.
Pgina 111 de 115
Gesto de Riscos
Gesto de Riscos
em
Gesto de Riscos
SMITH, A.D.; RUPP, W.T. Issues in cybersecurity; understanding the potential risksassociated
with hackers/crackers. Information Management & Computer Security, USA, v.10, n.4,
p.178-83, 2002.
SMITH, M. Computer security threats, vulnerabilities and countermeasures. Information
Age(IK), v.11, n4, p.205-210, Oct. 1989.
_________.Commonsense Computer Security - Your Practical Guide to Information
Protection. London, McGraw-Hill, 1 ed., 1993.
SOLMS, Basie Von, SOLMS Rossouw Von, The 10 deadly sins of information security
management.Computers and Security, USA, v.23, n.5, p. 371376, May 2004.
SOLMS, Rossouw Von. Information security management: why standards are important.
Information Management & Computer Security, USA, v.7 n.1, p.50-57, Aug. 1999.
_________. Information Security - A Multidimensional Discipline. Computers & Security,
v.20, n.6, p. 504-508, 2001.
SOLOMON, S. A grande importncia da pequena empresa: a pequena empresa nos
Estados Unidos no Brasil e no mundo. Rio de Janeiro: Editorial Nrdica, 1986.
SPINELLIS, D., Kokolakis, S. and Gritzalis, S., Security requirements, risks and
recommendations for small enterprise and home-office environments, Information
Management & Computer Security, USA, v.7, n. 3, p. 121-128. 1999.
STAIR, R. M. Princpios de sistemas de informao: uma abordagem gerencial. 2. ed. Rio de
Janeiro: LTC Livros Tcnicos e Cientficos,1998.
TAKEMURA, Toshihiko. A quantitative study on Japanese workers awareness to information
security using the data collected by web-based survey. American Journal of Economics and
Business Administration, v.2 n.1, p. 20-26, 2010.
TEIXEIRA, Rivanda Meira e BARBOSA, Jenny Dantas. Gesto de pequenas e mdias indstrias:
o foco em marketing. In: EGEPE Encontro de estudos sobre empreendedorismo e
gesto de pequenas empresas. 2003, Braslia. Anais... Braslia: UEM/UEL/UnB, 2003, p.
994-1022.
Gesto de Riscos